Piezīmes
Lai piekļūtu šai lapai, ir nepieciešama autorizācija. Varat mēģināt pierakstīties vai mainīt direktorijus.
Lai piekļūtu šai lapai, ir nepieciešama autorizācija. Varat mēģināt mainīt direktorijus.
Power Platform apstrādā gan personas datus , ganklientu datus. Papildinformāciju par personas datiem un klientu datiem skatiet Microsoft drošības kontroles centrā.
Datu rezidences vieta
Nomnieks Microsoft Entra glabā informāciju, kas attiecas uz organizāciju un tās drošību. Kad Microsoft Entra nomnieks reģistrējas Power Platform pakalpojumiem, nomnieka atlasītā valsts vai reģions tiek kartēts uz vispiemērotāko Azure ģeogrāfiju, kurā Power Platform pastāv izvietojums. Power Platform glabā klientu datus nomniekam piešķirtajā Azure ģeogrāfiskajā vai mājas ģeogrāfiskajā zonā , ja vien organizācijas neizvieto pakalpojumus vairākos reģionos.
Dažām organizācijām ir globāls klātbūtnes statuss. Piemēram, uzņēmuma galvenā mītne var būt Amerikas Savienotajās Valstīs, bet uzņēmējdarbība notiek Austrālijā. Iespējams, ka būs nepieciešams veikt noteiktu Power Platform datu glabāšanu Austrālijā, lai ievērotu vietējās prasības. Kad Power Platform pakalpojumi tiek izvietoti vairāk nekā vienā Azure ģeogrāfiskā atrašanās vietā, tā tiek saukta par vairāku ģeogrāfisko izvietojumu. Šajā gadījumā tikai ar vidi saistītie metadati tiek glabāti mājas ģeogrāfiskajā apgabalā. Visi metadati un produktu dati šajā vidē tiek glabāti attālos ģeogrāfiskos apgabalos.
Power Platform pakalpojumi ir pieejami noteiktos Azure ģeogrāfiskajos apgabalos. Lai iegūtu papildinformāciju par to, kur Power Platform pakalpojumi ir pieejami, kur jūsu dati tiek glabāti un replicēti, lai nodrošinātu noturību, un kā tie tiek izmantoti, dodieties uz Microsoft drošības kontroles centru. Saistības attiecībā uz klientu datu atrašanās vietu ir norādītas Microsoft tiešsaistes pakalpojumu nosacījumu datu apstrādes nosacījumos. Korporācija Microsoft nodrošina arī datu centrus suverēnám struktūrám.
Datu apstrāde
Šajā sadaļā ir aprakstīts, kā Power Platform tiek glabāti, apstrádáti un pársútíti klienta dati.
Dati dīkstāves režīmā
Ja vien dokumentācijā nav norādīts citādi, klienta dati paliek tā sākotnējā avotā (piemēram, Dataverse vai SharePoint). Power Platform programmas tiek glabātas Azure krātuvē kā daļa no vides. Mobilo programmu dati tiek šifrēti un glabāti SQL Express. Vairumā gadījumu programmas izmanto Azure krātuvi, lai glabátu servisa Power Platform datus, un Azure SQL datu bāze, lai glabátu servisa metadatus. Programmas lietotāju ievadītie dati tiek glabāti attiecīgajā pakalpojuma datu avotá, piemēram Dataverse.
Power Platform Šifrē visus pastāvīgos datus pēc noklusējuma, izmantojot Microsoft pārvaldītas atslēgas. Azure SQL datu bāzē glabātie klientu dati ir pilnībā šifrēti, izmantojot Azure SQL Caurspīdīgo datu šifrēšanas (TDE) tehnoloģiju. Azure Blob krātuvē glabātie klientu dati tiek šifrēti, izmantojot Azure krātuves šifrēšanu.
Dati ir apstrādes procesá
Dati tiek apstrādāti, kad tie tiek izmantoti kā daļa no interaktīva scenārija vai kad tiem pieskaras fona process, piemēram, atjaunināšana. Power Platform ielādē datus, apstrādājot tos atmiņas vietā ar vienu vai vairākām servisa darba slodzēm. Lai atvieglotu darba slodzes funkcionalitāti, atmiņá saglabātie dati nav šifrēti.
Dati tranzītá
Power Platform šifrē visu ienākošo HTTP trafiku, izmantojot TLS 1.2 vai jaunāku versiju. Pieprasījumi, kas mēģina izmantot TLS 1.1 vai zemáku, tiek noraidīti.
Uzlabotas drošības funkcijas
Dažiem Power Platform papildu drošības līdzekļiem var būt īpašas licencēšanas prasības.
Servisa atzímes
Pakalpojuma tags ir IP adrešu prefiksu grupa no konkrēta Azure pakalpojuma. Servisa atzímes var izmantot, lai definētu tīkla piekļuves kontroli tīkla drošības grupās vai Azure ugunsmūrí.
Servisa atzímes palīdz samazināt tīkla drošības noteikumu biežu atjauninājumu sarežģītību. Izveidojot drošības noteikumus, kas, piemēram, atļauj vai liedz attiecīgā pakalpojuma datplūsmu, varat izmantot servisa atzímes noteiktu IP adrešu vietā.
Microsoft pārvalda adrešu prefiksus pakalpojuma tagā un automātiski atjaunina to, mainoties adresēm. Lai uzzinātu vairāk, skatiet Azure IP adrešu diapazoni un servisa atzīmes -publiskais mākonis.
Datu politikas
Power Platform ietver plašus datu politikas līdzekļus , lai palīdzētu pārvaldīt datu drošību.
Krātuves koplietojamās piekļuves paraksta (SAS) IP ierobežojums
Piezīmes
Pirms aktivizēt kādu no šīm SAS funkcijām, klientiem vispirms ir jāatļauj piekļuve domēnam https://*.api.powerplatformusercontent.com , pretējā gadījumā lielākā daļa SAS funkciju nedarbosies.
Šī līdzekļu kopa ir nomniekam specifiska funkcionalitāte, kas ierobežo krātuves koplietojamās piekļuves paraksta (SAS) marķierus un tiek kontrolēta, izmantojot administrēšanas centra Power Platform izvēlni. Šis iestatījums ierobežo to, kas var izmantot uzņēmuma SAS marķierus, pamatojoties uz IP (IPv4 un IPv6).
Šie iestatījumi ir atrodami vides konfidencialitātes + drošības iestatījumos administrēšanas centrā. Ir jāieslēdz opcija Iespējot IP adreses koplietojamās piekļuves parakstu (SAS) kārtulu .
Administratori šim iestatījumam var izvēlēties vienu no šīm četrām opcijām:
| Iespēja | Iestatījums | Apraksts |
|---|---|---|
| 1 | Tikai IP saistīšana | Tas ierobežo SAS atslēgas līdz pieprasītāja IP. |
| 2 | Tikai IP ugunsmūris | Tas ierobežo SAS atslēgu izmantošanu, lai strādātu tikai administratora norādītajā diapazonā. |
| 3 | IP saistīšana un ugunsmūris | Tas ierobežo SAS atslēgu izmantošanu, lai strādātu administratora norādītajā diapazonā un tikai pieprasītāja IP. |
| 4 | IP saistīšana vai ugunsmūris | Ļauj izmantot SAS atslēgas norādītajā diapazonā. Ja pieprasījums tiek saņemts ārpus diapazona, tiek lietota IP saistīšana. |
Piezīmes
Administratoriem, kuri izvēlas atļaut IP ugunsmūri (2., 3. un 4. opcija, kas norādīta iepriekš tabulā), ir jāievada gan IPv4, gan IPv6 tīklu diapazoni, lai nodrošinātu pareizu lietotāju pārklājumu.
Brīdinājums.
1. un 3. opcijā tiek izmantota IP saistīšana, kas nedarbojas pareizi, ja klientu tīklos tiek izmantotas IP pūli, reversās starpniekservera vai tīkla adrešu tulkošanas (NAT) vārtejas. Tā rezultātā lietotāja IP adrese mainās pārāk bieži, lai pieprasītājam būtu drošs viens un tas pats IP starp SAS lasīšanas/rakstīšanas operācijām.
2. un 4. variants darbojas, kā paredzēts.
Produkti, kas ievieš IP saistīšanu, ja tā ir iespējota:
- Dataverse
- Power Automate
- Pielāgoti savienotāji
- Power Apps
Ietekme uz lietotāja pieredzi
Kad lietotājs, kurš neatbilst vides IP adreses ierobežojumiem, atver lietotni: Lietotāji saņem kļūdas ziņojumu, kurā norādīta vispārīga IP problēma.
Kad lietotājs, kurš atbilst IP adreses ierobežojumiem, atver lietotni: Notiek tālāk norādītie notikumi.
- Lietotāji var saņemt reklāmkarogu, kas ātri pazudīs, informējot lietotājus par IP iestatījumu, un sazināties ar administratoru, lai iegūtu sīkāku informāciju vai atsvaidzinātu lapas, kas zaudē savienojumu.
- Vēl svarīgāk ir tas, ka šī drošības iestatījuma izmantotās IP validācijas dēļ dažas funkcijas var darboties lēnāk nekā tad, ja tā būtu izslēgta.
Programmētiski atjauniniet iestatījumus
Administratori var izmantot automatizāciju, lai iestatītu un atjauninātu gan IP saistīšanas, gan ugunsmūra iestatījumu, atļauto IP diapazonu un reģistrēšanas pārslēgu. Papildinformāciju skatiet sadaļā Apmācība: vides pārvaldības iestatījumu izveide, atjaunināšana un uzskaitījums.
SAS zvanu reģistrēšana
Šis iestatījums ļauj pieteikties visiem SAS zvaniem pakalpojumā Power Platform Purview. Šis reģistrējums parāda atbilstošos metadatus visiem izveides un lietošanas notikumiem, un to var iespējot neatkarīgi no iepriekš minētajiem SAS IP ierobežojumiem. Power Platform pakalpojumi pašlaik pievieno SAS zvanus 2024. gadā.
| Lauka nosaukums | Lauka apraksts |
|---|---|
| response.status_message | Informēšana par to, vai pasākums bija veiksmīgs vai nē: SASSuccess vai SASAuthorizationError. |
| response.status_code | Informējot, vai pasākums bija veiksmīgs vai nē: 200, 401 vai 500. |
| ip_binding_mode | IP saistīšanas režīms, ko iestatījis nomnieka administrators, ja tas ir ieslēgts. Attiecas tikai uz SAS izveides pasākumiem. |
| admin_provided_ip_ranges | IP diapazoni, ko iestatījis nomnieka administrators, ja tādi ir. Attiecas tikai uz SAS izveides pasākumiem. |
| computed_ip_filters | Galīgā IP filtru kopa, kas saistīta ar SAS URI, pamatojoties uz IP saistīšanas režīmu un nomnieka administratora iestatītajiem diapazoniem. Attiecas gan uz SAS izveides, gan lietošanas notikumiem. |
| analytics.resource.sas.uri | Dati, kuriem tika mēģināts piekļūt vai izveidoti. |
| enduser.ip_address | Zvanītāja publiskais IP. |
| analytics.resource.sas.operation_id | Unikālais identifikators no izveides notikuma. Meklējot pēc šīs opcijas, tiek parādīti visi lietošanas un izveides notikumi, kas saistīti ar SAS izsaukumiem no izveides notikuma. Kartēts uz atbildes galveni "x-ms-sas-operation-id". |
| request.service_request_id | Unikāls identifikators no pieprasījuma vai atbildes, un to var izmantot, lai uzmeklētu vienu ierakstu. Kartēts uz atbildes galveni "x-ms-service-request-id". |
| versija | Šīs žurnālshēmas versija. |
| type | Vispārīga atbilde. |
| analytics.activity.name | Šī pasākuma aktivitātes veids bija: Izveide vai Lietošana. |
| analytics.activity.id | Ieraksta unikālais ID programmā Purview. |
| analytics.resource.organization.id | Organizācijas ID |
| analytics.resource.environment.id | Vides ID |
| analytics.resource.tenant.id | Nomnieka ID |
| enduser.id | GUID no Microsoft Entra izveides pasākuma satura veidotāja ID. |
| enduser.principal_name | Satura veidotāja UPN/e-pasta adrese. Lietošanas gadījumiem šī ir vispārīga atbilde: "system@powerplatform". |
| galalietotājs.loma | Vispārīga atbilde: Regulāri izveides notikumiem un Sistēma lietošanas notikumiem. |
Purview audita reģistrēšanas ieslēgšana
Lai žurnāli tiktu rādīti jūsu Purview instancē, vispirms tas ir jāizvēlas katrai videi, kurai vēlaties žurnālus. Šo iestatījumu administrēšanas centrā var atjaunināt Power Platform nomnieka administrators .
- Pierakstieties Power Platform administrēšanas centrā ar nomnieka administratora akreditācijas datiem.
- Navigācijas rūtī atlasiet Pārvaldīt.
- Rūtī Pārvaldība atlasiet Vides.
- Atlasiet vidi, kurai vēlaties ieslēgt administratora reģistrēšanu.
- Komandjoslā atlasiet Iestatījumi .
- Atlasiet Produkta>konfidencialitāte + drošība.
- Sadaļā Krātuves koplietojamās piekļuves paraksta (SAS) drošības iestatījumi (priekšskatījums) ieslēdziet līdzekli Iespējot SAS reģistrēšanu programmā Purview .
Audita žurnālu meklēšana
Nomnieka administratori var izmantot Purview, lai skatītu SAS operācijām emitētos audita žurnālus, un var pašdiagnosticēt kļūdas, kas var tikt atgrieztas IP validācijas problēmās. Purview žurnāli ir visuzticamākais risinājums.
Veiciet tālāk norādītās darbības, lai diagnosticētu problēmas vai labāk izprastu SAS lietošanas modeļus nomniekā.
Pārliecinieties, vai audita reģistrēšana ir ieslēgta videi. Sk. Purview audita reģistrēšanas ieslēgšana.
Dodieties uz Microsoft Purview atbilstības portālu un piesakieties ar nomnieka administratora akreditācijas datiem.
Kreisajā navigācijas rūtī atlasiet Auditēt. Ja šī opcija jums nav pieejama, tas nozīmē, ka pieteicušajam lietotājam nav administratora piekļuves vaicājumu audita žurnāliem.
Atlasiet datuma un laika diapazonu UTC, lai meklētu žurnālus. Piemēram, ja tika atgriezta kļūda 403 Aizliegts ar unauthorized_caller kļūdas kodu.
Nolaižamajā sarakstā Darbības - draudzīgie nosaukumi meklējiet krātuves Power Platform operācijas un atlasiet Izveidots SAS URI un Izmantots SAS URI.
Norādiet atslēgvārdu meklēšanā atslēgvārdus. Lai uzzinātu vairāk par šo lauku, skatiet sadaļu Darba sākšana ar meklēšanu Purview dokumentācijā. Atkarībā no scenārija varat izmantot vērtību no jebkura tabulā aprakstītā lauka, bet tālāk ir norādīti ieteicamie lauki, kuros meklēt (preferenču secībā):
- Atbildes galvenes x-ms-service-request-id vērtība. Tādējādi rezultāti tiek filtrēti uz vienu SAS URI izveides notikumu vai vienu SAS URI lietojuma notikumu atkarībā no tā, no kura pieprasījuma veida ir galvene. Tas ir noderīgi, izmeklējot lietotājam atgriezto kļūdu 403 Aizliegts. To var izmantot arī, lai iegūtu powerplatform.analytics.resource.sas.operation_id vērtību.
- Atbildes galvenes x-ms-sas-operation-id vērtība. Tādējādi rezultāti tiek filtrēti līdz vienam SAS URI izveides notikumam un vienam vai vairākiem šī SAS URI lietošanas notikumiem atkarībā no tā, cik reižu tam tika piekļūts. Tas kartē uz powerplatform.analytics.resource.sas.operation_id lauku.
- Pilnīgs vai daļējs SAS URI, atskaitot parakstu. Tas var atgriezt daudzus SAS URI radījumus un daudzus SAS URI lietošanas notikumus, jo ir iespējams, ka vienu un to pašu URI var pieprasīt ģenerēšanai tik reižu, cik nepieciešams.
- Zvanītāja IP adrese. Atgriež visus šī IP izveides un lietošanas notikumus.
- Vides ID. Tas var atgriezt lielu datu kopu, kas var aptvert daudzus dažādus piedāvājumus Power Platform, tāpēc, ja iespējams, izvairieties vai apsveriet iespēju sašaurināt meklēšanas logu.
Brīdinājums.
Nav ieteicams meklēt lietotāja pamatvārdu vai objekta ID, jo tie tiek izplatīti tikai izveides notikumiem, nevis lietojuma notikumiem.
Atlasiet Meklēt un gaidiet, līdz tiek parādīti rezultāti.
Brīdinājums.
Pieteikšanās uzņemšana pakalpojumā Purview var aizkavēties līdz pat stundai vai ilgāk, tāpēc paturiet to prātā, meklējot nesenos notikumus.
403 Aizliegta/unauthorized_caller kļūdas novēršana
Varat izmantot izveides un lietošanas žurnālus, lai noteiktu, kāpēc zvana rezultātā tiek parādīta kļūda 403 Aizliegts ar unauthorized_caller kļūdas kodu.
- Atrodiet žurnālus programmā Purview, kā aprakstīts iepriekšējā sadaļā. Apsveriet iespēju izmantot x-ms-service-request-id vai x-ms-sas-operation-id no atbilžu galvenēm kā meklēšanas atslēgvārdu.
- Atveriet lietojuma notikumu,Izmantotais SAS URI un meklējiet lauku powerplatform.analytics.resource.sas.computed_ip_filters sadaļā PropertyCollection. Šis IP diapazons ir tas, ko SAS zvans izmanto, lai noteiktu, vai pieprasījums ir atļauts turpināt vai nē.
- Salīdziniet šo vērtību ar žurnāla lauku IP adrese , kas ir pietiekams, lai noteiktu, kāpēc pieprasījums neizdevās.
- Ja uzskatāt, ka powerplatform.analytics.resource.sas.computed_ip_filters vērtība ir nepareiza, turpiniet veikt nākamās darbības.
- Atveriet izveides notikumu,Izveidots SAS URI, meklējot, izmantojotx-ms-sas-operation-id atbildes galvenes vērtību (vai powerplatform.analytics.resource.sas.operation_id lauka vērtību no izveides žurnāla).
- Iegūstiet powerplatform.analytics.resource.sas.ip_binding_mode lauka vērtību. Ja tā nav vai tā ir tukša, tas nozīmē, ka IP saistīšana konkrētajā vidē konkrētā pieprasījuma brīdī nebija ieslēgta.
- Iegūstiet powerplatform.analytics.resource.sas.admin_provided_ip_ranges vērtību. Ja tā trūkst vai tā ir tukša, tas nozīmē, ka konkrētā pieprasījuma brīdī šai videi nebija norādīti IP ugunsmūra diapazoni.
- Iegūstiet powerplatform.analytics.resource.sas.computed_ip_filters vērtību, kurai jābūt identiskai lietojuma notikumam un tiek iegūta, pamatojoties uz IP saistīšanas režīmu un administratora nodrošinātajiem IP ugunsmūra diapazoniem. Skatiet atvasināšanas loģiku sadaļā Datu glabāšana un pārvaldība. Power Platform
Šī informācija palīdz nomnieka administratoriem labot nepareizu konfigurāciju vides IP saistīšanas iestatījumos.
Brīdinājums.
SAS IP saistīšanas vides iestatījumu izmaiņu stāšanās spēkā var ilgt vismaz 30 minūtes. Tas varētu būt vairāk, ja partneru komandām būtu sava kešatmiņa.
Saistītie raksti
Drošības pārskats
Autentifikācija Power Platform pakalpojumos
Savienojuma izveide un autentifikācija datu avotiem
Power Platform Bieži uzdotie jautājumi par drošību