Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Power Platform személyes adatokat és ügyféladatokat egyaránt kezel. A személyes adatokról és az ügyféladatokról a Microsoft Adatvédelmi központban talál további információt.
Adattárolási hely
A Microsoft Entra bérlő a szervezet és annak biztonsága szempontjából releváns információkat tárol. Amikor egy Microsoft Entra bérlő feliratkozik a szolgáltatásokra Power Platform , a bérlő kiválasztott országa vagy régiója a legmegfelelőbb Azure-földrajzi helyre van leképezve, ahol létezik üzemelő Power Platform példány. Power Platform Az ügyféladatokat a bérlő hozzárendelt Azure-beli földrajzi helyén vagy saját földrajzi helyén tárolja, kivéve, ha a szervezetek több régióban helyeznek üzembe szolgáltatásokat.
Egyes szervezetek globálisan vannak jelen. Előfordulhat például, hogy egy vállalkozás székhelye az Egyesült Államokban van, de Ausztráliában folytat üzleti tevékenységet. A helyi előírásoknak való megfeleléshez szükség lehet bizonyos Power Platform-adatok Ausztráliában történő tárolására. Ha a Power Platform-szolgáltatások egynél több Azure földrajzi régióban vannak telepítve, azt multi-geo telepítésnek nevezzük. Ebben az esetben csak a környezethez kapcsolódó metaadatokat tárolja a rendszer az otthoni geoban. Az adott környezet összes metaadata és termékadata a távoli geoban van tárolva.
Power Platform szolgáltatások bizonyos Azure-földrajzi helyeken érhetők el. Ha többet szeretne megtudni arról, hogy hol Power Platform érhetők el a szolgáltatások, hol tárolják és replikálják az adatokat a rugalmasság érdekében, valamint hogyan használják őket, látogasson el a Microsoft Adatvédelmi központba. Az inaktív ügyféladatok helyére vonatkozó kötelezettségeket a Microsoft Online Services Feltételeinek Adatfeldolgozásifeltételei tartalmazzák. A Microsoft önálló jogi személyek számára is biztosít adatközpontokat.
Adatok kezelése
Ez a szakasz azt ismerteti, hogy a Power Platform miként tárolja, kezeli és továbbítja az ügyféladatokat.
Inaktív adatok
Hacsak a dokumentáció másképp nem rendelkezik, az ügyféladatok tárolása az eredeti forrásban történi (például Dataverse vagy SharePoint). Power Platform Az alkalmazások az Azure Storage-ban vannak tárolva egy környezet részeként. A mobilalkalmazás-adatok titkosítva vannak és SQL Express tárolódnak. A legtöbb esetben az alkalmazások az Azure Storage használatával tárolják a Power Platform szolgáltatási adatokat, és az Azure SQL Database használatával tárolják a szolgáltatás metaadatait. Az alkalmazás felhasználói által bevitt adatokat a rendszer a szolgáltatásnak megfelelő adatforrásban tárolja (például Dataverse).
Power Platform alapértelmezés szerint titkosítja az összes megőrzött adatot a Microsoft által felügyelt kulcsokkal. Az Azure SQL Database minden tárolt ügyféladatot teljes mértékben titkosít az Azure SQL transzparens adattitkosítási (TDE) technológiával. Az Azure Blob Storage szolgáltatásban tárolt ügyféladatok az Azure Storage titkosítása használatával vannak titkosítva.
Az adatok feldolgozása
Az adatok feldolgozás alatt vannak, ha interaktív forgatókönyv részeként használják azokat, vagy ha egy háttérfolyamat, például a frissítés, érinti azokat. A Power Platform a feldolgozás alatt lévő adatokat egy vagy több szolgáltatás számítási feladatának memóriájába tölti be. A számítási feladat működésének megkönnyítése érdekében a memóriában tárolt adatok nem titkosítottak.
Adatok továbbítása
Power Platform titkosítja az összes bejövő HTTP-forgalmat a TLS 1.2-es vagy újabb verziójával. A TLS 1.1-es vagy annál alacsonyabb protokollokat használó kéréseket a rendszer elutasítja.
Speciális biztonsági funkciók
Egyes Power Platform speciális biztonsági funkcióknak speciális licencelési követelményei lehetnek.
Szolgáltatáscímkék
A szolgáltatáscímke egy adott Azure-szolgáltatásból származó IP-címelőtagok csoportja. A szolgáltatáscímkék segítségével hálózati hozzáférési vezérlőket határozhat meg a hálózati biztonsági csoportok vagy az Azure Firewall számára.
A szolgáltatáscímkék segítségével minimálisra csökkenthető a hálózati biztonsági szabályok frissítésének összetettsége. Adott IP-címek helyett szolgáltatáscímkéket használhat olyan biztonsági szabályok létrehozásakor, amelyek például engedélyezik vagy tiltják az adott szolgáltatás forgalmát.
A Microsoft kezeli a címcímkében található címelőtagokat, és automatikusan frissíti azokat a címek változásával. További információ: Azure IP-tartományok és szolgáltatáscímkék – nyilvános felhő.
Adatirányelvek
A Power Platform széles körű adatszabályzat-funkciókat tartalmaz az adatbiztonság kezeléséhez.
Storage közös hozzáférésű jogosultságkód (SAS) IP-korlátozása
Feljegyzés
Az SAS-funkciók aktiválása előtt az ügyfeleknek először engedélyezniük kell a https://*.api.powerplatformusercontent.com tartományhoz való hozzáférést, különben a legtöbb SAS-funkció nem fog működni.
Ez a szolgáltatáskészlet egy bérlőspecifikus funkció, amely korlátozza a Storage közös hozzáférésű jogosultságkód (SAS) jogkivonatait, és a Power Platform felügyeleti központ menüjén keresztül vezérelhető. Ez a beállítás korlátozza, hogy az IP-cím (IPv4 és IPv6) alapján ki használhat vállalati SAS-jogkivonatokat.
Ezek a beállítások a környezet Adatvédelem + biztonság beállításaiban találhatók a felügyeleti központban. Be kell kapcsolnia az IP-címalapú Storage közös hozzáférésű jogosultságkód (SAS) szabályának engedélyezése beállítást.
A rendszergazdák az alábbi négy lehetőség közül választhatnak ehhez a beállításhoz:
| Beállítás | Beállítás | Description |
|---|---|---|
| 0 | Csak IP-kötés | Ez az SAS-kulcsokat a kérelmező IP-címére korlátozza. |
| 2 | Csak IP-tűzfal | Ez korlátozza az SAS-kulcsok használatát, hogy csak a rendszergazda által megadott tartományon belül működjön. |
| 3 | IP-kötés és tűzfal | Ez korlátozza az SAS-kulcsok használatát a rendszergazda által megadott tartományon belül, és csak a kérelmező IP-címére. |
| 4 | IP-kötés vagy tűzfal | Lehetővé teszi az SAS-kulcsok használatát a megadott tartományon belül. Ha a kérés a tartományon kívülről érkezik, a rendszer IP-kötést alkalmaz. |
Feljegyzés
Azoknak a rendszergazdáknak, akik úgy döntenek, hogy engedélyezik az IP-tűzfalat (a fenti táblázatban felsorolt 2., 3. és 4. lehetőség), meg kell adniuk hálózatuk IPv4- és IPv6-tartományát is , hogy biztosítsák a felhasználók megfelelő lefedettségét.
Figyelmeztetés:
Az 1. és 3. lehetőség IP-kötést használ, amely nem működik megfelelően, ha az ügyfelek IP-készletekkel, fordított proxyval vagy hálózati címfordítással (NAT) kompatibilis átjárókkal rendelkeznek a hálózatukon belül. Ez azt eredményezi, hogy a felhasználó IP-címe túl gyakran változik ahhoz, hogy a kérelmező megbízhatóan ugyanazt az IP-címet használja az SAS olvasási/írási műveletei között.
