Bendrinti naudojant

Duomenų saugojimas ir valdymas „Power Platform”

  • Straipsnis

Pirmiausia svarbu atskirti asmeninius duomenis nuo kliento duomenų.

  • Asmens duomenys yra informacija apie žmones, kuri gali būti naudojama jų tapatybei nustatyti.

  • Kliento duomenys apima asmeninius duomenis ir kitą kliento informaciją, įskaitant URL, metaduomenis ir darbuotojų autentifikavimo informaciją, pvz., DNS vardus.

Duomenų saugojimas

Nuomotojas Microsoft Entra saugo informaciją, susijusią su organizacija ir jos sauga. Kai nuomotojas Microsoft Entra prisiregistruoja gauti Power Platform paslaugas, nuomotojo pasirinkta šalis ar regionas susiejamas su tinkamiausia "Azure" geografija, kurioje yra diegimas Power Platform . „Power Platform” saugo kliento duomenis, esančius nuomininkui priskirtoje „Azure" geografinėje vietovėje arba namų vietovėje, išskyrus atvejus, kai organizacijos teikia paslaugas keliuose regionuose.

Kai kurios organizacijos veikia visame pasaulyje. Pavyzdžiui, įmonės pagrindinė būstinė gali būti JAV, bet verslas gali būti vykdomas Australijoje. Gali prireikti tam tikrus „Power Platform” duomenis saugoti Australijoje, kad būtų laikomasi vietinių nuostatų. Kai „Power Platform” paslaugos diegiamos daugiau nei vienoje „Azure” geografinėje vietovėje, jos vadinamos kelių geografinių objektų diegimu. Tokiu atveju namų geografinėje srityje saugomi tik su aplinka susiję metaduomenys. Visi tos aplinkos metaduomenys ir produktų duomenys saugomi nuotolinėse geografinėse aplinkose.

Microsoft gali atkartoti duomenis kituose regionuose, kad būtų užtikrintas duomenų atsparumas. Tačiau nereplikuojame ir neperkeliame asmeninių duomenų už geografinės teritorijos ribų. Duomenys, nukopijuoti į kitus regionus, gali apimti neasmeninius duomenis, pvz., darbuotojų autentifikavimo informaciją.

„Power Platform” paslaugos teikiamos konkrečiose „Azure” geografinėse vietovėse. Norėdami gauti daugiau informacijos apie tai, kur Power Platform pasiekiamos paslaugos, kur saugomi jūsų duomenys ir kaip jie naudojami, eikite į Microsoft patikimumo centrą. Įsipareigojimai, susiję su kliento duomenų buvimo vieta ramybės būsenoje, yra nurodyti Internete teikiamų paslaugų sąlygų Microsoft Duomenų apdorojimo sąlygose. Microsoft taip pat teikia duomenų centrus suvereniems subjektams.

Duomenų tvarkymas

Šiame skyriuje apibrėžiama, „Power Platform” saugo, apdoroja ir perkelia klientų duomenis.

Neaktyvūs duomenys

Jei dokumentuose nenurodyta kitaip, klientų duomenys lieka pradiniame šaltinyje (pvz., „Dataverse” arba „SharePoint”). Programa „Power Platform” saugojama „Azure” saugykloje kaip aplinkos dalis. Mobiliųjų įrenginių programose naudojami duomenys užšifruojami ir saugomi „SQL Express”. Daugeliu atvejų programos naudoja „Azure” saugyklą „Power Platform” paslaugų duomenims išsaugoti ir „Azure SQL” duomenų bazę paslaugų metaduomenims išsaugoti. Programos vartotojų įvesti duomenys saugomi atitinkamame paslaugos duomenų šaltinyje, pvz., „Dataverse”.

Visi duomenys, kuriuos išliko, Power Platform yra užšifruoti pagal numatytuosius nustatymus naudojant valdomus Microsoft raktus. „Azure SQL” duomenų bazėje saugomi klientų duomenys yra visiškai užšifruojami naudojant „Azure SQL” Skaidrią duomenų šifravimo (TDE) technologiją. „Azure Blob” saugykloje saugomi klientų duomenys šifruojami naudojant „Azure Storage Encryption”.

Apdorojami duomenys...

Duomenys apdorojami, kai jie naudojami kaip interaktyviojo scenarijaus dalis arba kai fone vyksta su jais susijęs procesas, pvz., atnaujinimas. „Power Platform” įkelia apdorojamus duomenis į vienos ar kelių paslaugų darbo krūvių atminties vietą. Siekiant palengvinti darbo krūvio funkcionalumą, atmintyje saugomi duomenys nėra užšifruojami.

Perduodami duomenys

„Power Platform” reikalauja, kad visas gaunamas HTTP srautas būtų užšifruojamas naudojant TLS 1.2 ar aukštesnę versiją. Užklausos, kurios bando naudoti TLS 1.1 ar žemesnę versiją, yra atmetamos.

išplėstinės saugos funkcijos

Kai kurioms „Power Platform” išplėstinėms saugos funkcijoms taikomi konkretūs licencijavimo reikalavimai.

Aptarnavimo žymė

Aptarnavimo žymė yra nurodytos „Azure" paslaugos IP adresų priešdėlių grupė. Galite naudoti aptarnavimo žymes tinklo prieigos kontrolei Tinklo saugumo grupėse arba „Azure Firewall” apibrėžti.

Aptarnavimo žymės padeda minimizuoti dažnai atnaujinamų tinklo saugos taisyklių sudėtingumą. Kurdami saugos taisykles, kurios, pvz., leidžia arba draudžia srautą atitinkamai paslaugai, galite naudoti aptarnavimo žymes vietoje konkrečių IP adresų.

Microsoft Tvarko adreso priešdėlius, kuriuos apima tarnybos žymė, ir automatiškai atnaujina paslaugos žymą, kai pasikeičia adresai. Daugiau informacijos rasite čia: „Azure“ IP intervalai ir paslaugų žymės – viešasis debesis.

Duomenų praradimo prevencija

„Power Platform” turi daug Duomenų praradimo prevencijos (DLP) funkcijų, kad padėtų jums valdyti jūsų duomenų saugą.

Saugyklos bendrinamos prieigos parašo (SAS) IP apribojimas

Pastaba.

Prieš suaktyvindami bet kurią iš šių SAS funkcijų, klientai pirmiausia turi leisti prieigą prie domeno https://*.api.powerplatformusercontent.com , kitaip dauguma SAS funkcijų neveiks.

Šis funkcijų rinkinys yra nuomotojui būdinga funkcija, kuri riboja saugyklos bendrinamos prieigos parašo (SAS) atpažinimo ženklus ir yra valdoma per administravimo centro Power Platform meniu. Šis nustatymas riboja, kas, remdamasis IP (IPv4 ir IPv6), gali naudoti įmonės SAS žetonus.

Šiuos parametrus galima rasti aplinkos privatumo + saugos nustatymuose administravimo centre. Turite įjungti taisyklę Įgalinti IP adresu pagrįstą saugyklą Bendrinamos prieigos parašo (SAS) taisyklė .

Administratoriai gali leisti vieną iš šių keturių šio parametro parinkčių:

Parinktis Nustatymas Aprašą
1 Tik IP susiejimas Tai apriboja SAS raktus iki prašytojo IP.
2 Tik IP užkarda Tai riboja SAS klavišų naudojimą, kad jie veiktų tik administratoriaus nurodytame diapazone.
3 IP susiejimas ir ugniasienė Tai riboja SAS klavišų naudojimą, kad jie veiktų administratoriaus nurodytame diapazone ir tik iki prašytojo IP.
4 IP susiejimas arba ugniasienė Leidžia SAS raktus naudoti nurodytame diapazone. Jei užklausa pateikiama iš už diapazono ribų, taikomas IP susiejimas.

Pastaba.

Administratoriai, pasirinkę leisti IP užkardą (2, 3 ir 4 parinktys, išvardytos aukščiau esančioje lentelėje), turi įvesti savo tinklų IPv4 ir IPv6 diapazonus, kad užtikrintų tinkamą savo vartotojų aprėptį.

Produktai, užtikrinantys IP susiejimą, kai įjungta:

  • Dataverse
  • Power Automate
  • Pasirinktinėms jungtims
  • Power Apps

Poveikis vartotojo patirčiai

  • Kai naudotojas, kuris neatitinka aplinkos IP adreso apribojimų, atidaro programą: naudotojai gauna klaidos pranešimą, kuriame nurodoma bendroji IP problema.

  • Kai naudotojas, atitinkantis IP adreso apribojimus, atidaro programą: Įvyksta šie įvykiai:

    • Vartotojai gali gauti reklamjuostę, kuri greitai išnyks, pranešdama vartotojams, kad buvo nustatytas IP nustatymas, ir susisiekti su administratoriumi dėl išsamios informacijos arba atnaujinti puslapius, kurie praranda ryšį.
    • Dar svarbiau yra tai, kad dėl IP tikrinimo, kurį naudoja šis saugos nustatymas, kai kurios funkcijos gali veikti lėčiau nei tuo atveju, jei jos būtų išjungtos.

Programinis parametrų naujinimas

Administratoriai gali naudoti automatizavimą, kad nustatytų ir atnaujintų IP susiejimo ir užkardos nustatymą, IP diapazoną, kuris yra leidžiamas, ir perjungiklį Registravimas . Sužinokite daugiau vadovėlyje : Aplinkos valdymo parametrų kūrimas, naujinimas ir sąrašas.

SAS skambučių registravimas

Šis nustatymas leidžia visiems SAS Power Platform skambučiams prisijungti prie "Purview". Šis registravimas rodo atitinkamus visų kūrimo ir naudojimo įvykių metaduomenis ir gali būti įjungtas nepriklausomai nuo pirmiau nurodytų SAS IP apribojimų. Power Platform paslaugos šiuo metu priima SAS skambučius 2024 m.

Lauko pavadinimas Lauko aprašymas
response.status_message Informavimas, ar renginys buvo sėkmingas, ar ne: SASSuccess arba SASAuthorizationError.
response.status_code Informavimas, ar renginys buvo sėkmingas, ar ne: 200, 401 ar 500.
ip_binding_mode IP susiejimo režimas, kurį nustatė nuomotojo administratorius, jei jis įjungtas. Taikoma tik SAS kūrimo įvykiams.
admin_provided_ip_ranges IP diapazonai, kuriuos nustato nuomotojo administratorius, jei toks yra. Taikoma tik SAS kūrimo įvykiams.
computed_ip_filters Galutinis IP filtrų, susietų su SAS URI, rinkinys, pagrįstas IP susiejimo režimu ir nuomotojo administratoriaus nustatytais intervalais. Taikoma tiek SAS kūrimo, tiek naudojimo įvykiams.
analytics.resource.sas.uri Duomenys, kuriuos buvo bandoma pasiekti arba sukurti.
enduser.ip_address Viešasis skambinančiojo IP.
analytics.resource.sas.operation_id Unikalus identifikatorius iš kūrimo įvykio. Paieška pagal tai rodo visus naudojimo ir kūrimo įvykius, susijusius su SAS skambučiais iš kūrimo įvykio. Susieta su "x-ms-sas-operation-id" atsakymas antrašte.
request.service_request_id Užklausos arba atsakymas unikalus identifikatorius, kurį galima naudoti ieškant vieno įrašo. Susieta su "x-ms-service-request-id" atsakymas antrašte.
versija Šios žurnalo schemos versija.
tipas Bendrieji atsakymas.
analytics.activity.name Šio įvykio veiklos rūšis: Kūrimas arba naudojimas.
analytics.activity.id Unikalus įrašo ID programoje "Purview".
analytics.resource.organization.id Organizacijos ID
analytics.resource.environment.id Aplinkos ID
analytics.resource.tenant.id „“ nuomotojo ID
enduser.id GUID iš Microsoft Entra kūrėjo ID iš kūrimo įvykio.
enduser.principal_name Kūrėjo UPN / el. pašto adresas. Naudojimo įvykiams tai yra bendroji atsakymas: "system@powerplatform".
enduser.role Bendrieji atsakymas: Reguliarus kūrimo įvykiams ir Sistema naudojimo įvykiams.

Tikrinimo duomenų registravimo įjungimas

Kad žurnalai būtų rodomi jūsų "Purview" egzemplioriuje, pirmiausia turite jį pasirinkti kiekvienoje aplinkoje, kurios žurnalus norite naudoti. Šį parametrą administravimo centre Power Platform gali atnaujinti nuomotojo administratorius.

  1. Eikite į Power Platform administravimo centrą ir prisijunkite naudodami nuomotojo administratoriaus kredencialus.
  2. Kairiojoje naršymo srityje pasirinkite Aplinkos.
  3. Pasirinkite aplinką, kurioje norite įjungti administratoriaus registravimą.
  4. pasirinkti Nustatymai komandų juostoje.
  5. Pasirinkite Produkto>privatumas + sauga.
  6. Dalyje Saugyklos bendrinamos prieigos parašo (SAS) saugos parametrai (peržiūros versija) įjunkite funkciją Įgalinti SAS prisijungimą naudojant "Purview ".

Audito žurnalų ieška

Nuomotojo administratoriai gali naudoti Purview, kad peržiūrėtų SAS operacijų audito žurnalus, ir gali patys diagnozuoti klaidas, kurios gali būti grąžintos kilus IP tikrinimo problemoms. "Purview" žurnalai yra patikimiausias sprendimas.

Atlikite toliau nurodytus veiksmus, kad nustatytumėte problemas arba geriau suprastumėte SAS naudojimo modelius savo nuomotojuje.

  1. Įsitikinkite, kad įjungtas aplinkos audito registravimas. Žiūrėkite Įjungti tiksliosios peržiūros audito registravimą.

  2. Eikite į Microsoft peržiūros atitikties portalą ir prisijunkite naudodami nuomotojo administratoriaus kredencialus.

  3. Kairiojoje naršymo srityje pasirinkite Tikrinti. Jei ši parinktis jums nepasiekiama, tai reiškia, kad prisijungęs vartotojas neturi administratoriaus prieigos prie užklausų audito žurnalų.

  4. Pasirinkite datą ir laiko intervalą UTC, kai bandote ieškoti žurnalų. Pavyzdžiui, kai buvo grąžinta 403 uždrausta klaida su unauthorized_caller klaidos kodu.

  5. Išskleidžiamajame sąraše Veikla - draugiški pavadinimai ieškokite Power Platform saugojimo operacijų ir pasirinkite Sukurtas SAS URI ir Naudotas SAS URI.

  6. Nurodykite raktinį žodį raktinių žodžių paieškoje . Žiūrėkite Pradėkite ieškoti "Purview" dokumentacijoje, kad sužinotumėte daugiau apie šį lauką. Galite naudoti reikšmę iš bet kurio iš anksčiau pateiktoje lentelėje aprašytų laukų, atsižvelgiant į jūsų scenarijų, tačiau toliau pateikiami rekomenduojami laukai, kuriuose reikia ieškoti (pirmenybės tvarka):

    • X-ms-service-request-id atsakymas antraštės reikšmė . Tai filtruoja rezultatus pagal vieną SAS URI kūrimo įvykį arba vieną SAS URI naudojimo įvykį, atsižvelgiant į tai, iš kurio užklausos tipo yra antraštė. Tai naudinga tiriant 403 uždraustą klaidą, grąžintą vartotojui. Jis taip pat gali būti naudojamas norint patraukti powerplatform.analytics.resource.sas.operation_id vertę.
    • X-ms-sas-operation-id atsakymas antraštės reikšmė . Tai filtruoja rezultatus į vieną SAS URI kūrimo įvykį ir vieną ar daugiau to SAS URI naudojimo įvykių, atsižvelgiant į tai, kiek kartų jis buvo pasiektas. Jis susiejamas su powerplatform.analytics.resource.sas.operation_id lauku.
    • Pilnas arba dalinis SAS URI, atėmus parašą. Tai gali grąžinti daug SAS URI kūrinių ir daug SAS URI naudojimo įvykių, nes to paties URI galima paprašyti generuoti tiek kartų, kiek reikia.
    • Skambintojo IP adresas. Grąžina visus to IP kūrimo ir naudojimo įvykius.
    • Aplinkos ID. Tai gali grąžinti didelį duomenų rinkinį, kuris gali apimti daugybę skirtingų pasiūlymų Power Platform, todėl, jei įmanoma, venkite arba apsvarstykite galimybę susiaurinti paieškos langą.

    Įspėjimas

    Nerekomenduojame ieškoti pagrindinio vartotojo vardo arba objekto ID, nes jie platinami tik kūrimo, o ne naudojimo įvykiams.

  7. Pasirinkite Ieškoti ir palaukite, kol pasirodys rezultatai.

    Nauja ieška

Įspėjimas

Prisijungimas prie "Purview" gali būti atidėtas iki valandos ar ilgiau, todėl atminkite tai ieškodami naujausių įvykių.

403 uždraustos / unauthorized_caller klaidos trikčių šalinimas

Galite naudoti kūrimo ir naudojimo žurnalus, kad nustatytumėte, kodėl skambutis sukeltų 403 uždraustą klaidą su unauthorized_caller klaidos kodu.

  1. Raskite žurnalus "Purview", kaip aprašyta ankstesniame skyriuje. Apsvarstykite galimybę kaip paieškos raktinį žodį naudoti x-ms-service-request-id arba x-ms-sas-operation-id iš atsakymas antraščių.
  2. Atidarykite naudojimo įvykį, Naudotas SAS URI, ir ieškokite lauko powerplatform.analytics.resource.sas.computed_ip_filters dalyje PropertyCollection. Šis IP diapazonas yra tai, ką SAS skambutis naudoja, kad nustatytų, ar užklausa leidžiama tęsti, ar ne.
  3. Palyginkite šią vertę su žurnalo IP adreso lauku, kurio turėtų pakakti norint nustatyti, kodėl užklausa nepavyko.
  4. Jei manote, kad powerplatform.analytics.resource.sas.computed_ip_filters reikšmė neteisinga, atlikite kitus veiksmus.
  5. Atidarykite kūrimo įvykį,Sukurtas SAS URI atsakymas naudodami x-ms-sas-operation-id antraštės reikšmę (arba powerplatform.analytics.resource.sas.operation_id lauko reikšmę iš kūrimo žurnalo).
  6. Gaukite powerplatform.analytics.resource.sas.ip_binding_mode lauko vertę . Jei jo nėra arba jis tuščias, tai reiškia, kad IP susiejimas toje aplinkoje nebuvo įjungtas tos konkrečios užklausos pateikimo metu.
  7. Gaukite powerplatform.analytics.resource.sas.admin_provided_ip_ranges vertę. Jei jo nėra arba jis tuščias, tai reiškia, kad IP užkardos diapazonai nebuvo nurodyti tai aplinkai tos konkrečios užklausos metu.
  8. Gaukite powerplatform.analytics.resource.sas.computed_ip_filters vertę, kuri turėtų būti identiška naudojimo įvykiui ir gaunama remiantis IP susiejimorežimu ir administratoriaus pateiktais IP ugniasienės diapazonais. Žiūrėkite išvedimo logiką Duomenų saugojimas ir valdymas in Power Platform.

Tai turėtų suteikti nuomotojo administratoriams pakankamai informacijos, kad jie galėtų ištaisyti bet kokią netinkamą IP susiejimo nustatymų konfigūraciją aplinkoje.

Įspėjimas

SAS IP susiejimo aplinkos nustatymų pakeitimai gali užtrukti mažiausiai 30 minučių. Tai gali būti daugiau, jei partnerių komandos turi savo talpyklą.

Saugumas Microsoft Power Platform
Paslaugų autentifikavimas Power Platform
Prijungimas ir autentifikavimas prie duomenų šaltinių
Power Platform DUK apie saugumą

Taip pat žr.