Nata
Norint pasiekti šį puslapį, reikalingas leidimas. Galite pabandyti prisijungti arba pakeisti katalogus.
Norint pasiekti šį puslapį, reikalingas leidimas. Galite pabandyti pakeisti katalogus.
Power Platform tvarko tiek asmens duomenis , tiekklientų duomenis. Sužinokite daugiau apie asmeninius duomenis ir klientų duomenis " Microsoft" patikimumo centre.
Duomenų saugojimas
Nuomininkas Microsoft Entra saugo informaciją, susijusią su organizacija ir jos saugumu. Kai Microsoft Entra nuomotojas prisiregistruoja paslaugoms Power Platform , nuomotojo pasirinkta šalis arba regionas susiejamas su tinkamiausia "Azure" geografine vieta, kurioje Power Platform yra diegimas. Power Platform saugo klientų duomenis nuomotojui priskirtoje "Azure" geografinėje arba namų geografinėje vietovėje , nebent organizacijos diegia paslaugas keliuose regionuose.
Kai kurios organizacijos veikia visame pasaulyje. Pavyzdžiui, įmonės būstinė gali būti Jungtinėse Amerikos Valstijose, bet verslas vykdomas Australijoje. Gali prireikti tam tikrus „Power Platform” duomenis saugoti Australijoje, kad būtų laikomasi vietinių nuostatų. Kai „Power Platform” paslaugos diegiamos daugiau nei vienoje „Azure” geografinėje vietovėje, jos vadinamos kelių geografinių objektų diegimu. Tokiu atveju namų geografinėje srityje saugomi tik su aplinka susiję metaduomenys. Visi tos aplinkos metaduomenys ir produktų duomenys saugomi nuotolinėse geografinėse aplinkose.
Power Platform paslaugos pasiekiamos tam tikrose "Azure" geografinėse vietovėse. Norėdami gauti daugiau informacijos apie tai, kur Power Platform pasiekiamos tarnybos, kur saugomi ir replikuojami jūsų duomenys, kad jie būtų atsparūs, ir kaip jie naudojami, eikite į "Microsoft" patikimumo centrą. Įsipareigojimai dėl neveikiančių klientų duomenų vietos yra nurodyti "Microsoft" internetinių paslaugų sąlygų duomenų apdorojimo sąlygose. „Microsoft” taip pat teikia duomenų centrus nepriklausomiems subjektams.
Duomenų tvarkymas
Šiame skyriuje apibrėžiama, „Power Platform” saugo, apdoroja ir perkelia klientų duomenis.
Neaktyvūs duomenys
Jei dokumentuose nenurodyta kitaip, klientų duomenys lieka pradiniame šaltinyje (pvz., „Dataverse” arba „SharePoint”). Power Platform programos saugomos "Azure" saugykloje kaip aplinkos dalis. Mobiliųjų programų duomenys užšifruojami ir saugomi "SQL Express". Daugeliu atvejų programos naudoja „Azure” saugyklą „Power Platform” paslaugų duomenims išsaugoti ir „Azure SQL” duomenų bazę paslaugų metaduomenims išsaugoti. Programos vartotojų įvesti duomenys saugomi atitinkamame paslaugos duomenų šaltinyje, pvz., „Dataverse”.
Power Platform pagal numatytuosius nustatymus užšifruoja visus išliekančius duomenis naudojant "Microsoft" valdomus raktus. „Azure SQL” duomenų bazėje saugomi klientų duomenys yra visiškai užšifruojami naudojant „Azure SQL” Skaidrią duomenų šifravimo (TDE) technologiją. „Azure Blob” saugykloje saugomi klientų duomenys šifruojami naudojant „Azure Storage Encryption”.
Apdorojami duomenys...
Duomenys apdorojami, kai jie naudojami kaip interaktyviojo scenarijaus dalis arba kai fone vyksta su jais susijęs procesas, pvz., atnaujinimas. „Power Platform” įkelia apdorojamus duomenis į vienos ar kelių paslaugų darbo krūvių atminties vietą. Siekiant palengvinti darbo krūvio funkcionalumą, atmintyje saugomi duomenys nėra užšifruojami.
