Przechowywanie danych i przechowywanie danych w Power Platform
Najpierw należy rozróżniać dane osobiste i dane klienta.
Dane osobowe to informacje o osobach, których można używać do ich identyfikacji.
Dane klienta obejmują dane osobowe, ale także inne dane klienta, takie jak adresy URL, metadane i informacje dotyczące uwierzytelniania pracowników, takie jak nazwy DNS.
Przechowywanie danych
Dzierżawa Microsoft Entra zawiera informacje związane z organizacją i jej zabezpieczeniami. Podczas dzierżawca Microsoft Entra rejestruje się do usług Power Platform, wybrany kraj lub region dzierżawcy jest mapowany na najbardziej odpowiedni obszar geograficzny Azure, w którym istnieje wdrożenie Power Platform. Power Platform przechowuje dane klientów w przypisanym do lokatora regionie Azure lub home geo, z wyjątkiem sytuacji, w których organizacje wdrażają usługi w wielu regionach.
Niektóre organizacje są obecne na całym świecie. Na przykład firma może mieć siedzibę w Stanach Zjednoczonych, ale prowadzić działalność w Australii. W celu zachowania zgodności z lokalnymi przepisami może być konieczne przechowywanie niektórych danych platformy Power Platform w Australii. Kiedy usługi Power Platform są rozmieszczone w więcej niż jednej lokalizacji geograficznej Azure, jest to określane jako rozmieszczenie multi-geo. W tym przypadku w domowym geo przechowywane są tylko metadane związane ze środowiskiem. Wszystkie metadane i dane produktów w tym środowisku są przechowywane w zdalnym geo.
Microsoft może replikować dane do innych regionów w celu zapewnienia ich odporności. Nie powielamy jednak danych osobowych ani nie przenosimy ich poza obszar geograficzny. Dane replikowane do innych regionów mogą zawierać dane nieosobowe, takie jak informacje o uwierzytelniania pracowników.
Usługi Power Platform są dostępne w określonych lokalizacjach Azure. Więcej informacji o tym, gdzie dostępne są usługi Power Platform, gdzie przechowywane są Twoje dane i jak są one wykorzystywane, znajdziesz w Centrum zaufania firmy Microsoft. Zobowiązania dotyczące lokalizacji danych magazynowanych klienta określają Warunki przetwarzania danych w Warunkach dotyczących witryny Microsoft Online Services. Microsoft udostępnia również centra danych dla suwerennych podmiotów.
Obsługa danych
Ta sekcja opisuje, w jaki sposób Power Platform przechowuje, przetwarza i przekazuje dane klientów.
Dane magazynowane
Jeśli dokumentacja nie stanowi inaczej, dane klienta pozostają w oryginalnym źródle (np. Dataverse lub SharePoint). Aplikacja Power Platform jest przechowywana w Azure Storage jako część środowiska. Dane używane w aplikacjach mobilnych są zaszyfrowane i przechowywane w SQL Express. W większości przypadków aplikacje używają Azure Storage do przechowywania danych usług Power Platform oraz Azure SQL Database do przechowywania metadanych usług. Dane wprowadzone przez użytkownika aplikacji są przechowywane w odpowiednich źródło danych dotyczących usługi (np. Dataverse).
Wszystkie dane utrwalane przez Power Platform są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Dane klientów przechowywane w bazach danych Azure SQL są w pełni szyfrowane przy użyciu technologii przezroczystego szyfrowania danych (TDE) Azure SQL. Dane klientów przechowywane w Magazynie obiektów blob Azure są szyfrowane przy użyciu szyfrowania magazynu Azure.
Przetwarzanie danych
Dane są przetwarzane, gdy są albo aktywnie używane przez jednego lub kilku użytkowników w ramach interaktywnego scenariusza, albo gdy taki proces w tle, na przykład odświeża dane. Power Platform ładuje przetwarzane dane do obszaru pamięci jednego lub większej liczby prac serwisowych. Aby ułatwić funkcjonalność obciążenia, dane przechowywane w pamięci nie są szyfrowane.
Dane w drodze
Power Platform wymaga, aby cały przychodzący ruch HTTP był szyfrowany przy użyciu protokołu TLS 1.2 lub nowszego. Żądania, które próbuje użyć adresów TLS 1.1 lub niższych, są odrzucane.
Zaawansowane funkcje bezpieczeństwa
Niektóre z zaawansowanych funkcji bezpieczeństwa Power Platform mają określone wymagania licencyjne.
Tagi usługi
Znacznik usługi reprezentuje grupę prefiksów adresów IP z określonej usługi Azure. Klienci mogą używać tagów usług w celu definiowania formantów dostępu do sieci w grupach zabezpieczeń sieciowych lub Azure Firewall.
Znaczniki usług pomagają zminimalizować złożoność częstych aktualizacji zasad bezpieczeństwa sieci. Możesz używać znaczników usług zamiast konkretnych adresów IP, kiedy tworzysz reguły bezpieczeństwa, które np. zezwalają lub odmawiają ruchu dla odpowiedniej usługi.
