Bendrinti naudojant

Duomenų saugojimas ir valdymas „Power Platform”

Pastaba.

Naujas ir patobulintas Power Platform administravimo centras dabar visuotinai pasiekiamas. Šiuo metu atnaujiname dokumentaciją, kad ji atspindėtų šiuos pakeitimus, todėl patikrinkite, ar gaunate naujausius naujinimus.

Pirmiausia svarbu atskirti asmeninius duomenis nuo kliento duomenų.

  • Asmens duomenys yra informacija apie asmenis, pagal kurią galima juos identifikuoti.

  • Klientų duomenys apima asmens duomenis ir kitą informaciją apie klientus, įskaitant URL, metaduomenis ir darbuotojų autentifikavimo informaciją, pvz., DNS vardus.

Duomenų saugojimas

Nuomininkas saugo informaciją, kuri yra svarbi organizacijai ir jos saugumui. Microsoft Entra Kai nuomininkas užsiregistruoja paslaugoms, nuomininko pasirinkta šalis arba regionas susiejamas su tinkamiausia „Azure“ geografija, kurioje yra diegimas. Microsoft Entra Power Platform Power Platform „Power Platform” saugo kliento duomenis, esančius nuomininkui priskirtoje „Azure" geografinėje vietovėje arba namų vietovėje, išskyrus atvejus, kai organizacijos teikia paslaugas keliuose regionuose.

Kai kurios organizacijos veikia visame pasaulyje. Pavyzdžiui, įmonės pagrindinė būstinė gali būti JAV, bet verslas gali būti vykdomas Australijoje. Gali prireikti tam tikrus „Power Platform” duomenis saugoti Australijoje, kad būtų laikomasi vietinių nuostatų. Kai „Power Platform” paslaugos diegiamos daugiau nei vienoje „Azure” geografinėje vietovėje, jos vadinamos kelių geografinių objektų diegimu. Tokiu atveju namų geografinėje srityje saugomi tik su aplinka susiję metaduomenys. Visi tos aplinkos metaduomenys ir produktų duomenys saugomi nuotolinėse geografinėse aplinkose.

„Microsoft” gali replikuoti duomenis kituose regionuose, kad duomenys būtų tinkamai apsaugoti. Tačiau nereplikuojame ir neperkeliame asmeninių duomenų už geografinės teritorijos ribų. Į kitus regionus replikuoti duomenys gali apimti neasmeninius duomenis, pvz., darbuotojų autentifikavimo informaciją.

„Power Platform” paslaugos teikiamos konkrečiose „Azure” geografinėse vietovėse. Norėdami gauti daugiau informacijos apie tai, kur teikiamos „Power Platform” paslaugos, kur saugomi jūsų duomenys ir kaip jie naudojami, eikite į " „Microsoft” pasitikėjimo centrą. Įsipareigojimai, susiję su klientų duomenų saugojimo vieta, nurodyti Duomenų tvarkymo sąlygose, pateikti „Microsoft” internetinėse paslaugose. „Microsoft” taip pat teikia duomenų centrus nepriklausomiems subjektams.

Duomenų tvarkymas

Šiame skyriuje apibrėžiama, „Power Platform” saugo, apdoroja ir perkelia klientų duomenis.

Neaktyvūs duomenys

Jei dokumentuose nenurodyta kitaip, klientų duomenys lieka pradiniame šaltinyje (pvz., „Dataverse” arba „SharePoint”). Programa „Power Platform” saugojama „Azure” saugykloje kaip aplinkos dalis. Mobiliųjų įrenginių programose naudojami duomenys užšifruojami ir saugomi „SQL Express”. Daugeliu atvejų programos naudoja „Azure” saugyklą „Power Platform” paslaugų duomenims išsaugoti ir „Azure SQL” duomenų bazę paslaugų metaduomenims išsaugoti. Programos vartotojų įvesti duomenys saugomi atitinkamame paslaugos duomenų šaltinyje, pvz., „Dataverse”.

Visi „Power Platform” išsaugomi duomenys pagal numatytuosius nustatymus šifruojami naudojant „Microsoft” valdomus raktus. „Azure SQL” duomenų bazėje saugomi klientų duomenys yra visiškai užšifruojami naudojant „Azure SQL” Skaidrią duomenų šifravimo (TDE) technologiją. „Azure Blob” saugykloje saugomi klientų duomenys šifruojami naudojant „Azure Storage Encryption”.

