Kopīgot, izmantojot

Datu glabāšana un pārvaldība Power Platform

  • Raksts

Vispirms ir svarīgi izšķirt personas datus un klienta datus.

  • Personas dati ir informācija par cilvēkiem, ko var izmantot, lai tos identificētu.

  • Klientu dati ietver personas datus un citu klientu informāciju, tostarp vietrāžus URL, metadatus un darbinieku autentifikācijas informāciju, piemēram, DNS nosaukumus.

Datu rezidences vieta

Nomniekā Microsoft Entra atrodas informācija, kas attiecas uz organizāciju un tās drošību. Kad nomnieks Microsoft Entra reģistrējas pakalpojumu saņemšanai Power Platform , nomnieka atlasītā valsts vai reģions tiek kartēts uz vispiemērotāko Azure ģeogrāfisko atrašanās vietu, kur pastāv izvietojums Power Platform . Power Platform glabā klienta datus nomnieka piešķirtajā Azure ģeogrāfiskā atrašanās vietā vai mājas ģeogrāfiskā atrašanās vietā, izņemot gadījumus, kad organizācijas izvērš servisu vairākos reģionos.

Dažām organizācijām ir globāls klātbūtnes statuss. Piemēram, uzņēmums var būt galvenais uzņēmums ASV, bet tas veic darījumus Austrālijā. Iespējams, ka būs nepieciešams veikt noteiktu Power Platform datu glabāšanu Austrālijā, lai ievērotu vietējās prasības. Kad Power Platform pakalpojumi tiek izvietoti vairāk nekā vienā Azure ģeogrāfiskā atrašanās vietā, tā tiek saukta par vairāku ģeogrāfisko izvietojumu. Šajā gadījumā tikai ar vidi saistītie metadati tiek glabāti mājas ģeogrāfiskajā apgabalā. Visi metadati un produktu dati šajā vidē tiek glabāti attālos ģeogrāfiskos apgabalos.

Microsoft var replicēt datus citos reģionos, lai nodrošinātu datu noturību. Taću mēs ne replicējam un nepārvietojam personas datus ārpus ģeogrāfiskās lokácijas. Dati, kas replicēti citos reģionos, var ietvert nepersoniskus datus, piemēram, darbinieku autentifikācijas informāciju.

Power Platform pakalpojumi ir pieejami konkrētás Azure ģeogrāfiskajás lokácijás. Lai iegūtu papildinformāciju par to, kur Power Platform ir pieejami pakalpojumi, kur tiek glabāti jūsu dati un kā tie tiek izmantoti, dodieties uz Microsoft drošības kontroles centru. Saistības attiecībā uz klienta datu atrašanās vietu miera stāvoklī ir norādītas Datu apstrādes noteikumos Tiešsaistes Microsoft pakalpojumu noteikumos. Microsoft Nodrošina arī datu centrus suverēnām vienībām.

Datu apstrāde

Šajā sadaļā ir aprakstīts, kā Power Platform tiek glabāti, apstrádáti un pársútíti klienta dati.

Dati dīkstāves režīmā

Ja vien dokumentācijā nav norādīts citādi, klienta dati paliek tā sākotnējā avotā (piemēram, Dataverse vai SharePoint). Programma Power Platform tiek glabāta Azure krātuvē kā daļa no vides. Mobilajās programmās izmantotie dati ir šifrēti un saglabāti pakalpojumā SQL Express. Vairumā gadījumu programmas izmanto Azure krātuvi, lai glabátu servisa Power Platform datus, un Azure SQL datu bāze, lai glabátu servisa metadatus. Programmas lietotāju ievadītie dati tiek glabāti attiecīgajā pakalpojuma datu avotá, piemēram Dataverse.

Visi dati, kas tiek saglabāti, Power Platform pēc noklusējuma tiek šifrēti, izmantojot Microsoft pārvaldītas atslēgas. Azure SQL datu bāzē glabātie klientu dati ir pilnībā šifrēti, izmantojot Azure SQL Caurspīdīgo datu šifrēšanas (TDE) tehnoloģiju. Azure Blob krātuvē glabātie klientu dati tiek šifrēti, izmantojot Azure krātuves šifrēšanu.