Firma Microsoft zarządza prefiksami adresów obejmującymi ten tag i automatycznie aktualizuje tag usługi, gdy zmienią się adresy. Aby uzyskać więcej informacji, zobacz Zakresy IP i znaczniki usług Azure - chmura publiczna.
Ochrona przed utratą danych
Na koniec Power Platform posiada rozbudowany zestaw funkcji Data Loss Prevention (DLP), które pomagają w zarządzaniu bezpieczeństwem danych.
Ograniczenie adresu IP podpisu udostępnionego (SAS) magazynu
Uwaga
Przed aktywowaniem jednej z tych funkcji SAS klienci muszą najpierw zezwolić na dostęp do domeny https://*.api.powerplatformusercontent.com lub większość funkcji SAS nie zadziała.
Ten zestaw funkcji jest funkcją specyficzną dla dzierżawcy, która ogranicza tokeny sygnatury dostępu współdzielonego magazynu (SAS) i jest sterowana za pomocą menu w centrum administracyjnym Power Platform. To ustawienie określa, kto na podstawie adresu IP może używać tokenów SAS przedsiębiorstwa.
Ta funkcja jest aktualnie dostępna jako prywatna wersja zapoznawcza. Publiczne wersje zapoznawcze są planowane na wiosnę tego roku, a ogólna dostępność jest planowana na wiosnę 2024 r. Aby uzyskać więcej informacji, zobacz Plan wydań.
Te ustawienia można znaleźć w ustawieniach środowiska Dataverse Prywatność + zabezpieczenia w centrum administracyjnym. Należy włączyć opcję Włącz regułę sygnatury dostępu współużytkowego (SAS) magazynu na podstawie adresu IP.
Administratorzy mogą włączyć w tym ustawieniu jedną z tych czterech konfiguracji:
| Ustawienie | Podpis |
|---|---|
| Tylko powiązanie IP | Ogranicza to dostęp kluczy SAS do adresu IP żądania. |
| Tylko zapora IP | W ten sposób użycie kluczy SAS może działać tylko w określonym zakresie administratorów. |
| Powiązanie IP i zapora | W ten sposób użycie kluczy SAS może działać w określonym zakresie administratorów i tylko na adres IP osoby żądającej. |
| Powiązanie IP lub zapora | Umożliwia korzystanie z kluczy SAS w określonym zakresie. Jeśli żądanie pochodzi spoza zakresu, stosowane jest powiązanie IP. |
Produkty, z których włączono powiązanie IP:
- Dataverse
- Power Automate
- Łączniki niestandardowe
- Power Apps
Wpływ na możliwości aplikacji Power App
Zwróć uwagę na następujący wpływ na użytkowników:
Gdy użytkownik, który nie spełnia ograniczeń adresu IP środowiska, otwiera aplikację: zostanie wyświetlony następujący komunikat: „Ta aplikacja przestała działać. Spróbuj odświeżyć przeglądarkę.” Istnieją plany zaktualizowania tego interfejsu w celu podania użytkownikowi bardziej kontekstowych informacji, dlaczego nie można uruchomić aplikacji.
Gdy użytkownik, który spełnia ograniczenia dotyczące adresu IP, otwiera aplikację: wystąpią następujące zdarzenia:
- Zostanie wyświetlony transparent z następującym komunikatem: „W organizacji skonfigurowano ograniczenia adresu IP ograniczające dostęp, gdzie dostępne jest Power Apps. Ta aplikacja może być niedostępne, jeśli używasz innej sieci. Aby uzyskać więcej informacji, skontaktuj się z administratorem.” Ten banner pojawi się przez kilka sekund, a następnie znika.
- Aplikacja może ładować dłużej niż wtedy, gdy nie ustanowiono ograniczeń adresu IP. Ograniczenia dotyczące adresu IP zapobiegają używaniu przez platformę pewnych funkcji wydajności, które umożliwiają szybsze ładowanie.
Jeśli użytkownik otworzy aplikację, spełniając wymagania dotyczące adresu IP, a następnie przejdą do nowej sieci, która nie spełnia już wymagań dotyczących adresu IP, może on obserwować zawartość aplikacji, taką jak obrazy, osadzone media i łącza, które mogą się nie ładować lub być niedostępne.
Rejestrowanie wywołań typu SAS
To ustawienie umożliwia zalogowanie wszystkich wywołań SAS w obrębie Power Platform do zalogowania w Purview. Rejestrowanie to wyświetla metadane odpowiednie dla wszystkich zdarzeń tworzenia i użycia oraz można je włączyć niezależnie od powyższych ograniczeń IP SAS. Usługi Power Platform obecnie dołączają wywołania DAD w 2024 roku.
Powiązane artykuły
Zabezpieczenia w Microsoft Power Platform
Uwierzytelnianie w usługach platformy Power Platform
Nawiązywanie połączeń ze źródłami danych i uwierzytelnianie się w nich
Zabezpieczenia Power Platform — często zadawane pytania