Del via

Datalagring og styring i Power Platform

  • Artikkel

Først er det viktig å skille mellom personopplysninger og kundedata.

  • Personopplysninger er informasjon om personer som kan brukes til å identifisere dem.

  • Kundedata omfatter personopplysninger og annen kundeinformasjon, deriblant nettadresser, metadata og informasjon om autentisering av ansatte, for eksempel DNS-navn.

Datalagring

En Microsoft Entra-leier inneholder informasjon som er relevant for en organisasjon og dens sikkerhet. Når en Microsoft Entra-leier registrerer seg for Power Platform-tjenester, tildeles leierens valgte land eller område til den best egnede Azure-geografien der en Power Platform-distribusjon finnes. Power Platform lagrer kundedata i leierens tildelte Azure-geografi eller hjemmegeografi, unntatt der organisasjoner distribuerer tjenester i flere områder.

Noen organisasjoner har en global tilstedeværelse. En virksomhet har for eksempel hovedkontor i USA, men gjør forretninger i Australia. Det kan hende at enkelte Power Platform-data må lagres i Australia for å overholde lokale forskrifter. Når Power Platform-tjenester distribueres i mer enn én Azure-geografi, kalles det en distribusjon med flere geografiske områder. I dette tilfellet lagres bare metadata knyttet til miljøet i hjemmegeografien. Alle metadata og produktdata i det miljøet lagres i den eksterne geografien.

Microsoft kan replikere data til andre områder for datalagring. Vi replikerer eller flytter imidlertid ikke personopplysninger utenfor det geografiske området. Data som replikeres til andre områder, kan inneholde ikke-personlige data, for eksempel godkjenningsinformasjon for ansatte.

Power Platform-tjenester er tilgjengelige i bestemte geografiske områder for Azure. Hvis du vil ha mer informasjon om hvor Power Platform-tjenester er tilgjengelige, hvor dataene lagres og hvordan de brukes, kan du gå til Microsoft Klareringssenter. Forpliktelser vedrørende plasseringen av inaktive kundedata er angitt i vilkårene for databehandling i Microsofts vilkår for elektroniske tjenester. Microsoft tilbyr også datasentre for nasjoner.

Datahåndtering

Denne delen beskriver hvordan Power Platform lagrer, behandler og overfører kundedata.

Inaktive data

Med mindre annet er angitt i dokumentasjonen, beholdes kundedataene i den opprinnelige kilden (for eksempel Dataverse eller SharePoint). En Power Platform-app lagres i Azure Storage som en del av et miljø. Data som brukes i mobilapper, krypteres og lagres i SQL Express. I de fleste tilfeller bruker apper Azure Storage til å beholde Power Platform-tjenestedata og Azure SQL Database til å beholde tjenestemetadata. Data som er angitt av appbrukere, lagres i den respektive datakilden for tjenesten, for eksempel Dataverse.

Alle data som beholdes av Power Platform, krypteres som standard ved hjelp av Microsoft-administrerte nøkler. Kundedata som er lagret i Azure SQL Database, er fullstendig kryptert ved hjelp av teknologien gjennomsiktig datakryptering (TDE) i Azure SQL. Kundedata som er lagret i Azure Blob-lagring, krypteres ved hjelp av Azure Storage Encryption.

Data som behandles

Data behandles enten når de brukes som en del av et interaktivt scenario, eller når en bakgrunnsprosess, for eksempel oppdatering, berører disse dataene. Power Platform laster inn data som behandles, i minneområdet for en eller flere tjenestearbeidsbelastninger. Data som er lagret i minnet, krypteres ikke for å muliggjøre arbeidsbelastningens funksjonalitet.

Data under overføring

Power Platform krever at all innkommende HTTP-trafikk krypteres ved hjelp av TLS 1.2 eller nyere. Forespørsler som prøver å bruke TLS 1.1 eller lavere, blir avvist.

Avanserte sikkerhetsfunksjoner

Noen av Power Platforms avanserte sikkerhetsfunksjoner har bestemte lisenskrav.

Servicemerker

Et servicemerke representerer en gruppe IP-adresseprefikser fra en angitt Azure-tjeneste. Du kan bruke servicemerker til å definere kontroller for nettverkstilgang i nettverkssikkerhetsgrupper eller Azure Firewall.

