Power Platform платформасында деректерді сақтау және басқару
Біріншіден жеке деректер мен тұтынушы деректері арасын ажырату маңызды.
Жеке деректер бұл адамдар туралы, оларды анықтау үшін пайдаланылуы мүмкін ақпарат.
Тұтынушы деректері жеке деректерді және басқа тұтынушы ақпаратын, соның ішінде URL мекенжайларын, метадеректерді және DNS атаулары сияқты қызметкердің аутентификация ақпаратын қамтиды.
Деректер резиденттігі
A Microsoft Entra жалға алушы ұйымға және оның қауіпсіздігіне қатысты ақпаратты сақтайды. Microsoft Entra жалға алушы Power Platform қызметтерге тіркелгенде, жалға алушының таңдалған елі немесе аймағы a Power Platform орналастыру бар ең қолайлы Azure географиясымен салыстырылады. Power Platform ұйымдар қызметтерді бірнеше аймақта орналастыратын жағдайларды қоспағанда, тұтынушы деректерін қатысушының тағайындалған Azure географиялық орнында немесе басты географиялық орында сақтайды.
Кейбір ұйымдардың жаһандық қатысуы бар. Мысалы, бизнестің штаб-пәтері Америка Құрама Штаттарында болуы мүмкін, бірақ Австралияда бизнес жүргізуі мүмкін. Жергілікті ережелерге сәйкес Австралияда сақталуы үшін белгілі Power Platform деректері қажет болуы мүмкін. Power Platform қызметтері бірнеше Azure географиясында орналастырылған кезде, ол көп гео орналастыру деп аталады. Бұл жағдайда тек үй гео-де ортаға қатысты метадеректер сақталады. Сол ортадағы барлық метадеректер мен өнім деректері қашықтағы геоде сақталады.
Microsoft корпорациясы деректер тұрақтылығы үшін деректерді басқа аймақтарға көшіруі мүмкін. Дегенмен, біз жеке деректерді географиядан тыс көшірмейміз немесе жылжытпаймыз. Басқа аймақтарға көшірілген деректер қызметкердің аутентификация ақпараты сияқты жеке емес деректерді қамтуы мүмкін.
Power Platform қызметтері арнайы Azure географиялық орындарында қолжетімді. Power Platform қызметтері қайда қолжетімді, деректеріңіз қайда сақталады және олардың қалай пайдаланатыны туралы қосымша ақпарат алу үшін Microsoft сенім орталығы бөліміне өтіңіз. Белсенді емес күйдегі тұтынушы деректерінің орналасуына қатысты міндеттемелер Microsoft онлайн қызмет шарттарының деректерді өңдеу шарттарында көрсетілген. Microsoft сонымен қатар тәуелсіз нысандар үшін деректер орталықтарын қамтамасыз етеді.
Деректерді өңдеу
Бұл бөлімде Power Platform тұтынушы деректерін сақтау, өңдеу және тасымалдау жолдары сипатталады.
Бос күйдегі деректер
Құжаттамада басқаша айтылмаса, тұтынушы деректері бастапқы көзінде қалады (мысалы, Dataverse немесе SharePoint ). Power Platform бағдарламасы Azure сақтау орнында ортаның бөлігі ретінде сақталады. Мобильді бағдарламаларда пайдаланылатын деректер шифрланады және SQL Express жүйесінде сақталады. Көп жағдайда бағдарламалар Power Platform қызмет деректерін сақтау үшін Azure сақтау орнын және қызмет метадеректерін сақтау үшін Azure SQL дерекқорын пайдаланады. Бағдарлама пайдаланушылары енгізген деректер қызметке арналған тиісті деректер көзі ішінде сақталады, мысалы, Dataverse.
Power Platform арқылы сақталған барлық деректер Microsoft басқаратын кілттер арқылы әдепкі бойынша шифрланады. Azure SQL дерекқорында сақталған тұтынушы деректері Azure SQL Transparent Data Encryption (TDE) технологиясы арқылы толығымен шифрланған. Azure Blob сақтау орнында сақталған тұтынушы деректері Azure Storage Encryption көмегімен шифрланады.
