Compartilhar via


Armazenamento de dados e governança no Power Platform

Primeiro, é importante distinguir dados pessoais e dados do cliente.

  • Dados pessoais são informações sobre pessoas que podem ser usadas para identificá-las.

  • Os dados do cliente incluem dados pessoais e outras informações do cliente, incluindo URLs, metadados e informações de autenticação de funcionários, como nomes DNS.

Residência de dados

Um locatário do Microsoft Entra hospeda informações relevantes para uma organização e sua segurança. Quando um locatário do Microsoft Entra se inscreve para serviços do Power Platform, o país ou a região selecionada do locatário é mapeada para a geografia do Azure mais adequada onde uma implantação do Power Platform existe. O Power Platform armazena dados do cliente na geografia do Azure atribuída ao locatário ou localização geográfica, exceto quando as organizações implantam serviços em várias regiões.

Algumas organizações têm uma presença global. Por exemplo, uma empresa pode ter sede nos Estados Unidos, mas fazer negócios na Austrália. Pode precisar de certos dados do Power Platform a serem armazenados na Austrália para cumprir os regulamentos locais. Quando serviços do Power Platform são implantados em mais de uma geografia do Azure, é chamado de implantação multigeográfica. Neste caso, apenas metadados relacionados ao ambiente são armazenados na localização geográfica. Todos os metadados e dados do produto nesse ambiente são armazenados na localização geográfica remota.

Microsoft pode replicar dados para outras regiões para resiliência de dados. No entanto, não replicamos ou movemos dados pessoais para fora da geografia. Dados replicados para outras regiões podem incluir dados não pessoais, como informações de autenticação de funcionários.

Os serviços do Power Platform estão disponíveis em geografias específicas do Azure. Para obter mais informações sobre onde Power Platform os serviços estão disponíveis, onde seus dados são armazenados e como eles são usados, acesse o Microsoft Centro de Confiabilidade. Os compromissos relativos à localização dos dados do cliente em repouso são especificados nos Termos de Processamento de Dados dos Microsoft Termos dos Serviços Online. Microsoft também fornece data centers para entidades soberanas.

Manipulação de dados

Esta seção descreve como o Power Platform armazena, processa e transfere dados de clientes.

Dados inativos

Salvo indicação em contrário na documentação, os dados do cliente permanecem em sua fonte original (por exemplo, Dataverse ou SharePoint). Um aplicativo do Power Platform é armazenado no Armazenamento do Azure como parte de um ambiente. Os dados usados em aplicativos móveis são criptografados e armazenados no SQL Express. Na maioria dos casos, os aplicativos usam o Armazenamento do Azure para persistir dados de serviço do Power Platform e o Banco de Dados SQL do Azure para persistir metadados de serviço. Os dados inseridos pelos usuários de aplicativos são armazenados no respectivo fonte de dados para o serviço, como o Dataverse.

Todos os dados persistidos por Power Platform são criptografados por padrão usando chaves gerenciadas por Microsoft. Os dados armazenados do cliente no Banco de Dados SQL do Azure são totalmente criptografados usando a tecnologia TDE (Transparent Data Encryption) do SQL do Azure. Os dados do cliente armazenados no armazenamento de Blobs do Azure são criptografados usando a Criptografia de Armazenamento do Azure.

Dados em processamento

Os dados estão em processamento quando estão sendo usados como parte de um cenário interativo ou quando um processo em segundo plano, como atualização, toca esses dados. O Power Platform carrega dados em processamento no espaço de memória de uma ou mais cargas de trabalho de serviço. Para facilitar a funcionalidade da carga de trabalho, os dados armazenados na memória não são criptografados.

Dados em trânsito

O Power Platform requer que todo o tráfego HTTP de entrada seja criptografado usando TLS 1.2 ou superior. As solicitações que tentam usar o TLS 1.1 ou inferior são rejeitadas.

Recursos de segurança avançada

Alguns dos recursos de segurança avançada do Power Platform têm requisitos de licenciamento específicos.

Marcas de serviço

Uma marca de serviço representa um grupo de prefixos de endereço IP de um serviço do Azure específico. Você pode usar marcas de serviço para definir controles de acesso à rede em Grupos de Segurança de Rede ou Firewall do Azure.

