Stocarea și guvernanța datelor în Power Platform
În primul rând, este important să se facă distincția între datele personale și datele clienților.
Datele personale sunt informații despre persoane care pot fi folosite pentru a le identifica.
Datele clienților include date personale și alte informații despre clienți, inclusiv adrese URL, metadate și informații de autentificare a angajaților, cum ar fi numele DNS.
Rezidența datelor
Un Microsoft Entra chiriaș găzduiește informații care sunt relevante pentru o organizație și securitatea acesteia. Când un Microsoft Entra chiriaș se înscrie la servicii Power Platform , țara sau regiunea selectată de chiriaș este mapată la cea mai potrivită geografie Azure unde există o Power Platform implementare. Power Platform stochează datele clienților în zona geografică Azure atribuită entității găzduite sau în geografia de origine, cu excepția cazului în care organizațiile implementează servicii în mai multe regiuni.
Unele organizații au o prezență globală. De exemplu, o afacere poate avea sediul în Statele Unite, dar poate face afaceri în Australia. Este posibil să fie nevoie ca anumite date Power Platform să fie stocate în Australia pentru a respecta reglementările locale. Când serviciile Power Platform sunt implementate în mai mult de o geografie Azure, această implementare se numește multi-geo. În acest caz, numai metadatele legate de mediu sunt stocate în geolocalizarea de origine. Toate metadatele și datele despre produse din acel mediu sunt stocate în locația geografică de la distanță.
Microsoft poate replica datele în alte regiuni pentru rezistența datelor. Cu toate acestea, nu replicăm și nu mutăm datele personale în afara zonei geografice. Datele replicate în alte regiuni pot include date nepersonale, cum ar fi informațiile de autentificare a angajaților.
Serviciile Power Platform sunt disponibile în anumite zone geografice Azure. Pentru mai multe informații despre unde sunt disponibile Power Platform serviciile, unde sunt stocate datele dvs. și cum sunt utilizate, accesați Microsoft Centrul de încredere. Angajamentele privind localizarea datelor clienților în stare de repaus sunt specificate în Termenii de prelucrare a datelor din Microsoft Termenii serviciilor online. Microsoft oferă, de asemenea, centre de date pentru entități suverane.
Manipularea datelor
Această secțiune prezintă modul în care Power Platform stochează, procesează și transferă datele clienților.
Date în repaus
Dacă nu se specifică altfel în documentație, datele clienților rămân în sursa inițială (de exemplu, Dataverse sau SharePoint). O aplicație Power Platform este stocată în Azure Storage ca parte a unui mediu. Datele utilizate în aplicațiile mobile sunt criptate și stocate în SQL Express. În cele mai multe cazuri, aplicațiile folosesc Azure Storage pentru a permite persistența datelor serviciului Power Platform și baza de date SQL Azure pentru a permite persistența metadatelor serviciului. Datele introduse de utilizatorii aplicației sunt stocate în sursa de date respectivă pentru serviciu, cum ar fi Dataverse.
Toate datele păstrate de Power Platform sunt criptate în mod prestabilit folosind chei gestionate de Microsoft. Datele clienților stocate în baza de date SQL Azure sunt complet criptate folosind tehnologia Transparent Data Encryption (TDE) din Azure SQL. Criptarea stocării datelor clienților stocate în bloburi Azure se face prin criptarea stocării Azure.
Date în procesare
Datele sunt în procesare atunci când sunt utilizate ca parte a unui scenariu interactiv sau când un proces de fundal, cum ar fi o reîmprospătare, le modifică. Power Platform încarcă datele în procesare în spațiul de memorie al uneia sau mai multor activități de lucru de serviciu. Pentru a facilita funcționalitatea activității de lucru, datele care sunt stocate în memorie nu sunt criptate.
Datele în tranzit
Power Platform necesită ca tot traficul HTTP de intrare să fie criptat folosind TLS 1.2 sau o versiune ulterioară. Solicitările care încearcă să utilizeze TLS 1.1 sau o versiune mai veche sunt respinse.
Caracteristici de securitate avansate
Unele dintre funcțiile avansate de securitate ale Power Platform au cerințe specifice de licențiere.
Etichete de serviciu
O etichetă de serviciu reprezintă un grup de prefixe de adrese IP de la un serviciu Azure specificat. Puteți utiliza etichetele de serviciu pentru a defini controalele de acces la rețea în grupurile de securitate de rețea sau Azure Firewall.
