Storan data dan tadbir urus dalam Power Platform
Pertama, anda perlu membezakan antara data peribadi dan data pelanggan.
Data peribadi adalah maklumat mengenai orang yang boleh digunakan untuk mengenal pasti mereka.
Data pelanggan termasuk data peribadi dan maklumat pelanggan lain, termasuk URL, metadata dan maklumat pengesahan pekerja, seperti nama DNS.
Data residensi
Penyewa Microsoft Entra menempatkan maklumat yang berkaitan dengan organisasi dan keselamatannya. Microsoft Entra Apabila penyewa mendaftar untuk Power Platform perkhidmatan, negara atau rantau pilihan penyewa dipetakan kepada geografi Azure yang paling sesuai di mana penempatan wujud Power Platform . Power Platform menyimpan data pelanggan dalam geografi Azure yang ditugaskan oleh penyewa atau laman utama geo, kecuali organisasi yang menggunakan perkhidmatan dalam berbilang rantau.
Sesetengah organisasi mempunyai kehadiran global. Contohnya, perniagaan mungkin beribu pejabat di Amerika Syarikat tetapi menjalankan perniagaan di Australia. Ia mungkin memerlukan data tertentu Power Platform disimpan di Australia untuk mematuhi peraturan tempatan. Apabila perkhidmatan Power Platform digunakan dalam lebih daripada satu geografi Azure, ia dirujukkan sebagai pelaksanaan berbilang geo. Dalam kes ini, hanya metadata yang berkaitan dengan persekitaran disimpan dalam geo halaman utama. Semua metadata dan data produk dalam persekitaran disimpan dalam geo jarak jauh.
Microsoft boleh mereplika data ke rantau lain untuk ketahanan data. Walau bagaimanapun, kami tidak mereplika atau memindahkan data peribadi di luar geo. Data yang direplikakan ke rantau lain mungkin termasuk data bukan peribadi seperti maklumat pengesahan pekerja.
Perkhidmatan Power Platform boleh didapati dalam geografi Azure tertentu. Untuk mendapatkan maklumat lanjut mengenai tempat perkhidmatan Power Platform tersedia, di mana data anda disimpan dan cara ia digunakan, pergi ke Pusat Amanah Microsoft. Komitmen mengenai lokasi data pelanggan yang lain dinyatakan dalam Terma Pemprosesan Data bagi Microsoft Online Services Terms. Microsoft juga menyediakan pusat data bagi entiti berdaulat.
Mengendalikan data
Bahagian ini menggariskan cara Power Platform menyimpan, memproses dan memindahkan data pelanggan.
Data tidak aktif
Melainkan dinyatakan sebaliknya dalam dokumentasi, data pelanggan kekal dalam sumber asalnya (contohnya Dataverse atau SharePoint). Aplikasi Power Platform disimpan dalam Storan Azure sebagai sebahagian daripada persekitaran. Data yang digunakan dalam aplikasi mudah alih disulitkan dan disimpan dalam SQL Express. Dalam kebanyakan kes, aplikasi menggunakan Storan Azure untuk meneruskan data perkhidmatan Power Platform dan Pangkalan data SQL Azure untuk meneruskan metadata perkhidmatan. Data yang dimasukkan oleh pengguna aplikasi disimpan dalam sumber data yang berkaitan untuk perkhidmatan, seperti Dataverse.
Semua data yang diteruskan oleh Power Platform disulitkan secara lalai menggunakan kekunci diuruskan oleh Microsoft. Data pelanggan yang disimpan dalam Pangkalan Data SQL Azure disulitkan sepenuhnya dengan menggunakan teknologi Penyulitan Data Telus (TDE) SQL Azure. Data pelanggan yang disimpan dalam storan Blob Azure disulitkan menggunakan Penyulitan Storan Azure.
Data dalam pemprosesan
Data dalam pemprosesan apabila ia digunakan sebagai sebahagian daripada senario interaktif, atau apabila proses latar belakang, seperti segar semula, menyentuhnya. Power Platform memuatkan data dalam pemprosesan ke ruang memori satu atau lebih beban kerja perkhidmatan. Untuk memudahkan fungsi beban kerja, data yang disimpan dalam memori tidak disulitkan.
