Бөлісу құралы:

Power Platform платформасында деректерді сақтау және басқару

  • Мақала

Біріншіден жеке деректер мен тұтынушы деректері арасын ажырату маңызды.

  • Жеке деректер бұл адамдар туралы, оларды анықтау үшін пайдаланылуы мүмкін ақпарат.

  • Тұтынушы деректері жеке деректерді және басқа тұтынушы ақпаратын, соның ішінде URL мекенжайларын, метадеректерді және DNS атаулары сияқты қызметкердің аутентификация ақпаратын қамтиды.

Деректер резиденттігі

A Microsoft Entra жалға алушы ұйымға және оның қауіпсіздігіне қатысты ақпаратты сақтайды. Microsoft Entra жалға алушы Power Platform қызметтерге тіркелгенде, жалға алушының таңдалған елі немесе аймағы a Power Platform орналастыру бар ең қолайлы Azure географиясымен салыстырылады. Power Platform ұйымдар қызметтерді бірнеше аймақта орналастыратын жағдайларды қоспағанда, тұтынушы деректерін қатысушының тағайындалған Azure географиялық орнында немесе басты географиялық орында сақтайды.

Кейбір ұйымдардың жаһандық қатысуы бар. Мысалы, бизнестің штаб-пәтері Америка Құрама Штаттарында болуы мүмкін, бірақ Австралияда бизнес жүргізуі мүмкін. Жергілікті ережелерге сәйкес Австралияда сақталуы үшін белгілі Power Platform деректері қажет болуы мүмкін. Power Platform қызметтері бірнеше Azure географиясында орналастырылған кезде, ол көп гео орналастыру деп аталады. Бұл жағдайда тек үй гео-де ортаға қатысты метадеректер сақталады. Сол ортадағы барлық метадеректер мен өнім деректері қашықтағы геоде сақталады.

Microsoft деректер тұрақтылығы үшін деректерді басқа аймақтарға көшіре алады. Дегенмен, біз жеке деректерді географиядан тыс көшірмейміз немесе жылжытпаймыз. Басқа аймақтарға көшірілген деректер қызметкердің аутентификация ақпараты сияқты жеке емес деректерді қамтуы мүмкін.

Power Platform қызметтері арнайы Azure географиялық орындарында қолжетімді. Power Platform Қызметтер қай жерде қолжетімді, деректеріңіз қайда сақталады және олардың қалай пайдаланатыны туралы қосымша ақпарат алу үшін Microsoft Сенім орталығына өтіңіз. Демалыстағы тұтынушы деректерінің орналасуына қатысты міндеттемелер Microsoft Онлайн қызметтер шарттарының Деректерді өңдеу шарттарында көрсетілген. Microsoft сонымен қатар егеменді құрылымдар үшін деректер орталықтарын қамтамасыз етеді.

Деректерді өңдеу

Бұл бөлімде Power Platform тұтынушы деректерін сақтау, өңдеу және тасымалдау жолдары сипатталады.

Бос күйдегі деректер

Құжаттамада басқаша айтылмаса, тұтынушы деректері бастапқы көзінде қалады (мысалы, Dataverse немесе SharePoint ). Power Platform бағдарламасы Azure сақтау орнында ортаның бөлігі ретінде сақталады. Мобильді бағдарламаларда пайдаланылатын деректер шифрланады және SQL Express жүйесінде сақталады. Көп жағдайда бағдарламалар Power Platform қызмет деректерін сақтау үшін Azure сақтау орнын және қызмет метадеректерін сақтау үшін Azure SQL дерекқорын пайдаланады. Бағдарлама пайдаланушылары енгізген деректер қызметке арналған тиісті деректер көзі ішінде сақталады, мысалы, Dataverse.

Power Platform мен сақталған барлық деректер Microsoft басқарылатын кілттер арқылы әдепкі бойынша шифрланады. Azure SQL дерекқорында сақталған тұтынушы деректері Azure SQL Transparent Data Encryption (TDE) технологиясы арқылы толығымен шифрланған. Azure Blob сақтау орнында сақталған тұтынушы деректері Azure Storage Encryption көмегімен шифрланады.

Деректер өңделуде

Деректер интерактивті сценарийдің бөлігі ретінде пайдаланылғанда немесе жаңарту сияқты фондық процесс оған тиген кезде өңделуде. Power Platform өңдеу кезінде деректерді бір немесе бірнеше қызмет жұмыс жүктемелерінің жады кеңістігіне жүктейді. Жұмыс жүктемесінің функционалдығын жеңілдету үшін жадта сақталған деректер шифрланбайды.

Тасымалдау кезіндегі деректер

Power Platform барлық кірістің HTTP трафигі TLS 1.2 немесе одан жоғары нұсқасы арқылы шифрлануын талап етеді. TLS 1.1 немесе одан төмен нұсқасын пайдалануға тырысатын сұраулар қабылданбайды.

Қосымша қауіпсіздік мүмкіндіктері

Кейбір Power Platform қосымша қауіпсіздік мүмкіндіктерінің арнайы лицензиялық талаптары бар.

Қызмет тегтері

Қызмет тегі көрсетілген Azure қызметінен алынған IP мекенжай префикстерінің тобын білдіреді. Желілік қауіпсіздік топтарында немесе Azure брандмауэрінде желіге кіруді басқару элементтерін анықтау үшін қызмет тегтерін пайдалануға болады.

Қызмет тегтері желілік қауіпсіздік ережелерін жиі жаңартудың күрделілігін азайтуға көмектеседі. Қауіпсіздік ережелерін жасағанда, мысалы, сәйкес қызмет үшін трафикке рұқсат беретін немесе тыйым салатын арнайы IP мекенжайларының орнына қызмет тегтерін пайдалануға болады.

Microsoft қызмет тегін қамтитын мекенжай префикстерін басқарады және мекенжайлар өзгерген сайын қызмет тегін автоматты түрде жаңартады. Қосымша ақпарат алу үшін Azure IP ауқымдары және қызмет тегтері - жалпыға қолжетімді бұлт бөлімін қараңыз.

Деректердің жоғалуын болдырмау

Power Platform деректеріңіздің қауіпсіздігін басқаруға көмектесетін Деректердің жоғалуын болдырмау (DLP) мүмкіндіктерінің кең жиынтығы бар.

Storage Shared Access Signature (SAS) IP шектеуі

Ескертпе

Осы SAS мүмкіндіктерінің бірін іске қоспас бұрын, тұтынушылар алдымен https://*.api.powerplatformusercontent.com доменге кіруге рұқсат беруі керек немесе SAS функцияларының көпшілігі жұмыс істемейді.

Бұл мүмкіндіктер жинағы ортақ пайдалану қолтаңбасы (SAS) таңбалауыштарын шектейтін және Power Platform басқару орталығында мәзір арқылы басқарылатын пайдаланушыға тән функционалдылық болып табылады. Бұл параметр IP (IPv4 және IPv6) негізінде кәсіпорынның SAS таңбалауыштарын кім пайдалана алатынын шектейді.

Бұл параметрлерді басқару орталығындағы ортаның Құпиялылық + Қауіпсіздік параметрлерінен табуға болады. Сіз IP мекенжайына негізделген Storage Shared Access Signature (SAS) ережесін қосу опциясын қосуыңыз керек.

Әкімшілер осы параметр үшін осы төрт опцияның біріне рұқсат бере алады:

Параметр Параметр Сипаттама
1-көше Тек IP байланыстыру Бұл сұраушының IP мекенжайына SAS кілттерін шектейді.
2-көше Тек IP брандмауэр Бұл тек әкімші көрсетілген ауқымда жұмыс істеу үшін SAS кілттерін пайдалануды шектейді.
3-көше IP байланыстыру және желіаралық қалқан Бұл әкімші көрсеткен ауқымда және тек сұраушының IP мекенжайында жұмыс істеу үшін SAS кілттерін пайдалануды шектейді.
4 IP байланыстыру немесе брандмауэр SAS кілттерін көрсетілген ауқымда пайдалануға мүмкіндік береді. Егер сұрау ауқымнан тыс келсе, IP байланыстыру қолданылады.

Ескертпе

IP брандмауэріне рұқсат беруді таңдаған әкімшілер (жоғарыдағы кестеде көрсетілген 2, 3 және 4 опциясы) тиісті қамтуды қамтамасыз ету үшін екі желілерінің IPv4 және IPv6 ауқымдарын енгізуі керек. олардың пайдаланушыларының.

Қосылған кезде IP байланыстыруды қамтамасыз ететін өнімдер:

  • Dataverse
  • Power Automate
  • Реттелетін қосқыштар
  • Power Apps

Пайдаланушы тәжірибесіне әсер ету

  • Ортаның IP мекенжай шектеулеріне сай келмейтін пайдаланушы қолданбаны ашқанда: Пайдаланушылар жалпы IP мәселесіне сілтеме жасайтын қате хабарын алады.

  • IP мекенжай шектеулеріне сай келетін пайдаланушы қолданбаны ашқанда: Келесі оқиғалар орын алады:

    • Пайдаланушылар тез жоғалып кететін баннерді алуы мүмкін, ол пайдаланушыларға IP параметрінің орнатылғанын білуге ​​және мәліметтер алу үшін әкімшіге хабарласуға немесе қосылым жоғалған кез келген беттерді жаңартуға мүмкіндік береді.
    • Ең маңыздысы, осы қауіпсіздік параметрі пайдаланатын IP тексеруіне байланысты кейбір функциялар өшірілгенге қарағанда баяу жұмыс істеуі мүмкін.

Параметрлерді бағдарламалы түрде жаңартыңыз

Әкімшілер автоматтандыруды IP байланыстыруды және брандмауэр параметрін, рұқсат етілген тізімдегі IP ауқымын және Журнауға қосқышты орнату және жаңарту үшін пайдалана алады. Толығырақ ақпаратты Оқулық: Ортаны басқару параметрлерін жасау, жаңарту және тізімдеу бөлімінен қараңыз.

SAS қоңырауларын тіркеу

Бұл параметр Power Platform ішіндегі барлық SAS қоңырауларына Purview жүйесіне кіруге мүмкіндік береді. Бұл журнал жүргізу барлық жасау және пайдалану оқиғалары үшін сәйкес метадеректерді көрсетеді және жоғарыдағы SAS IP шектеулерінен тәуелсіз қосылуы мүмкін. Power Platform қызметтер қазір 2024 жылы SAS қоңырауларын қосуда.

Өріс атауы Өріс сипаттамасы
жауап.күй_хабарламасы Оқиға сәтті болды ма, жоқ па хабарлау: SASSccess немесе SASAuthorizationError.
жауап.күй_коды Оқиға сәтті өтті ме, жоқ па хабарлау: 200, 401 немесе 500.
ip_байланыстыру_режимі Қосылған болса, жалға алушы әкімшісі орнатқан IP байланыстыру режимі. SAS жасау оқиғаларына ғана қолданылады.
admin_provided_ip_аралықтары Егер бар болса, жалға алушы әкімшісі орнатқан IP ауқымдары. SAS жасау оқиғаларына ғана қолданылады.
есептелген_ip_сүзгілері IP байланыстыру режиміне және жалға алушы әкімшісі орнатқан ауқымдарға негізделген SAS URI мекенжайларына байланыстырылған IP сүзгілерінің соңғы жинағы. SAS жасау және пайдалану оқиғаларына қолданылады.
analytics.resource.sas.uri Қол жеткізуге немесе жасалуға әрекеттенген деректер.
enduser.ip_address Қоңырау шалушының жалпыға ортақ IP.
analytics.resource.sas.operation_id Жасау оқиғасының бірегей идентификаторы. Осы арқылы іздеу жасау оқиғасынан SAS қоңырауларына қатысты барлық пайдалану және жасау оқиғаларын көрсетеді. "x-ms-sas-operation-id" жауап тақырыбымен салыстырылды.
request.service_request_id Сұраудағы бірегей идентификатор немесе жауап және оны бір жазбаны іздеу үшін пайдалануға болады. "x-ms-service-request-id" жауап тақырыбымен салыстырылды.
version Бұл журнал схемасының нұсқасы.
түрі Жалпы жауап.
analytics.activity.name Бұл оқиғаның әрекет түрі: Жасау немесе пайдалану.
analytics.activity.id Purview ішіндегі жазбаның бірегей идентификаторы.
analytics.resource.organization.id Ұйым идентификаторы
analytics.resource.environment.id Ортаның идентификаторы
analytics.resource.tenant.id Қатысушының идентификаторы
enduser.id Жасау оқиғасындағы жасаушының Microsoft Entra идентификаторынан алынған GUID.
enduser.principal_name Жасаушының UPN/электрондық мекенжайы. Пайдалану оқиғалары үшін бұл жалпы жауап: "system@powerplatform".
enduser.role Жалпы жауап: Жасау оқиғалары үшін тұрақты және пайдалану оқиғалары үшін Жүйе .

Purview аудит журналын қосыңыз

Журналдарды Purview данасында көрсету үшін алдымен журналдар қажет әрбір орта үшін оған қосылуыңыз керек. Бұл параметрді Power Platform басқару орталығында жалға алушы әкімшісі жаңартуы мүмкін.

  1. Power Platform басқару орталығына өтіңіз және жалға алушының әкімші тіркелгі деректерімен жүйеге кіріңіз.
  2. Сол жақ шарлау тақтасында Орталар таңдаңыз.
  3. Әкімші журналын қосқыңыз келетін ортаны таңдаңыз.
  4. Пәрмендер жолағында Параметрлер таңдаңыз.
  5. Өнім>Құпиялылық + Қауіпсіздік таңдаңыз.
  6. Storage Shared Access Signature (SAS) қауіпсіздік параметрлері (алдын ала қарау нұсқасы) астында SAS Logging In Purview қосу мүмкіндік.

Аудит журналдарын іздеу

Жалға алушы әкімшілері SAS операциялары үшін шығарылған аудит журналдарын көру үшін Purview қызметін пайдалана алады және IP тексеру мәселелерінде қайтарылуы мүмкін қателерді өздігінен диагностикалай алады. Purview жүйесіндегі журналдар ең сенімді шешім болып табылады.

Мәселелерді диагностикалау немесе жалға алушыдағы SAS пайдалану үлгілерін жақсырақ түсіну үшін келесі қадамдарды пайдаланыңыз.

  1. Орта үшін аудит журналы қосулы екеніне көз жеткізіңіз. Қараңыз Purview аудит журналын қосу.

  2. Microsoft Purview сәйкестік порталына өтіңіз және жалға алушы әкімшісінің тіркелгі деректерімен жүйеге кіріңіз.

  3. Сол жақ шарлау тақтасында Аудит таңдаңыз. Бұл опция сізге қолжетімді болмаса, жүйеге кірген пайдаланушының сұрау тексеру журналдарына әкімші қатынасы жоқ дегенді білдіреді.

  4. Журналдарды іздеуге тырысқанда, UTC-де күн мен уақыт ауқымын таңдаңыз. Мысалы, рұқсат етілмеген_қоңырау шалушы қате коды бар 403 Тыйым салынған қате қайтарылғанда.

  5. Әрекеттер - түсінікті атаулар ашылмалы тізімнен Power Platform сақтау операцияларын іздеп, таңдаңыз. SAS URI және қолданылған SAS URI жасалды.

  6. Кілтсөз іздеу ішінде кілт сөзді көрсетіңіз. Осы өріс туралы қосымша ақпарат алу үшін Purview құжаттамасындағы Іздеуді бастау бөлімін қараңыз. Сценарийге байланысты жоғарыдағы кестеде сипатталған өрістердің кез келгенінен мәнді пайдалануға болады, бірақ төменде іздеуге ұсынылатын өрістер берілген (таңдау реті бойынша):

    • x-ms-service-request-id жауап тақырыбының мәні. Бұл тақырып қай сұрау түрінен келетініне байланысты нәтижелерді бір SAS URI жасау оқиғасына немесе бір SAS URI пайдалану оқиғасына сүзеді. Бұл пайдаланушыға қайтарылған 403 тыйым салынған қатені зерттеу кезінде пайдалы. Оны powerplatform.analytics.resource.sas.operation_id мәнін алу үшін де пайдалануға болады.
    • x-ms-sas-operation-id жауап тақырыбының мәні. Бұл нәтижелерді бір SAS URI жасау оқиғасына және қанша рет қатынасылғанына байланысты сол SAS URI үшін бір немесе бірнеше пайдалану оқиғаларына сүзеді. Ол powerplatform.analytics.resource.sas.operation_id өрісіне салыстырады.
    • Толық немесе ішінара SAS URI, минус қолтаңба. Бұл көптеген SAS URI жасалымдарын және көптеген SAS URI пайдалану оқиғаларын қайтаруы мүмкін, себебі бір URI үшін қажет болғанша бірнеше рет жасау үшін сұрауға болады.
    • Қоңырау шалушының IP мекенжайы. Осы IP үшін барлық жасау және пайдалану оқиғаларын қайтарады.
    • Қоршаған орта идентификаторы. Бұл Power Platform-дің көптеген әртүрлі ұсыныстарын қамтитын деректердің үлкен жинағын қайтаруы мүмкін, сондықтан мүмкіндігінше аулақ болыңыз немесе іздеу терезесін тарылтып көріңіз.

