Delen via

Gegevensopslag en -governance in Power Platform

  • Artikel

Ten eerste is het belangrijk om onderscheid te maken tussen: persoonlijke gegevens en klantgegevens.

  • Persoonlijke gegevens is informatie over mensen die kan worden gebruikt om ze te identificeren.

  • Klantgegevens omvatten persoonlijke gegevens en ook andere informatie over de klantinformatie, zoals URL's, metagegevens en verificatiegegevens van werknemers, zoals DNS-namen.

Gegevensresidentie

Een Microsoft Entra-tenant bevat informatie die relevant is voor een organisatie en de beveiliging ervan. Wanneer een Microsoft Entra-tenant zich aanmeldt voor Power Platform-services, wordt de voor de tenant geselecteerde land/regio toegewezen aan de meest geschikte Azure-geografie waar een Power Platform-implementatie bestaat. Power Platform slaat klantgegevens op in de toegewezen Azure-geografie ofwel thuisgeo van de tenant, behalve waar organisaties services in meerdere regio's implementeren.

Sommige organisaties zijn wereldwijd aanwezig. Een bedrijf kan bijvoorbeeld zijn hoofdkantoor in de Verenigde Staten hebben, maar zaken doen in Australië. Het kan nodig zijn bepaalde Power Platform-gegevens in Australië op te slaan om te voldoen aan de lokale regelgeving. Wanneer Power Platform-services worden geïmplementeerd in meer dan één Azure-geografie, wordt dit een multigeo-implementatie genoemd. In dit geval worden de omgevingsgerelateerde metagegevens alleen opgeslagen in de thuisgeo. Alle meta- en productgegevens in die omgeving worden opgeslagen in de externe geo.

Microsoft kan gegevens repliceren naar andere regio's voor gegevensbestendigheid. We kopiëren of verplaatsen persoonlijke gegevens echter niet buiten de geografische locatie. Gegevens die naar andere regio's worden gerepliceerd, kunnen niet-persoonlijke gegevens bevatten, zoals authenticatiegegevens van werknemers.

Power Platform-services zijn beschikbaar in specifieke geografische Azure-gebieden. Ga naar Microsoft Trust Center voor meer informatie over waar Power Platform-services beschikbaar zijn, waar uw gegevens worden opgeslagen en hoe deze worden gebruikt. Toezeggingen over de locatie van data-at-rest van klanten zijn te vinden in de voorwaarden voor gegevensverwerking van de voorwaarden voor Microsoft Online Services. Microsoft biedt ook datacenters voor onafhankelijke entiteiten.

Gegevensverwerking

In dit gedeelte wordt beschreven hoe Power Platform klantgegevens bewaart, verwerkt en overdraagt.

Data-at-rest

Tenzij anders vermeld in de documentatie, blijven klantgegevens in de oorspronkelijke bron (bijvoorbeeld Dataverse of SharePoint). Een Power Platform-app wordt opgeslagen in Azure Storage als onderdeel van een omgeving. Gegevens die worden gebruikt in mobiele apps worden versleuteld en opgeslagen in SQL Express. In de meeste gevallen gebruiken apps Azure Storage om Power Platform-servicegegevens te behouden en Azure SQL Database om servicemetagegevens te behouden. Door appgebruikers ingevoerde gegevens worden opgeslagen in de betreffende gegevensbron voor de service, zoals Dataverse.

Alle gegevens bewaard door Power Platform worden standaard versleuteld met door Microsoft beheerde sleutels. Klantgegevens die zijn opgeslagen in Azure SQL-database zijn volledig versleuteld met behulp van Azure SQL TDE-technologie (Transparent Data Encryption). Klantgegevens die zijn opgeslagen in Azure Blob Storage, worden versleuteld met Azure Storage Encryption.

Gegevens in verwerking

Gegevens zijn in verwerking wanneer ze worden gebruikt als onderdeel van een interactief scenario of wanneer een achtergrondproces, zoals het vernieuwen, deze gegevens raakt. Power Platform laadt in verwerking zijnde gegevens in de geheugenruimte van een of meer serviceworkloads. Om de functionaliteit van de workload te vergemakkelijken, worden gegevens die in het geheugen zijn opgeslagen niet versleuteld.

Gegevens in transit

Power Platform vereist dat al het inkomende HTTP-verkeer wordt versleuteld met TLS 1.2 of hoger. Verzoeken die TLS 1.1 of lager proberen te gebruiken, worden afgewezen.

Geavanceerde netwerkfuncties

Voor sommige geavanceerde beveiligingsfuncties van Power Platform gelden specifieke licentievereisten.