Etichetele de serviciu ajută la minimizarea complexității actualizărilor frecvente ale regulilor de securitate a rețelei. Puteți utiliza etichete de serviciu în locul adreselor IP specifice atunci când creați reguli de securitate care, de exemplu, permit sau interzic traficul pentru serviciul corespunzător.
Microsoft gestionează prefixele de adrese cuprinse de eticheta de serviciu și actualizează automat eticheta de serviciu pe măsură ce adresele se schimbă. Pentru mai multe informații, consultați Intervalele de IP-uri Azure și etichetele serviciului – cloudul public.
Prevenirea pierderilor de date
Power Platform are un set extins de funcții de prevenire a pierderii datelor (DLP) pentru a vă ajuta să gestionați securitatea datelor.
Restricție IP pentru semnătură de acces partajat la stocare (SAS).
Notă
Înainte de a activa oricare dintre aceste funcții SAS, clienții trebuie să permită accesul la domeniul https://*.api.powerplatformusercontent.com sau majoritatea funcționalităților SAS nu vor funcționa.
Acest set de funcții este o funcționalitate specifică chiriașului, care restricționează simbolurile SAS (Storage Shared Access Signature) și este controlată printr-un meniu din Power Platform centrul de administrare. Această setare restricționează cine, pe baza IP (IPv4 și IPv6) poate folosi jetoane SAS de companie.
Aceste setări pot fi găsite în setările Privacy + Security un mediu din centrul de administrare. Trebuie să activați opțiunea Activare regulă SAS (Stock Shared Access Signature) pe bază de adresă IP .
Administratorii pot permite una dintre aceste patru opțiuni pentru această setare:
| Opțiune | Setare | Descriere |
|---|---|---|
| 1 | Numai legarea IP | Acest lucru restricționează cheile SAS la IP-ul solicitantului. |
| 2 | Doar IP Firewall | Acest lucru restricționează utilizarea cheilor SAS pentru a funcționa numai într-un interval specificat de administrator. |
| 3 | Legare IP și firewall | Acest lucru restricționează utilizarea cheilor SAS pentru a funcționa într-un interval specificat de administrator și numai la IP-ul solicitantului. |
| 4 | Legare IP sau Firewall | Permite utilizarea cheilor SAS în intervalul specificat. Dacă cererea vine din afara intervalului, se aplică IP Binding. |
Notă
Administratorii care au ales să permită IP Firewall (Opțiunea 2, 3 și 4 enumerate în tabelul de mai sus) trebuie să introducă ambele intervalele IPv4 și IPv6 ale rețelelor lor pentru a asigura o acoperire adecvată a utilizatorilor lor.
Produse care impun legarea IP atunci când sunt activate:
- Dataverse
- Power Automate
- Conectori particularizați
- Power Apps
Impact asupra experienței utilizatorului
Când un utilizator, care nu îndeplinește restricțiile privind adresele IP ale unui mediu, deschide o aplicație: utilizatorii primesc un mesaj de eroare care invocă o problemă de IP generică.
Când un utilizator, care îndeplinește restricțiile privind adresa IP, deschide o aplicație: apar următoarele evenimente:
- Utilizatorii pot primi un banner care va dispărea rapid, informând utilizatorii că a fost setată o setare IP și să contacteze administratorul pentru detalii sau pentru a reîmprospăta paginile care își pierd conexiunea.
- Mai semnificativ, datorită validării IP pe care o folosește această setare de securitate, unele funcționalități pot funcționa mai lent decât dacă ar fi dezactivate.
Actualizați setările în mod programat
Administratorii pot folosi automatizarea pentru a seta și actualiza atât setarea de legare la IP, cât și setarea de firewall, intervalul de IP care este permis și comutatorul Înregistrare . Aflați mai multe în Tutorial: creați, actualizați și enumerați setările de gestionare a mediului.