Servicemerker bidrar til å minimere kompleksiteten ved hyppige oppdateringer av nettverkssikkerhetsregler. Du kan bruke servicemerker i stedet for bestemte IP-adresser når du oppretter sikkerhetsregler som tillater eller nekter trafikk for den tilsvarende tjenesten.

Microsoft administrerer adresseprefiksene som omfattes av servicemerket og oppdaterer automatisk servicemerket etter hvert som adressene endres. Hvis du vil ha mer informasjon, kan du se IP-områder og servicemerker for Azure – offentlig sky.

Hindring av datatap

Power Platform har også et omfattende sett med funksjoner for hindring av datatap som hjelper deg med å håndtere sikkerheten til dataene.

IP-begrensning for delt tilgangssignatur for lagring (SAS)

Merk

Før du aktiverer en av disse SAS-funksjonene, må kundene først gi tilgang til https://*.api.powerplatformusercontent.com-domenet ellers vil ikke de fleste SAS-funksjonene ikke fungere.

Dette funksjonssettet er leierspesifikk funksjonalitet som begrenser SAS-tokener (Storage Shared Access Signature) og kontrolleres via en meny i administrasjonssenter for Power Platform. Denne innstillingen begrenser hvem, basert på IP, som kan bruke SAS-tokener for virksomheter.

Denne funksjonen er for øyeblikket i privat forhåndsvisning. Forhåndsversjon er planlagt senere i vår og tilgjengelig versjon sommeren 2024. Hvis du vil ha mer informasjon, kan du se Lanseringsplanlegger.

Disse innstillingene finner du i innstillingene Personvern + Sikkerhet for et miljø i administrasjonssenteret. Du må aktivere alternativet Aktiver IP-adressebasert SAS-regel (Storage Shared Access Signature).

Administratorer kan aktivere én av disse fire konfigurasjonene for denne innstillingen:

Innstilling Beskrivelse
Bare IP-binding Dette begrenser SAS-nøkler til anmoderens IP.
Bare IP-brannmur Dette begrenser bruk av SAS-nøkler til bare å fungere innenfor et administratorangitt område.
IP-binding og brannmur Dette begrenser bruk av SAS-nøkler til å fungere innenfor et administratorangitt område og bare anmoderens IP.
IP-binding eller brannmur Tillater at SAS-nøkler brukes innenfor det angitte området. Hvis forespørselen kommer fra utenfor området, brukes IP-binding.

Produkter som håndhever IP-binding når de er aktivert:

  • Dataverse
  • Power Automate
  • Egendefinerte koblinger
  • Power Apps

Innvirkning på brukeropplevelsen

  • Når en bruker, som ikke oppfyller IP-adressebegrensningene for et miljø, åpner en app: Brukere får en feilmelding som siterer et generelt IP-problem.

  • Når en bruker som ikke oppfyller IP-adressebegrensningene, åpner en app: Følgende hendelser inntreffer:

    • Brukere kan få et banner som raskt forsvinner, og som gir brukere beskjed om at en IP-innstilling er angitt, og at de må kontakte administratoren for mer informasjon eller oppdatere sider som mister tilkoblingen.
    • Mer viktig er det at på grunn av IP-valideringen som denne sikkerhetsinnstillingen bruker, kan noe funksjonalitet gå tregere enn hvis den ble slått av.

Logging av SAS-samtaler

Denne innstillingen gjør at alle SAS-samtaler i Power Platform logges i Purview. Denne loggingen viser de relevante metadataene for alle opprettings- og brukshendelser og kan aktiveres uavhengig av SAS-IP-begrensningene ovenfor. Power Platform-tjenester innføres for øyeblikket i SAS-samtaler i 2024.