Servicetags

Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels van een opgegeven Azure-service. U kunt servicetags gebruiken om netwerktoegangsbeheer voor netwerkbeveiligingsgroepen of Azure Firewall te definiëren.

Servicetags helpen de complexiteit van frequente updates van netwerkbeveiligingsregels te minimaliseren. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt die bijvoorbeeld verkeer voor de bijbehorende service toestaan of weigeren.

Microsoft beheert de adresvoorvoegsels die door de servicetag worden omvat en werkt de servicetag automatisch bij als adressen worden gewijzigd. Zie Azure IP-bereiken en servicetags - Openbare cloud voor meer informatie.

Preventie van gegevensverlies

Power Platform biedt een uitgebreide set functies ter voorkoming van gegevensverlies om u te helpen bij het beheren van de beveiliging van uw gegevens.

Shared Access Signature (SAS) IP-beperking voor opslag

Opmerking

Voordat een van deze SAS-functies wordt geactiveerd, moeten klanten eerst toegang verlenen tot het domein https://*.api.powerplatformusercontent.com, anders werken de meeste SAS-functionaliteiten niet.

Deze functieset is een tenantspecifieke functionaliteit waarmee SAS-tokens (Storage Shared Access Signature) worden beperkt en die wordt beheerd via een menu in het Power Platform-beheercentrum. Deze instelling beperkt, op basis van IP, wie zakelijke SAS-tokens kan gebruiken.

Deze functie is momenteel beschikbaar in beperkte preview. De openbare preview staat gepland voor later dit voorjaar, met algemene beschikbaarheid in de zomer van 2024. Raadpleeg Releaseplanner voor meer informatie.

Deze instellingen zijn te vinden in de instellingen voor Privacy + beveiliging van de omgeving in het beheercentrum. U moet de optie Op IP-adres gebaseerde SAS-regel (Storage Shared Access Signature) inschakelen inschakelen.

Beheerders kunnen een van deze vier configuraties inschakelen voor deze instelling:

Instelling Omschrijving
Alleen IP-binding Hierdoor worden SAS-sleutels beperkt tot het IP-adres van de aanvrager.
Alleen IP-firewall Dit beperkt het gebruik van SAS-sleutels, zodat ze alleen binnen een door de beheerder opgegeven bereik werken.
IP-binding en -firewall Dit beperkt het gebruik van SAS-sleutels, zodat ze alleen binnen een door de beheerder opgegeven bereik werken en alleen voor het IP-adres van de aanvrager.
IP-binding of -firewall Hiermee kunnen SAS-sleutels worden gebruikt binnen het opgegeven bereik. Als de aanvraag van buiten het bereik komt, wordt IP-binding toegepast.

Producten die IP-binding afdwingen indien ingeschakeld:

  • Dataverse
  • Power Automate
  • Aangepaste connectoren
  • Power Apps

Impact op de gebruikerservaring

  • Wanneer een gebruiker, die niet voldoet aan de IP-adresbeperkingen van een omgeving, een app opent: gebruikers krijgen een foutmelding waarin een algemeen IP-probleem wordt vermeld.

  • Wanneer een gebruiker, die wel aan de IP-adresbeperkingen voldoet, een app opent: vinden de volgende gebeurtenissen plaats:

    • Gebruikers krijgt mogelijk een banner te zien die snel verdwijnt, zodat gebruikers weten dat er een IP-instelling is ingesteld en ze contact kunnen opnemen met de beheerder voor meer informatie of om pagina's te vernieuwen waarbij de verbinding wordt verbroken.
    • Belangrijker nog is dat, vanwege de IP-validatie die deze beveiligingsinstelling gebruikt, sommige functionaliteiten langzamer kunnen werken dan wanneer deze zijn uitgeschakeld.

Logboekregistratie van SAS-oproepen

Met deze instelling kunnen alle SAS-aanroepen binnen Power Platform worden geregistreerd in Purview. Deze logboekregistratie toont de relevante metagegevens voor alle aanmaak- en gebruiksgebeurtenissen en kan onafhankelijk van de bovenstaande SAS IP-beperkingen worden ingeschakeld. Onboarding van SAS-aanroepen in Power Platform-services vindt momenteel plaats in 2024.