Înregistrarea apelurilor SAS
Această setare permite ca toate apelurile SAS din Power Platform să fie conectate la Purview. Această înregistrare afișează metadatele relevante pentru toate evenimentele de creare și utilizare și poate fi activată independent de restricțiile IP SAS de mai sus. Power Platform serviciile sunt în prezent înrolare apeluri SAS în 2024.
| Nume de câmp | Descrierea câmpului |
|---|---|
| răspuns.mesaj_status | Informarea dacă evenimentul a avut succes sau nu: SASSuccess sau SASAuthorizationError. |
| răspuns.cod_stare | Informarea dacă evenimentul a avut succes sau nu: 200, 401 sau 500. |
| ip_binding_mode | Modul de legare IP setat de un administrator de locatar, dacă este activat. Se aplică numai evenimentelor de creare SAS. |
| admin_provided_ip_ranges | Intervalele IP stabilite de un administrator de locatar, dacă există. Se aplică numai evenimentelor de creare SAS. |
| filtre_ip_calculate | Setul final de filtre IP legate de URI-uri SAS pe baza modului de legare IP și a intervalelor stabilite de un administrator de locatar. Se aplică atât evenimentelor de creare, cât și de utilizare a SAS. |
| analytics.resource.sas.uri | Datele care încercau să fie accesate sau create. |
| enduser.ip_address | IP-ul public al apelantului. |
| analytics.resource.sas.operation_id | Identificatorul unic de la evenimentul de creare. Căutarea după aceasta arată toate evenimentele de utilizare și creare legate de apelurile SAS de la evenimentul de creare. Mapat la antetul „x-ms-sas-operation-id” răspuns. |
| request.service_request_id | Identificator unic din solicitare sau răspuns și poate fi folosit pentru a căuta o singură înregistrare. Mapat la antetul „x-ms-service-request-id” răspuns. |
| versiune | Versiunea acestei scheme de jurnal. |
| tip | Generic răspuns. |
| analytics.activity.name | Tipul de activitate al acestui eveniment a fost: Creare sau Utilizare. |
| analytics.activity.id | ID unic al înregistrării în Purview. |
| analytics.resource.organization.id | ID organizație |
| analytics.resource.environment.id | ID mediu |
| analytics.resource.tenant.id | ID entitate găzduită |
| enduser.id | GUID-ul de la Microsoft Entra ID-ul creatorului de la evenimentul de creare. |
| Utilizator final.nume_principal | UPN/adresa de e-mail a creatorului. Pentru evenimente de utilizare, acesta este un răspuns generic: „system@powerplatform”. |
| Utilizator final.rol | Răspuns generic: Obișnuit pentru evenimente de creare și Sistem pentru evenimente de utilizare. |
Activați înregistrarea de audit Purview
Pentru ca jurnalele să apară în instanța dvs. Purview, trebuie mai întâi să vă înscrieți pentru fiecare mediu pentru care doriți jurnalele. Această setare poate fi actualizată în Power Platform centrul de administrare de către un administrator de locatar.
- Accesați Power Platform centrul de administrare și conectați-vă cu datele de conectare ale administratorului locatarului.
- În panoul de navigare din stânga, selectați Mediuri.
- Selectați mediul pentru care doriți să activați înregistrarea admin.
- Selectați Setări în bara de comandă.
- Selectați Produs>Confidențialitate + Securitate.
- Sub Setări de securitate pentru semnătură de acces partajat de stocare (SAS) (versiune preliminară), activați Activați înregistrarea SAS în Purview caracteristică.
Căutați jurnalele de audit
Administratorii locatarii pot folosi Purview pentru a vedea jurnalele de audit emise pentru operațiunile SAS și pot auto-diagnostica erorile care pot fi returnate în problemele de validare IP. Logurile din Purview sunt cea mai fiabilă soluție.
Utilizați următorii pași pentru a diagnostica problemele sau pentru a înțelege mai bine tiparele de utilizare SAS în cadrul chiriașului dvs.
Asigurați-vă că înregistrarea de audit este activată pentru mediu. Consultați Activați jurnalul de audit Purview.
Accesați Microsoft portalul de conformitate Purview și conectați-vă cu acreditările de administrator al locatarului.
În panoul de navigare din stânga, selectați Audit. Dacă această opțiune nu este disponibilă pentru dvs., înseamnă că utilizatorul conectat nu are acces de administrator la jurnalele de auditare a interogărilor.
Alegeți intervalul de date și oră în UTC pentru când încercați să căutați jurnalele. De exemplu, când a fost returnată o eroare 403 Forbidden cu un cod de eroare unauthorized_caller .
Din lista drop-down Activități - nume prietenoase , căutați Power Platform operațiuni de stocare și selectați S-a creat SAS URI și S-a folosit SAS URI.
Specificați un cuvânt cheie în Căutare prin cuvinte cheie. Consultați Începeți cu căutarea în documentația Purview pentru a afla mai multe despre acest câmp. Puteți utiliza o valoare din oricare dintre câmpurile descrise în tabelul de mai sus, în funcție de scenariul dvs., dar mai jos sunt câmpurile recomandate în care să căutați (în ordinea preferințelor):
- Valoarea antetului x-ms-service-request-id răspuns. Aceasta filtrează rezultatele la un eveniment de creare a URI SAS sau la un eveniment de utilizare a URI SAS, în funcție de tipul de solicitare din care provine antetul. Este util atunci când investigați o eroare 403 interzisă returnată utilizatorului. Poate fi folosit și pentru a prelua valoarea powerplatform.analytics.resource.sas.operation_id .
- Valoarea antetului x-ms-sas-operation-id răspuns. Aceasta filtrează rezultatele la un eveniment de creare a URI SAS și la unul sau mai multe evenimente de utilizare pentru acel URI SAS, în funcție de câte ori a fost accesat. Se mapează la câmpul powerplatform.analytics.resource.sas.operation_id .
- URI SAS complet sau parțial, minus semnătura. Acest lucru ar putea returna multe creații SAS URI și multe evenimente de utilizare SAS URI, deoarece este posibil ca același URI să fie solicitat pentru generare de câte ori este necesar.
- Adresa IP a apelantului. Returnează toate evenimentele de creare și utilizare pentru acel IP.
- ID mediu. Acest lucru poate returna un set mare de date care se pot întinde pe mai multe oferte diferite de Power Platform, așa că evitați dacă este posibil sau luați în considerare restrângerea ferestrei de căutare.
Avertisment
Nu vă recomandăm să căutați numele principal de utilizator sau ID-ul obiectului, deoarece acestea sunt propagate doar la evenimentele de creare, nu la evenimentele de utilizare.
Selectați Căutare și așteptați să apară rezultatele.
Avertisment
Ingerarea contului în Purview poate fi amânată cu până la o oră sau mai mult, așa că rețineți acest lucru atunci când căutați cele mai recente evenimente.
Depanare 403 Eroare Forbidden/unauthorized_caller
Puteți utiliza jurnalele de creare și utilizare pentru a determina de ce un apel ar duce la o eroare 403 Forbidden cu un cod de eroare unauthorized_caller .
- Găsiți jurnalele în Purview, așa cum este descris în secțiunea anterioară. Luați în considerare utilizarea fie x-ms-service-request-id sau x-ms-sas-operation-id din anteturile răspuns ca cuvânt cheie de căutare.
- Deschideți evenimentul de utilizare, Utilizat SAS URI și căutați powerplatform.analytics.resource.sas.computed_ip_filters câmp sub PropertyCollection. Acest interval IP este ceea ce apelul SAS îl folosește pentru a determina dacă cererea este autorizată să continue sau nu.
- Comparați această valoare cu câmpul Adresă IP din jurnal, care ar trebui să fie suficient pentru a determina de ce cererea a eșuat.
- Dacă credeți că valoarea powerplatform.analytics.resource.sas.computed_ip_filters este incorectă, continuați cu pașii următori.
- Deschideți evenimentul de creare, S-a creat URI SAS, căutând folosind x-ms-sas-operation-id Valoarea antetului răspuns (sau valoarea câmpului powerplatform.analytics.resource.sas.operation_id din jurnalul de creare).
- Obțineți valoarea câmpului powerplatform.analytics.resource.sas.ip_binding_mode . Dacă lipsește sau este gol, înseamnă că legarea IP nu a fost activată pentru acel mediu în momentul solicitării respective.
- Obțineți valoarea powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Dacă lipsește sau este gol, înseamnă că intervalele de firewall IP nu au fost specificate pentru acel mediu în momentul solicitării respective.
- Obțineți valoarea powerplatform.analytics.resource.sas.computed_ip_filters, care ar trebui să fie identică cu evenimentul de utilizare și este derivată pe baza modului de legare IP și a firewall-ului IP furnizat de administrator intervale. Consultați logica de derivare în Stocare și guvernare a datelor în Power Platform.
Acest lucru ar trebui să ofere administratorilor chiriașilor suficiente informații pentru a corecta orice configurare greșită față de mediu pentru setările de legare IP.
Avertisment
Modificările aduse setărilor de mediu pentru legarea SAS IP pot dura cel puțin 30 de minute pentru a intra în vigoare. Ar putea fi mai mult dacă echipele partenere au propriul lor cache.
Articole asociate
Securitate în Microsoft Power Platform
Autentificarea la Power Platform servicii
Conectarea și autentificarea la sursele de date
Power Platform Întrebări frecvente privind securitatea