Feltnavn Feltbeskrivelse
response.status_message Informerer om hendelsen var vellykket eller ikke: SASSuccess eller SASAuthorizationError.
response.status_code Informerer om hendelsen var vellykket eller ikke: 200, 401 eller 500.
ip_binding_mode IP-bindingsmodus angitt av en leieradministrator, hvis aktivert. Gjelder bare SAS-opprettelseshendelser.
admin_provided_ip_ranges IP-områder angitt av en leieradministrator, hvis aktuelt. Gjelder bare SAS-opprettelseshendelser.
computed_ip_filters Det siste settet IP-filtre som er bundet til SAS-URI-er basert på IP-bindingsmodus og områdene som er angitt av en leieradministrator. Gjelder både SAS-opprettings- og -brukshendelser.
analytics.resource.sas.uri Dataene det ble forsøkt å få tilgang til eller opprette.
enduser.ip_address Den offentlig IP-adressen til den som ringer.
analytics.resource.sas.operation_id Den unike identifikatoren fra opprettingshendelsen. Hvis du søker etter dette, vises all bruks- og opprettingshendelse som er relatert til SAS-oppkall fra opprettingshendelsen. Tildelt til svarhodet x-ms-sas-operation-id.
request.service_request_id Unik identifikator fra forespørselen eller svaret og kan brukes til å slå opp en enkeltoppføring. Tildelt til svarhodet x-ms-service-request-id.
versjon Versjon av dette loggskjemaet.
type Generelt svar.
analytics.activity.name Aktivitetstypen denne hendelsen var: oppretting eller bruk.
analytics.activity.id Unik ID for oppføringen i Purview.
analytics.resource.organization.id Organisasjons-ID
analytics.resource.environment.id Miljø-ID
analytics.resource.tenant.id Leier-ID
enduser.id GUID-en fra Microsoft Entra ID-en til oppretteren fra opprettingshendelsen.
enduser.principal_name UPN/E-postadressen til oppretteren. For brukshendelser er dette et generelt svar: system@powerplatform.
enduser.role Generelt svar: Vanlig for opprettingshendelser og System for brukshendelser.

Aktivere Purview-overvåkingslogging

For at loggene skal vises i Purview-forekomsten, må du først velge den for hvert miljø du vil ha logger for. Denne innstillingen kan oppdateres i administrasjonssenteret Power Platform av en leieradministrator.

  1. Gå til administrasjonssenteret Power Platform , og logg på med administratorlegitimasjonen for leieren.
  2. I den venstre navigasjonsruten Velg Miljøer.
  3. Velg miljøet du vil aktivere administratorlogging for.
  4. VelgInnstillinger på kommandolinjen.
  5. VelgProduktpersonvern > + sikkerhet.
  6. Under Sikkerhetsinnstillinger for SAS-signatur (Storage Shared Access Signature) (forhåndsversjon) aktiverer du funksjonen Aktiver SAS-logging i Purview .

Søk i logger for sporing av endringer

Leieradministratorer kan bruke Purview til å vise overvåkingslogger som sendes for SAS-operasjoner, og kan selv diagnostisere feil som kan returneres i IP-valideringsproblemer. Logger i Purview er den mest pålitelige løsningen.

Bruk følgende fremgangsmåte til å diagnostisere problemer eller få en bedre forståelse av SAS-bruksmønstre i leieren.

  1. Kontroller at sporing av endringer er aktivert for miljøet. Se Slå på Purview-sporing av sporing av endringer.

  2. Gå til Microsoft Purview-samsvarsportal, og logg på med legitimasjonen for leieradministrator.

  3. I den venstre navigasjonsruten Velg Revisjon. Hvis dette alternativet ikke er tilgjengelig for deg, betyr det at den påloggede brukeren ikke har administratortilgang til å spørre etter overvåkingslogger.

  4. Velg dato- og klokkeslettintervallet i UTC for når du prøver å lete etter logger. For eksempel når en 403 Forbidden-feil med en unauthorized_caller feilkode ble returnert.

  5. Fra rullegardinlisten Aktiviteter – egendefinerte navn søker du etter Power Platform lagringsoperasjoner og VelgOpprettet SAS-URI og Brukt SAS-URI.

