Megosztás a következőn keresztül:

Adattárolás és cégirányítás a Power Platform-ban

  • Cikk

Először is meg kell különböztetni a személyes adatokat és az ügyféladatokat.

  • A személyes adatok olyan személyekre vonatkozó információk, amelyek azonosításra használhatók.

  • Az ügyféladatok személyes adatokat és egyéb ügyfélinformációkat tartalmaznak, ideértve az URL-címeket, a metaadatokat és az alkalmazottak hitelesítési adatait, például a DNS-neveket.

Adattárolási hely

A Microsoft Entra bérlő olyan információkat tartalmaz, amelyek relevánsak a szervezet és annak biztonsága szempontjából. Amikor egy Microsoft Entra bérlő regisztrál a Power Platform szolgáltatásokra, a bérlő kiválasztott országa vagy régiója a legmegfelelőbb Azure-beli földrajzi helyre lesz leképezve, ahol Power Platform üzemelő példány létezik. A Power Platform az ügyféladatokat a bérlőhöz rendelt Azure földrajzi régióban vagy az otthoni geoban tárolja, kivéve ha a szervezetek több régióban telepítik a szolgáltatásokat.

Egyes szervezetek globálisan vannak jelen. Előfordulhat például, hogy egy vállalatnak az Egyesült Államokban van a székhelye, de Ausztrália területén végzi üzleti tevékenységét. A helyi előírásoknak való megfeleléshez szükség lehet bizonyos Power Platform-adatok Ausztráliában történő tárolására. Ha a Power Platform-szolgáltatások egynél több Azure földrajzi régióban vannak telepítve, azt multi-geo telepítésnek nevezzük. Ebben az esetben csak a környezethez kapcsolódó metaadatokat tárolja a rendszer az otthoni geoban. Az adott környezet összes metaadata és termékadata a távoli geoban van tárolva.

A Microsoft az adatrugalmasság érdekében más régiókba is replikálhatja az adatokat. A személyes adatokat azonban nem replikáljuk és nem helyezzük a geon kívül. A más régiókba replikált adatok tartalmazhatnak nem személyes adatokat, például alkalmazotti hitelesítési adatokat.

A Power Platform-szolgáltatások csak bizonyos Azure földrajzi régiókban érhetők el. Ha további információra van szüksége azzal kapcsolatban, hogy hol érhetők el a Power Platform-szolgáltatások, hol tároljuk az adatait, és hogyan használjuk fel azokat, látogasson el a Microsoft Adatvédelmi központjába. Az inaktív ügyféladatok elhelyezésével kapcsolatos kötelezettségvállalások az Adatfeldolgozási feltételek vagy az Online Microsoft-szolgáltatások feltételei között vannak megadva. A Microsoft önálló jogi személyek számára is biztosít adatközpontokat.

Adatok kezelése

Ez a szakasz azt ismerteti, hogy a Power Platform miként tárolja, kezeli és továbbítja az ügyféladatokat.

Inaktív adatok

Hacsak a dokumentáció másképp nem rendelkezik, az ügyféladatok tárolása az eredeti forrásban történi (például Dataverse vagy SharePoint). A Power Platform alkalmazásokat az Azure Storage tárolja egy környezet részeként. A mobilalkalmazásokban használt adatokat az SQL Express titkosítja és tárolja. A legtöbb esetben az alkalmazások az Azure Storage használatával tárolják a Power Platform szolgáltatási adatokat, és az Azure SQL Database használatával tárolják a szolgáltatás metaadatait. Az alkalmazás felhasználói által bevitt adatokat a rendszer a szolgáltatásnak megfelelő adatforrásban tárolja (például Dataverse).

A Power Platform által megőrzött adatokat a rendszer a Microsoft által felügyelt kulcsok használatával alapértelmezés szerint titkosítja. Az Azure SQL Database minden tárolt ügyféladatot teljes mértékben titkosít az Azure SQL transzparens adattitkosítási (TDE) technológiával. Az Azure Blob Storage szolgáltatásban tárolt ügyféladatok az Azure Storage titkosítása használatával vannak titkosítva.