Perduodami duomenys
Power Platform užšifruoja visą gaunamą HTTP srautą naudojant TLS 1.2 ar naujesnę versiją. Užklausos, kurios bando naudoti TLS 1.1 ar žemesnę versiją, yra atmetamos.
išplėstinės saugos funkcijos
Kai kurioms Power Platform išplėstinėms saugos funkcijoms gali būti taikomi specialūs licencijavimo reikalavimai.
Aptarnavimo žymė
Paslaugos žymė yra IP adreso priešdėlių grupė iš konkrečios "Azure" tarnybos. Galite naudoti aptarnavimo žymes tinklo prieigos kontrolei Tinklo saugumo grupėse arba „Azure Firewall” apibrėžti.
Aptarnavimo žymės padeda minimizuoti dažnai atnaujinamų tinklo saugos taisyklių sudėtingumą. Kurdami saugos taisykles, kurios, pvz., leidžia arba draudžia srautą atitinkamai paslaugai, galite naudoti aptarnavimo žymes vietoje konkrečių IP adresų.
"Microsoft" tvarko paslaugos žymoje esančius adresų priešdėlius ir automatiškai atnaujina juos keičiantis adresams. Daugiau informacijos rasite čia: „Azure“ IP intervalai ir paslaugų žymės – viešasis debesis.
Duomenų strategijos
"Power Platform" apima išsamias duomenų strategijos funkcijas , padedančias valdyti duomenų saugą.
Saugyklos bendrosios prieigos parašo (SAS) IP apribojimas
Pastaba.
Prieš aktyvuodami bet kurią iš šių SAS funkcijų, klientai pirmiausia turi suteikti prieigą prie https://*.api.powerplatformusercontent.com domeno, kitaip dauguma SAS funkcijų neveiks.
Šis funkcijų rinkinys yra specifinė nuomotojo funkcija, apribojanti saugyklos bendrosios prieigos parašo (SAS) atpažinimo ženklus ir valdoma administravimo centro Power Platform meniu. Šis parametras riboja, kas pagal IP (IPv4 ir IPv6) gali naudoti įmonės SAS atpažinimo ženklus.
Šiuos parametrus galite rasti aplinkos privatumo + saugos parametruose administravimo centre. Turite įjungti parinktį Įgalinti IP adresu pagrįstą saugyklos bendrosios prieigos parašą (SAS) taisyklę .
Administratoriai gali pasirinkti vieną iš šių keturių šio parametro parinkčių:
| Parinktis | Nustatymas | Aprašą |
|---|---|---|
| 1 | Tik IP susiejimas | Tai apriboja SAS raktus iki užklausos teikėjo IP. |
| 2 | Tik IP ugniasienė | Tai apriboja SAS raktų naudojimą tik administratoriaus nurodytame diapazone. |
| 3 | IP susiejimas ir ugniasienė | Tai apriboja SAS raktų naudojimą administratoriaus nurodytame diapazone ir tik užklausos teikėjo IP. |
| 4 | IP susiejimas arba ugniasienė | Leidžia naudoti SAS raktus nurodytame diapazone. Jei užklausa gaunama iš už diapazono ribų, taikomas IP susiejimas. |
Pastaba.
Administratoriai, pasirinkę leisti IP užkardą (2, 3 ir 4 parinktys, nurodytos aukščiau esančioje lentelėje), turi įvesti savo tinklų IPv4 ir IPv6 diapazonus, kad užtikrintų tinkamą vartotojų aprėptį.
Įspėjimas
1 ir 3 parinktys naudoja IP susiejimą, kuris neveikia tinkamai, jei klientai savo tinkluose naudoja IP telkinius, atvirkštinį tarpinį serverį arba tinklo adresų vertimą (NAT). Dėl to vartotojo IP adresas keičiasi per dažnai, kad užklausos teikėjas galėtų patikimai turėti tą patį IP tarp SAS skaitymo/rašymo operacijų.