Apdorojami duomenys...

Duomenys apdorojami, kai jie naudojami kaip interaktyviojo scenarijaus dalis arba kai fone vyksta su jais susijęs procesas, pvz., atnaujinimas. „Power Platform” įkelia apdorojamus duomenis į vienos ar kelių paslaugų darbo krūvių atminties vietą. Siekiant palengvinti darbo krūvio funkcionalumą, atmintyje saugomi duomenys nėra užšifruojami.

Perduodami duomenys

„Power Platform” reikalauja, kad visas gaunamas HTTP srautas būtų užšifruojamas naudojant TLS 1.2 ar aukštesnę versiją. Užklausos, kurios bando naudoti TLS 1.1 ar žemesnę versiją, yra atmetamos.

išplėstinės saugos funkcijos

Kai kurioms „Power Platform” išplėstinėms saugos funkcijoms taikomi konkretūs licencijavimo reikalavimai.

Aptarnavimo žymė

Aptarnavimo žymė yra nurodytos „Azure" paslaugos IP adresų priešdėlių grupė. Galite naudoti aptarnavimo žymes tinklo prieigos kontrolei Tinklo saugumo grupėse arba „Azure Firewall” apibrėžti.

Aptarnavimo žymės padeda minimizuoti dažnai atnaujinamų tinklo saugos taisyklių sudėtingumą. Kurdami saugos taisykles, kurios, pvz., leidžia arba draudžia srautą atitinkamai paslaugai, galite naudoti aptarnavimo žymes vietoje konkrečių IP adresų.

„Microsoft” tvarko adresų priešdėlius, kuriuos apima aptarnavimo žymė, ir automatiškai atnaujina aptarnavimo žymę, kai adresai keičiasi. Daugiau informacijos rasite čia: „Azure“ IP intervalai ir paslaugų žymės – viešasis debesis.

Duomenų praradimo prevencija

„Power Platform” turi daug Duomenų praradimo prevencijos (DLP) funkcijų, kad padėtų jums valdyti jūsų duomenų saugą.

Saugyklos bendros prieigos parašo (SAS) IP apribojimas

Pastaba.

Prieš aktyvuodami bet kurią iš šių SAS funkcijų, klientai pirmiausia turi leisti prieigą prie ``domeno``, kitaip dauguma SAS funkcijų neveiks. https://*.api.powerplatformusercontent.com

Šis funkcijų rinkinys yra skirtas konkrečiam nuomininkui, ribojantis saugyklos bendros prieigos parašo (SAS) žetonus ir valdomas per administratoriaus centro meniu Power Platform . Šis nustatymas riboja, kas, remdamasis IP adresu (IPv4 ir IPv6), gali naudoti įmonės SAS prieigos raktus.

Šiuos nustatymus galite rasti aplinkos **Privatumo ir saugumo** nustatymuose, administravimo centre. Turite įjungti parinktį Įjungti IP adresu pagrįstą saugyklos bendros prieigos parašo (SAS) taisyklę .

Administratoriai gali leisti naudoti vieną iš šių keturių šio nustatymo parinkčių:

Parinktis Nustatymas Aprašą
1 Tik IP susiejimas Tai apriboja SAS raktus iki prašančiojo IP adreso.
2 Tik IP užkarda Tai apriboja SAS raktų naudojimą tik administratoriaus nurodytame diapazone.
3 IP susiejimas ir užkarda Tai apriboja SAS raktų naudojimą, kad jie veiktų administratoriaus nurodytame diapazone ir tik su užklausos pateikėjo IP adresu.
4 IP susiejimas arba užkarda Leidžia naudoti SAS raktus nurodytame diapazone. Jei užklausa gaunama iš už diapazono ribų, taikomas IP susiejimas.

Pastaba.

Administratoriai, kurie pasirinko leisti IP užkardą (2, 3 ir 4 parinktys, pateiktos aukščiau esančioje lentelėje), turi įvesti tiek savo tinklų IPv4, tiek IPv6 diapazonus, kad užtikrintų tinkamą savo naudotojų aprėptį.

