Power Platform платформасында деректерді сақтау және басқару

Power Platform жеке деректерді және тұтынушы деректерін де өңдейді. Жеке деректер мен тұтынушы деректері туралы қосымша ақпаратты Microsoft Trust Center бөлімінен алыңыз.

Деректер резиденттігі

A Microsoft Entra жалға алушы ұйымға және оның қауіпсіздігіне қатысты ақпаратты сақтайды. Microsoft Entra жалға алушы Power Platform қызметтерге тіркелгенде, жалға алушының таңдалған елі немесе аймағы a Power Platform орналастыру бар ең қолайлы Azure географиясына сәйкес келеді. Power Platform ұйымдар қызметтерді бірнеше аймақта орналастырмайынша, тұтынушы деректерін жалға алушы тағайындаған Azure географиясында немесе үй гео сақтайды.

Кейбір ұйымдардың жаһандық қатысуы бар. Мысалы, компанияның штаб-пәтері Америка Құрама Штаттарында болуы мүмкін, бірақ Австралияда жұмыс істейді. Жергілікті ережелерге сәйкес Австралияда сақталуы үшін белгілі Power Platform деректері қажет болуы мүмкін. Power Platform қызметтері бірнеше Azure географиясында орналастырылған кезде, ол көп гео орналастыру деп аталады. Бұл жағдайда тек үй гео-де ортаға қатысты метадеректер сақталады. Сол ортадағы барлық метадеректер мен өнім деректері қашықтағы геоде сақталады.

Power Platform қызметтер белгілі Azure географияларында қол жетімді. Қайда Power Platform қызметтердің қолжетімді екендігі, деректеріңіздің сақталатын және тұрақтылық үшін қайталанатыны және олардың қалай қолданылатыны туралы қосымша ақпарат алу үшін Microsoft Trust Center бөліміне өтіңіз. Демалыстағы тұтынушы деректерінің орны туралы міндеттемелер Microsoft Online Services шарттарына Деректерді өңдеу шарттарында берілген. Microsoft сонымен қатар тәуелсіз нысандар үшін деректер орталықтарын қамтамасыз етеді.

Деректерді өңдеу

Бұл бөлімде Power Platform тұтынушы деректерін сақтау, өңдеу және тасымалдау жолдары сипатталады.

Бос күйдегі деректер

Құжаттамада басқаша айтылмаса, тұтынушы деректері бастапқы көзінде қалады (мысалы, Dataverse немесе SharePoint ). Power Platform қолданбалар ортаның бөлігі ретінде Azure сақтау қоймасында сақталады. Мобильді қолданба деректері шифрланады және SQL Express жүйесінде сақталады. Көп жағдайда бағдарламалар Power Platform қызмет деректерін сақтау үшін Azure сақтау орнын және қызмет метадеректерін сақтау үшін Azure SQL дерекқорын пайдаланады. Бағдарлама пайдаланушылары енгізген деректер қызметке арналған тиісті деректер көзі ішінде сақталады, мысалы, Dataverse.

Power Platform Microsoft басқаратын кілттердің көмегімен әдепкі бойынша барлық тұрақты деректерді шифрлайды. Azure SQL дерекқорында сақталған тұтынушы деректері Azure SQL Transparent Data Encryption (TDE) технологиясы арқылы толығымен шифрланған. Azure Blob сақтау орнында сақталған тұтынушы деректері Azure Storage Encryption көмегімен шифрланады.

Деректер өңделуде

Деректер интерактивті сценарийдің бөлігі ретінде пайдаланылғанда немесе жаңарту сияқты фондық процесс оған тиген кезде өңделуде. Power Platform өңдеу кезінде деректерді бір немесе бірнеше қызмет жұмыс жүктемелерінің жады кеңістігіне жүктейді. Жұмыс жүктемесінің функционалдығын жеңілдету үшін жадта сақталған деректер шифрланбайды.

Тасымалдау кезіндегі деректер

Power Platform TLS 1.2 немесе одан жоғары нұсқасын пайдаланып барлық кіріс HTTP трафигін шифрлайды. TLS 1.1 немесе одан төмен нұсқасын пайдалануға тырысатын сұраулар қабылданбайды.

Қосымша қауіпсіздік мүмкіндіктері

Кейбір Power Platform қосымша қауіпсіздік мүмкіндіктерінің арнайы лицензиялық талаптары болуы мүмкін.