Dati ir apstrādes procesá

Dati tiek apstrādāti, kad tie tiek izmantoti kā daļa no interaktīva scenārija vai kad tiem pieskaras fona process, piemēram, atjaunināšana. Power Platform ielādē datus, apstrādājot tos atmiņas vietā ar vienu vai vairākām servisa darba slodzēm. Lai atvieglotu darba slodzes funkcionalitāti, atmiņá saglabātie dati nav šifrēti.

Dati tranzītá

Power Platform pieprasa, lai visi ienākošie HTTP trafiki būtu šifrēti, izmantojot TLS 1.2 vai jaunāku versiju. Pieprasījumi, kas mēģina izmantot TLS 1.1 vai zemáku, tiek noraidīti.

Uzlabotas drošības funkcijas

Dažám uzlabotajám Power Platform- drošības funkcijám ir noteiktas specifiskas licencēšanas prasības.

Servisa atzímes

Pakalpojuma atzíme ir IP adrešu prefiksu grupa no noteikta Azure servisa. Servisa atzímes var izmantot, lai definētu tīkla piekļuves kontroli tīkla drošības grupās vai Azure ugunsmūrí.

Servisa atzímes palīdz samazināt tīkla drošības noteikumu biežu atjauninājumu sarežģītību. Izveidojot drošības noteikumus, kas, piemēram, atļauj vai liedz attiecīgā pakalpojuma datplūsmu, varat izmantot servisa atzímes noteiktu IP adrešu vietā.

Microsoft Pārvalda adreses prefiksus, ko ietver pakalpojuma tags, un, mainoties adresēm, automātiski atjaunina servisa tagu. Lai uzzinātu vairāk, skatiet Azure IP adrešu diapazoni un servisa atzīmes -publiskais mākonis.

Datu zuduma novēršana

Power Platform piedāvā plašu Datu zudumu novēršanas (DZN) funkciju kompleksu, kas jums palīdzēs pārvaldīt savu datu drošību.

Krātuves koplietojamās piekļuves paraksta (SAS) IP ierobežojums

Piezīmes

Pirms kāda no šiem SAS līdzekļiem aktivizēšanas klientiem vispirms ir jāatļauj piekļuve domēnam, https://*.api.powerplatformusercontent.com pretējā gadījumā lielākā daļa SAS funkciju nedarbosies.

Šī līdzekļu kopa ir nomniekam specifiska funkcionalitāte, kas ierobežo krātuves koplietojamās piekļuves paraksta (SAS) pilnvaras un tiek kontrolēta, izmantojot administrēšanas centra Power Platform izvēlni. Šis iestatījums ierobežo to, kurš, pamatojoties uz IP (IPv4 un IPv6), var izmantot uzņēmuma SAS marķierus.

Šos iestatījumus var atrast vides konfidencialitātes + drošības iestatījumos administrēšanas centrā. Ir jāieslēdz opcija Iespējot uz IP adresi balstītu krātuves koplietojamās piekļuves paraksta (SAS) kārtulu .

Administratori var atļaut vienu no šīm četrām šī iestatījuma opcijām:

Iespēja Iestatījums Apraksts
1 Tikai IP saistīšana Tas ierobežo SAS atslēgas pieprasītāja IP adresei.
2 Tikai IP ugunsmūris Tas ierobežo SAS atslēgu izmantošanu, lai tās darbotos tikai administratora norādītajā diapazonā.
3 IP iesiešana un ugunsmūris Tas ierobežo SAS atslēgu izmantošanu, lai strādātu administratora norādītajā diapazonā un tikai pieprasītāja IP.
4 IP iesiešana vai ugunsmūris Ļauj izmantot SAS atslēgas norādītajā diapazonā. Ja pieprasījums nāk no ārpus diapazona, tiek lietota IP saistīšana.

Piezīmes

Administratoriem, kuri izvēlējās atļaut IP ugunsmūri (2., 3. un 4. opcija, kas norādīta iepriekšējā tabulā), ir jāievada gan savu tīklu IPv4, gan IPv6 diapazoni, lai nodrošinātu pareizu lietotāju pārklājumu.