Деректер өңделуде
Деректер интерактивті сценарийдің бөлігі ретінде пайдаланылғанда немесе жаңарту сияқты фондық процесс оған тиген кезде өңделуде. Power Platform өңдеу кезінде деректерді бір немесе бірнеше қызмет жұмыс жүктемелерінің жады кеңістігіне жүктейді. Жұмыс жүктемесінің функционалдығын жеңілдету үшін жадта сақталған деректер шифрланбайды.
Тасымалдау кезіндегі деректер
Power Platform барлық кірістің HTTP трафигі TLS 1.2 немесе одан жоғары нұсқасы арқылы шифрлануын талап етеді. TLS 1.1 немесе одан төмен нұсқасын пайдалануға тырысатын сұраулар қабылданбайды.
Қосымша қауіпсіздік мүмкіндіктері
Кейбір Power Platform қосымша қауіпсіздік мүмкіндіктерінің арнайы лицензиялық талаптары бар.
Қызмет тегтері
Қызмет тегі көрсетілген Azure қызметінен алынған IP мекенжай префикстерінің тобын білдіреді. Желілік қауіпсіздік топтарында немесе Azure брандмауэрінде желіге кіруді басқару элементтерін анықтау үшін қызмет тегтерін пайдалануға болады.
Қызмет тегтері желілік қауіпсіздік ережелерін жиі жаңартудың күрделілігін азайтуға көмектеседі. Қауіпсіздік ережелерін жасағанда, мысалы, сәйкес қызмет үшін трафикке рұқсат беретін немесе тыйым салатын арнайы IP мекенжайларының орнына қызмет тегтерін пайдалануға болады.
Microsoft корпорациясы қызмет тегін қамтитын мекенжай префикстерін басқарады және мекенжайлар өзгерген сайын қызмет тегін автоматты түрде жаңартады. Қосымша ақпарат алу үшін Azure IP ауқымдары және қызмет тегтері - жалпыға қолжетімді бұлт бөлімін қараңыз.
Деректердің жоғалуын болдырмау
Power Platform деректеріңіздің қауіпсіздігін басқаруға көмектесетін Деректердің жоғалуын болдырмау (DLP) мүмкіндіктерінің кең жиынтығы бар.
Storage Shared Access Signature (SAS) IP шектеуі
Ескертпе
Осы SAS мүмкіндіктерінің бірін іске қоспас бұрын тұтынушылар алдымен https://*.api.powerplatformusercontent.com доменіне кіруге рұқсат беруі керек немесе SAS функцияларының көпшілігі жұмыс істемейді.
Бұл мүмкіндіктер жинағы ортақ пайдалану қолтаңбасы (SAS) таңбалауыштарын шектейтін және Power Platform басқару орталығындағы мәзір арқылы басқарылатын пайдаланушыға тән функционалдылық болып табылады. Бұл параметр IP негізінде кімнің кәсіпорын SAS таңбалауыштарын пайдалана алатынын шектейді.
Бұл мүмкіндік қазір жеке алдын ала қарау нұсқасы файлында. жалпыға қолжетімді алдын ала қарау нұсқасы осы көктемнің соңына жоспарланған, жалпы қолжетімділігі 2024 жылдың жазында. Қосымша ақпаратты Шығарылымды жоспарлаушы бөлімінен қараңыз.
Бұл параметрлерді басқару орталығындағы ортаның Құпиялылық + Қауіпсіздік параметрлерінен табуға болады. Сіз IP мекенжайына негізделген Storage Shared Access Signature (SAS) ережесін қосу опциясын қосуыңыз керек.
Әкімшілер осы параметр үшін осы төрт конфигурацияның бірін қоса алады:
| Параметр | Сипаттама |
|---|---|
| Тек IP байланыстыру | Бұл сұраушының IP мекенжайына SAS кілттерін шектейді. |
| Тек IP брандмауэр | Бұл тек әкімші көрсетілген ауқымда жұмыс істеу үшін SAS кілттерін пайдалануды шектейді. |
| IP байланыстыру және желіаралық қалқан | Бұл әкімші көрсеткен ауқымда және тек сұраушының IP мекенжайында жұмыс істеу үшін SAS кілттерін пайдалануды шектейді. |
| IP байланыстыру немесе брандмауэр | SAS кілттерін көрсетілген ауқымда пайдалануға мүмкіндік береді. Егер сұрау ауқымнан тыс келсе, IP байланыстыру қолданылады. |
Қосылған кезде IP байланыстыруды қамтамасыз ететін өнімдер:
- Dataverse
- Power Automate
- Реттелетін қосқыштар
- Power Apps
Пайдаланушы тәжірибесіне әсер ету
Ортаның IP мекенжайы шектеулеріне сай келмейтін пайдаланушы қолданбаны ашқанда: Пайдаланушылар жалпы IP мәселесіне сілтеме жасайтын қате хабарын алады.