Įspėjimas

1 ir 3 parinktys naudoja IP susiejimą, kuris neveikia tinkamai, jei klientų tinkluose naudojami IP telkiniai, atvirkštinis tarpinis serveris arba tinklo adresų vertimas (NAT) palaikantys šliuzai. Dėl to vartotojo IP adresas keičiasi per dažnai, kad užklausos pateikėjas galėtų patikimai turėti tą patį IP adresą tarp SAS skaitymo / rašymo operacijų.

2 ir 4 variantai veikia taip, kaip numatyta.

Produktai, kurie įjungia IP susiejimą, kai jis įjungtas:

  • Dataverse
  • Power Automate
  • Pasirinktinėms jungtims
  • Power Apps

Poveikis naudotojo patirčiai

  • Kai vartotojas, neatitinkantis aplinkos IP adreso apribojimų, atidaro programėlę: vartotojai gauna klaidos pranešimą, kuriame nurodoma bendra IP problema.

  • Kai vartotojas, kuris atitinka IP adreso apribojimus, atidaro programėlę: įvyksta šie įvykiai:

    • Vartotojai gali matyti greitai išnykstančią reklamjuostę, pranešančią, kad nustatytas IP nustatymas, ir raginančią susisiekti su administratoriumi dėl išsamesnės informacijos arba atnaujinti puslapius, kuriuose nutrūksta ryšys.
    • Dar svarbiau, kad dėl šio saugos nustatymo naudojamo IP patvirtinimo kai kurios funkcijos gali veikti lėčiau, nei jei jos būtų išjungtos.

Atnaujinti nustatymus programiškai

Administratoriai gali naudoti automatizavimą, kad nustatytų ir atnaujintų IP susiejimo ir užkardos nustatymus, leidžiamųjų IP adresų diapazoną ir **registravimo** jungiklį. Sužinokite daugiau Mokymo medžiagoje: aplinkos valdymo nustatymų kūrimas, atnaujinimas ir sąrašo sudarymas.

SAS skambučių registravimas

Šis nustatymas leidžia registruoti visus SAS skambučius Power Platform viduje į „Purview“. Šiame registravime rodomi atitinkami visų kūrimo ir naudojimo įvykių metaduomenys ir jį galima įjungti nepriklausomai nuo aukščiau nurodytų SAS IP apribojimų. Power Platform Šiuo metu paslaugos pradeda teikti SAS skambučius 2024 m.

Lauko pavadinimas Lauko aprašymas
atsakymas.būsenos_pranešimas Informuojama, ar įvykis buvo sėkmingas, ar ne: SASSuccess arba SASAuthorizationError.
atsakymo.būsenos_kodas Informuojama, ar įvykis buvo sėkmingas, ar ne: 200, 401 arba 500.
ip_binding_mode Nuomotojo administratoriaus nustatytas IP susiejimo režimas, jei įjungtas. Taikoma tik SAS kūrimo įvykiams.
Administratoriaus pateikti_IP_diapazonai Nuomotojo administratoriaus nustatyti IP diapazonai, jei tokių yra. Taikoma tik SAS kūrimo įvykiams.
apskaičiuoti_IP_filtrai Galutinis IP filtrų rinkinys, susietas su SAS URI pagal IP susiejimo režimą ir nuomininko administratoriaus nustatytus diapazonus. Taikoma tiek SAS kūrimo, tiek naudojimo įvykiams.
analytics.resource.sas.uri Duomenys, kuriuos buvo bandoma pasiekti arba sukurti.
Galutinio vartotojo.ip_adresas Skambinančiojo viešas IP adresas.
analytics.resource.sas.operation_id Unikalus identifikatorius iš sukūrimo įvykio. Ieškant pagal tai, rodomi visi naudojimo ir kūrimo įvykiai, susiję su SAS iškvietimais iš kūrimo įvykio. Susieta su atsakymo antrašte „x-ms-sas-operation-id“.
užklausa.paslaugos_užklausos_id Unikalus identifikatorius iš užklausos arba atsakymo, kurį galima naudoti norint ieškoti vieno įrašo. Susieta su atsakymo antrašte „x-ms-service-request-id“.
versija Šios žurnalo schemos versija.
tipas Bendras atsakas.
analytics.activity.name Šio įvykio veiklos tipas: kūrimas arba naudojimas.
analytics.activity.id Unikalus įrašo ID sistemoje „Purview“.
analytics.resource.organization.id Organizacijos ID
analytics.resource.environment.id Aplinkos ID
analytics.resource.tenant.id „“ nuomotojo ID
enduser.id Kūrėjo GUID iš Microsoft Entra ID, nurodyto kūrimo įvykyje.
Galutinio vartotojo.pagrindinis_pavadinimas Kūrėjo UPN / el. pašto adresas. Naudojimo įvykiams tai yra bendro pobūdžio atsakymas: „system@powerplatform“.
Galutinio vartotojo vaidmuo Bendras atsakymas: Įprastas kūrimo įvykiams ir Sistemos naudojimo įvykiams.

Įjungti „Purview“ audito žurnalavimą

Kad žurnalai būtų rodomi jūsų „Purview“ egzemplioriuje, pirmiausia turite juos pasirinkti kiekvienoje aplinkoje, kurioje norite matyti žurnalus. Šį nustatymą galima atnaujinti Power Platform administravimo centras, kurį sukūrė a nuomininko administratorius.

  1. Eikite į Power Platform administravimo centras ir prisijunkite naudodami nuomininko administratoriaus kredencialus.
  2. Kairiajame naršymo skydelyje pasirinkite Aplinkos.
  3. Pasirinkite aplinką, kurioje norite įjungti administratoriaus registravimą.
  4. Komandų juostoje pasirinkite Nustatymai .
  5. Pasirinkite Produktas> Privatumas + saugumas.
  6. Dalyje Saugyklos bendros prieigos parašo (SAS) saugos nustatymai (peržiūra) įjunkite funkciją Įjungti SAS registravimą peržiūros srityje .

Ieškoti audito žurnaluose

Nuomininkų administratoriai gali naudoti „Purview“, kad peržiūrėtų SAS operacijų audito žurnalus, ir patys diagnozuoti klaidas, kurios gali būti grąžintos IP patvirtinimo metu. Žurnalai „Purview“ sistemoje yra patikimiausias sprendimas.

Norėdami diagnozuoti problemas arba geriau suprasti SAS naudojimo modelius savo nuomotojuje, atlikite toliau nurodytus veiksmus.

  1. Įsitikinkite, kad aplinkai įjungtas audito žurnalavimas. Žr. Įjungti „Purview“ audito žurnalavimą.

  2. Eikite į **„Microsoft Purview“ atitikties portalą** ir prisijunkite naudodami nuomotojo administratoriaus kredencialus. ...

  3. Kairiajame naršymo skydelyje pasirinkite Auditas. Jei ši parinktis jums nepasiekiama, tai reiškia, kad prisijungęs vartotojas neturi administratoriaus prieigos prie užklausų audito žurnalų.

  4. Pasirinkite datos ir laiko diapazoną UTC laiku, kada bandote ieškoti žurnalų. Pavyzdžiui, kai buvo grąžinta klaida „403 Forbidden“ su klaidos kodu **unauthorized_caller**.

  5. Išskleidžiamajame sąraše Veikla – draugiški pavadinimai ieškokite Power Platform saugojimo operacijos ir pasirinkite Sukurtas SAS URI ir Naudotas SAS URI.

  6. Nurodykite raktinį žodį `Raktinių žodžių paieškoje`. Daugiau apie šį lauką žr. Pradžia su paieška „Purview“ dokumentacijoje. Priklausomai nuo jūsų situacijos, galite naudoti reikšmę iš bet kurio iš aukščiau pateiktoje lentelėje aprašytų laukų, tačiau toliau pateikiami rekomenduojami laukai, kuriuose ieškoti (pageidaujamumo tvarka):

    • Atsakymo antraštės `x-ms-service-request-id` reikšmė. Tai filtruoja rezultatus iki vieno SAS URI sukūrimo įvykio arba vieno SAS URI naudojimo įvykio, priklausomai nuo to, iš kokio užklausos tipo yra antraštė. Tai naudinga tiriant vartotojui grąžintą 403 „Forbidden“ klaidą. Jis taip pat gali būti naudojamas norint paimti ``powerplatform.analytics.resource.sas.operation_id`` reikšmę.
    • Atsakymo antraštės `x-ms-sas-operation-id` reikšmė. Tai filtruoja rezultatus iki vieno SAS URI sukūrimo įvykio ir vieno ar kelių to SAS URI naudojimo įvykių, atsižvelgiant į tai, kiek kartų prie jo buvo prisijungta. Tai susiejama su lauku powerplatform.analytics.resource.sas.operation_id .
    • Pilnas arba dalinis SAS URI be parašo. Tai gali grąžinti daug SAS URI sukūrimų ir daug SAS URI naudojimo įvykių, nes tą patį URI galima sugeneruoti tiek kartų, kiek reikia.
    • Skambinančiojo IP adresas. Grąžina visus to IP adreso kūrimo ir naudojimo įvykius.
    • Aplinkos ID. Tai gali pateikti didelį duomenų rinkinį, apimantį daugelį skirtingų Power Platform pasiūlymų, todėl, jei įmanoma, venkite to arba apsvarstykite galimybę susiaurinti paieškos langą.

    Įspėjimas

    Nerekomenduojame ieškoti pagal vartotojo vardą arba objekto ID, nes jie perduodami tik kūrimo įvykiams, o ne naudojimo įvykiams.

  7. Pasirinkite Ieškoti ir palaukite, kol bus parodyti rezultatai.

    Nauja paieška

Įspėjimas

Žurnalų įvedimas į „Purview“ gali būti atidėtas iki valandos ar ilgiau, todėl turėkite tai omenyje ieškodami naujausių įvykių.

403 „Forbidden/unauthorized_caller“ klaidos trikčių šalinimas

Galite naudoti kūrimo ir naudojimo žurnalus, kad nustatytumėte, kodėl iškvietimas sukelia klaidą „403 Forbidden“ su klaidos kodu unauthorized_caller .

  1. Raskite žurnalus „Purview“ sistemoje, kaip aprašyta ankstesniame skyriuje. Kaip paieškos raktinį žodį apsvarstykite galimybę naudoti x-ms-service-request-id arba x-ms-sas-operation-id iš atsakymo antraščių.
  2. Atidarykite naudojimo įvykį Naudotas SAS URI ir ieškokite lauko powerplatform.analytics.resource.sas.computed_ip_filters , esančio dalyje PropertyCollection. Šį IP diapazoną SAS iškvietimas naudoja norėdamas nustatyti, ar užklausa įgaliota tęsti, ar ne.
  3. Palyginkite šią reikšmę su žurnalo lauku IP adresas , kurio turėtų pakakti norint nustatyti, kodėl užklausa nepavyko.
  4. Jei manote, kad ``powerplatform.analytics.resource.sas.computed_ip_filters`` reikšmė yra neteisinga, tęskite toliau nurodytus veiksmus.
  5. Atidarykite kūrimo įvykį Sukurtas SAS URI, ieškodami pagal atsakymo antraštės reikšmę x-ms-sas-operation-id (arba lauko powerplatform.analytics.resource.sas.operation_id reikšmę kūrimo žurnale).
  6. Gaukite lauko powerplatform.analytics.resource.sas.ip_binding_mode reikšmę. Jei jo trūksta arba jis tuščias, tai reiškia, kad IP susiejimas nebuvo įjungtas toje aplinkoje tos konkrečios užklausos metu.
  7. Gaukite ``powerplatform.analytics.resource.sas.admin_provided_ip_ranges`` reikšmę. Jei jo trūksta arba jis tuščias, tai reiškia, kad tos konkrečios užklausos metu tai aplinkai nebuvo nurodyti IP užkardos diapazonai.
  8. Gaukite vertę powerplatform.analytics.resource.sas.computed_ip_filters, kuris turėtų būti identiškas naudojimo įvykiui ir yra išvestas pagal IP susiejimo režimą ir administratoriaus pateiktus IP užkardos diapazonus. Žiūrėkite išvedimo logiką Duomenų saugojimas ir valdymas in Power Platform.

Tai turėtų suteikti nuomotojo administratoriams pakankamai informacijos, kad jie galėtų ištaisyti bet kokią netinkamą IP susiejimo nustatymų konfigūraciją aplinkoje.

Įspėjimas

SAS IP susiejimo aplinkos nustatymų pakeitimai gali užtrukti mažiausiai 30 minučių. Tai gali būti daugiau, jei partnerių komandos turi savo talpyklą.

Saugumas Microsoft Power Platform
Autentifikavimas paslaugoms Power Platform
Prisijungimas prie duomenų šaltinių ir autentifikavimas
Power Platform DUK apie saugumą

Taip pat žr.