Produkti, kas ievieš IP saistīšanu, ja tas ir iespējots:

  • Dataverse
  • Power Automate
  • Pielāgoti savienotāji
  • Power Apps

Ietekme uz lietotāja pieredzi

  • Kad lietotājs, kurš neatbilst vides IP adreses ierobežojumiem, atver programmu: lietotāji saņem kļūdas ziņojumu, atsaucoties uz vispārīgu IP problēmu.

  • Kad lietotājs, kurš atbilst IP adreses ierobežojumiem, atver programmu: Notiek šādi notikumi:

    • Lietotāji var saņemt reklāmkarogu, kas ātri pazudīs, ļaujot lietotājiem uzzināt, ka ir iestatīts IP iestatījums, un sazināties ar administratoru, lai iegūtu detalizētu informāciju vai atsvaidzinātu visas lapas, kurās tiek zaudēts savienojums.
    • Vēl būtiskāk ir tas, ka, ņemot vērā IP validāciju, ko izmanto šis drošības iestatījums, dažas funkcijas var darboties lēnāk nekā tad, ja tā būtu izslēgta.

Atjauniniet iestatījumus programmiski

Administratori var izmantot automatizāciju, lai iestatītu un atjauninātu gan IP saistīšanas un ugunsmūra iestatījumu, gan atļauto IP diapazonu, gan reģistrēšanas slēdzi. Papildinformāciju skatiet sadaļā Apmācība: vides pārvaldības iestatījumu izveide, atjaunināšana un uzskaitīšana.

SAS zvanu reģistrēšana

Šis iestatījums ļauj visiem SAS zvaniem Power Platform pieteikties lietotnē Purview. Šī reģistrēšana parāda attiecīgos metadatus visiem izveides un lietošanas notikumiem, un tos var iespējot neatkarīgi no iepriekš minētajiem SAS IP ierobežojumiem. Power Platform pakalpojumi pašlaik ir iekļauti SAS zvanos 2024. gadā.

Lauka nosaukums Lauka apraksts
response.status_message Informēšana, vai pasākums bija veiksmīgs vai nē: SASSuccess vai SASAuthorizationError.
response.status_code Informēšana, vai pasākums bija veiksmīgs vai nē: 200, 401 vai 500.
ip_binding_mode IP saistīšanas režīms, ko iestatījis nomnieka administrators, ja tas ir ieslēgts. Attiecas tikai uz SAS izveides notikumiem.
admin_provided_ip_ranges IP diapazoni, ko iestatījis nomnieka administrators, ja tādi ir. Attiecas tikai uz SAS izveides notikumiem.
computed_ip_filters Galīgā IP filtru kopa, kas saistīta ar SAS URI, pamatojoties uz IP saistīšanas režīmu un nomnieka administratora iestatītajiem diapazoniem. Attiecas gan uz SAS izveides, gan lietošanas notikumiem.
analytics.resource.sas.uri Dati, kuriem mēģināja piekļūt vai kurus mēģināja izveidot.
enduser.ip_address Zvanītāja publiskais IP.
analytics.resource.sas.operation_id Izveides notikuma unikālais identifikators. Meklējot pēc tā, tiek parādīti visi lietošanas un izveides notikumi, kas saistīti ar SAS zvaniem no izveides notikuma. Kartēts uz "x-ms-sas-operation-id" atbilde galveni.
request.service_request_id Unikāls identifikators no pieprasījuma vai atbilde, un to var izmantot, lai uzmeklētu vienu ierakstu. Kartēts uz "x-ms-service-request-id" atbilde galveni.
version Šīs žurnāla shēmas versija.
type Vispārējs atbilde.
analytics.activity.name Šī pasākuma darbības veids bija: izveide vai izmantošana.
analytics.activity.id Purview ieraksta unikālais ID.
analytics.resource.organization.id Organizācijas ID
analytics.resource.environment.id Vides ID
analytics.resource.tenant.id Nomnieka ID
enduser.id GUID no Microsoft Entra izveides notikuma satura veidotāja ID.
enduser.principal_name Satura veidotāja UPN/e-pasta adrese. Lietošanas gadījumiem tas ir vispārējs atbilde: "system@powerplatform".
enduser.loma Vispārējs atbilde: Regulārs izveides notikumiem un Sistēma lietošanas notikumiem.