  6. Angi et nøkkelord i Nøkkelordsøk. Se Kom i gang med søk i Purview-dokumentasjonen for å lære mer om dette feltet. Du kan bruke en verdi fra et av feltene som er beskrevet i tabellen ovenfor, avhengig av scenarioet ditt, men nedenfor er de anbefalte feltene å søke på (i preferanserekkefølge):

    • Verdien for x-ms-service-request-id-svar-hodet . Dette filtrerer resultatene til én SAS-URI-opprettingshendelse eller én SAS-URI-brukshendelse, avhengig av hvilken forespørselstype hodet er fra. Det er nyttig når du undersøker en 403 Forbidden-feil som returneres til brukeren. Den kan også brukes til å håndtak den powerplatform.analytics.resource.sas.operation_id verdien .
    • Verdien for x-ms-sas-operation-id-svar-hodet . Dette filtrerer resultatene til én SAS-URI-opprettingshendelse og én eller flere brukshendelser for denne SAS-URI-en, avhengig av hvor mange ganger den ble åpnet. Den kartlegges til det powerplatform.analytics.resource.sas.operation_id feltet.
    • Hel eller delvis SAS-URI, minus signaturen. Dette kan returnere mange SAS-URI-kreasjoner og mange SAS-URI-brukshendelser, fordi det er mulig for den samme URI-en å bli forespurt for generering så mange ganger som nødvendig.
    • IP-adresse for innringer. Returnerer alle opprettelses- og brukshendelser for denne IP-adressen.
    • Miljø-ID. Dette kan returnere et stort sett med data som kan strekke seg over mange forskjellige tilbud Power Platform, så unngå hvis mulig eller vurder å begrense søkevinduet.

    Advarsel!

    Vi anbefaler ikke å søke etter brukerhovednavn eller objekt-ID, da disse bare overføres til opprettelseshendelser, ikke brukshendelser.

  7. VelgSøk og vent til resultatene vises.

    Et nytt søk

Advarsel!

Logginntak i Purview kan bli forsinket i opptil en time eller mer, så husk det når du ser etter de nyeste hendelsene.

Feilsøking av 403 Forbidden/unauthorized_caller feil

Du kan bruke opprettelses- og brukslogger til å finne ut hvorfor et kall vil resultere i en 403 Forbidden-feil med en unauthorized_caller feilkode.

  1. Finn logger i Purview som beskrevet i forrige del. Vurder å bruke enten x-ms-service-request-id eller x-ms-sas-operation-id fra svar-hodene som søkeord.
  2. Åpne brukshendelsen,Brukt SAS-URI, og se etter powerplatform.analytics.resource.sas.computed_ip_filters-feltet under PropertyCollection. Dette IP-området er det SAS-kallet bruker for å avgjøre om forespørselen er autorisert til å fortsette eller ikke.
  3. Sammenlign denne verdien med IP-adressefeltet i loggen, noe som skal være tilstrekkelig til å finne ut hvorfor forespørselen mislyktes.
  4. Hvis du tror verdien av powerplatform.analytics.resource.sas.computed_ip_filters er feil, fortsett med de neste trinnene.
  5. Åpne opprettelseshendelsen,Opprettet SAS-URI, ved å søke ved hjelp av x-ms-sas-operation-id svar-hodeverdien (eller verdien for powerplatform.analytics.resource.sas.operation_id felt fra opprettingsloggen).
  6. Få verdien av powerplatform.analytics.resource.sas.ip_binding_mode feltet. Hvis den mangler eller er tom, betyr det at IP-binding ikke var aktivert for dette miljøet på tidspunktet for den bestemte forespørselen.
  7. Få verdien av powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Hvis den mangler eller er tom, betyr det at IP-brannmurområder ikke ble spesifisert for det miljøet på tidspunktet for den aktuelle forespørselen.
  8. Få verdien av powerplatform.analytics.resource.sas.computed_ip_filters, som skal være identisk med brukshendelsen og er avledet basert på IP-bindingsmodus og IP-brannmurområder levert av administratorer. Se avledningslogikken i Datalagring og styring i Power Platform.

Dette bør gi leieradministratorer nok informasjon til å rette opp eventuelle feilkonfigurasjoner mot miljøet for IP-bindingsinnstillinger.

Advarsel!

Det kan ta minst 30 minutter før endringer i miljøinnstillingene for SAS IP-binding trer i kraft. Det kan være mer hvis partnerteam har sin egen cache.

Sikkerhet i Microsoft Power Platform
Autentisering til Power Platform-tjenester
Koble og autentisere til datakilder
Vanlige spørsmål om Power Platform

Se også