Az adatok feldolgozása

Az adatok feldolgozás alatt vannak, ha interaktív forgatókönyv részeként használják azokat, vagy ha egy háttérfolyamat, például a frissítés, érinti azokat. A Power Platform a feldolgozás alatt lévő adatokat egy vagy több szolgáltatás számítási feladatának memóriájába tölti be. A számítási feladat működésének megkönnyítése érdekében a memóriában tárolt adatok nem titkosítottak.

Adatok továbbítása

A Power Platform megköveteli, hogy a bejövő HTTP-forgalmat TLS 1.2-es vagy újabb protokoll használatával titkosítsa. A TLS 1.1-es vagy annál alacsonyabb protokollokat használó kéréseket a rendszer elutasítja.

Speciális biztonsági funkciók

A Power Platform egyes speciális biztonsági funkcióihoz egyedi licencelési követelmények tartoznak.

Szolgáltatáscímkék

A szolgáltatáscímke egy adott Azure-szolgáltatáshoz tartozó IP-címek előtagjainak csoportját jelenti. A szolgáltatáscímkék segítségével hálózati hozzáférési vezérlőket határozhat meg a hálózati biztonsági csoportok vagy az Azure Firewall számára.

A szolgáltatáscímkék segítségével minimálisra csökkenthető a hálózati biztonsági szabályok frissítésének összetettsége. Adott IP-címek helyett szolgáltatáscímkéket használhat olyan biztonsági szabályok létrehozásakor, amelyek például engedélyezik vagy tiltják az adott szolgáltatás forgalmát.

A Microsoft kezeli a szolgáltatáscímke címének előtagját, továbbá a címek módosításakor automatikusan frissíti a szolgáltatáscímkét. További információ: Azure IP-tartományok és szolgáltatáscímkék – nyilvános felhő.

Adatvesztés megelőzése

A Power Platform adatvesztés-megelőzési (DLP) funkciók kiterjedt készletével rendelkezik az adatok biztonságának kezelése érdekében.

Storage közös hozzáférésű jogosultságkód (SAS) IP-korlátozása

Feljegyzés

Ezen SAS-funkciók aktiválása előtt az ügyfeleknek először engedélyezniük kell a https://*.api.powerplatformusercontent.com tartományhoz való hozzáférést, különben a legtöbb SAS-funkció nem fog működni.

Ez a szolgáltatáskészlet bérlőspecifikus funkció, amely korlátozza Storage közös hozzáférésű jogosultságkód (SAS) jogkivonatokat, és a Power Platform felügyeleti központ menüjén keresztül vezérelhető. Ez a beállítás korlátozza, hogy az IP-cím alapján ki használhatja a vállalati SAS-jogkivonatokat.

Ez a funkció jelenleg privát előzetes verzió érhető el. Nyilvános előzetes verzió a tervek szerint még idén tavasszal megjelenik, és 2024 nyarán lesz általánosan elérhető. További információ: Kiadástervező.

Ezek a beállítások a környezet Adatvédelem + biztonság beállításaiban találhatók a felügyeleti központban. Be kell kapcsolnia az IP-címalapú tároló közös hozzáférésű jogosultságának engedélyezése (SAS) szabályt .

A rendszergazdák az alábbi négy konfiguráció egyikét engedélyezhetik ehhez a beállításhoz:

Beállítás Description
Csak IP-kötés Ez korlátozza az SAS-kulcsokat a kérelmező IP-címére.
Csak IP-tűzfal Ez korlátozza az SAS-kulcsok használatát, hogy csak a rendszergazda által megadott tartományon belül működjön.
IP-kötés és tűzfal Ez korlátozza az SAS-kulcsok használatát a rendszergazda által megadott tartományon belül, és csak a kérelmező IP-címére.
IP-kötés vagy tűzfal Lehetővé teszi az SAS-kulcsok használatát a megadott tartományon belül. Ha a kérés a tartományon kívülről érkezik, a rendszer IP-kötést alkalmaz.

IP-kötést kényszerítő termékek, ha engedélyezve vannak:

  • Dataverse
  • Power Automate
  • Egyéni összekötők
  • Power Apps

A felhasználói élményre gyakorolt hatás

  • Amikor egy felhasználó, aki nem felel meg a környezet IP-címkorlátozásainak, megnyit egy alkalmazást: A felhasználók általános IP-problémára hivatkozó hibaüzenetet kapnak.

  • Amikor egy felhasználó, aki megfelel az IP-címkorlátozásoknak, megnyit egy alkalmazást: A következő események történnek:

    • A felhasználók gyorsan eltűnő szalagcímet kaphatnak, amely tudatja a felhasználókkal, hogy IP-beállítás van beállítva, és kapcsolatba léphetnek az adminisztrátorral a részletekért, vagy frissíthetik azokat az oldalakat, amelyek elveszítik a kapcsolatot.
    • Ennél is fontosabb, hogy a biztonsági beállítás által használt IP-érvényesítés miatt egyes funkciók lassabban működhetnek, mint kikapcsolt állapotban.

SAS-hívások naplózása

Ez a beállítás lehetővé teszi, hogy az összes SAS-hívás Power Platform bejelentkezzen a Purview-ba. Ez a naplózás megjeleníti az összes létrehozási és használati esemény releváns metaadatait, és a fenti SAS IP-korlátozásoktól függetlenül engedélyezhető. Power Platform A szolgáltatások jelenleg 2024-ben veszik fel a SAS-hívásokat.

Mező neve Mező leírása
response.status_message Tájékoztatás arról, hogy az esemény sikeres volt-e vagy sem: SASSuccess vagy SASAuthorizationError.
response.status_code Tájékoztatás arról, hogy az esemény sikeres volt-e vagy sem: 200, 401 vagy 500.
ip_binding_mode A bérlői rendszergazda által beállított IP-kötési mód, ha be van kapcsolva. Csak SAS-létrehozási eseményekre vonatkozik.
admin_provided_ip_ranges A bérlői rendszergazda által beállított IP-címtartományok, ha vannak ilyenek. Csak SAS-létrehozási eseményekre vonatkozik.
computed_ip_filters A SAS URI-khoz kötött IP-szűrők végső készlete az IP-kötési mód és a bérlői rendszergazda által beállított tartományok alapján. Az SAS létrehozási és használati eseményeire is vonatkozik.
analytics.resource.sas.uri Az elérni vagy létrehozni kívánt adatok.
enduser.ip_address A hívó nyilvános IP-címe.
analytics.resource.sas.operation_id A létrehozási esemény egyedi azonosítója. Az ezzel végzett keresés megjeleníti a létrehozási eseményből származó SAS-hívásokhoz kapcsolódó összes használati és létrehozási eseményt. Az "x-ms-sas-operation-id" válasz fejlécre van leképezve.
request.service_request_id A kérelemből vagy válasz egyedi azonosítója, amely egyetlen rekord keresésére használható. A fejléc "x-ms-service-request-id" válasz van leképezve.
verzió A naplóséma verziója.
type Általános válasz.
analytics.activity.name Az esemény tevékenységtípusa: Létrehozás vagy Használat.
analytics.activity.id A rekord egyedi azonosítója a Purview-ban.
analytics.resource.organization.id Szervezeti azonosító
analytics.resource.environment.id Környezet azonosítója
analytics.resource.tenant.id Tenant ID
enduser.id A létrehozási esemény létrehozójának azonosítójából származó GUID azonosító. Microsoft Entra
enduser.principal_name A létrehozó UPN-je/e-mail-címe. Használati események esetén ez egy általános válasz: "system@powerplatform".
enduser.role Általános válasz: Rendszeres a létrehozási eseményekhez és Rendszer a használati eseményekhez.