Veldnaam Veldbeschrijving
response.status_message Informeren of de gebeurtenis succesvol was of niet: SASSuccess of SASAuthorizationError.
response.status_code Informeren of de gebeurtenis succesvol was of niet: 200, 401 of 500.
ip_binding_mode IP-bindingsmodus ingesteld door een tenantbeheerder, indien ingeschakeld. Is alleen van toepassing op SAS-aanmaakgebeurtenissen.
admin_provided_ip_ranges IP-bereiken die zijn ingesteld door een tenantbeheerder, indien van toepassing. Is alleen van toepassing op SAS-aanmaakgebeurtenissen.
computed_ip_filters Laatste set IP-filters gebonden aan SAS-URI's op basis van de IP-bindingsmodus en de bereiken die zijn ingesteld door een tenantbeheerder. Geldt voor zowel SAS-aanmaak- als gebruiksgebeurtenissen.
analytics.resource.sas.uri De gegevens waartoe een poging werd gedaan deze te openen of deze te maken.
enduser.ip_address De openbare IP van de van de oproepende functie.
analytics.resource.sas.operation_id De unieke id van de creatiegebeurtenis. Als u hierop zoekt, worden alle gebruiks- en aanmaakgebeurtenissen weergegeven die verband houden met de SAS-aanroepen van de aanmaakgebeurtenis. Toegewezen aan de antwoordheader 'x-ms-sas-operation-id'.
request.service_request_id Unieke identificatie uit de aanvraag of respons en kan worden gebruikt om één record op te zoeken. Toegewezen aan de antwoordheader 'x-ms-service-request-id'.
versie Versie van dit logboekschema.
type Generieke respons.
analytics.activity.name Het type activiteit van dit evenement was: creatie of gebruik.
analytics.activity.id Unieke id van de record in Purview.
analytics.resource.organization.id Organisatie-id
analytics.resource.environment.id Omgevings-id
analytics.resource.tenant.id Tenant-id
enduser.id De GUID van de Microsoft Entra ID van de maker van de creatiegebeurtenis.
enduser.principal_name Het UPN-/e-mailadres van de maker. Voor gebruiksgebeurtenissen is dit een algemene respons: ′system@powerplatform′.
enduser.role Algemene respons: Regelmatig voor aanmaakgebeurtenissen en Systeem voor gebruiksgebeurtenissen.

Purview-auditregistratie inschakelen

Om de logboeken in uw Purview-exemplaar te laten weergeven, moet u zich eerst aanmelden voor elke omgeving waarvoor u logboeken wilt weergeven. Deze instelling kan worden bijgewerkt in de Power Platform Beheercentrum door een tenantbeheerder.

  1. Ga naar Power Platform Beheercentrum en log in met de beheerdersreferenties van de tenant.
  2. Selecteer Omgevingen in het navigatiedeelvenster aan de linkerkant.
  3. Selecteer de omgeving waarvoor u beheerdersregistratie wilt inschakelen.
  4. Selecteer instellingen in de opdrachtbalk.
  5. Selecteer product>Privacy + Beveiliging.
  6. Schakel onder Storage Shared Access Signature (SAS) Security Settings (preview) de functie SAS-logboekregistratie in Purview inschakelen in.

Zoek auditlogs

Tenantbeheerders kunnen Purview gebruiken om auditlogboeken te bekijken die zijn gegenereerd voor SAS-bewerkingen. Ook kunnen ze zelf fouten diagnosticeren die mogelijk worden geretourneerd bij problemen met IP-validatie. Logs in Purview zijn de meest betrouwbare oplossing.

Gebruik de volgende stappen om problemen te diagnosticeren of SAS-gebruikspatronen binnen uw tenant beter te begrijpen.

  1. Zorg ervoor dat auditlogging is ingeschakeld voor omgeving. Zie Purview-auditlogging inschakelen.

  2. Ga naar de Microsoft Purview-complianceportal en meld u aan met de inloggegevens van de tenantbeheerder.

  3. Selecteer Audit in het linkernavigatievenster. Als deze optie niet voor u beschikbaar is, betekent dit dat de aangemelde gebruiker geen beheerdersrechten heeft om auditlogboeken te raadplegen.

  4. Selecteer het datum- en tijdbereik in UTC wanneer u naar logboeken zoekt. Bijvoorbeeld wanneer een 403 Forbidden-fout met een unauthorized_caller foutcode werd geretourneerd.

  5. Zoek in de vervolgkeuzelijst Activiteiten - beschrijvende namen naar Power Platform opslagbewerkingen en selecteer Aangemaakte SAS-URI en gebruikte SAS-URI.