    Ескерту

    Біз пайдаланушының негізгі атын немесе нысан идентификаторын іздеуді ұсынбаймыз, себебі олар пайдалану оқиғаларына емес, тек жасау оқиғаларына таратылады.

  7. Іздеу пәрменін таңдап, нәтижелер шыққанша күтіңіз.

    Жаңа іздеу

Ескерту

Purview жүйесіне кіруді бір сағатқа немесе одан да көп уақытқа кешіктіруге болады, сондықтан ең соңғы оқиғаларды іздеген кезде мұны есте сақтаңыз.

Ақаулықтарды жою 403 Тыйым салынған/рұқсат етілмеген_қоңырау шалушы қатесі

Қоңырау неліктен рұқсат етілмеген_қоңырау шалушы қате коды бар 403 Тыйым салынған қатеге әкелетінін анықтау үшін жасау және пайдалану журналдарын пайдалана аласыз.

  1. Алдыңғы бөлімде сипатталғандай Purview жүйесінде журналдарды табыңыз. x-ms-service-request-id немесе x-ms-sas-operation-id пайдалануды қарастырыңыз. іздеу кілт сөзі ретінде жауап тақырыптарынан.
  2. Пайдалану оқиғасын ашыңыз, Used SAS URI және powerplatform.analytics.resource.sas.computed_ip_filters іздеңіз. PropertyCollection астындағы өріс. Бұл IP ауқымы сұрауды жалғастыруға рұқсат етілгенін немесе жоқтығын анықтау үшін SAS қоңырауы пайдаланады.
  3. Бұл мәнді журналдың IP мекенжайы өрісімен салыстырыңыз, ол сұраудың неге орындалмағанын анықтау үшін жеткілікті болуы керек.
  4. powerplatform.analytics.resource.sas.computed_ip_filters мәні дұрыс емес деп ойласаңыз, келесі қадамдарды жалғастырыңыз.
  5. Жасалған SAS URI жасау оқиғасын x-ms-sas-operation-id арқылы іздеу арқылы ашыңыз. жауап тақырып мәні (немесе жасау журналындағы powerplatform.analytics.resource.sas.operation_id өрісінің мәні).
  6. powerplatform.analytics.resource.sas.ip_binding_mode өрісінің мәнін алыңыз. Егер ол жоқ немесе бос болса, бұл нақты сұрау кезінде IP байланыстыру сол орта үшін қосылмағанын білдіреді.
  7. powerplatform.analytics.resource.sas.admin_provided_ip_ranges мәнін алыңыз. Егер ол жоқ немесе бос болса, бұл нақты сұрау кезінде IP брандмауэр ауқымдары сол орта үшін көрсетілмегенін білдіреді.
  8. Пайдалану оқиғасымен бірдей болуы керек және IP байланыстыру режимі мен әкімші қамтамасыз ететін IP брандмауэріне негізделген powerplatform.analytics.resource.sas.computed_ip_filters мәнін алыңыз. диапазондар. Туынды логикасын Деректерді сақтау және басқару Power Platform бөлімінен қараңыз.

Бұл жалға алушы әкімшілеріне IP байланыстыру параметрлері үшін ортаға қарсы кез келген қате конфигурацияны түзету үшін жеткілікті ақпаратты беруі керек.

Ескерту

SAS IP байланыстыру үшін орта параметрлеріне енгізілген өзгертулер күшіне енуі үшін кемінде 30 минут кетуі мүмкін. Әріптес командалардың жеке кэші болса, бұл көбірек болуы мүмкін.

Қауіпсіздік Microsoft Power Platform
Power Platform қызметтерге аутентификация
Деректер көздеріне қосылу және аутентификация
Power Platform қауіпсіздік туралы жиі қойылатын сұрақтар

Келесіні де қараңыз: