Duomenų saugojimas ir valdymas „Power Platform”
Pirmiausia svarbu atskirti asmeninius duomenis nuo kliento duomenų.
Asmeniniai duomenys yra informacija apie žmones, pagal kurią galima juos identifikuoti.
Kliento duomenys apima asmeninius duomenis ir kitą kliento informaciją, įskaitant URL, metaduomenis ir darbuotojų autentifikavimo informaciją, pvz., DNS vardus.
Duomenų saugojimas
Nuomotojas Microsoft Entra saugo informaciją, susijusią su organizacija ir jos sauga. Kai nuomotojas Microsoft Entra prisiregistruoja gauti Power Platform paslaugas, nuomotojo pasirinkta šalis ar regionas susiejamas su tinkamiausia "Azure" geografija, kurioje yra diegimas Power Platform . „Power Platform” saugo kliento duomenis, esančius nuomininkui priskirtoje „Azure" geografinėje vietovėje arba namų vietovėje, išskyrus atvejus, kai organizacijos teikia paslaugas keliuose regionuose.
Kai kurios organizacijos veikia visame pasaulyje. Pavyzdžiui, įmonės pagrindinė būstinė gali būti JAV, bet verslas gali būti vykdomas Australijoje. Gali prireikti tam tikrus „Power Platform” duomenis saugoti Australijoje, kad būtų laikomasi vietinių nuostatų. Kai „Power Platform” paslaugos diegiamos daugiau nei vienoje „Azure” geografinėje vietovėje, jos vadinamos kelių geografinių objektų diegimu. Tokiu atveju namų geografinėje srityje saugomi tik su aplinka susiję metaduomenys. Visi tos aplinkos metaduomenys ir produktų duomenys saugomi nuotolinėse geografinėse aplinkose.
„Microsoft” gali replikuoti duomenis kituose regionuose, kad duomenys būtų tinkamai apsaugoti. Tačiau nereplikuojame ir neperkeliame asmeninių duomenų už geografinės teritorijos ribų. Į kitus regionus replikuojamuose duomenyse gali būti neasmeninių duomenų, pvz., darbuotojų autentifikavimo informacijos.
„Power Platform” paslaugos teikiamos konkrečiose „Azure” geografinėse vietovėse. Norėdami gauti daugiau informacijos apie tai, kur teikiamos „Power Platform” paslaugos, kur saugomi jūsų duomenys ir kaip jie naudojami, eikite į " „Microsoft” pasitikėjimo centrą. Įsipareigojimai, susiję su klientų duomenų saugojimo vieta, nurodyti Duomenų tvarkymo sąlygose, pateikti „Microsoft” internetinėse paslaugose. „Microsoft” taip pat teikia duomenų centrus nepriklausomiems subjektams.
Duomenų tvarkymas
Šiame skyriuje apibrėžiama, „Power Platform” saugo, apdoroja ir perkelia klientų duomenis.
Neaktyvūs duomenys
Jei dokumentuose nenurodyta kitaip, klientų duomenys lieka pradiniame šaltinyje (pvz., „Dataverse” arba „SharePoint”). Programa „Power Platform” saugojama „Azure” saugykloje kaip aplinkos dalis. Mobiliųjų įrenginių programose naudojami duomenys užšifruojami ir saugomi „SQL Express”. Daugeliu atvejų programos naudoja „Azure” saugyklą „Power Platform” paslaugų duomenims išsaugoti ir „Azure SQL” duomenų bazę paslaugų metaduomenims išsaugoti. Programos vartotojų įvesti duomenys saugomi atitinkamame paslaugos duomenų šaltinyje, pvz., „Dataverse”.
Visi „Power Platform” išsaugomi duomenys pagal numatytuosius nustatymus šifruojami naudojant „Microsoft” valdomus raktus. „Azure SQL” duomenų bazėje saugomi klientų duomenys yra visiškai užšifruojami naudojant „Azure SQL” Skaidrią duomenų šifravimo (TDE) technologiją. „Azure Blob” saugykloje saugomi klientų duomenys šifruojami naudojant „Azure Storage Encryption”.
Apdorojami duomenys...
