Суверенитет данных в средах Dataverse и Power Platform
Центр администрирования Microsoft Power Platform централизует управление средами и настройками для Power Platform и помогает управлять как размещением данных, так и контролем доступа к данным для удовлетворения ваших суверенных требований. Настройки клиента в Центре администрирования позволяет вам контролировать создание и управление средами в вашем клиенте. Этот параметр позволяет вам регулировать, какие администраторы имеют возможность создавать новые среды, ограничивая эту возможность только глобальными администраторами, администраторами Dynamics 365 и администраторами Power Platform. Это расширяет ваш контроль над местоположением, методом и персоналом, получающим доступ к вашим данным.
Управление пользователями или разрешениями
В настоящее время вы можете использовать Центр администрирования для управления настройками управления пользователями и разрешениями. Например, доступны следующие возможности:
Рабочие группы Dataverse: мы рекомендуем использовать рабочие группы групп Microsoft Entra, чтобы упростить управление пользователями и обеспечить единообразную реализацию привилегий и разрешений.
Назначьте пользователям роли безопасности: мы рекомендуем использовать пользовательский интерфейс Центра администрирования для управления пользователями посредством создания ролей безопасности.
Настройте безопасность пользователей в среде: в Центре администрирования укажите роли безопасности в данной среде, чтобы ограничить, какие пользователи могут делать какие действия. Многие ранее существовавшие роли настроены таким образом, чтобы помочь вам оптимизировать этот процесс. Политику на уровне клиента можно ограничить областью действия, чтобы обеспечить элементы управления верхнего уровня, которые минимизируют риск потери данных из-за неправильной настройки отдельных сред, установив область действия для всех сред. Дополнительную информацию см. в разделе Концепции безопасности в Microsoft Dataverse - Power Platform
Включение управляемых сред
Управляемые среды предоставляют обширные возможности, которые помогут вам настроить Dataverse и Power Platform, а также снизить риск непреднамеренной утечки данных и обеспечить соответствие вашим требованиям безопасности и суверенитета. К этим возможностям относятся привязка файлов cookie на основе IP-адресов, защищенное хранилище клиента, IP-брандмауэр, ключи, управляемые клиентом, и т. д.
В центре администрирования вы можете управлять политиками данных для ваших управляемых сред. Мы настоятельно рекомендуем вам использовать политики данных для защиты всех сред вашего клиента. Например, политику защиты от потери данных
В Центре администрирования вы можете настроить средство проверки решений в управляемых средах, чтобы принудительно проверять ваши решения на соответствие набору правил лучших методик и выявлять проблемные шаблоны. Эта проверка может помочь вам предотвратить неправильные методы управления данными, которые приводят к доступу к данным или их распространению, нарушающему ваши суверенные требования.
В управляемых средах также используется предварительная версия маршрутизации среды по умолчанию — новая функция поддержки суверенного контроля, так что, когда новый создатель приходит в Power Apps, он автоматически направляется в его собственное личное пространство разработки, а не в общую среду по умолчанию, где он может создавать без риска доступа других разработчиков к их приложениям или данным.
Для получения дополнительной информации см. разделы Включение управляемых сред — Power Platform и Политики данных — Power Platform
Место расположения данных в Power Platform
Место расположения данных — это физическое местоположение, где хранятся и обрабатываются данные. Соблюдение требований к месту расположения данных является распространенной проблемой для клиентов из государственного сектора, поэтому они часто требуют от Майкрософт ограничивать места хранения и обработки различных типов данных. Power Platform предоставляет элементы управления и механизмы, гарантирующие защиту как персональных данных, так и данных клиентов, чтобы ограничить службы и регионы, которые конечные пользователи могут использовать, и применять конфигурацию службы, чтобы помочь клиентам удовлетворить свои потребности в размещении данных.
