Datu glabāšana un pārvaldība Power Platform
Vispirms ir svarīgi izšķirt personas datus un klienta datus.
Personas dati ir informācija par personām, ko var izmantot, lai tos identificētu.
Klienta dati ietver personas datus un citu informāciju par klientu, tostarp URL, metadatus un darbinieku autentifikācijas informāciju, piemēram, DNS nosaukumus.
Datu rezidences vieta
Nomniekā Microsoft Entra atrodas informācija, kas attiecas uz organizāciju un tās drošību. Kad nomnieks Microsoft Entra reģistrējas pakalpojumu saņemšanai Power Platform , nomnieka atlasītā valsts vai reģions tiek kartēts uz vispiemērotāko Azure ģeogrāfisko atrašanās vietu, kur pastāv izvietojums Power Platform . Power Platform glabā klienta datus nomnieka piešķirtajā Azure ģeogrāfiskā atrašanās vietā vai mājas ģeogrāfiskā atrašanās vietā, izņemot gadījumus, kad organizācijas izvērš servisu vairākos reģionos.
Dažām organizācijām ir globāls klātbūtnes statuss. Piemēram, uzņēmums var būt galvenais uzņēmums ASV, bet tas veic darījumus Austrālijā. Iespējams, ka būs nepieciešams veikt noteiktu Power Platform datu glabāšanu Austrālijā, lai ievērotu vietējās prasības. Kad Power Platform pakalpojumi tiek izvietoti vairāk nekā vienā Azure ģeogrāfiskā atrašanās vietā, tā tiek saukta par vairāku ģeogrāfisko izvietojumu. Šajā gadījumā tikai ar vidi saistītie metadati tiek glabāti mājas ģeogrāfiskajā apgabalā. Visi metadati un produktu dati šajā vidē tiek glabāti attālos ģeogrāfiskos apgabalos.
Korporācija Microsoft var replicēt datus citos reģionos, lai nodrošinātu datu elastību. Taću mēs ne replicējam un nepārvietojam personas datus ārpus ģeogrāfiskās lokácijas. Citos reģionos replicētos datos var būt iekļauti ar personu nesaistītie dati, piemēram, darbinieku autentifikācijas informācija.
Power Platform pakalpojumi ir pieejami konkrētás Azure ģeogrāfiskajás lokácijás. Lai iegūtu papildinformāciju par to, kur ir pieejami Power Platform pakalpojumi, kur tiek glabāti jūsu dati un kā tie tiek izmantoti, atveriet Microsoft uzticamības centru. Saistības attiecībā uz klienta datu atrašanās vietu apskatei ir norādītas Datu apstrādes noteikumos Microsoft Tiešasistes pakalpojumu nosacījumos. Korporācija Microsoft nodrošina arī datu centrus suverēnám struktūrám.
Datu apstrāde
Šajā sadaļā ir aprakstīts, kā Power Platform tiek glabāti, apstrádáti un pársútíti klienta dati.
Dati dīkstāves režīmā
Ja vien dokumentācijā nav norādīts citādi, klienta dati paliek tā sākotnējā avotā (piemēram, Dataverse vai SharePoint). Programma Power Platform tiek glabāta Azure krātuvē kā daļa no vides. Mobilajās programmās izmantotie dati ir šifrēti un saglabāti pakalpojumā SQL Express. Vairumā gadījumu programmas izmanto Azure krātuvi, lai glabátu servisa Power Platform datus, un Azure SQL datu bāze, lai glabátu servisa metadatus. Programmas lietotāju ievadītie dati tiek glabāti attiecīgajā pakalpojuma datu avotá, piemēram Dataverse.
Visi dati, ko glábá Power Platform pēc noklusējuma ir šifrēti, izmantojot Microsoft pārvaldītās atslēgas. Azure SQL datu bāzē glabātie klientu dati ir pilnībā šifrēti, izmantojot Azure SQL Caurspīdīgo datu šifrēšanas (TDE) tehnoloģiju. Azure Blob krātuvē glabātie klientu dati tiek šifrēti, izmantojot Azure krātuves šifrēšanu.
Dati ir apstrādes procesá
Dati tiek apstrādāti, kad tie tiek izmantoti kā daļa no interaktīva scenārija vai kad tiem pieskaras fona process, piemēram, atjaunināšana. Power Platform ielādē datus, apstrādājot tos atmiņas vietā ar vienu vai vairākām servisa darba slodzēm. Lai atvieglotu darba slodzes funkcionalitāti, atmiņá saglabātie dati nav šifrēti.
Dati tranzītá
Power Platform pieprasa, lai visi ienākošie HTTP trafiki būtu šifrēti, izmantojot TLS 1.2 vai jaunāku versiju. Pieprasījumi, kas mēģina izmantot TLS 1.1 vai zemáku, tiek noraidīti.
Uzlabotas drošības funkcijas
Dažám uzlabotajám Power Platform- drošības funkcijám ir noteiktas specifiskas licencēšanas prasības.
Servisa atzímes
Pakalpojuma atzíme ir IP adrešu prefiksu grupa no noteikta Azure servisa. Servisa atzímes var izmantot, lai definētu tīkla piekļuves kontroli tīkla drošības grupās vai Azure ugunsmūrí.
Servisa atzímes palīdz samazināt tīkla drošības noteikumu biežu atjauninājumu sarežģītību. Izveidojot drošības noteikumus, kas, piemēram, atļauj vai liedz attiecīgā pakalpojuma datplūsmu, varat izmantot servisa atzímes noteiktu IP adrešu vietā.
Korporācija Microsoft pārvalda adreses prefiksus, kurus ietver servisa atzíme, un automātiski atjaunina servisa atzími, kad tiek mainītas adreses. Lai uzzinātu vairāk, skatiet Azure IP adrešu diapazoni un servisa atzīmes -publiskais mākonis.
Datu zuduma novēršana
Power Platform piedāvā plašu Datu zudumu novēršanas (DZN) funkciju kompleksu, kas jums palīdzēs pārvaldīt savu datu drošību.
Krātuves koplietojamās piekļuves paraksta (SAS) IP ierobežojums
Piezīmes
Pirms kāda no šiem SAS līdzekļiem aktivizēšanas klientiem vispirms ir jāatļauj piekļuve domēnam, https://*.api.powerplatformusercontent.com pretējā gadījumā lielākā daļa SAS funkciju nedarbosies.
Šī līdzekļu kopa ir nomniekam specifiska funkcionalitāte, kas ierobežo krātuves koplietojamās piekļuves paraksta (SAS) pilnvaras un tiek kontrolēta, izmantojot administrēšanas centra izvēlni Power Platform . Šis iestatījums ierobežo to, kas, pamatojoties uz IP, var izmantot uzņēmuma SAS marķierus.
Šis līdzeklis pašlaik ir pieejams privātajā priekšskatījumā. Publiskais priekšskatījums ir plānots vēlāk šajā pavasarī, un tā vispārējā pieejamība būs 2024. gada vasarā. Papildinformāciju skatiet laidiena plānotājs.
Šos iestatījumus var atrast Dataverse vides konfidencialitātes + drošības iestatījumos administrēšanas centrā. Ir jāieslēdz opcija Iespējot uz IP adresi balstītu krātuves koplietojamās piekļuves paraksta (SAS) kārtulu .
Administratori šim iestatījumam var iespējot vienu no šīm četrām konfigurācijām:
| Iestatījums | Apraksts |
|---|---|
| Tikai IP saistīšana | Tas ierobežo SAS atslēgas pieprasītāja IP adresei. |
| Tikai IP ugunsmūris | Tas ierobežo SAS atslēgu izmantošanu, lai tās darbotos tikai administratora norādītajā diapazonā. |
| IP iesiešana un ugunsmūris | Tas ierobežo SAS atslēgu izmantošanu, lai strādātu administratora norādītajā diapazonā un tikai pieprasītāja IP. |
| IP iesiešana vai ugunsmūris | Ļauj izmantot SAS atslēgas norādītajā diapazonā. Ja pieprasījums nāk no ārpus diapazona, tiek lietota IP saistīšana. |
Produkti, kas ievieš IP saistīšanu, ja tas ir iespējots:
- Dataverse
- Power Automate
- Pielāgoti savienotāji
- Power Apps
Ietekme uz Power App iespējām
Kad lietotājs, kurš neatbilst vides IP adreses ierobežojumiem, atver programmu: tiek parādīts šāds ziņojums: "Šī programma pārstāja darboties. Mēģiniet atsvaidzināt pārlūkprogrammu." Ir plānots atjaunināt šo pieredzi, lai lietotājam sniegtu vairāk kontekstuālas informācijas par to, kāpēc lietotni nevarēja palaist.
Kad lietotājs, kurš atbilst IP adreses ierobežojumiem, atver programmu: Notiek šādi notikumi:
- Tiek parādīts reklāmkarogs ar šādu ziņojumu: "Jūsu organizācija konfigurēja IP adreses ierobežojumus, kas ierobežo piekļuves vietu Power Apps . Šī programma var nebūt pieejama, ja izmantojat citu tīklu. Lai iegūtu sīkāku informāciju, sazinieties ar administratoru." Šis reklāmkarogs parādās dažas sekundes un pēc tam pazūd.
- Lietotne var tikt ielādēta lēnāk nekā tad, ja nebūtu ieviesti IP adreses ierobežojumi. IP adreses ierobežojumi neļauj platformai izmantot dažas veiktspējas iespējas, kas nodrošina ātrāku ielādes laiku.
Ja lietotājs atver lietotni, izpildot IP adreses prasības, un pēc tam pāriet uz jaunu tīklu, kas vairs neatbilst IP adreses prasībām, lietotājs var novērot lietotnes saturu, piemēram, attēlus, iegulto datu nesēju, un saites var netikt ielādētas vai būt pieejamas.
SAS zvanu reģistrēšana
Šis iestatījums ļauj visiem SAS zvaniem Power Platform pieteikties lietotnē Purview. Šī reģistrēšana parāda attiecīgos metadatus visiem izveides un lietošanas notikumiem, un tos var iespējot neatkarīgi no iepriekš minētajiem SAS IP ierobežojumiem. Power Platform pakalpojumi pašlaik ir iekļauti SAS zvanos 2024. gadā.
| Lauka nosaukums | Lauka apraksts |
|---|---|
| response.status_message | Informēšana, vai pasākums bija veiksmīgs vai nē: SASSuccess vai SASAuthorizationError. |
| response.status_code | Informēšana, vai pasākums bija veiksmīgs vai nē: 200, 401 vai 500. |
| analytics.resource.sas.uri | Dati, kuriem mēģināja piekļūt vai kurus mēģināja izveidot. |
| enduser.ip_address | Zvanītāja publiskais IP. |
| analytics.resource.sas.operation_id | Izveides notikuma unikālais identifikators. Meklējot pēc tā, tiek parādīti visi lietošanas un izveides notikumi, kas saistīti ar SAS zvaniem no izveides notikuma. Kartēts uz atbildes galveni "x-ms-sas-operation-id". |
| request.service_request_id | Unikāls identifikators no pieprasījuma vai atbildes, un to var izmantot, lai uzmeklētu vienu ierakstu. Kartēts uz atbildes galveni "x-ms-service-request-id". |
| version | Šīs žurnāla shēmas versija. |
| type | Vispārīga atbildes reakcija. |
| analytics.activity.name | Šī pasākuma darbības veids bija: izveide vai izmantošana. |
| analytics.activity.id | Purview ieraksta unikālais ID. |
| analytics.resource.organization.id | Organizācijas ID |
| analytics.resource.environment.id | Vides ID |
| analytics.resource.tenant.id | Nomnieka ID |
| enduser.id | GUID no Microsoft Entra izveides notikuma satura veidotāja ID. |
| enduser.principal_name | Satura veidotāja UPN/e-pasta adrese. Lietošanas notikumiem tā ir vispārīga atbilde: "system@powerplatform". |
| enduser.loma | Vispārīga atbilde: Regulāri izveides notikumiem un Sistēma lietošanas notikumiem. |
Saistītie raksti
Drošība pakalpojumā Microsoft Power Platform
Autentificēšanās Power Platform pakalpojumos
Savienojuma izveide un autentifikācija datu avotos
Power Platform bieži uzdotie jautājumi par drošību