Purview audita reģistrēšanas ieslēgšana

Lai žurnāli tiktu rādīti jūsu Purview instancē, vispirms ir jāizvēlas tas katrai videi, kurai vēlaties žurnālus. Šo iestatījumu administrēšanas Power Platform centrā var atjaunināt nomnieka administrators .

  1. Dodieties uz administrēšanas centru Power Platform un piesakieties, izmantojot nomnieka administratora akreditācijas datus.
  2. Kreisajā navigācijas rūtī atlasiet Vides.
  3. Atlasiet vidi, kurai vēlaties ieslēgt administratora reģistrēšanu.
  4. Komandjoslā atlasiet Iestatījumi .
  5. Atlasiet Produkta>konfidencialitāte + Drošība.
  6. Sadaļā Krātuves koplietojamās piekļuves paraksta (SAS) drošības iestatījumi (priekšskatījums) ieslēdziet līdzekli Iespējot SAS reģistrēšanu lietotnē Purview .

Meklēšanas audita žurnāli

Nomnieka administratori var izmantot Purview, lai skatītu audita žurnālus, kas emitēti SAS operācijām, un var paši diagnosticēt kļūdas, kas var tikt atgrieztas IP validācijas problēmu gadījumā. Žurnāli Purview ir visuzticamākais risinājums.

Veiciet tālāk norādītās darbības, lai diagnosticētu problēmas vai labāk izprastu SAS lietošanas modeļus nomniekā.

  1. Pārliecinieties, vai audita reģistrēšana videi ir ieslēgta. Sk. Purview audita reģistrēšanas ieslēgšana.

  2. Dodieties uz Microsoft Purview atbilstības portālu un piesakieties, izmantojot nomnieka administratora akreditācijas datus.

  3. Kreisajā navigācijas rūtī atlasiet Audits. Ja šī opcija jums nav pieejama, tas nozīmē, ka pieteicies lietotājs nevar piekļūt vaicājumu audita žurnāliem.

  4. Izvēlieties datumu un laika diapazonu UTC, kad mēģināt meklēt žurnālus. Piemēram, ja tika atgriezta kļūda 403 aizliegts ar unauthorized_caller kļūdas kodu.

  5. Nolaižamajā sarakstā Aktivitātes - draudzīgie nosaukumi meklējiet krātuves Power Platform operācijas un atlasiet Izveidots SAS URI un Lietots SAS URI.

  6. Norādiet atslēgvārdu atslēgvārdu meklēšanā . Skatiet sadaļu Darba sākšana ar meklēšanu Purview dokumentācijā, lai uzzinātu vairāk par šo lauku. Atkarībā no jūsu scenārija varat izmantot vērtību no jebkura no iepriekšējā tabulā aprakstītajiem laukiem, taču tālāk ir norādīti ieteicamie lauki, kuros meklēt (prioritārā secībā):

    • Galvenes x-ms-service-request-id atbilde vērtība. Tas filtrē rezultātus uz vienu SAS URI izveides notikumu vai vienu SAS URI lietošanas notikumu atkarībā no tā, no kura pieprasījuma veida galvene ir. Tas ir noderīgi, izmeklējot lietotājam atgriezto kļūdu 403 Aizliegts. To var izmantot arī, lai sagrābtu powerplatform.analytics.resource.sas.operation_id vērtību.
    • Galvenes x-ms-sas-operation-id atbilde vērtība. Tas filtrē rezultātus uz vienu SAS URI izveides notikumu un vienu vai vairākiem šī SAS URI lietošanas notikumiem atkarībā no tā, cik reizes tam tika piekļūts. Tas kartējas uz powerplatform.analytics.resource.sas.operation_id lauku.
    • Pilns vai daļējs SAS URI, atskaitot parakstu. Tas var atgriezt daudzus SAS URI darbus un daudzus SAS URI lietošanas notikumus, jo ir iespējams, ka viens un tas pats URI tiek pieprasīts ģenerēšanai tik reižu, cik nepieciešams.
    • Zvanītāja IP adrese. Atgriež visus šīs IP izveides un lietošanas notikumus.
    • Vides ID. Tas var atgriezt lielu datu kopu, kas var aptvert daudzus dažādus piedāvājumus Power Platform, tāpēc, ja iespējams, izvairieties vai apsveriet iespēju sašaurināt meklēšanas logu.