A Purview naplózásának bekapcsolása

Ahhoz, hogy a naplók megjelenjenek a Purview-példányban, először be kell jelentkeznie minden olyan környezetbe, amelyhez naplókat szeretne használni. Ezt a beállítást a Power Platform bérlői rendszergazda frissítheti afelügyeleti központban.

  1. Nyissa meg a felügyeleti központot Power Platform , és jelentkezzen be bérlői rendszergazdai hitelesítő adatokkal.
  2. A bal oldali navigációs panelen válassza a Környezetek lehetőséget.
  3. Válassza ki azt a környezetet, amelyhez be szeretné kapcsolni a rendszergazdai naplózást.
  4. Válassza a Beállítások lehetőséget a parancssávon.
  5. Válassza a Termékadatvédelem + biztonság> lehetőséget.
  6. A Storage közös hozzáférésű jogosultságkód (SAS) biztonsági beállításai (előzetes verzió) alattkapcsolja be az SAS-naplózás engedélyezése a Purview-ban funkciót.

Keresés az auditnaplókban

A bérlői rendszergazdák a Purview használatával megtekinthetik az SAS-műveletekhez kibocsátott auditnaplókat, és öndiagnosztizálhatják az IP-érvényesítési problémák esetén visszaadott hibákat. A Purview-naplók a legmegbízhatóbb megoldás.

Az alábbi lépésekkel diagnosztizálhatja a problémákat, vagy jobban megértheti az SAS-használati mintákat a bérlőn belül.

  1. Győződjön meg arról, hogy a naplózás be van kapcsolva a környezetben. Lásd: A Purview auditnaplózásának bekapcsolása.

  2. Nyissa meg a Microsoft Purview megfelelőségi portált , és jelentkezzen be bérlői rendszergazdai hitelesítő adatokkal.

  3. A bal oldali navigációs panelen válassza a Naplózás lehetőséget . Ha ez a lehetőség nem érhető el, az azt jelenti, hogy a bejelentkezett felhasználó nem rendelkezik rendszergazdai hozzáféréssel a lekérdezési auditnaplókhoz.

  4. Válassza ki a dátum- és időtartományt UTC-ben, amikor naplókat keres. Ha például egy 403-as tiltott hibát adott vissza unauthorized_caller hibakóddal .

  5. A Tevékenységek – rövid nevek legördülő listában keressen rá a tárolási műveletek kifejezésre Power Platform , és válassza a Létrehozott SAS URI és a Használt SAS URI lehetőséget.

  6. Adjon meg egy kulcsszót a Kulcsszavas keresésben . A mezővel kapcsolatos további információkért tekintse meg a keresés első lépéseit a Purview dokumentációjában. A forgatókönyvtől függően a fenti táblázatban leírt mezők bármelyikéből használhat értéket, de az alábbiakban láthatók a kereséshez ajánlott mezők (preferencia sorrendben):

    • Az x-ms-service-request-id válasz fejléc értéke . Ez az eredményeket egy SAS URI létrehozási eseményre vagy egy SAS URI használati eseményre szűri attól függően, hogy a fejléc melyik kérelemtípusból származik. Ez akkor hasznos, ha a felhasználónak visszaadott 403 Tiltott hibát vizsgálja. Használható a powerplatform.analytics.resource.sas.operation_id érték megragadására is.
    • Az x-ms-sas-operation-id válasz fejléc értéke . Ez az eredményeket egy SAS URI létrehozási eseményre és egy vagy több használati eseményre szűri az adott SAS URI-hoz attól függően, hogy hányszor fértek hozzá. A powerplatform.analytics.resource.sas.operation_id mezőre van leképezve.
    • Teljes vagy részleges SAS URI, az aláírás nélkül. Ez számos SAS URI-létrehozást és számos SAS URI-használati eseményt adhat vissza, mert előfordulhat, hogy ugyanazt az URI-t annyiszor kérik a generáláshoz, ahányszor szükséges.
    • A hívó IP-címe. Visszaadja az adott IP-cím összes létrehozási és használati eseményét.
    • Környezeti azonosító. Ez nagy adatkészletet adhat vissza, amely számos különböző ajánlatra Power Platform kiterjedhet, ezért lehetőség szerint kerülje el, vagy fontolja meg a keresési ablak szűkítését.