As marcas de serviço ajudam a minimizar a complexidade das atualizações frequentes das regras de segurança da rede. Você pode usar marcas de serviço em vez de endereços IP específicos ao criar regras de segurança que, por exemplo, permitem ou negam tráfego para o serviço correspondente.

Microsoft gerencia os prefixos de endereço abrangidos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço conforme os endereços mudam. Para obter mais informações, consulte Intervalos de IP e marcas de serviço do Azure – nuvem pública.

Prevenção contra perda de dados

O Power Platform terá um extenso conjunto de recursos de DLP (prevenção contra perda de dados) para ajudar você a gerenciar a segurança de seus dados.

Restrição de IP de SAS (Assinatura de Acesso de Armazenamento Compartilhado)

Observação

Antes de ativar qualquer um desses recursos de SAS, os clientes devem primeiro permitir o acesso ao domínio https://*.api.powerplatformusercontent.com ou a maioria das funcionalidades de SAS não funcionará.

Este conjunto de recursos é uma funcionalidade específica do locatário que restringe os tokens de assinatura de acesso compartilhado (SAS) do armazenamento e é controlado por meio de um menu no centro de administração do Power Platform. Esta configuração restringe quem, com base no IP (IPv4 e IPv6), pode usar tokens SAS empresariais.

Essas configurações podem ser encontradas nas configurações Privacidade + Segurança no centro de administração. Você deve ativar a opção Habilitar regra de Assinatura de Acesso Compartilhado (SAS) do armazenamento baseado em endereço IP.

Os administradores podem permitir uma destas quatro opções para esta configuração:

Opção Configuração Description
0 Somente Associação de IP Isso restringe as chaves de SAS ao IP do solicitante.
2 Somente Firewall do IP Isso restringe o uso de chaves de SAS para funcionar somente dentro de um intervalo especificado pelo administrador.
3 Associação de IP e Firewall Isso restringe o uso de chaves de SAS para funcionar dentro de um intervalo especificado pelo administrador e somente para o IP do solicitante.
4 Associação de IP ou Firewall Permite que as chaves de SAS sejam usadas dentro do intervalo especificado. Se a solicitação vier de fora do intervalo, a Associação de IP será aplicada.

Observação

Os administradores que escolherem permitir o Firewall IP (Opções 2, 3 e 4 listadas na tabela acima) devem inserir ambos os intervalos IPv4 e IPv6 de suas redes para garantir a cobertura adequada de seus usuários.

Produtos que impõem a Associação de IP quando são habilitados:

  • Dataverse
  • Power Automate
  • Conectores Personalizados
  • Power Apps

Impacto na experiência do usuário

  • Quando um usuário, que não atende às restrições de endereço IP de um ambiente, abre um aplicativo: Os usuários recebem uma mensagem de erro citando um problema genérico de IP.

  • Quando um usuário, que atende às restrições de endereço IP, abre um aplicativo: Os seguintes eventos ocorrem:

    • Os usuários podem obter um banner que desaparecerá rapidamente informando aos usuários que uma configuração de IP foi definida e entrar em contato com o administrador para obter detalhes ou atualizar quaisquer páginas que perderem a conexão.
    • Mais significativamente, devido à validação de IP que essa configuração de segurança usa, algumas funcionalidades podem ser executadas mais lentamente do que se estivessem desativadas.

Atualizar configurações programaticamente

Os administradores podem usar a automação para definir e atualizar a vinculação de IP versus a configuração de firewall, o intervalo de IP que está na lista de permissões e a alternância de Registro . Saiba mais em Tutorial: Criar, atualizar e listar configurações de geranciamento de ambiente.

Registro de chamadas SAS

Essa configuração permite que todas as chamadas SAS no Power Platform sejam registradas no Purview. Esse log mostra os metadados relevantes para todos os eventos de criação e uso e pode ser habilitado independentemente das restrições de IP SAS acima. Os serviços do Power Platform estão atualmente integrando chamadas SAS em 2024.

Nome do campo Descrição do campo
response.status_message Informação se o evento foi bem-sucedido ou não: SASSuccess ou SASAuthorizationError.
response.status_code Informação se o evento foi bem-sucedido ou não: 200, 401 ou 500.
ip_binding_mode Modo de associação de IP definido por um administrador de locatário, se ativado. Aplica-se somente a eventos de criação de SAS.
admin_provided_ip_ranges Intervalos de IP definidos por um administrador de locatário, se houver. Aplica-se somente a eventos de criação de SAS.
computed_ip_filters Conjunto final de filtros de IP associados a URIs SAS com base no modo de associação de IP e os intervalos definidos por um administrador de locatário. Aplica-se a eventos de criação e uso de SAS.
analytics.resource.sas.uri Os dados que estavam tentando ser acessados ou criados.
enduser.ip_address O IP público do autor da chamada.
analytics.resource.sas.operation_id O identificador exclusivo do evento de criação. A pesquisa mostra todos os eventos de uso e criação relacionados às chamadas SAS do evento de criação. Mapeado para o cabeçalho de resposta “x-ms-sas-operation-id”.
request.service_request_id Identificador exclusivo da solicitação ou da resposta e pode ser usado para pesquisar um único registro. Mapeado para o cabeçalho de resposta “x-ms-service-request-id”.
versão Versão deste esquema de log.
type Resposta genérica.
analytics.activity.name O tipo de atividade desse evento foi: Criação ou Uso.
analytics.activity.id ID exclusiva do registro no Purview.
analytics.resource.organization.id ID da organização
analytics.resource.environment.id ID do Ambiente
analytics.resource.tenant.id ID do locatário
enduser.id O GUID da ID do Microsoft Entra do criador do evento de criação.
enduser.principal_name O UPN/endereço de email do criador. Para eventos de uso, esta é uma resposta genérica: “system@powerplatform”.
enduser.role Resposta genérica: Regular para eventos de criação e Sistema para eventos de uso.

Ativar o registro de auditoria do Purview

Para que os logs sejam exibidos na sua instância do Purview, você deve primeiro optar por eles para cada ambiente para o qual deseja logs. Esta configuração pode ser atualizada no Power Platform centro de administração por um administrador de locatário.

  1. Acesse o Power Platform centro de administração e faça login com credenciais de administrador do locatário.
  2. No painel de navegação esquerdo, Select Ambientes.
  3. Select o ambiente para o qual você deseja ativar o registro de administrador.
  4. Select Configurações na barra de comando.
  5. Select Produto>Privacidade + Segurança.
  6. Em Configurações de segurança do Storage Shared Access Signature (SAS) (versão preliminar), ative o recurso Habilitar registro SAS no Purview .

Pesquisar logs de auditoria

Os administradores de locatários podem usar o Purview para visualizar logs de auditoria emitidos para operações SAS e podem autodiagnosticar erros que podem ser retornados em problemas de validação de IP. Os logs no Purview são a solução mais confiável.

Use as etapas a seguir para diagnosticar problemas ou entender melhor os padrões de uso do SAS em seu locatário.

  1. Certifique-se de que o registro de auditoria esteja ativado para o ambiente. Consulte Ativar registro de auditoria do Purview.

  2. Acesse o Microsoft portal de conformidade do Purview e faça login com credenciais de administrador do locatário.

  3. No painel de navegação esquerdo, Select Auditoria. Se esta opção não estiver disponível para você, significa que o usuário conectado não tem acesso de administrador para consultar logs de auditoria.

  4. Selecione o intervalo de data e hora em UTC para quando você estiver tentando procurar registros. Por exemplo, quando um erro 403 Forbidden com um código de erro unauthorized_caller foi retornado.

  5. Na lista suspensa Atividades - nomes amigáveis , pesquise por Power Platform operações de armazenamento e Select URI SAS criado e URI SAS usado.

  6. Especifique uma palavra-chave em Pesquisa por palavra-chave. Consulte Começar com a pesquisa na documentação do Purview para saber mais sobre este campo. Você pode usar um valor de qualquer um dos campos descritos na tabela acima, dependendo do seu cenário, mas abaixo estão os campos recomendados para pesquisa (em ordem de preferência):

    • O valor do cabeçalho x-ms-service-request-id resposta. Isso filtra os resultados para um evento de criação de URI SAS ou um evento de uso de URI SAS, dependendo do tipo de solicitação de onde o cabeçalho é proveniente. É útil ao investigar um erro 403 Forbidden retornado ao usuário. Ele também pode ser usado para Captação o valor powerplatform.analytics.resource.sas.operation_id .
    • O valor do cabeçalho x-ms-sas-operation-id resposta. Isso filtra os resultados para um evento de criação de SAS URI e um ou mais eventos de uso para esse SAS URI, dependendo de quantas vezes ele foi acessado. Ele mapeia para o campo powerplatform.analytics.resource.sas.operation_id .
    • SAS URI completo ou parcial, menos a assinatura. Isso pode retornar muitas criações de URI SAS e muitos eventos de uso de URI SAS, porque é possível que o mesmo URI seja solicitado para geração quantas vezes forem necessárias.
    • Endereço IP do chamador. Retorna todos os eventos de criação e uso para esse IP.
    • Identificação do ambiente. Isso pode retornar um grande conjunto de dados que podem abranger muitas ofertas diferentes de Power Platform, portanto, evite se possível ou considere restringir a janela de pesquisa.

    Aviso

    Não recomendamos pesquisar por Nome Principal do Usuário ou ID do Objeto, pois eles são propagados apenas para eventos de criação, não para eventos de uso.

  7. Select Pesquise e aguarde os resultados aparecerem.

    Uma nova busca

Aviso

A ingestão de logs no Purview pode ser atrasada por até uma hora ou mais, então tenha isso em mente ao procurar os eventos mais recentes.

Solução de problemas de erro 403 Forbidden/unauthorized_caller

Você pode usar logs de criação e uso para determinar por que uma chamada resultaria em um erro 403 Proibido com um código de erro unauthorized_caller .

  1. Encontre registros no Purview conforme descrito na seção anterior. Considere usar x-ms-service-request-id ou x-ms-sas-operation-id dos cabeçalhos resposta como palavra-chave de pesquisa.
  2. Abra o evento de uso, URI SAS usado e procure o campo powerplatform.analytics.resource.sas.computed_ip_filters em PropertyCollection. Esse intervalo de IP é o que a chamada SAS usa para determinar se a solicitação está autorizada a prosseguir ou não.
  3. Compare esse valor com o campo Endereço IP do log, que deve ser suficiente para determinar por que a solicitação falhou.
  4. Se você acha que o valor de powerplatform.analytics.resource.sas.computed_ip_filters está incorreto, continue com as próximas etapas.
  5. Abra o evento de criação, URI SAS criado, pesquisando usando o valor do cabeçalho x-ms-sas-operation-id resposta (ou o valor do campo powerplatform.analytics.resource.sas.operation_id do log de criação).
  6. Obtenha o valor do campo powerplatform.analytics.resource.sas.ip_binding_mode . Se estiver ausente ou vazio, significa que a vinculação de IP não foi ativada para aquele ambiente no momento daquela solicitação específica.
  7. Obtenha o valor de powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Se estiver ausente ou vazio, significa que os intervalos de firewall de IP não foram especificados para esse ambiente no momento dessa solicitação específica.
  8. Obtenha o valor de powerplatform.analytics.resource.sas.computed_ip_filters, que deve ser idêntico ao evento de uso e é derivado com base no modo de vinculação de IP e nos intervalos de firewall de IP fornecidos pelo administrador. Veja a lógica de derivação em Armazenamento e governança de dados em Power Platform.

Isso deve fornecer aos administradores de locatários informações suficientes para corrigir qualquer configuração incorreta no ambiente para configurações de vinculação de IP.

Aviso

As alterações feitas nas configurações de ambiente para vinculação de IP SAS podem levar pelo menos 30 minutos para entrarem em vigor. Poderia ser maior se as equipes parceiras tivessem seu próprio cache.

Segurança em Microsoft Power Platform
Autenticando para Power Platform serviços
Conectando e autenticando fontes de dados
Power Platform Perguntas frequentes sobre segurança

Ver também