Data dalam transit
Power Platform memerlukan semua trafik HTTP masuk untuk disulitkan menggunakan TLS 1.2 atau lebih tinggi. Permintaan yang cuba untuk menggunakan TLS 1.1 atau lebih rendah ditolak.
Ciri keselamatan lanjutan
Sesetengah ciri keselamatan lanjutan Power Platform mempunyai keperluan pelesenan tertentu.
Tag perkhidmatan
Tag perkhidmatan mewakili sekumpulan awalan alamat IP daripada perkhidmatan Azure yang ditentukan. Anda boleh menggunakan tag perkhidmatan untuk mentakrifkan kawalan akses keselamatan pada Kumpulan Keselamatan Rangkaian atau Firewall Azure.
Tags perkhidmatan membantu untuk meminimumkan kerumitan kemas kini yang kerap untuk rangkaian peraturan keselamatan. Anda boleh menggunakan tag perkhidmatan sebagai ganti alamat IP khusus apabila anda mencipta peraturan keselamatan yang sebagai contoh, membenarkan atau menolak trafik untuk perkhidmatan berkenaan.
Microsoft menguruskan awalan alamat yang merangkumi tag perkhidmatan dan mengemas kini tag perkhidmatan secara automatik sebagai pertukaran alamat. Untuk maklumat lanjut, lihat Azure Julat IP Azure dan Tag Perkhidmatan – Awan Awam.
Pencegahan kehilangan data
Power Platform mempunyai set ciri Pencegahan Kehilangan Data (DLP) yang menyeluruh untuk membantu anda menguruskan keselamatan data anda.
Sekatan IP Tandatangan Akses Bersama Storan (SAS)
Nota
Sebelum mengaktifkan salah satu ciri SAS ini, pelanggan mesti terlebih dahulu membenarkan akses ke https://*.api.powerplatformusercontent.com domain atau kebanyakan fungsi SAS tidak akan berfungsi.
Set ciri ini ialah kefungsian khusus penyewa yang menyekat token Tandatangan Akses Dikongsi Storan (SAS) dan dikawal melalui menu dalam Power Platform pusat pentadbiran. Tetapan ini mengehadkan siapa, berdasarkan IP, boleh menggunakan token SAS perusahaan.
Ciri ini kini dalam pratonton peribadi. Pratonton awam dirancang untuk musim bunga ini, dengan ketersediaan umum pada musim panas 2024. Untuk maklumat lanjut, lihat Perancang Pelepasan.
Seting ini boleh didapati dalam tetapan Privasi + Keselamatan persekitaran dalam pusat pentadbiran. Anda mesti menghidupkan opsyen peraturan Dayakan alamat IP berdasarkan Tandatangan Akses Bersama (SAS).
Pentadbir boleh mendayakan salah satu daripada empat konfigurasi ini untuk seting ini:
| Tetapan | Description |
|---|---|
| Mengikat IP Sahaja | Ini mengehadkan kekunci SAS kepada IP pemohon. |
| Tembok Api IP Sahaja | Ini mengehadkan menggunakan kekunci SAS untuk hanya berfungsi dalam julat yang ditentukan oleh pentadbir. |
| Mengikat IP dan Firewall | Ini mengehadkan menggunakan kekunci SAS untuk berfungsi dalam julat yang ditentukan oleh pentadbir dan hanya kepada IP pemohon. |
| Mengikat IP atau Firewall | Membolehkan kekunci SAS digunakan dalam julat yang ditentukan. Jika permintaan datang dari luar julat, Pengikatan IP digunakan. |
Produk yang menguatkuasakan IP Binding apabila didayakan:
- Dataverse
- Power Automate
- Penyambung Tersuai
- Power Apps
Kesan terhadap pengalaman pengguna
Apabila pengguna, yang tidak memenuhi sekatan alamat IP persekitaran, membuka apl: Pengguna mendapat mesej ralat yang memetik isu IP generik.