    Brīdinājums.

    Nav ieteicams meklēt lietotāja pamatnosaukumu vai objekta ID, jo tie tiek izplatīti tikai izveides notikumiem, nevis lietošanas notikumiem.

  7. Atlasiet Meklēt un gaidiet, līdz tiek parādīti rezultāti.

    Jauna meklēšana

Brīdinājums.

Pieteikšanās norīšana lietotnē Purview var aizkavēties līdz pat stundai vai ilgāk, tāpēc paturiet to prātā, meklējot jaunākos notikumus.

403 aizliegtās/unauthorized_caller kļūdas novēršana

Varat izmantot izveides un lietošanas žurnālus, lai noteiktu, kāpēc zvana rezultātā tiktu parādīta kļūda 403 aizliegts ar unauthorized_caller kļūdas kodu.

  1. Atrodiet žurnālus lietotnē Purview, kā aprakstīts iepriekšējā sadaļā. Apsveriet iespēju kā meklēšanas atslēgvārdu izmantot x-ms-service-request-id vai x-ms-sas-operation-id no atbilde galvenēm.
  2. Atveriet lietošanas notikumu,Lietots SAS URI un meklējiet powerplatform.analytics.resource.sas.computed_ip_filters lauku sadaļā PropertyCollection. Šis IP diapazons ir tas, ko SAS zvans izmanto, lai noteiktu, vai pieprasījums ir pilnvarots turpināt vai nē.
  3. Salīdziniet šo vērtību ar žurnāla IP adreses lauku, kam vajadzētu būt pietiekamam, lai noteiktu, kāpēc pieprasījums neizdevās.
  4. Ja uzskatāt, ka powerplatform.analytics.resource.sas.computed_ip_filters vērtība ir nepareiza, turpiniet ar nākamajām darbībām.
  5. Atveriet izveides notikumu,Izveidots SAS URI, meklējot, izmantojotx-ms-sas-operation-id atbilde galvenes vērtību (vai powerplatform.analytics.resource.sas.operation_id lauka vērtību no izveides žurnāla).
  6. Iegūstiet powerplatform.analytics.resource.sas.ip_binding_mode lauka vērtību. Ja tā trūkst vai tā ir tukša, tas nozīmē, ka IP saistīšana šai videi nebija ieslēgta šī pieprasījuma laikā.
  7. Iegūstiet powerplatform.analytics.resource.sas.admin_provided_ip_ranges vērtību. Ja tā trūkst vai tā ir tukša, tas nozīmē, ka IP ugunsmūra diapazoni šai videi netika norādīti šī pieprasījuma laikā.
  8. Iegūstiet powerplatform.analytics.resource.sas.computed_ip_filters vērtību, kurai jābūt identiskailietošanas notikumam un kura tiek iegūta, pamatojoties uz IP saistīšanas režīmu un administratora nodrošinātajiem IP ugunsmūra diapazoniem. Skatiet atvasināšanas loģiku sadaļā Datu glabāšana un pārvaldība Power Platform.

Tam vajadzētu sniegt nomnieku administratoriem pietiekami daudz informācijas, lai labotu nepareizu konfigurāciju attiecībā pret vidi IP saistīšanas iestatījumiem.

Brīdinājums.

Izmaiņas, kas veiktas vides iestatījumos SAS IP iesiešanai, var aizņemt vismaz 30 minūtes, lai tās stātos spēkā. Tas varētu būt vairāk, ja partneru komandām ir sava kešatmiņa.

Drošība Microsoft Power Platform
Pakalpojumu autentificēšana Power Platform
Savienojuma izveide un autentificēšana ar datu avotiem
Power Platform drošības BUJ

Skatiet arī: