Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
O centro de administração novo e melhorado do Power Platform agora está em versão preliminar pública! Projetamos o novo centro de administração para ser mais fácil de usar, com navegação orientada a tarefas que ajuda você a alcançar resultados específicos mais rapidamente. Publicaremos documentação nova e atualizada à medida que o novo centro de administração do Power Platform for transferido para a disponibilidade geral.
Primeiro, é importante distinguir dados pessoais e dados do cliente.
Dados pessoais são informações sobre pessoas que podem ser usadas para identificá-las.
Dados do cliente incluem dados pessoais e outras informações do cliente, incluindo URLs, metadados e informações de autenticação de funcionários, como nomes DNS.
Residência de dados
Um locatário do Microsoft Entra hospeda informações relevantes para uma organização e sua segurança. Quando um locatário do Microsoft Entra se inscreve para serviços do Power Platform, o país ou a região selecionada do locatário é mapeada para a geografia do Azure mais adequada onde uma implantação do Power Platform existe. O Power Platform armazena dados do cliente na geografia do Azure atribuída ao locatário ou localização geográfica, exceto quando as organizações implantam serviços em várias regiões.
Algumas organizações têm uma presença global. Por exemplo, uma empresa pode ter sede nos Estados Unidos, mas fazer negócios na Austrália. Pode precisar de certos dados do Power Platform a serem armazenados na Austrália para cumprir os regulamentos locais. Quando serviços do Power Platform são implantados em mais de uma geografia do Azure, é chamado de implantação multigeográfica. Neste caso, apenas metadados relacionados ao ambiente são armazenados na localização geográfica. Todos os metadados e dados do produto nesse ambiente são armazenados na localização geográfica remota.
A Microsoft pode replicar dados para outras regiões para resiliência de dados. No entanto, não replicamos ou movemos dados pessoais para fora da geografia. Os dados replicados para outras regiões podem incluir dados não pessoais, como informações de autenticação de funcionários.
Os serviços do Power Platform estão disponíveis em geografias específicas do Azure. Para obter mais informações sobre onde os serviços do Power Platform estão disponíveis, onde seus dados são armazenados e como são usados, acesse a Central de Confiabilidade da Microsoft. Compromissos sobre o local dos dados em repouso do cliente são especificados nos Termos de Processamento de Dados dos Termos do Microsoft Online Services. A Microsoft também fornece data centers para entidades soberanas.
Manipulação de dados
Esta seção descreve como o Power Platform armazena, processa e transfere dados de clientes.
Dados inativos
Salvo indicação em contrário na documentação, os dados do cliente permanecem em sua fonte original (por exemplo, Dataverse ou SharePoint). Um aplicativo do Power Platform é armazenado no Armazenamento do Azure como parte de um ambiente. Os dados usados em aplicativos móveis são criptografados e armazenados no SQL Express. Na maioria dos casos, os aplicativos usam o Armazenamento do Azure para persistir dados de serviço do Power Platform e o Banco de Dados SQL do Azure para persistir metadados de serviço. Os dados inseridos pelos usuários de aplicativos são armazenados no respectivo fonte de dados para o serviço, como o Dataverse.
Todos os dados persistidos pelo Power Platform são criptografados por padrão usando chaves gerenciadas pela Microsoft. Os dados armazenados do cliente no Banco de Dados SQL do Azure são totalmente criptografados usando a tecnologia TDE (Transparent Data Encryption) do SQL do Azure. Os dados do cliente armazenados no armazenamento de Blobs do Azure são criptografados usando a Criptografia de Armazenamento do Azure.
Dados em processamento
Os dados estão em processamento quando estão sendo usados como parte de um cenário interativo ou quando um processo em segundo plano, como atualização, toca esses dados. O Power Platform carrega dados em processamento no espaço de memória de uma ou mais cargas de trabalho de serviço. Para facilitar a funcionalidade da carga de trabalho, os dados armazenados na memória não são criptografados.
Dados em trânsito
O Power Platform requer que todo o tráfego HTTP de entrada seja criptografado usando TLS 1.2 ou superior. As solicitações que tentam usar o TLS 1.1 ou inferior são rejeitadas.
Recursos de segurança avançada
Alguns dos recursos de segurança avançada do Power Platform têm requisitos de licenciamento específicos.
Marcas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um serviço do Azure específico. Você pode usar marcas de serviço para definir controles de acesso à rede em Grupos de Segurança de Rede ou Firewall do Azure.
As marcas de serviço ajudam a minimizar a complexidade das atualizações frequentes das regras de segurança da rede. Você pode usar marcas de serviço em vez de endereços IP específicos ao criar regras de segurança que, por exemplo, permitem ou negam tráfego para o serviço correspondente.
A Microsoft gerencia os prefixos de endereço incluídos na marca de serviço e atualiza automaticamente a marca de serviço à medida que os endereços mudam. Para obter mais informações, consulte Intervalos de IP e marcas de serviço do Azure – nuvem pública.
Prevenção contra perda de dados
O Power Platform terá um extenso conjunto de recursos de DLP (prevenção contra perda de dados) para ajudar você a gerenciar a segurança de seus dados.
Restrição de IP de SAS (Assinatura de Acesso de Armazenamento Compartilhado)
Observação
Antes de ativar qualquer um desses recursos de SAS, os clientes devem primeiro permitir o acesso ao domínio https://*.api.powerplatformusercontent.com ou a maioria das funcionalidades de SAS não funcionará.
Este conjunto de recursos é uma funcionalidade específica do locatário que restringe os tokens de assinatura de acesso compartilhado (SAS) do armazenamento e é controlado por meio de um menu no centro de administração do Power Platform. Essa configuração restringe quem, com base no IP (IPv4 e IPv6), pode usar tokens SAS corporativos.
Essas configurações podem ser encontradas nas configurações Privacidade + Segurança no centro de administração. Você deve ativar a opção Habilitar regra de Assinatura de Acesso Compartilhado (SAS) do armazenamento baseado em endereço IP.
Os administradores podem permitir uma destas quatro opções para esta configuração:
| Opção | Configuração | Description |
|---|---|---|
| 0 | Somente Associação de IP | Isso restringe as chaves de SAS ao IP do solicitante. |
| 2 | Somente Firewall do IP | Isso restringe o uso de chaves de SAS para funcionar somente dentro de um intervalo especificado pelo administrador. |
| 3 | Associação de IP e Firewall | Isso restringe o uso de chaves de SAS para funcionar dentro de um intervalo especificado pelo administrador e somente para o IP do solicitante. |
| 4 | Associação de IP ou Firewall | Permite que as chaves de SAS sejam usadas dentro do intervalo especificado. Se a solicitação vier de fora do intervalo, a Associação de IP será aplicada. |
Observação
Os administradores que optaram por permitir o Firewall IP (Opção 2, 3 e 4 listada na tabela acima) devem inserir ambos os intervalos IPv4 e IPv6 de suas redes para garantir a cobertura adequada de seus usuários.
Aviso
As opções 1 e 3 usam a Associação de IP, que não funciona corretamente se os clientes tiverem gateways habilitados para Pools de IP, Proxy Reverso ou Conversão de Endereços de Rede (NAT) usados em suas redes. Isso faz com que o endereço IP de um usuário seja alterado com muita frequência para que um solicitante tenha o mesmo IP de forma confiável entre as operações de leitura/gravação do SAS.
As opções 2 e 4 funcionam como pretendido.
Produtos que impõem a Associação de IP quando são habilitados:
- Dataverse
- Power Automate
- Conectores Personalizados
- Power Apps
Impacto na experiência do usuário
Quando um usuário, que não atende às restrições de endereço IP de um ambiente, abre um aplicativo: os usuários recebem uma mensagem de erro citando um problema de IP genérico.
Quando um usuário, que atende às restrições de endereço IP, abre um aplicativo: os seguintes eventos ocorrem:
- Os usuários podem obter um banner que desaparecerá rapidamente informando aos usuários que uma configuração de IP foi definida e entrar em contato com o administrador para obter detalhes ou atualizar quaisquer páginas que perderem a conexão.
- Mais significativamente, devido à validação de IP que essa configuração de segurança usa, algumas funcionalidades podem ser executadas mais lentamente do que se estivessem desativadas.
Atualizar configurações programaticamente
Os administradores podem usar a automação para definir e atualizar a configuração de vinculação de IP versus firewall, o intervalo de IP listado e a alternância Registrar em log. Saiba mais em Tutorial: Criar, atualizar e listar Configurações de Gerenciamento do Ambiente.
Registro de chamadas SAS
Essa configuração permite que todas as chamadas SAS no Power Platform sejam registradas no Purview. Esse log mostra os metadados relevantes para todos os eventos de criação e uso e pode ser habilitado independentemente das restrições de IP SAS acima. Os serviços do Power Platform estão atualmente integrando chamadas SAS em 2024.
| Nome do campo | Descrição do campo |
|---|---|
| response.status_message | Informação se o evento foi bem-sucedido ou não: SASSuccess ou SASAuthorizationError. |
| response.status_code | Informação se o evento foi bem-sucedido ou não: 200, 401 ou 500. |
| ip_binding_mode | Modo de associação de IP definido por um administrador de locatário, se ativado. Aplica-se somente a eventos de criação de SAS. |
| admin_provided_ip_ranges | Intervalos de IP definidos por um administrador de locatário, se houver. Aplica-se somente a eventos de criação de SAS. |
| computed_ip_filters | Conjunto final de filtros de IP associados a URIs SAS com base no modo de associação de IP e os intervalos definidos por um administrador de locatário. Aplica-se a eventos de criação e uso de SAS. |
| analytics.resource.sas.uri | Os dados que estavam tentando ser acessados ou criados. |
| enduser.ip_address | O IP público do autor da chamada. |
| analytics.resource.sas.operation_id | O identificador exclusivo do evento de criação. A pesquisa mostra todos os eventos de uso e criação relacionados às chamadas SAS do evento de criação. Mapeado para o cabeçalho de resposta “x-ms-sas-operation-id”. |
| request.service_request_id | Identificador exclusivo da solicitação ou da resposta e pode ser usado para pesquisar um único registro. Mapeado para o cabeçalho de resposta “x-ms-service-request-id”. |
| versão | Versão deste esquema de log. |
| type | Resposta genérica. |
| analytics.activity.name | O tipo de atividade desse evento foi: Criação ou Uso. |
| analytics.activity.id | ID exclusiva do registro no Purview. |
| analytics.resource.organization.id | ID da organização |
| analytics.resource.environment.id | ID do Ambiente |
| analytics.resource.tenant.id | ID do locatário |
| enduser.id | O GUID da ID do Microsoft Entra do criador do evento de criação. |
| enduser.principal_name | O UPN/endereço de email do criador. Para eventos de uso, esta é uma resposta genérica: “system@powerplatform”. |
| enduser.role | Resposta genérica: Regular para eventos de criação e Sistema para eventos de uso. |
Habilite o log de auditoria no Purview
Para que os logs apareçam na sua instância do Purview, você deve primeiro ativar essa opção para cada ambiente do qual deseja obter logs. Essa configuração pode ser atualizada no centro de administração do Power Platform por um administrador de locatário.
- Acesse o centro de administração do Power Platform e entre com suas credenciais de administrador do locatário.
- No painel de navegação esquerdo, selecione Ambientes.
- Selecione o ambiente para o qual você deseja ativar o log de administrador.
- Selecione Configurações na barra de comandos.
- Selecione Produto>Privacidade + Segurança.
- Em Configurações de Segurança da Assinatura de Acesso Compartilhado (SAS) (versão preliminar), ative o recurso Habilitar registro em log da SAS no Purview.
Pesquisar logs de auditoria
Os administradores de locatários podem usar o Purview para exibir logs de auditoria emitidos para operações SAS e podem autodiagnosticar erros que podem ser retornados em problemas de validação de IP. Os logs no Purview são a solução mais confiável.
Use as etapas a seguir para diagnosticar problemas ou entender melhor os padrões de uso de SAS em seu locatário.
Verifique se o log de auditoria está ativado para o ambiente. Consulte Ativar log de auditoria do Purview.
Acesse o portal de conformidade do Microsoft Purview e faça login com credenciais de administrador de locatário.
No painel de navegação esquerdo, selecione Auditoria. Se essa opção não estiver disponível para você, significa que o usuário conectado não tem acesso de administrador para consultar logs de auditoria.
Escolha o intervalo de data e hora em UTC para quando você estiver tentando procurar logs. Por exemplo, quando um erro 403 Forbidden com um código de erro unauthorized_caller foi retornado.
Na lista suspensa Atividades - nomes amigáveis, pesquise operações de armazenamento do Power Platform e selecione URI SAS Criada e URI de SAS Usada.
Especifique uma palavra-chave em Pesquisa de Palavra-chave. Consulte Introdução à pesquisa na documentação do Purview para saber mais sobre esse campo. Você pode usar um valor de qualquer um dos campos descritos na tabela acima, dependendo do seu cenário, mas abaixo estão os campos recomendados para pesquisar (em ordem de preferência):
- O valor do cabeçalho de resposta x-ms-service-request-id. Isso filtra os resultados para um evento de Criação de URI de SAS ou um evento de uso de URI de SAS, dependendo de qual é o tipo de solicitação do cabeçalho. É útil ao investigar um erro 403 Forbidden retornado ao usuário. Também pode ser usado para obter o valor de powerplatform.analytics.resource.sas.operation_id.
- O valor do cabeçalho de resposta x-ms-sas-operation-id. Isso filtra os resultados para um evento de criação de URI SAS e um ou mais eventos de uso para esse URI SAS, dependendo de quantas vezes ele foi acessado. Ele mapeia para o campo powerplatform.analytics.resource.sas.operation_id.
- URI SAS total ou parcial, menos a assinatura. Isso pode retornar muitas criações de URI SAS e muitos eventos de uso de URI SAS, pois é possível que o mesmo URI seja solicitado para geração quantas vezes forem necessárias.
- Endereço IP do remetente. Retorna todos os eventos de criação e uso desse IP.
- ID do Ambiente. Isso pode retornar um grande conjunto de dados que pode abranger muitas ofertas diferentes do Power Platform, portanto, evite, se possível, ou restrinja a janela de pesquisa.
Aviso
Não recomendamos pesquisar por Nome Principal do Usuário ou ID do Objeto, pois eles são propagados apenas para eventos de criação, não eventos de uso.
Selecione Pesquisar e aguarde a exibição dos resultados.
Aviso
A ingestão de logs no Purview pode ser atrasada por até uma hora ou mais, portanto, tenha isso em mente ao procurar os eventos mais recentes.
Solução de problemas do erro 403 Proibido/chamador_não_autorizado
Você pode usar logs de criação e uso para determinar por que uma chamada resultaria em um erro 403 Forbidden com um código de erro unauthorized_caller.
- Encontre logs no Purview conforme descrito na seção anterior. Use x-ms-service-request-id ou x-ms-sas-operation-id dos cabeçalhos de resposta como a palavra-chave de pesquisa.
- Abra o evento de uso, URI de SAS Usada, e procure o campo powerplatform.analytics.resource.sas.computed_ip_filters em PropertyCollection. Esse intervalo de IP é o que a chamada SAS usa para determinar se a solicitação está autorizada a prosseguir ou não.
- Compare esse valor com o campo Endereço IP do log, que deve ser suficiente para determinar por que a solicitação falhou.
- Se você acha que o valor de powerplatform.analytics.resource.sas.computed_ip_filters está incorreto, continue com as próximas etapas.
- Abra o evento de criação, URI de SAS Criada, pesquisando usando o valor do cabeçalho de resposta x-ms-sas-operation-id (ou o valor do campo powerplatform.analytics.resource.sas.operation_id do log de criação).
- Obtenha o valor do campo powerplatform.analytics.resource.sas.ip_binding_mode. Se estiver ausente ou vazia, significa que a vinculação de IP não estava ativada para esse ambiente no momento daquela solicitação específica.
- Obtenha o valor do campo powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Se ele estiver ausente ou vazio, isso significa que os intervalos de firewall IP não foram especificados para esse ambiente no momento dessa solicitação específica.
- Obtenha o valor de powerplatform.analytics.resource.sas.computed_ip_filters, que deve ser idêntico ao evento de uso e é derivado com base no modo de vinculação de IP e nos intervalos de firewall IP fornecidos pelo administrador. Veja a lógica de derivação em Armazenamento e governança de dados no Power Platform.
Isso deve fornecer aos administradores de locatários informações suficientes para corrigir qualquer configuração incorreta no ambiente para configurações de vinculação de IP.
Aviso
As alterações feitas nas configurações de ambiente para vinculação de IP SAS podem levar pelo menos 30 minutos para entrar em vigor. Isso poderia ser maior se as equipes parceiras tiverem seu próprio cache.
Artigos relacionados
Segurança no Microsoft Power Platform
Autenticação em serviços do Power Platform
Como conectar e autenticar em fontes de dados
Perguntas frequentes sobre segurança no Power Platform