Қызмет тегтері

Қызметтік тегі - белгілі бір Azure қызметінен алынған IP мекенжай префикстерінің тобы. Желілік қауіпсіздік топтарында немесе Azure брандмауэрінде желіге кіруді басқару элементтерін анықтау үшін қызмет тегтерін пайдалануға болады.

Қызмет тегтері желілік қауіпсіздік ережелерін жиі жаңартудың күрделілігін азайтуға көмектеседі. Қауіпсіздік ережелерін жасағанда, мысалы, сәйкес қызмет үшін трафикке рұқсат беретін немесе тыйым салатын арнайы IP мекенжайларының орнына қызмет тегтерін пайдалануға болады.

Microsoft корпорациясы қызмет тегіндегі мекенжай префикстерін басқарады және мекенжайлар өзгерген сайын оны автоматты түрде жаңартады. Қосымша ақпарат алу үшін Azure IP ауқымдары және қызмет тегтері - жалпыға қолжетімді бұлт бөлімін қараңыз.

Деректер саясаттары

Power Platform деректер қауіпсіздігін басқаруға көмектесетін деректер саясатының кең мүмкіндіктерін қамтиды.

Storage Shared Access Signature (SAS) IP шектеуі

Ескертпе

Осы SAS мүмкіндіктерінің бірін іске қоспас бұрын, тұтынушылар алдымен https://*.api.powerplatformusercontent.com доменге кіруге рұқсат беруі керек немесе SAS функцияларының көпшілігі жұмыс істемейді.

Бұл мүмкіндіктер жинағы Storage Shared Access Signature (SAS) таңбалауыштарын шектейтін және Power Platform басқару орталығында мәзір арқылы басқарылатын пайдаланушыға тән функционалдылық болып табылады. Бұл параметр IP (IPv4 және IPv6) негізінде кәсіпорынның SAS таңбалауыштарын кім пайдалана алатынын шектейді.

Бұл параметрлерді басқару орталығындағы ортаның Құпиялылық + Қауіпсіздік параметрлерінен табуға болады. Сіз IP мекенжайына негізделген Storage Shared Access Signature (SAS) ережесін қосу опциясын қосуыңыз керек.

Әкімшілер осы параметр үшін осы төрт опцияның бірін таңдай алады:

Параметр	Параметр	Сипаттама
1-көше	Тек IP байланыстыру	Бұл сұраушының IP мекенжайына SAS кілттерін шектейді.
2-көше	Тек IP брандмауэр	Бұл тек әкімші көрсетілген ауқымда жұмыс істеу үшін SAS кілттерін пайдалануды шектейді.
3-көше	IP байланыстыру және желіаралық қалқан	Бұл әкімші көрсеткен ауқымда және тек сұраушының IP мекенжайында жұмыс істеу үшін SAS кілттерін пайдалануды шектейді.
4	IP байланыстыру немесе брандмауэр	SAS кілттерін көрсетілген ауқымда пайдалануға мүмкіндік береді. Егер сұрау ауқымнан тыс келсе, IP байланыстыру қолданылады.

Ескертпе

IP брандмауэріне рұқсат беруді таңдаған әкімшілер (жоғарыдағы кестеде тізімделген 2, 3 және 4 опциясы) пайдаланушыларды дұрыс қамту үшін е желілерінің IPv4 және IPv6 ауқымдарын енгізуі керек.

Ескерту

1 және 3 опциялары тұтынушыларда IP пулдары, кері прокси немесе желілік мекенжай аудармасы (NAT) қосылған шлюздері өз желілерінде пайдаланылған болса, ол дұрыс жұмыс істемейтін IP байланыстыруды пайдаланады. Бұл пайдаланушының IP мекенжайының сұраушыға SAS оқу/жазу әрекеттері арасында бірдей IP сенімді болуы үшін тым жиі өзгеруіне әкеледі.

2 және 4 нұсқалары мақсатқа сай жұмыс істейді.

Қосылған кезде IP байланыстыруды қамтамасыз ететін өнімдер:

• Dataverse
• Power Automate
• Реттелетін қосқыштар
• Power Apps

Пайдаланушы тәжірибесіне әсер ету

• Ортаның IP мекенжай шектеулеріне сай келмейтін пайдаланушы қолданбаны ашқанда: Пайдаланушылар жалпы IP мәселесіне сілтеме жасайтын қате хабарын алады.

• IP мекенжай шектеулеріне сай келетін пайдаланушы қолданбаны ашқанда: Келесі оқиғалар орын алады:

  • Пайдаланушылар тез жоғалып кететін баннерді алуы мүмкін, ол пайдаланушыларға IP параметрінің орнатылғанын білуге және мәліметтер алу үшін әкімшіге хабарласуға немесе қосылым жоғалған кез келген беттерді жаңартуға мүмкіндік береді.
  • Ең маңыздысы, осы қауіпсіздік параметрі пайдаланатын IP тексеруіне байланысты кейбір функциялар өшірілгенге қарағанда баяу жұмыс істеуі мүмкін.

Параметрлерді бағдарламалы түрде жаңартыңыз

Әкімшілер автоматтандыруды IP байланыстыруды және брандмауэр параметрін, рұқсат етілген тізімдегі IP ауқымын және Журналға қосқышты орнату және жаңарту үшін пайдалана алады. Толығырақ ақпаратты Оқулықтан қараңыз: Қоршаған ортаны басқару параметрлерін жасау, жаңарту және тізімдеу.

SAS қоңырауларын тіркеу

Бұл параметр Power Platform ішіндегі барлық SAS қоңырауларына Purview жүйесіне кіруге мүмкіндік береді. Бұл тіркеу барлық жасау және пайдалану оқиғалары үшін сәйкес метадеректерді көрсетеді және жоғарыдағы SAS IP шектеулерінен тәуелсіз қосылуы мүмкін. Power Platform қызметтер қазір 2024 жылы SAS қоңырауларын қосуда.

Өріс атауы	Өріс сипаттамасы
жауап.күй_хабарламасы	Оқиға сәтті болды ма, жоқ па хабарлау: SASSccess немесе SASAuthorizationError.
жауап.күй_коды	Оқиға сәтті өтті ме, жоқ па хабарлау: 200, 401 немесе 500.
ip_байланыстыру_режимі	Қосылған болса, жалға алушы әкімшісі орнатқан IP байланыстыру режимі. SAS жасау оқиғаларына ғана қолданылады.
admin_provided_ip_аралықтары	Егер бар болса, жалға алушы әкімшісі орнатқан IP ауқымдары. SAS жасау оқиғаларына ғана қолданылады.
есептелген_ip_сүзгілері	IP байланыстыру режиміне және жалға алушы әкімшісі орнатқан ауқымдарға негізделген SAS URI мекенжайларына байланыстырылған IP сүзгілерінің соңғы жинағы. SAS жасау және пайдалану оқиғаларына қолданылады.
analytics.resource.sas.uri	Қол жеткізуге немесе жасалуға әрекеттенген деректер.
enduser.ip_address	Қоңырау шалушының жалпыға ортақ IP.
analytics.resource.sas.operation_id	Жасау оқиғасының бірегей идентификаторы. Осы арқылы іздеу жасау оқиғасынан SAS қоңырауларына қатысты барлық пайдалану және жасау оқиғаларын көрсетеді. "x-ms-sas-operation-id" жауап тақырыбымен салыстырылады.
request.service_request_id	Сұраудан немесе жауаптан бірегей идентификатор және оны бір жазбаны іздеу үшін пайдалануға болады. "x-ms-service-request-id" жауап тақырыбымен салыстырылады.
нұсқа	Бұл журнал схемасының нұсқасы.
түрі	Жалпы жауап.
analytics.activity.name	Бұл оқиғаның әрекет түрі: Жасау немесе пайдалану.
analytics.activity.id	Purview ішіндегі жазбаның бірегей идентификаторы.
analytics.resource.organization.id	Ұйым идентификаторы
analytics.resource.environment.id	Ортаның идентификаторы
analytics.resource.tenant.id	Қатысушының идентификаторы
enduser.id	Жасау оқиғасындағы жасаушының Microsoft Entra идентификаторынан алынған GUID.
enduser.principal_name	Жасаушының UPN/электрондық мекенжайы. Пайдалану оқиғалары үшін бұл жалпы жауап: "system@powerplatform".
enduser.role	Жалпы жауап: Жасау оқиғалары үшін тұрақты және Жүйе пайдалану оқиғалары үшін.

Purview аудит журналын қосыңыз

Журналдарды Purview данасында көрсету үшін алдымен журналдар қажет әрбір орта үшін оған қосылуыңыз керек. Бұл параметрді Power Platform басқару орталығында жалға алушы әкімшісі арқылы жаңартуға болады.

1. Power Platform әкімшілік орталығына жалға алушы әкімшілік деректерімен кіріңіз.
2. Шарлау тақтасында Басқару таңдаңыз.
3. Басқару тақтасында Орталарды таңдаңыз.
4. Әкімші журналын қосқыңыз келетін ортаны таңдаңыз.
5. Пәрмендер жолағында Параметрлер таңдаңыз.
6. Өнім>Құпиялылық + Қауіпсіздік таңдаңыз.
7. Storage Shared Access Signature (SAS) қауіпсіздік параметрлері (алдын ала қарау) астында SAS Logging in Purview қосу мүмкіндігін қосыңыз.

Аудит журналдарын іздеу

Жалға алушы әкімшілері SAS операциялары үшін шығарылған аудит журналдарын көру үшін Purview қызметін пайдалана алады және IP тексеру мәселелерінде қайтарылуы мүмкін қателерді өздігінен диагностикалай алады. Purview журналдары ең сенімді шешім болып табылады.

Мәселелерді диагностикалау немесе жалға алушыдағы SAS пайдалану үлгілерін жақсырақ түсіну үшін келесі қадамдарды пайдаланыңыз.

1. Орта үшін аудит журналы қосулы екеніне көз жеткізіңіз. Қараңыз Purview аудит журналын қосу.

2. Microsoft Purview сәйкестік порталына өтіңіз және қатысушы әкімшісінің тіркелгі деректерімен жүйеге кіріңіз.

3. Сол жақ шарлау тақтасында Аудит таңдаңыз. Бұл опция сізге қолжетімді болмаса, жүйеге кірген пайдаланушының сұрау тексеру журналдарына әкімші қатынасы жоқ дегенді білдіреді.

4. Журналдарды іздеу үшін UTC-де күн мен уақыт ауқымын таңдаңыз. Мысалы, рұқсат етілмеген_қоңырау шалушы қате коды бар 403 Тыйым салынған қате қайтарылғанда.

5. Әрекеттер - түсінікті атаулар ашылмалы тізімнен Power Platform сақтау операциялары бөлімін іздеп, Жасалған SAS URI идентификаторлары және Пайдаланылған SAS URI идентификаторылары опцияларын таңдаңыз.

6. Кілтсөз іздеу ішінде кілт сөзді көрсетіңіз. Осы өріс туралы қосымша ақпарат алу үшін Purview құжаттамасындағы Іздеуді бастау бөлімін қараңыз. Сценарийге байланысты жоғарыдағы кестеде сипатталған өрістердің кез келгенінен мәнді пайдалануға болады, бірақ төменде іздеуге ұсынылатын өрістер берілген (таңдау реті бойынша):

   • x-ms-service-request-id жауап тақырыбының мәні. Бұл тақырып қай сұрау түрінен келетініне байланысты нәтижелерді бір SAS URI жасау оқиғасына немесе бір SAS URI пайдалану оқиғасына сүзеді. Бұл пайдаланушыға қайтарылған 403 тыйым салынған қатені зерттеу кезінде пайдалы. Оны powerplatform.analytics.resource.sas.operation_id мәнін алу үшін де пайдалануға болады.
   • x-ms-sas-operation-id жауап тақырыбының мәні. Бұл нәтижелерді бір SAS URI жасау оқиғасына және қанша рет қатынасылғанына байланысты сол SAS URI үшін бір немесе бірнеше пайдалану оқиғаларына сүзеді. Ол powerplatform.analytics.resource.sas.operation_id өрісіне салыстырады.
   • Толық немесе ішінара SAS URI, минус қолтаңба. Бұл көптеген SAS URI жасалымдарын және көптеген SAS URI пайдалану оқиғаларын қайтаруы мүмкін, себебі бір URI үшін қажет болғанша бірнеше рет жасау үшін сұрауға болады.
   • Қоңырау шалушының IP мекенжайы. Осы IP үшін барлық жасау және пайдалану оқиғаларын қайтарады.
   • Қоршаған орта идентификаторы. Бұл Power Platform көптеген әртүрлі ұсыныстарды қамтитын деректердің үлкен жинағын қайтаруы мүмкін, сондықтан мүмкіндігінше аулақ болыңыз немесе іздеу терезесін тарылтып көріңіз.