2 ir 4 variantai veikia taip, kaip numatyta.
Produktai, įgalinantys IP susiejimą, kai įjungta:
- Dataverse
- Power Automate
- Pasirinktinėms jungtims
- Power Apps
Poveikis vartotojo patirčiai
Kai naudotojas, neatitinkantis aplinkos IP adreso apribojimų, atidaro programą: naudotojai gauna klaidos pranešimą, kuriame nurodoma bendroji IP problema.
Kai naudotojas, atitinkantis IP adreso apribojimus, atidaro programą: Įvyksta šie įvykiai:
- Vartotojai gali gauti reklamjuostę, kuri greitai išnyks, pranešdama vartotojams, kad nustatytas IP nustatymas, ir susisiekti su administratoriumi dėl išsamesnės informacijos arba atnaujinti visus puslapius, kurie praranda ryšį.
- Dar svarbiau, kad dėl IP tikrinimo, kurį naudoja šis saugos parametras, kai kurios funkcijos gali veikti lėčiau nei išjungus.
Programiškai atnaujinkite nustatymus
Administratoriai gali naudoti automatizavimą, kad nustatytų ir atnaujintų IP susiejimo ir užkardos parametrus, leidžiamą IP diapazoną ir perjungiklį Registravimas . Sužinokite daugiau mokymo programoje: aplinkos valdymo parametrų kūrimas, naujinimas ir sąrašas.
SAS skambučių registravimas
Šis nustatymas leidžia prisijungti prie "Purview" visų Power Platform SAS skambučių. Šis registravimas rodo atitinkamus visų kūrimo ir naudojimo įvykių metaduomenis ir gali būti įjungtas nepriklausomai nuo aukščiau nurodytų SAS IP apribojimų. Power Platform šiuo metu paslaugos priima SAS skambučius 2024 m.
| Lauko pavadinimas | Lauko aprašymas |
|---|---|
| response.status_message | Informavimas, ar įvykis buvo sėkmingas, ar ne: SASSuccess arba SASAuthorizationError. |
| response.status_code | Informavimas, ar renginys buvo sėkmingas, ar ne: 200, 401 ar 500. |
| ip_binding_mode | IP susiejimo režimas, kurį nustato nuomotojo administratorius, jei įjungtas. Taikoma tik SAS kūrimo įvykiams. |
| admin_provided_ip_ranges | IP diapazonai, kuriuos nustato nuomotojo administratorius, jei yra. Taikoma tik SAS kūrimo įvykiams. |
| computed_ip_filters | Galutinis IP filtrų rinkinys, susietas su SAS URI, pagrįstas IP susiejimo režimu ir nuomotojo administratoriaus nustatytais diapazonais. Taikoma ir SAS kūrimo, ir naudojimo įvykiams. |
| analytics.resource.sas.uri | Duomenys, kuriuos bandyta pasiekti arba sukurti. |
| enduser.ip_address | Viešasis skambinančiojo IP. |
| analytics.resource.sas.operation_id | Unikalus kūrimo įvykio identifikatorius. Ieškant pagal tai rodomi visi naudojimo ir kūrimo įvykiai, susiję su SAS iškvietimais iš kūrimo įvykio. Susieta su atsakymo antrašte "x-ms-sas-operation-id". |
| request.service_request_id | Unikalus užklausos arba atsakymo identifikatorius, kurį galima naudoti ieškant vieno įrašo. Susieta su atsakymo antrašte "x-ms-service-request-id". |
| versija | Šios žurnalo schemos versija. |
| tipas | Bendras atsakymas. |
| analytics.activity.name | Šio įvykio veiklos tipas: Kūrimas arba Naudojimas. |
| analytics.activity.id | Unikalus įrašo ID programoje "Purview". |
| analytics.resource.organization.id | Organizacijos ID |
| analytics.resource.environment.id | Aplinkos ID |
| analytics.resource.tenant.id | „“ nuomotojo ID |
| enduser.id | GUID iš Microsoft Entra kūrėjo ID iš kūrimo įvykio. |
| enduser.principal_name | Kūrėjo UPN / el. pašto adresas. Naudojimo įvykiams tai yra bendras atsakymas: "system@powerplatform". |
| Galutinis vartotojas.vaidmuo | Bendrasis atsakymas: Reguliarus kūrimo įvykiams ir Sistema naudojimo įvykiams. |
"Purview" audito registravimo įjungimas
Kad žurnalai būtų rodomi jūsų "Purview" egzemplioriuje, pirmiausia turite jį pasirinkti kiekvienoje aplinkoje, kuriai norite žurnalų. Šį parametrą Power Platform administravimo centre gali atnaujinti nuomotojo administratorius.