IP мекенжай шектеулеріне сай келетін пайдаланушы қолданбаны ашқанда: Келесі оқиғалар орын алады:
- Пайдаланушылар тез жоғалып кететін баннерді алуы мүмкін, ол пайдаланушыларға IP параметрінің орнатылғанын білуге және мәліметтер алу үшін әкімшіге хабарласуға немесе қосылым жоғалған кез келген беттерді жаңартуға мүмкіндік береді.
- Ең маңыздысы, осы қауіпсіздік параметрі пайдаланатын IP тексеруіне байланысты кейбір функциялар өшірілгенге қарағанда баяу жұмыс істеуі мүмкін.
SAS қоңырауларын тіркеу
Бұл параметр Power Platform ішіндегі барлық SAS қоңырауларына Purview жүйесіне кіруге мүмкіндік береді. Бұл тіркеу барлық жасау және пайдалану оқиғалары үшін сәйкес метадеректерді көрсетеді және жоғарыдағы SAS IP шектеулерінен тәуелсіз қосылуы мүмкін. Power Platform қызметтер қазір 2024 жылы SAS қоңырауларын қосуда.
| Өріс атауы | Өріс сипаттамасы |
|---|---|
| жауап.күй_хабарламасы | Оқиға сәтті болды ма, жоқ па хабарлау: SASSccess немесе SASAuthorizationError. |
| жауап.күй_коды | Оқиға сәтті өтті ме, жоқ па хабарлау: 200, 401 немесе 500. |
| ip_байланыстыру_режимі | Қосылған болса, жалға алушы әкімшісі орнатқан IP байланыстыру режимі. SAS жасау оқиғаларына ғана қолданылады. |
| admin_provided_ip_аралықтары | Егер бар болса, жалға алушы әкімшісі орнатқан IP ауқымдары. SAS жасау оқиғаларына ғана қолданылады. |
| есептелген_ip_сүзгілері | IP байланыстыру режиміне және жалға алушы әкімшісі орнатқан ауқымдарға негізделген SAS URI мекенжайларына байланыстырылған IP сүзгілерінің соңғы жинағы. SAS жасау және пайдалану оқиғаларына қолданылады. |
| analytics.resource.sas.uri | Қол жеткізуге немесе жасалуға әрекеттенген деректер. |
| enduser.ip_address | Қоңырау шалушының жалпыға ортақ IP. |
| analytics.resource.sas.operation_id | Жасау оқиғасының бірегей идентификаторы. Осы арқылы іздеу жасау оқиғасынан SAS қоңырауларына қатысты барлық пайдалану және жасау оқиғаларын көрсетеді. "x-ms-sas-operation-id" жауап тақырыбымен салыстырылды. |
| request.service_request_id | Сұраудағы бірегей идентификатор немесе жауап және оны бір жазбаны іздеу үшін пайдалануға болады. "x-ms-service-request-id" жауап тақырыбымен салыстырылды. |
| version | Бұл журнал схемасының нұсқасы. |
| түрі | Жалпы жауап. |
| analytics.activity.name | Бұл оқиғаның әрекет түрі: Жасау немесе пайдалану. |
| analytics.activity.id | Purview ішіндегі жазбаның бірегей идентификаторы. |
| analytics.resource.organization.id | Ұйым идентификаторы |
| analytics.resource.environment.id | Ортаның идентификаторы |
| analytics.resource.tenant.id | Қатысушының идентификаторы |
| enduser.id | Жасау оқиғасындағы жасаушының Microsoft Entra идентификаторынан алынған GUID. |
| enduser.principal_name | Жасаушының UPN/электрондық мекенжайы. Пайдалану оқиғалары үшін бұл жалпы жауап: "system@powerplatform". |
| enduser.role | Жалпы жауап: Жасау оқиғалары үшін тұрақты және пайдалану оқиғалары үшін Жүйе . |
Purview аудит журналын қосыңыз
Журналдарды Purview данасында көрсету үшін алдымен журналдар қажет әрбір орта үшін оған қосылуыңыз керек. Бұл параметрді Power Platform басқару орталығында жалға алушы әкімшісі арқылы жаңартуға болады.