Apabila pengguna yang memenuhi pengehadan alamat IP, membuka apl: Peristiwa berikut berlaku:
- Pengguna boleh mendapatkan sepanduk yang akan hilang dengan cepat memberitahu pengguna bahawa tetapan IP telah ditetapkan dan menghubungi pentadbir untuk mendapatkan butiran atau menyegarkan semula mana-mana halaman yang kehilangan sambungan.
- Lebih ketara lagi, disebabkan oleh pengesahan IP yang digunakan oleh tetapan keselamatan ini, sesetengah fungsi mungkin berfungsi lebih perlahan daripada jika ia dimatikan.
Pembalakan panggilan SAS
Tetapan ini membolehkan semua panggilan SAS dalam untuk Power Platform dilog masuk ke Purview. Pengelogan ini menunjukkan metadata yang berkaitan untuk semua acara penciptaan dan penggunaan dan boleh didayakan secara bebas daripada sekatan IP SAS di atas. Power Platform perkhidmatan sedang menerima panggilan SAS pada tahun 2024.
| Nama medan | Perihalan medan |
|---|---|
| response.status_message | Memaklumkan sama ada acara itu berjaya atau tidak: SASSuccess atau SASAuthorizationError. |
| response.status_code | Memaklumkan sama ada acara itu berjaya atau tidak: 200, 401, atau 500. |
| ip_binding_mode | Mod pengikatan IP disetkan oleh pentadbir penyewa, jika dihidupkan. Digunakan untuk acara penciptaan SAS sahaja. |
| admin_provided_ip_ranges | Julat IP yang ditetapkan oleh pentadbir penyewa, jika ada. Digunakan untuk acara penciptaan SAS sahaja. |
| computed_ip_filters | Set akhir penapis IP terikat kepada SAS URIs berdasarkan mod pengikatan IP dan julat yang ditetapkan oleh pentadbir penyewa. Digunakan untuk kedua-dua acara penciptaan dan penggunaan SAS. |
| Analytics.resource.sas.uri | Data yang cuba diakses atau dicipta. |
| enduser.ip_address | IP awam pemanggil. |
| analytics.resource.sas.operation_id | Pengecam unik daripada acara penciptaan. Carian mengikut ini menunjukkan semua peristiwa penggunaan dan penciptaan yang berkaitan dengan panggilan SAS daripada acara penciptaan. Dipetakan pada pengepala respons "x-ms-sas-operation-id". |
| request.service_request_id | Pengecam unik daripada permintaan atau respons dan boleh digunakan untuk mencari rekod tunggal. Dipetakan pada pengepala respons "x-ms-service-request-id". |
| versi | Versi skema log ini. |
| jenis | Respons generik. |
| analytics.activity.name | Jenis aktiviti acara ini ialah: Penciptaan atau Penggunaan. |
| analytics.activity.id | ID unik rekod dalam Purview. |
| analytics.resource.organization.id | ID Organisasi |
| analytics.resource.environment.id | ID Persekitaran |
| analytics.resource.tenant.id | ID Penyewa |
| enduser.id | GUID daripada Microsoft Entra ID pencipta daripada peristiwa penciptaan. |
| enduser.principal_name | UPN / alamat e-mel pencipta. Untuk acara penggunaan ini adalah respons generik: "system@powerplatform". |
| enduser.role | Generik respons: Biasa untuk acara penciptaan dan Sistem untuk acara penggunaan. |
Artikel berkaitan
Keselamatan dalam Microsoft Power Platform
Mengesahkan perkhidmatan Power Platform
Menyambung dan mengesahkan sumber data
Soalan lazim keselamatan Power Platform
Lihat juga
Maklum balas
Akan datang: Sepanjang 2024, kami akan menghentikan secara berperingkat Isu GitHub sebagai kaedah maklum balas untuk kandungan dan menggantikannya dengan sistem maklum balas baharu. Untuk mendapatkan maklumat lanjut lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat maklum balas untuk