- Prisijunkite prie "Power Platform" administravimo centro naudodami nuomotojo administratoriaus kredencialus.
- Naršymo srityje pasirinkite Valdyti.
- Srityje Valdyti pasirinkite Aplinkos.
- Pasirinkite aplinką, kurioje norite įjungti administratoriaus registravimą.
- Komandų juostoje pasirinkite Nustatymai .
- Pasirinkite Produkto>privatumas + sauga.
- Dalyje Saugyklos bendrosios prieigos parašo (SAS) saugos parametrai (peržiūra) įjunkite funkciją Įgalinti SAS registravimą Purview .
Ieškoti audito žurnalų
Nuomotojų administratoriai gali naudoti "Purview", kad peržiūrėtų SAS operacijų audito žurnalus, ir patys diagnozuoti klaidas, kurios gali būti pateiktos IP tikrinimo problemose. "Purview" rąstai yra patikimiausias sprendimas.
Atlikite toliau nurodytus veiksmus, kad diagnozuotumėte problemas arba geriau suprastumėte SAS naudojimo modelius nuomotojuje.
Įsitikinkite, kad audito registravimas įjungtas aplinkoje. Žr . "Purview" audito registravimo įjungimas.
Eikite į "Microsoft Purview" atitikties portalą ir prisijunkite naudodami nuomotojo administratoriaus kredencialus.
Kairiojoje naršymo srityje pasirinkite Auditas. Jei ši parinktis jums nepasiekiama, tai reiškia, kad prisijungęs vartotojas neturi administratoriaus prieigos prie užklausų audito žurnalų.
Pasirinkite datos ir laiko intervalą UTC, kad ieškotumėte žurnalų. Pavyzdžiui, kai buvo grąžinta klaida 403 Forbidden su unauthorized_caller klaidos kodu.
Išplečiamajame sąraše Veiklos – draugiški pavadinimai ieškokite Power Platform saugojimo operacijų ir pasirinkite Sukurtas SAS URI ir Naudotas SAS URI.
Nurodykite raktinį žodį raktinių žodžių paieškoje . Norėdami sužinoti daugiau apie šį lauką, žr . Ieškos pradžia "Purview" dokumentacijoje. Galite naudoti reikšmę iš bet kurio iš anksčiau pateiktoje lentelėje aprašytų laukų, atsižvelgdami į scenarijų, tačiau toliau pateikiami rekomenduojami laukai, kuriuose reikia ieškoti (pirmenybių tvarka):
- Atsakymo antraštės x-ms-service-request-id reikšmė. Tai filtruoja rezultatus pagal vieną SAS URI kūrimo įvykį arba vieną SAS URI naudojimo įvykį, atsižvelgiant į tai, iš kokio tipo yra antraštė. Tai naudinga tiriant vartotojui grąžintą 403 Forbidden klaidą. Jis taip pat gali būti naudojamas norint paimti powerplatform.analytics.resource.sas.operation_id vertę.
- Atsakymo antraštės x-ms-sas-operation-id reikšmė. Tai filtruoja rezultatus pagal vieną SAS URI kūrimo įvykį ir vieną ar kelis to SAS URI naudojimo įvykius, atsižvelgiant į tai, kiek kartų jis buvo pasiektas. Jis susiejamas su powerplatform.analytics.resource.sas.operation_id lauku.