Duomenys apdorojami, kai jie naudojami kaip interaktyviojo scenarijaus dalis arba kai fone vyksta su jais susijęs procesas, pvz., atnaujinimas. „Power Platform” įkelia apdorojamus duomenis į vienos ar kelių paslaugų darbo krūvių atminties vietą. Siekiant palengvinti darbo krūvio funkcionalumą, atmintyje saugomi duomenys nėra užšifruojami.
Perduodami duomenys
„Power Platform” reikalauja, kad visas gaunamas HTTP srautas būtų užšifruojamas naudojant TLS 1.2 ar aukštesnę versiją. Užklausos, kurios bando naudoti TLS 1.1 ar žemesnę versiją, yra atmetamos.
išplėstinės saugos funkcijos
Kai kurioms „Power Platform” išplėstinėms saugos funkcijoms taikomi konkretūs licencijavimo reikalavimai.
Aptarnavimo žymė
Aptarnavimo žymė yra nurodytos „Azure" paslaugos IP adresų priešdėlių grupė. Galite naudoti aptarnavimo žymes tinklo prieigos kontrolei Tinklo saugumo grupėse arba „Azure Firewall” apibrėžti.
Aptarnavimo žymės padeda minimizuoti dažnai atnaujinamų tinklo saugos taisyklių sudėtingumą. Kurdami saugos taisykles, kurios, pvz., leidžia arba draudžia srautą atitinkamai paslaugai, galite naudoti aptarnavimo žymes vietoje konkrečių IP adresų.
„Microsoft” tvarko adresų priešdėlius, kuriuos apima aptarnavimo žymė, ir automatiškai atnaujina aptarnavimo žymę, kai adresai keičiasi. Daugiau informacijos rasite čia: „Azure“ IP intervalai ir paslaugų žymės – viešasis debesis.
Duomenų praradimo prevencija
„Power Platform” turi daug Duomenų praradimo prevencijos (DLP) funkcijų, kad padėtų jums valdyti jūsų duomenų saugą.
Saugyklos bendrinamos prieigos parašo (SAS) IP apribojimas
Pastaba.
Prieš suaktyvindami bet kurią iš šių SAS funkcijų, klientai pirmiausia turi leisti prieigą prie domeno https://*.api.powerplatformusercontent.com , kitaip dauguma SAS funkcijų neveiks.
Šis funkcijų rinkinys yra nuomotojui būdinga funkcija, kuri riboja saugyklos bendrinamos prieigos parašo (SAS) atpažinimo ženklus ir yra valdoma per administravimo centro meniu Power Platform . Šis nustatymas riboja, kas, remdamasis IP, gali naudoti įmonės SAS žetonus.
Ši funkcija šiuo metu yra privačioje peržiūros versija. Viešoji peržiūros versija planuojama dar šį pavasarį, o bendras prieinamumas – 2024 m. vasarą. Daugiau informacijos rasite Leidimų planavimo priemonė.
Šiuos parametrus galima rasti aplinkos privatumo + saugos nustatymuose administravimo centre. Turite įjungti taisyklę Įgalinti IP adresu pagrįstą saugyklą Bendrinamos prieigos parašo (SAS) taisyklė .
Administratoriai gali įjungti vieną iš šių keturių šio parametro konfigūracijų:
| Nustatymas | Aprašą |
|---|---|
| Tik IP susiejimas | Tai apriboja SAS raktus iki prašytojo IP. |
| Tik IP užkarda | Tai riboja SAS klavišų naudojimą, kad jie veiktų tik administratoriaus nurodytame diapazone. |
| IP susiejimas ir ugniasienė | Tai riboja SAS klavišų naudojimą, kad jie veiktų administratoriaus nurodytame diapazone ir tik iki prašytojo IP. |
| IP susiejimas arba ugniasienė | Leidžia SAS raktus naudoti nurodytame diapazone. Jei užklausa pateikiama iš už diapazono ribų, taikomas IP susiejimas. |
Produktai, užtikrinantys IP susiejimą, kai įjungta:
- Dataverse
- Power Automate
- Pasirinktinėms jungtims
- Power Apps
Poveikis vartotojo patirčiai
Kai naudotojas, kuris neatitinka aplinkos IP adreso apribojimų, atidaro programą: naudotojai gauna klaidos pranešimą, kuriame nurodoma bendroji IP problema.
Kai naudotojas, atitinkantis IP adreso apribojimus, atidaro programą: Įvyksta šie įvykiai:
- Vartotojai gali gauti reklamjuostę, kuri greitai išnyks, pranešdama vartotojams, kad buvo nustatytas IP nustatymas, ir susisiekti su administratoriumi dėl išsamios informacijos arba atnaujinti puslapius, kurie praranda ryšį.
- Dar svarbiau yra tai, kad dėl IP tikrinimo, kurį naudoja šis saugos nustatymas, kai kurios funkcijos gali veikti lėčiau nei tuo atveju, jei jos būtų išjungtos.
SAS skambučių registravimas
Šis nustatymas leidžia visiems SAS Power Platform skambučiams prisijungti prie "Purview". Šis registravimas rodo atitinkamus visų kūrimo ir naudojimo įvykių metaduomenis ir gali būti įjungtas nepriklausomai nuo pirmiau nurodytų SAS IP apribojimų. Power Platform paslaugos šiuo metu priima SAS skambučius 2024 m.
| Lauko pavadinimas | Lauko aprašymas |
|---|---|
| response.status_message | Informavimas, ar renginys buvo sėkmingas, ar ne: SASSuccess arba SASAuthorizationError. |
| response.status_code | Informavimas, ar renginys buvo sėkmingas, ar ne: 200, 401 ar 500. |
| ip_binding_mode | IP susiejimo režimas, kurį nustatė nuomotojo administratorius, jei jis įjungtas. Taikoma tik SAS kūrimo įvykiams. |
| admin_provided_ip_ranges | IP diapazonai, kuriuos nustato nuomotojo administratorius, jei toks yra. Taikoma tik SAS kūrimo įvykiams. |
| computed_ip_filters | Galutinis IP filtrų, susietų su SAS URI, rinkinys, pagrįstas IP susiejimo režimu ir nuomotojo administratoriaus nustatytais intervalais. Taikoma tiek SAS kūrimo, tiek naudojimo įvykiams. |
| analytics.resource.sas.uri | Duomenys, kuriuos buvo bandoma pasiekti arba sukurti. |
| enduser.ip_address | Viešasis skambinančiojo IP. |
| analytics.resource.sas.operation_id | Unikalus identifikatorius iš kūrimo įvykio. Paieška pagal tai rodo visus naudojimo ir kūrimo įvykius, susijusius su SAS skambučiais iš kūrimo įvykio. Susieta su "x-ms-sas-operation-id" atsakymas antrašte. |
| request.service_request_id | Užklausos arba atsakymas unikalus identifikatorius, kurį galima naudoti ieškant vieno įrašo. Susieta su "x-ms-service-request-id" atsakymas antrašte. |
| versija | Šios žurnalo schemos versija. |
| tipas | Bendrieji atsakymas. |
| analytics.activity.name | Šio įvykio veiklos rūšis: Kūrimas arba naudojimas. |
| analytics.activity.id | Unikalus įrašo ID programoje "Purview". |
| analytics.resource.organization.id | Organizacijos ID |
| analytics.resource.environment.id | Aplinkos ID |
| analytics.resource.tenant.id | „“ nuomotojo ID |
| enduser.id | GUID iš Microsoft Entra kūrėjo ID iš kūrimo įvykio. |
| enduser.principal_name | Kūrėjo UPN / el. pašto adresas. Naudojimo įvykiams tai yra bendroji atsakymas: "system@powerplatform". |
| enduser.role | Bendrieji atsakymas: Reguliarus kūrimo įvykiams ir Sistema naudojimo įvykiams. |
Susiję straipsniai
Sauga Microsoft Power Platform
„Power Platform“ paslaugų autentifikavimas
Prisijungimas prie duomenų šaltinių ir autentifikavimas
Power Platform saugos DUK
Taip pat žr.
Atsiliepimai
Jau greitai: 2024 m. palaipsniui atsisakysime „GitHub“ problemų, kaip turiniui taikomo atsiliepimų mechanizmo, ir pakeisime jį nauja atsiliepimų sistema. Daugiau informacijos žr. https://aka.ms/ContentUserFeedback.
Pateikti ir peržiūrėti atsiliepimą, skirtą