A 2. és 4. lehetőség rendeltetésszerűen működik.
Az IP-kötést kényszerítő termékek, ha engedélyezve vannak:
- Dataverse
- Power Automate
- Egyéni összekötők
- Power Apps
Hatás a felhasználói élményre
Ha egy felhasználó, aki nem felel meg a környezet IP-címkorlátozásainak, megnyit egy alkalmazást: A felhasználók általános IP-címre hivatkozó hibaüzenetet kapnak.
Amikor egy olyan felhasználó, aki megfelel az IP-címre vonatkozó korlátozásoknak, megnyit egy alkalmazást: A következő események történnek:
- A felhasználók gyorsan eltűnő szalaghirdetést kaphatnak, amely tájékoztatja a felhasználókat arról, hogy az IP-beállítás be van állítva, és kapcsolatba léphetnek az adminisztrátorral a részletekért, vagy frissíthetik a kapcsolatot megszakító oldalakat.
- Ennél is fontosabb, hogy a biztonsági beállítás által használt IP-érvényesítés miatt egyes funkciók lassabban működhetnek, mintha ki lennének kapcsolva.
Beállítások programozott frissítése
A rendszergazdák automatizálással állíthatják be és frissíthetik az IP-kötés és a tűzfal beállítását, az engedélyezett IP-címtartományt és a naplózási kapcsolót. További információ: Oktatóanyag: Környezetkezelési beállítások létrehozása, frissítése és listázása.
SAS-hívások naplózása
Ez a beállítás lehetővé teszi, hogy az összes SAS-hívás Power Platform bejelentkezzen a Purview-ba. Ez a naplózás az összes létrehozási és használati esemény releváns metaadatait jeleníti meg, és a fenti SAS IP-korlátozásoktól függetlenül engedélyezhető. Power Platform a szolgáltatások jelenleg 2024-ben veszik fel a SAS-hívásokat.
| Mező neve | Mező leírása |
|---|---|
| response.status_message | Tájékoztatás arról, hogy az esemény sikeres volt-e vagy sem: SASSuccess vagy SASAuthorizationError. |
| response.status_code | Tájékoztatás arról, hogy az esemény sikeres volt-e vagy sem: 200, 401 vagy 500. |
| ip_binding_mode | A bérlői rendszergazda által beállított IP-kötési mód, ha be van kapcsolva. Csak az SAS-létrehozási eseményekre vonatkozik. |
| admin_provided_ip_ranges | A bérlői rendszergazda által beállított IP-címtartományok, ha vannak ilyenek. Csak az SAS-létrehozási eseményekre vonatkozik. |
| computed_ip_filters | Az SAS URI-khoz kötött IP-szűrők végső készlete az IP-kötési mód és a bérlői rendszergazda által beállított tartományok alapján. Az SAS létrehozási és használati eseményeire egyaránt vonatkozik. |
| analytics.resource.sas.uri | Az elérni vagy létrehozni kívánt adatok. |
| enduser.ip_address | A hívó fél nyilvános IP-címe. |
| analytics.resource.sas.operation_id | A létrehozási esemény egyedi azonosítója. A keresés alapján megjeleníti a létrehozási esemény SAS-hívásaihoz kapcsolódó összes használati és létrehozási eseményt. Az "x-ms-sas-operation-id" válaszfejlécre van leképezve. |
| request.service_request_id | A kérés vagy válasz egyedi azonosítója, amely egyetlen rekord keresésére használható. Az "x-ms-service-request-id" válaszfejlécre van leképezve. |
| verzió | A naplóséma verziója. |
| típus | Általános válasz. |
| analytics.activity.name | Az esemény tevékenységének típusa: Létrehozás vagy Használat. |
| analytics.activity.id | A rekord egyedi azonosítója a Purview-ban. |
| analytics.resource.organization.id | Szervezeti azonosító |
| analytics.resource.environment.id | Környezet azonosítója |
| analytics.resource.tenant.id | Bérlő azonosító |
| enduser.id | A létrehozási esemény létrehozójának azonosítójából származó Microsoft Entra GUID azonosító. |
| enduser.principal_name | Az alkotó UPN-je/e-mail-címe. Használati események esetén ez egy általános válasz: "system@powerplatform". |
| végfelhasználó.szerep | Általános válasz: Rendszeres a létrehozási eseményekhez és a rendszer a használati eseményekhez. |
A Purview naplózás bekapcsolása
Ahhoz, hogy a naplók megjelenjenek a Purview-példányban, először minden olyan környezethez be kell jelentkeznie, amelyhez naplókat szeretne. Ezt a beállítást Power Platform a felügyeleti központban frissítheti egy bérlői rendszergazda.
- Jelentkezzen be a Power Platform felügyeleti központjába bérlői rendszergazdai hitelesítő adatokkal.
- A navigációs panelen válassza a Kezelés lehetőséget.
- A Kezelés panelen válassza a Környezetek lehetőséget.
- Válassza ki azt a környezetet, amelyhez be szeretné kapcsolni a rendszergazdai naplózást.
- Válassza a Beállítások lehetőséget a parancssávon.
- Válassza a Termékadatvédelem + biztonság> lehetőséget.
- A Storage közös hozzáférésű jogosultságkód (SAS) biztonsági beállításai (előzetes verzió) alatt kapcsolja be az SAS-naplózás engedélyezése a Purview-ban funkciót.
Keresés az auditnaplókban
A bérlői rendszergazdák a Purview használatával megtekinthetik az SAS-műveletekhez kibocsátott auditnaplókat, és öndiagnosztizálhatják az IP-érvényesítési problémák esetén visszaadott hibákat. A Purview-naplók a legmegbízhatóbb megoldás.
Az alábbi lépésekkel diagnosztizálhatja a problémákat, vagy jobban megismerheti az SAS-használati mintákat a bérlőn belül.
Győződjön meg arról, hogy a naplózás be van kapcsolva a környezetben. Lásd: A Purview naplózás bekapcsolása.
Nyissa meg a Microsoft Purview megfelelőségi portál , és jelentkezzen be bérlői rendszergazdai hitelesítő adatokkal.
A bal oldali navigációs panelen válassza a Naplózás lehetőséget. Ha ez a beállítás nem érhető el az Ön számára, az azt jelenti, hogy a bejelentkezett felhasználó nem rendelkezik rendszergazdai hozzáféréssel az auditnaplók lekérdezéséhez.
Válassza ki a dátum- és időtartományt UTC-ben a naplók kereséséhez. Például ha egy 403-as tiltott hibát adott vissza unauthorized_caller hibakóddal.
A Tevékenységek – rövid nevek legördülő listában keressen rá a tárolási műveletekre Power Platform , és válassza a Létrehozott SAS URI és aHasznált SAS URI lehetőséget.
Adjon meg egy kulcsszót a kulcsszókeresésben . További információ erről a mezőről: Első lépések a kereséssel a Purview dokumentációjában. A fenti táblázatban leírt mezők bármelyikének értékét használhatja a forgatókönyvtől függően, de az alábbiakban felsoroljuk az ajánlott mezőket a kereséshez (preferenciasorrendben):
- A x-ms-service-request-id válaszfejléc értéke . Ez az eredményeket egy SAS URI-létrehozási eseményre vagy egy SAS URI-használati eseményre szűri, attól függően, hogy a fejléc melyik kérelemtípusból származik. Ez akkor hasznos, ha a felhasználónak visszaadott 403 tiltott hibát vizsgál. Használható a powerplatform.analytics.resource.sas.operation_id érték megragadására is.
- A x-ms-sas-operation-id válaszfejléc értéke . Ez az eredményeket egy SAS URI-létrehozási eseményre és egy vagy több használati eseményre szűri az adott SAS URI-hoz attól függően, hogy hányszor fért hozzá. A powerplatform.analytics.resource.sas.operation_id mezőre van leképezve .
- Teljes vagy részleges SAS URI, mínusz az aláírás. Ez számos SAS URI-létrehozást és számos SAS URI-használati eseményt adhat vissza, mert előfordulhat, hogy ugyanaz az URI annyiszor lesz kérve a létrehozáshoz, ahányszor szükséges.
- Hívó fél IP-címe. Az adott IP-cím összes létrehozási és használati eseményét visszaadja.
- Környezeti azonosító. Ez nagy adathalmazt adhat vissza, amely számos különböző ajánlatra Power Platform kiterjedhet, ezért lehetőség szerint kerülje el, vagy fontolja meg a keresési ablak szűkítését.
Figyelmeztetés:
Nem javasoljuk, hogy keressen az egyszerű felhasználónév vagy az objektumazonosító kifejezésre, mert ezek csak a létrehozási eseményekre lesznek propagálva, nem használati eseményekre.
Válassza a Keresés lehetőséget , és várja meg, amíg megjelennek az eredmények.
Figyelmeztetés:
A Purview-ba való bejelentkezés akár egy órával vagy tovább is késhet, ezért ezt tartsa szem előtt a legutóbbi események keresésekor.
A 403-as tiltott/unauthorized_caller hiba elhárítása
A létrehozási és használati naplók segítségével megállapíthatja, hogy egy hívás miért eredményez 403 tiltott hibát unauthorized_caller hibakóddal.
- Keresse meg a naplókat a Purview-ban az előző szakaszban leírtak szerint. Fontolja meg a válaszfejlécek x-ms-service-request-id vagy x-ms-sas-operation-idhasználatát keresési kulcsszóként.
- Nyissa meg a usage eseményt,Used SAS URI-t, és keresse meg a powerplatform.analytics.resource.sas.computed_ip_filters mezőt a PropertyCollection alatt. Ezt az IP-címtartományt használja az SAS-hívás annak meghatározására, hogy a kérés jogosult-e a folytatásra.
- Hasonlítsa össze ezt az értéket a napló IP-cím mezőjével, amely elegendő a kérés sikertelenségének megállapításához.
- Ha úgy gondolja, hogy a powerplatform.analytics.resource.sas.computed_ip_filters értéke helytelen, folytassa a következő lépésekkel.
- Nyissa meg a létrehozási eseményt,Created SAS URI a x-ms-sas-operation-id válaszfejléc értékével (vagy a létrehozási napló mezőjének érték powerplatform.analytics.resource.sas.operation_id ével ).
- Szerezze be powerplatform.analytics.resource.sas.ip_binding_mode mező értékét . Ha hiányzik vagy üres, az azt jelenti, hogy az IP-kötés nem volt bekapcsolva az adott környezetben az adott kérés időpontjában.
- Szerezze meg a powerplatform.analytics.resource.sas.admin_provided_ip_ranges értékét. Ha hiányzik vagy üres, az azt jelenti, hogy az adott kérés időpontjában nem voltak megadva az adott környezethez tartozó IP-tűzfaltartományok.
- Szerezze be a powerplatform.analytics.resource.sas.computed_ip_filters értékét, amelynek meg kell egyeznie a használati eseménnyel, és az IP-kötési mód és a rendszergazda által biztosított IP-tűzfaltartományok alapján származik. Lásd a származtatási logikát az Adattárolás és -irányítás című témakörben Power Platform.
Ezek az információk segítenek a bérlői rendszergazdáknak kijavítani a környezet IP-kötési beállításainak hibás konfigurációját.
Figyelmeztetés:
Az SAS IP-kötés környezeti beállításainak módosítása legalább 30 percet igénybe vehet. Több is lehet, ha a partnercsapatok saját gyorsítótárral rendelkeznek.
Kapcsolódó cikkek
Biztonsági áttekintés
Hitelesítés a szolgáltatásokhoz Power Platform
Csatlakozás és hitelesítés adatforrásokhoz
Power Platform Biztonsági GYIK