- Visas arba dalinis SAS URI, atėmus parašą. Tai gali grąžinti daug SAS URI kūrinių ir daug SAS URI naudojimo įvykių, nes to paties URI gali būti prašoma generuoti tiek kartų, kiek reikia.
- Skambinančiojo IP adresas. Pateikia visus to IP kūrimo ir naudojimo įvykius.
- Aplinkos ID. Tai gali pateikti didelį duomenų rinkinį, kuris gali apimti daugybę skirtingų pasiūlymų Power Platform, todėl, jei įmanoma, venkite arba apsvarstykite galimybę susiaurinti paieškos langą.
Įspėjimas
Nerekomenduojame ieškoti pagrindinio vartotojo vardo arba objekto ID, nes jie perduodami tik kūrimo įvykiams, o ne naudojimo įvykiams.
Pasirinkite Ieškoti ir palaukite, kol pasirodys rezultatai.
Įspėjimas
Prisijungimo įtraukimas į "Purview" gali būti atidėtas iki valandos ar ilgiau, todėl turėkite tai omenyje ieškodami naujausių įvykių.
403 uždraustos / unauthorized_caller klaidos trikčių šalinimas
Galite naudoti kūrimo ir naudojimo žurnalus, kad nustatytumėte, kodėl skambutis sukels 403 uždraustą klaidą su unauthorized_caller klaidos kodu.
- Raskite žurnalus programoje "Purview", kaip aprašyta ankstesniame skyriuje. Apsvarstykite galimybę naudoti x-ms-service-request-id arba x-ms-sas-operation-id iš atsakymų antraščių kaip ieškos raktažodį.
- Atidarykite naudojimo įvykį,Naudotas SAS URI ir ieškokite lauko powerplatform.analytics.resource.sas.computed_ip_filters dalyje PropertyCollection. Šis IP diapazonas yra tai, ką SAS skambutis naudoja nustatyti, ar užklausa yra įgaliota tęsti, ar ne.
- Palyginkite šią reikšmę su žurnalo lauku IP adresas , kurio turėtų pakakti norint nustatyti, kodėl užklausa nepavyko.
- Jei manote, kad powerplatform.analytics.resource.sas.computed_ip_filters reikšmė neteisinga, tęskite kitus veiksmus.
- Atidarykite kūrimo įvykį,Created SAS URI, ieškodami naudodami x-ms-sas-operation-id atsakymo antraštės reikšmę (arba lauko powerplatform.analytics.resource.sas.operation_id reikšmę iš kūrimo žurnalo).
- Gaukite powerplatform.analytics.resource.sas.ip_binding_mode lauko reikšmę . Jei jo trūksta arba jis tuščias, tai reiškia, kad IP susiejimas nebuvo įjungtas toje aplinkoje tos konkrečios užklausos metu.
- Gaukite powerplatform.analytics.resource.sas.admin_provided_ip_ranges vertę. Jei jo trūksta arba jis tuščias, tai reiškia, kad IP ugniasienės diapazonai nebuvo nurodyti toje aplinkoje tos konkrečios užklausos metu.
- Gaukite powerplatform.analytics.resource.sas.computed_ip_filters reikšmę, kuri turėtų būti identiška naudojimo įvykiui ir gaunama pagal IP susiejimo režimą ir administratoriaus pateiktus IP užkardos diapazonus. Žr. išvedimo logiką dalyje Duomenų saugykla ir valdymas Power Platform.
Ši informacija padeda nuomotojo administratoriams ištaisyti bet kokią klaidingą aplinkos IP susiejimo parametrų konfigūraciją.
Įspėjimas
SAS IP susiejimo aplinkos parametrų pakeitimai gali įsigalioti mažiausiai 30 minučių. Gali būti daugiau, jei partnerių komandos turėtų savo talpyklą.
Susiję straipsniai
Saugos apžvalga
Autentifikavimas Power Platform tarnybose
Prisijungimas prie duomenų šaltinių ir autentifikavimas
Power Platform DUK apie saugumą