    Figyelmeztetés:

    Nem javasoljuk az egyszerű felhasználónév vagy objektumazonosító keresését, mivel ezek csak a létrehozási eseményekre lesznek propagálva, a használati eseményekre nem.

  7. Válassza a Keresés lehetőséget , és várja meg, amíg megjelennek az eredmények.

    Új keresés

Figyelmeztetés:

A Purview-ba való bejelentkezés akár egy óráig vagy tovább is késhet, ezért ezt tartsa szem előtt a legutóbbi események keresésekor.

403-as tiltott/unauthorized_caller hiba elhárítása

A létrehozási és használati naplók segítségével meghatározhatja, hogy egy hívás miért eredményezne 403 tiltott hibát unauthorized_caller hibakóddal .

  1. Keresse meg a naplókat a Purview-ban az előző szakaszban leírtak szerint. Fontolja meg az x-ms-service-request-id vagy az x-ms-sas-operation-id használatát a válasz fejlécekből keresési kulcsszóként.
  2. Nyissa meg a használati eseményt,Used SAS URI, és keresse meg a powerplatform.analytics.resource.sas.computed_ip_filters mezőt a PropertyCollection alatt. Az SAS-hívás ezt az IP-címtartományt használja annak meghatározására, hogy a kérés jogosult-e a folytatásra.
  3. Hasonlítsa össze ezt az értéket a napló IP-cím mezőjével, amelynek elegendőnek kell lennie a kérés sikertelenségének meghatározásához.
  4. Ha úgy gondolja, hogy a powerplatform.analytics.resource.sas.computed_ip_filters értéke helytelen, folytassa a következő lépésekkel.
  5. Nyissa meg a Created SAS URI létrehozási eseményt azx-ms-sas-operation-id válasz fejlécérték (vagy powerplatform.analytics.resource.sas.operation_id létrehozási napló mezőjének értéke) használatával keresve.
  6. Szerezze be powerplatform.analytics.resource.sas.ip_binding_mode mező értékét . Ha hiányzik vagy üres, az azt jelenti, hogy az IP-kötés nem volt bekapcsolva az adott környezetben az adott kérés időpontjában.
  7. Szerezze be a powerplatform.analytics.resource.sas.admin_provided_ip_ranges értékét. Ha hiányzik vagy üres, az azt jelenti, hogy az adott kérés időpontjában nem voltak megadva IP-tűzfaltartományok az adott környezethez.
  8. Szerezze be a powerplatform.analytics.resource.sas.computed_ip_filters értékét, amelynek meg kell egyeznie a használati eseménnyel, és az IP-kötési mód és a rendszergazda által biztosított IP-tűzfaltartományok alapján van származtatva. Tekintse meg a származtatási logikát az Adattárolás és -szabályozás itt: című témakörben Power Platform.

Ennek elegendő információt kell biztosítania a bérlői rendszergazdáknak ahhoz, hogy kijavítsák az IP-kötési beállítások környezetében való helytelen konfigurációt.

Figyelmeztetés:

A SAS IP-kötés környezeti beállításainak módosításai legalább 30 percet is igénybe vehetnek. Több is lehet, ha a partnercsapatok saját gyorsítótárral rendelkeznek.

Biztonság a Microsoft Power Platform szolgáltatásban
A Power Platform-szolgáltatások hitelesítése
Kapcsolódás és hitelesítés adatforrásokhoz
Power Platform biztonság GYIK

Kapcsolódó információk