  6. Geef een trefwoord op in Zoeken op trefwoord. Zie Aan de slag met zoeken in de Purview-documentatie voor meer informatie over dit veld. U kunt een waarde gebruiken uit elk van de velden die in de bovenstaande tabel worden beschreven, afhankelijk van uw scenario. Hieronder vindt u de aanbevolen velden om op te zoeken (in volgorde van voorkeur):

    • De waarde van x-ms-service-request-id respons header. Hiermee worden de resultaten gefilterd op één SAS URI-creatiegebeurtenis of één SAS URI-gebruikgebeurtenis, afhankelijk van het aanvraagtype waarvan de header afkomstig is. Dit is handig bij het onderzoeken van een 403 Forbidden-fout die aan de gebruiker is geretourneerd. Het kan ook worden gebruikt om de waarde van powerplatform.analytics.resource.sas.operation_id te pakken.
    • De waarde van x-ms-sas-operation-id respons header. Hiermee worden de resultaten gefilterd op één SAS URI-creatiegebeurtenis en één of meer gebruiksgebeurtenissen voor die SAS URI, afhankelijk van hoe vaak deze is geopend. Het wordt toegewezen aan het veld powerplatform.analytics.resource.sas.operation_id .
    • Volledige of gedeeltelijke SAS URI, minus de handtekening. Hierdoor kunnen er veel SAS URI-creaties en veel SAS URI-gebruiksgebeurtenissen worden geretourneerd, omdat dezelfde URI zo vaak als nodig kan worden opgevraagd voor generatie.
    • IP-adres van de beller. Retourneert alle aanmaak- en gebruiksgebeurtenissen voor dat IP.
    • omgeving-ID. Dit kan een grote hoeveelheid gegevens opleveren die betrekking kan hebben op veel verschillende aanbiedingen van Power Platform. Vermijd dit dus indien mogelijk of overweeg om het zoekvenster te verkleinen.

    Waarschuwing

    Wij raden af om te zoeken naar User Principal Name of Object ID, omdat deze alleen worden doorgegeven aan aanmaakgebeurtenissen, niet aan gebruiksgebeurtenissen.

  7. Selecteer Zoeken en wacht tot de resultaten verschijnen.

    Een nieuwe zoektocht

Waarschuwing

Het kan een uur of langer duren voordat logboeken in Purview worden opgenomen. Houd hier rekening mee bij het zoeken naar de meest recente gebeurtenissen.

Problemen oplossen met de fout 403 Forbidden/unauthorized_caller

U kunt aanmaak- en gebruikslogboeken gebruiken om te bepalen waarom een aanroep zou resulteren in een 403 Forbidden-fout met een foutcode unauthorized_caller .

  1. Zoek naar logs in Purview zoals beschreven in de vorige sectie. Overweeg om x-ms-service-request-id of x-ms-sas-operation-id uit de respons-headers te gebruiken als zoekwoord.
  2. Open de gebruiksgebeurtenis gebruikte SAS-URI en zoek naar het veld powerplatform.analytics.resource.sas.computed_ip_filters onder PropertyCollection. Dit IP-bereik wordt door de SAS-aanroep gebruikt om te bepalen of het verzoek mag worden voortgezet of niet.
  3. Vergelijk deze waarde met het veld IP-adres in het logboek. Dit zou voldoende moeten zijn om te bepalen waarom het verzoek is mislukt.
  4. Als u denkt dat de waarde van powerplatform.analytics.resource.sas.computed_ip_filters onjuist is, gaat u verder met de volgende stappen.
  5. Open de aanmaakgebeurtenis Created SAS URI door te zoeken met behulp van de headerwaarde x-ms-sas-operation-id respons (of de waarde van het veld powerplatform.analytics.resource.sas.operation_id uit het aanmaaklogboek).
  6. Haal de waarde van het veld powerplatform.analytics.resource.sas.ip_binding_mode op. Als deze ontbreekt of leeg is, betekent dit dat IP-binding niet was ingeschakeld voor die omgeving op het moment van die specifieke aanvraag.
  7. Haal de waarde op van powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Als deze ontbreekt of leeg is, betekent dit dat er op het moment van die specifieke aanvraag geen IP-firewallbereiken zijn opgegeven voor die omgeving.
  8. Haal de waarde op van powerplatform.analytics.resource.sas.computed_ip_filters. Deze moet identiek zijn aan de gebruiksgebeurtenis en wordt afgeleid op basis van de IP-bindingsmodus en door de beheerder opgegeven IP-firewallbereiken. Zie de afleidingslogica in Gegevensopslag en -beheer in Power Platform.

Dit zou tenantbeheerders voldoende informatie moeten geven om eventuele verkeerde configuraties van de omgeving voor IP-bindinginstellingen te corrigeren.

Waarschuwing

Het kan minstens 30 minuten duren voordat wijzigingen in de omgeving-instellingen voor SAS IP-binding van kracht worden. Het zou meer kunnen zijn als partnerteams hun eigen cache hebben.

Beveiliging in Microsoft Power Platform
Verifiëren bij Power Platform-services
Verbinding maken met en verifiëren bij gegevensbronnen
Veelgestelde vragen over Power Platform-beveiliging

Zie ook