Выбор географии
Когда вы регистрируетесь в службах Power Platform, выбранная страна или регион клиента сопоставляется с наиболее подходящей географией Azure, где существует развертывание Power Platform. Для клиентов с несколькими регионами вы можете указать регион для среды. Метаданные и данные о продукте для вашей среды хранятся в удаленной географической области. Дополнительную информацию см. в разделе Хранение данных и управление или в Power Platform.
Изоляция клиента
Чтобы снизить вероятность несанкционированного обмена данными, в Power Platform необходимо включить изоляцию клиентов, чтобы гарантировать, что только ограниченное число клиентов (или никакие клиенты) могут связаться со своим суверенным клиентом. Мы предлагаем предотвращать входящие и исходящие соединения, выходящие за границы суверенитета. Например, элементы управления вашей политикой могут указывать, что для вашего клиента допустимо подключение других идентификаторов tenant_id, находящихся в пределах вашей суверенной границы, но не в регионах за ее пределами. Дополнительные сведения об изоляции клиентов см. в разделе Ограничение входящего и исходящего доступа между клиентами — Power Platform.
Резервное копирование/отработка отказа
Microsoft может реплицировать неперсональные данные, такие как данные аутентификации сотрудников, в другие регионы для устойчивости данных. Однако личные данные и данные клиентов никогда не реплицируются и не перемещаются за пределы геообъекта. Системное резервное копирование производственных сред происходит автоматически и является геоизбыточным для обеспечения отказоустойчивости и доступности. В некоторых случаях резервный регион может находиться за пределами вашей суверенной границы.
Дополнительные сведения о непрерывности бизнеса/аварийном восстановлении, процессах аварийного переключения и резервного восстановления для приложений Dataverse и приложений для управления финансами и операциями см. в разделе Непрерывность бизнес-процессов и аварийное восстановление для приложений Dynamics 365 SaaS — Power Platform.
Политики защиты от потери данных
Политики защиты от потери данных (DLP) Power Platform могут действовать как ограждения, чтобы помочь выполнить требования к месту расположения данных. Политики DLP также могут помочь определить, какие соединители могут взаимодействовать друг с другом, чтобы предотвратить непреднамеренную или преднамеренную передачу конфиденциальных бизнес-данных из суверенного региона. По умолчанию все соединители изначально отнесены к группе данных некоммерческого (личного) использования.
Чтобы снизить риск утечки конфиденциальной информации из суверенной среды, соединители для конфиденциальных данных должны быть назначены группе бизнес-данных. Для дополнительной защиты сред Dynamics 365 эти соединители также следует назначить группе бизнес-данных. Дополнительные сведения об управлении политиками DLP см. в разделах: Управление политиками защиты от потери данных (DLP) — Power Platform.
Двойная запись
Двойная запись обеспечивает тесно связанную двунаправленную интеграцию между приложениями для управления финансами и операциями и Dataverse. Изменения данных в приложениях для управления финансами и операциями могут вызывать записи в Dataverse, а изменения данных в Dataverse могут вызывать записи в приложения для управления финансами и операциями. Этот автоматизированный поток данных обеспечивает интегрированный пользовательский интерфейс во всех приложениях.
Для правильной работы двойной записи требуются определенные роли безопасности и разрешения. Все пользователи Microsoft Dataverse следует добавить к ролям безопасности пользователя среды выполнения с двойной записью и пользователя приложения с двойной записью. Если эти роли не управляются должным образом, это потенциально может привести к несанкционированному доступу.
Требования к местонахождению и соответствию данных могут различаться в зависимости от географического местоположения, где данные хранятся и обрабатываются. Важно убедиться, что поток данных соответствует всем соответствующим региональным и международным правилам защиты данных. Дополнительные сведения см. в разделах Двойная запись и Настройка ролей и разрешений безопасности двойной записи.
Дополнительные сведения см. в разделе Настройка управления для контроля анонимного доступа к данным Dataverse на веб-сайте Power Pages.