   Ескерту

   Біз пайдаланушының негізгі атын немесе нысан идентификаторын іздеуді ұсынбаймыз, себебі олар пайдалану оқиғаларына емес, тек жасау оқиғаларына таратылады.

7. Іздеу пәрменін таңдап, нәтижелер шыққанша күтіңіз.

   

Ескерту

Purview жүйесіне кіру бір сағатқа немесе одан да көп уақытқа кешіктірілуі мүмкін, сондықтан соңғы оқиғаларды іздеу кезінде мұны есте сақтаңыз.

Ақаулықтарды жою 403 Тыйым салынған/рұқсат етілмеген_қоңырау шалушы қатесі

Қоңырау неліктен рұқсат етілмеген_қоңырау шалушы қате коды бар 403 Тыйым салынған қатеге әкелетінін анықтау үшін жасау және пайдалану журналдарын пайдалана аласыз.

1. Алдыңғы бөлімде сипатталғандай Purview жүйесінде журналдарды табыңыз. Іздеу кілт сөзі ретінде жауап тақырыптарынан x-ms-service-request-id немесе x-ms-sas-operation-id пайдалануды қарастырыңыз.
2. Қолдану оқиғасын ашыңыз, Used SAS URI және powerplatform.analytics.resource.sas.computed_ip_filters өрісін PropertyCol> Бұл IP ауқымы сұрауды жалғастыруға рұқсат етілгенін немесе жоқтығын анықтау үшін SAS қоңырауы пайдаланады.
3. Бұл мәнді журналдың IP мекенжайы өрісімен салыстырыңыз, ол сұраудың неге орындалмағанын анықтау үшін жеткілікті болуы керек.
4. powerplatform.analytics.resource.sas.computed_ip_filters мәні дұрыс емес деп ойласаңыз, келесі қадамдарды жалғастырыңыз.
5. x-ms-sas-operation-idжауап тақырыбының мәнін (немесе мәнді) пайдаланып іздеу арқылы Жасалған SAS URI жасау оқиғасын ашыңыз жасау журналындағы powerplatform.analytics.resource.sas.operation_id өрісі).
6. powerplatform.analytics.resource.sas.ip_binding_mode өрісінің мәнін алыңыз. Егер ол жоқ немесе бос болса, бұл нақты сұрау кезінде IP байланыстыру сол орта үшін қосылмағанын білдіреді.
7. powerplatform.analytics.resource.sas.admin_provided_ip_ranges мәнін алыңыз. Егер ол жоқ немесе бос болса, бұл нақты сұрау кезінде IP брандмауэр ауқымдары сол орта үшін көрсетілмегенін білдіреді.
8. Пайдалану оқиғасымен бірдей болуы керек және IP байланыстыру режимі мен әкімші қамтамасыз ететін IP брандмауэр ауқымдарына негізделген powerplatform.analytics.resource.sas.computed_ip_filters мәнін алыңыз. Туынды логикасын Деректерді сақтау және басқару Power Platform бөлімінен қараңыз.

Бұл ақпарат жалға алушы әкімшілеріне ортаның IP байланыстыру параметрлеріндегі кез келген қате конфигурацияны түзетуге көмектеседі.

Ескерту

SAS IP байланыстыруға арналған орта параметрлеріне өзгертулер күшіне енуі үшін кемінде 30 минут кетуі мүмкін. Әріптес командалардың жеке кэші болса, бұл көбірек болуы мүмкін.

Қатысты мақалалар

Қауіпсіздікке шолу
Power Platform қызметтердің аутентификациясы
Деректер көздеріне қосылу және аутентификация
Power Platform қауіпсіздік туралы жиі қойылатын сұрақтар

Сонымен қатар қараңыз

• Microsoft сенім орталығы
• Ортаны орнату кезінде аймақты таңдаңыз
• Azure IP ауқымдары және қызмет тегтері - жалпыға қолжетімді бұлт
• Деректер саясатының мүмкіндіктері