- Power Platform басқару орталығына өтіңіз және жалға алушының әкімші тіркелгі деректерімен жүйеге кіріңіз.
- Сол жақ шарлау тақтасында Орталар таңдаңыз.
- Әкімші журналын қосқыңыз келетін ортаны таңдаңыз.
- Пәрмендер жолағында Параметрлер тармағын таңдаңыз.
- Өнім>Құпиялылық + Қауіпсіздік таңдаңыз.
- Storage Shared Access Signature (SAS) қауіпсіздік параметрлері (алдын ала қарау нұсқасы) астында SAS Logging in Purview қосу мүмкіндік.
Аудит журналдарын іздеу
Жалға алушы әкімшілері SAS операциялары үшін шығарылған аудит журналдарын көру үшін Purview қызметін пайдалана алады және IP тексеру мәселелерінде қайтарылуы мүмкін қателерді өздігінен диагностикалай алады. Purview жүйесіндегі журналдар ең сенімді шешім болып табылады.
Мәселелерді диагностикалау немесе жалға алушыдағы SAS пайдалану үлгілерін жақсырақ түсіну үшін келесі қадамдарды пайдаланыңыз.
Орта үшін аудит журналы қосулы екеніне көз жеткізіңіз. Қараңыз Purview аудит журналын қосу.
Microsoft Purview сәйкестік порталына өтіңіз және қатысушы әкімшісінің тіркелгі деректерімен жүйеге кіріңіз.
Сол жақ шарлау тақтасында Аудит опциясын таңдаңыз. Бұл опция сізге қолжетімді болмаса, жүйеге кірген пайдаланушының сұрау тексеру журналдарына әкімші қатынасы жоқ дегенді білдіреді.
Журналдарды іздеуге тырысқанда, UTC-де күн мен уақыт ауқымын таңдаңыз. Мысалы, рұқсат етілмеген_қоңырау шалушы қате коды бар 403 Тыйым салынған қате қайтарылғанда.
Әрекеттер - түсінікті атаулар ашылмалы тізімнен Power Platform сақтау операцияларын іздеп, таңдаңыз. SAS URI жасалды және SAS URI пайдаланылды.
Кілтсөз іздеу ішінде кілт сөзді көрсетіңіз. Осы өріс туралы қосымша ақпарат алу үшін Purview құжаттамасындағы Іздеуді бастау бөлімін қараңыз. Сценарийге байланысты жоғарыдағы кестеде сипатталған өрістердің кез келгенінен мәнді пайдалануға болады, бірақ төменде іздеуге ұсынылатын өрістер берілген (таңдау реті бойынша):
- x-ms-service-request-id жауап тақырыбының мәні. Бұл тақырып қай сұрау түрінен келетініне байланысты нәтижелерді бір SAS URI жасау оқиғасына немесе бір SAS URI пайдалану оқиғасына сүзеді. Бұл прокси қызметінен 403 тыйым салынған қатені зерттеу кезінде пайдалы. Оны powerplatform.analytics.resource.sas.operation_id мәнін алу үшін де пайдалануға болады.
- x-ms-sas-operation-id жауап тақырыбының мәні. Бұл нәтижелерді бір SAS URI жасау оқиғасына және қанша рет қатынасылғанына байланысты сол SAS URI үшін бір немесе бірнеше пайдалану оқиғаларына сүзеді. Ол powerplatform.analytics.resource.sas.operation_id өрісіне салыстырады.
- Толық немесе ішінара SAS URI, минус қолтаңба. Бұл көптеген SAS URI жасалымдарын және көптеген SAS URI пайдалану оқиғаларын қайтаруы мүмкін, себебі бір URI үшін қажет болғанша бірнеше рет жасау үшін сұрауға болады.
- Қоңырау шалушының IP мекенжайы. Осы IP үшін барлық жасау және пайдалану оқиғаларын қайтарады.
- Қоршаған орта идентификаторы. Бұл Power Platform-дың көптеген әртүрлі ұсыныстарын қамтитын деректердің үлкен жинағын қайтаруы мүмкін, сондықтан мүмкіндігінше аулақ болыңыз немесе іздеу терезесін тарылтып көріңіз.
Ескерту
Біз пайдаланушының негізгі атын немесе нысан идентификаторын іздеуді ұсынбаймыз, себебі олар пайдалану оқиғаларына емес, тек жасау оқиғаларына таратылады.
Іздеу пәрменін таңдап, нәтижелер шыққанша күтіңіз.
Ескерту
Purview жүйесіне кіруді бір сағатқа немесе одан да көп уақытқа кешіктіруге болады, сондықтан ең соңғы оқиғаларды іздеген кезде мұны есте сақтаңыз.
Ақаулықтарды жою 403 Тыйым салынған/рұқсат етілмеген_қоңырау шалушы қатесі
Прокси соңғы нүктесіне қоңырау шалудың рұқсат етілмеген_қоңырау шалушы қате коды бар 403 тыйым салынған қатеге әкелетінін анықтау үшін жасау және пайдалану журналдарын пайдалана аласыз.
- Алдыңғы бөлімде сипатталғандай Purview жүйесінде журналдарды табыңыз. x-ms-service-request-id немесе x-ms-sas-operation-id пайдалануды қарастырыңыз. іздеу кілт сөзі ретінде жауап тақырыптарынан.
- Пайдалану оқиғасын ашыңыз, Used SAS URI және powerplatform.analytics.resource.sas.computed_ip_filters іздеңіз PropertyCollection астындағы өріс. Бұл IP ауқымы сұрауды жалғастыруға рұқсат етілгенін немесе жоқтығын анықтау үшін прокси қызметі пайдаланады.
- Бұл мәнді журналдың IP мекенжайы өрісімен салыстырыңыз, ол сұраудың неге орындалмағанын анықтау үшін жеткілікті болуы керек.
- powerplatform.analytics.resource.sas.computed_ip_filters мәні дұрыс емес деп ойласаңыз, келесі қадамдарды жалғастырыңыз.
- Жасалған SAS URI жасау оқиғасын x-ms-sas-operation-id арқылы іздеу арқылы ашыңыз. жауап тақырып мәні (немесе жасау журналындағы powerplatform.analytics.resource.sas.operation_id өрісінің мәні).
- powerplatform.analytics.resource.sas.ip_binding_mode өрісінің мәнін алыңыз. Егер ол жоқ немесе бос болса, бұл нақты сұрау кезінде IP байланыстыру сол орта үшін қосылмағанын білдіреді.
- powerplatform.analytics.resource.sas.admin_provided_ip_ranges мәнін алыңыз. Егер ол жоқ немесе бос болса, бұл нақты сұрау кезінде IP брандмауэр ауқымдары сол орта үшін көрсетілмегенін білдіреді.
- Пайдалану оқиғасымен бірдей болуы керек және IP байланыстыру режимі мен әкімші қамтамасыз ететін IP брандмауэріне негізделген powerplatform.analytics.resource.sas.computed_ip_filters мәнін алыңыз. диапазондар. Туынды логикасын Деректерді сақтау және басқару Power Platform бөлімінен қараңыз.
Бұл жалға алушы әкімшілеріне IP байланыстыру параметрлері үшін ортаға қарсы кез келген қате конфигурацияны түзету үшін жеткілікті ақпаратты беруі керек.
Ескерту
SAS IP байланыстыру үшін орта параметрлеріне енгізілген өзгертулер күшіне енуі үшін кемінде 30 минут кетуі мүмкін. Серіктестік топтардың прокси қызметінің жоғарғы жағында өздерінің кэштері болса, көбірек болуы мүмкін.
Қатысты мақалалар
Microsoft Power Platform бағдарламасындағы қауіпсіздік
Power Platform қызметтерін аутентификациялау
Дереккөздерге қосылу және аутентификациялау
Power Platform қауіпсіздігіне қатысты жиі қойылатын сұрақтар
Сонымен қатар қараңыз
Кері байланыс
Жақында қолжетімді болады: 2024 жыл бойы біз GitHub Issues жүйесін мазмұнға арналған кері байланыс механизмі ретінде біртіндеп қолданыстан шығарамыз және оны жаңа кері байланыс жүйесімен ауыстырамыз. Қосымша ақпаратты мұнда қараңыз: https://aka.ms/ContentUserFeedback.
Жіберу және пікірді көру