Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Заметка
Новый и улучшенный центр администрирования Power Platform теперь доступен в виде общедоступной предварительной версии! Мы разработали новый центр администрирования, чтобы он был проще в использовании, с ориентированной на задачи навигацией, которая помогает быстрее достигать конкретных результатов. Мы будем публиковать новую и обновленную документацию по мере перехода нового центра администрирования Power Platform на общедоступную версию.
Во-первых, важно различать персональные данные и данные клиентов.
Персональные данные — это информация о людях, которая может быть использована для их идентификации.
Данные клиентов включают личные данные и другие данные клиентов, такие как URL-адреса, метаданные и информацию для аутентификации сотрудников, например DNS-имена.
Место расположения данных
Клиент Microsoft Entra хранит информацию, относящуюся к организации и ее безопасности. Когда клиент Microsoft Entra регистрируется в службах Power Platform, выбранная клиентом страна или регион сопоставляется с наиболее подходящей географией Azure, где развертывание Power Platform существует. Power Platform хранит данные о клиентах в назначенном клиенту геообъекте Azure или домашнем геообъекте за исключением случаев, когда организации развертывают службы в нескольких регионах.
Некоторые организации имеют глобальное присутствие. Например, компания может иметь штаб-квартиру в США, но вести бизнес в Австралии. Может потребоваться, чтобы определенные данные Power Platform хранились в Австралии в соответствии с местным законодательством. Когда службы Power Platform развернуты более чем в одном геообъекте Azure, это называется развертыванием в нескольких геообъектах. В этом случае в домашнем геообъекте хранятся только метаданные, связанные со средой. Все метаданные и данные о продукте в этой среде хранятся в удаленном геообъекте.
Microsoft может реплицировать данные в другие регионы для обеспечения устойчивости данных. Однако мы не копируем и не перемещаем личные данные за пределы геообъекта. Данные, реплицированные в другие регионы, могут включать в себя неличные данные, такие как данные аутентификации сотрудников.
Службы Power Platform доступны в определенных географических регионах Azure. Дополнительные сведения о месте доступности служб Power Platform, месте хранения данных и способах их использования см. в центре управления безопасностью Майкрософт. Обязательства относительно расположения неактивных данных клиента указаны в условиях обработки данных условий использования веб-служб Microsoft. Корпорация Майкрософт также предоставляет центры обработки данных для национальных облаков.
Обработка данных
В этом разделе описывается, как Power Platform хранит, обрабатывает и передает данные клиентов.
Неактивные данные
Если в документации не указано иное, данные клиентов остаются в исходном источнике (например, Dataverse или SharePoint). Приложение Power Platform хранится в службе хранилища Azure как часть среды. Данные, используемые в мобильных приложениях, шифруются и хранятся в SQL Express. В большинстве случаев приложения используют хранилище Azure для хранения данных служб Power Platform и базу данных SQL Azure для хранения метаданных службы. Данные, введенные пользователям приложения, хранятся в соответствующем источнике данных для службы, например, Dataverse.
Все данные, хранящиеся Power Platform, по умолчанию шифруется с помощью ключей, управляемых Microsoft. Данные клиентов, хранящиеся в базе данных SQL Azure, полностью шифруются с помощью технологии прозрачного шифрования данных SQL Azure (TDE). Данные клиентов, хранящиеся в хранилище BLOB-объектов Azure, шифруются с помощью шифрования службы хранилища Azure.
Обработка данных
Данные находятся в обработке, когда они активно используются интерактивным сценарием или когда фоновый процесс, такой как обновление, затрагивает эти данные. Power Platform загружает обрабатываемые данные в пространство памяти одной или нескольких рабочих нагрузок службы. Для облегчения работы рабочей нагрузки данные, хранящиеся в памяти, не шифруются.
Передаваемые данные
Power Platform требует, чтобы весь входящий HTTP-трафик был зашифрован с использованием версии TLS 1.2 или новее. Запросы, которые пытаются использовать TLS 1.1 или ниже, отклоняются.
Расширенные функции безопасности
Некоторые расширенные функции безопасности Power Platform имеют особые лицензионные требования.
Теги служб
Тег службы представляет собой группу префиксов IP-адресов из указанной службы Azure. Вы можете использовать теги службы для определения элементов управления доступом к сети в группах безопасности сети или брандмауэре Azure.
Теги служб помогают свести к минимуму сложность частых обновлений правил сетевой безопасности. Вы можете использовать теги служб вместо определенных IP-адресов при создании правил безопасности, которые, например, разрешают или запрещают трафик для соответствующей службы.
Корпорация Майкрософт управляет префиксами адресов, заключенными в теге службы, и автоматически обновляет тег службы при изменении адресов. Дополнительные сведения см. в Диапазоны IP-адресов Azure и теги служб — общедоступное облако.
Защита от потери данных
В Power Platform есть обширный набор функций защиты потери данных (DLP), чтобы помочь вам управлять безопасностью своих данных.
Ограничение IP-адресов подписанных URL-адресов (SAS) хранилища
Заметка
Прежде чем активировать любую из этих функций SAS, клиенты должны сначала разрешить доступ к домену https://*.api.powerplatformusercontent.com, иначе большинство функций SAS не будут работать.
Этот набор функций относится к конкретному клиенту и ограничивает токены подписанного URL-адреса (SAS) хранилища. Он управляется через меню в Центре администрирования Power Platform. Этот параметр ограничивает, кто на основе IP-адреса (IPv4 и IPv6) может использовать корпоративные маркеры SAS.
Эти настройки можно найти в параметрах среды Конфиденциальность + безопасность в центре администрирования. Необходимо включить параметр Включить правило подписанного URL-адреса (SAS) к службе хранилища на основе IP-адреса.
Администраторы могут разрешить один из следующих четырех вариантов для этого параметра:
| Вариант | Параметр | Описание |
|---|---|---|
| 1 | Только IP-привязка | Это ограничивает ключи SAS IP-адресом запрашивающей стороны. |
| 2 | Только IP-брандмауэр | Это ограничивает использование ключей SAS только в пределах диапазона, указанного администратором. |
| 3 | IP-привязка и брандмауэр | Это ограничивает использование ключей SAS в пределах диапазона, указанного администратором, и только IP-адресом запрашивающей стороны. |
| 4 | IP-привязка или брандмауэр | Позволяет использовать ключи SAS в указанном диапазоне. Если запрос поступает из-за пределов диапазона, применяется привязка IP-адреса. |
Заметка
Администраторы, решившие разрешить IP-брандмауэр (варианты 2, 3 и 4, перечисленные в таблице выше), должны ввести оба диапазона IPv4 и IPv6 своих сетей, чтобы обеспечить надлежащее покрытие своих пользователей.
Предупреждение
В вариантах 1 и 3 используется привязка IP-адресов, которая работает неправильно, если в сетях клиентов используются шлюзы с поддержкой пулов IP-адресов, обратного прокси-сервера или преобразования сетевых адресов (NAT). Это приводит к тому, что IP-адрес пользователя изменяется слишком часто, чтобы инициатор запроса мог надежно иметь один и тот же IP-адрес между операциями чтения и записи SAS.
Варианты 2 и 4 работают так, как задумано.
Продукты, использующие привязку IP, если она включена:
- Dataverse
- Power Automate
- Пользовательские соединители
- Power Apps
Влияние на пользовательский интерфейс
Когда пользователь, который не соответствует ограничениям IP-адреса среды, открывает приложение: пользователи получают сообщение об ошибке, в котором говорится об общей проблеме с IP-адресом.
Когда пользователь, который не соответствует ограничениям по IP-адресу, открывает приложение: происходят следующие события:
- Пользователи могут получить баннер, который быстро исчезнет, сообщая пользователям, что настройка IP-адреса установлена, и могут связаться с администратором для получения подробной информации или обновления любых страниц, которые теряют соединение.
- Что еще более важно, из-за проверки IP-адреса, которую использует этот параметр безопасности, некоторые функции могут работать медленнее, чем если бы они были отключены.
Обновление параметров программным способом
Администраторы могут использовать автоматизацию для установки и обновления параметров привязки IP-адресов и брандмауэра, диапазона IP-адресов, который находится в списке разрешенных, и переключателя Ведение журнала. Подробнее: Учебник. Создание, обновление и вывод списка параметров управления средой.
Регистрация вызовов SAS
Этот параметр позволяет регистрировать все вызовы SAS внутри Power Platform в Purview. В этом журнале отображаются соответствующие метаданные для всех событий создания и использования, и его можно включить независимо от вышеуказанных ограничений IP-адресов SAS. Службы Power Platform в настоящее время готовятся к подключению вызовов SAS в 2024 году.
| Имя поля | Описание поля |
|---|---|
| response.status_message | Информирование об успешном/неуспешном событии: SASSuccess или SASAuthorizationError. |
| response.status_code | Информирование об успешном/неуспешном событии: 200, 401 или 500. |
| ip_binding_mode | Режим привязки IP-адреса, заданный администратором арендатора, если он включен. Применяется только к событиям создания SAS. |
| admin_provided_ip_ranges | Диапазоны IP-адресов, заданные администратором арендатора, если таковые имеются. Применяется только к событиям создания SAS. |
| computed_ip_filters | Окончательный набор IP-фильтров, привязанных к URI SAS, на основе режима привязки IP-адресов и диапазонов, установленных администратором арендатора. Применяется как к событиям создания, так и к использованию SAS. |
| analytics.resource.sas.uri | Данные, к которым пытались получить доступ или которые пытались создать. |
| enduser.ip_address | Общедоступный IP-адрес вызывающей стороны. |
| analytics.resource.sas.operation_id | Уникальный идентификатор события создания. Поиск по этому показателю показывает все события использования и создания, связанные с вызовами SAS из события создания. Сопоставляется с заголовком ответа “x-ms-sas-operation-id”. |
| request.service_request_id | Уникальный идентификатор запроса или ответа, который можно использовать для поиска одной записи. Сопоставляется с заголовком ответа “x-ms-service-request-id”. |
| версия | Версия этой схемы журнала. |
| type | Общий ответ. |
| analytics.activity.name | Тип действия этого события: создание или использование. |
| analytics.activity.id | Уникальный ИД записи в Purview. |
| analytics.resource.organization.id | Идентификатор организации |
| analytics.resource.environment.id | Идентификатор среды |
| analytics.resource.tenant.id | Идентификатор клиента |
| enduser.id | GUID из Microsoft Entra ID создателя из события создания. |
| enduser.principal_name | UPN/адрес электронной почты создателя. Для событий использования это общий ответ: “system@powerplatform”. |
| enduser.role | Общий ответ: Обычный для событий создания и Системный для событий использования. |
Включите регистрацию аудита в Purview.
Чтобы журналы отображались в экземпляре Purview, необходимо сначала дать согласие на их использование для каждой среды, для которой требуются журналы. Этот параметр может быть изменен в центре администрирования Power Platform администратором арендатора.
- Перейдите в центр администрирования Power Platform и войдите в арендатор с учетными данными глобального администратора.
- В левой области навигации выберите Среды.
- Выберите среду, для которой вы хотите включить ведение журнала администратора.
- На панели команд выберите Параметры.
- Выберите Продукт>Конфиденциальность + безопасность.
- В разделе Параметры безопасности подписанных URL-адресов (SAS) хранилища (предварительная версия) включите функцию Включить ведение журнала SAS в Purview.
Поиск в журналах аудита
Администраторы клиента могут использовать Purview для просмотра журналов аудита, создаваемых для операций SAS, и могут самостоятельно диагностировать ошибки, которые могут возвращаться при проблемах с проверкой IP-адресов. Журналы в Purview — самое надежное решение.
Выполните следующие действия, чтобы диагностировать проблемы или лучше понять шаблоны использования SAS в вашем арендаторе.
Убедитесь, что ведение журнала аудита включено для среды. См. раздел Включите регистрацию аудита в Purview.
Перейдите на портал соответствия требованиям Microsoft Purview и войдите в систему, используя учетные данные администратора арендатора.
В левой области навигации выберите Аудит. Если этот параметр вам недоступен, это означает, что вошедший в систему пользователь не имеет прав администратора для запросов журналов аудита.
Выберите диапазон даты и времени в формате UTC для поиска журналов. Например, если была возвращена ошибка 403 Forbidden с кодом ошибки unauthorized_caller.
В раскрывающемся списке Действия — понятные имена выполните поиск Операций хранилища Power Platform и выберите Созданный URI SAS и Используемый URI SAS.
Укажите ключевое слово в поиске по ключевым словам. См. раздел Начало работы с поиском в документации по Purview для получения дополнительных сведений об этом поле. Вы можете использовать значение из любого из полей, описанных в таблице выше, в зависимости от вашего сценария, но ниже приведены рекомендуемые поля для поиска (в порядке предпочтения):
- Значение заголовка ответа x-ms-service-request-id. При этом результаты будут отфильтрованы по одному событию создания URI SAS или по одному событию использования URI SAS, в зависимости от типа запроса заголовка. Это полезно при расследовании ошибки 403 Forbidden, возвращенной пользователю. Его также можно использовать для получения значения powerplatform.analytics.resource.sas.operation_id.
- Значение заголовка ответа x-ms-sas-operation-id. При этом результаты фильтруются по одному событию создания URI SAS и одному или нескольким событиям использования этого URI SAS в зависимости от того, сколько раз к нему обращались. Он сопоставляется с полем powerplatform.analytics.resource.sas.operation_id.
- Полный или частичный URI SAS за вычетом подписи. Это может привести к появлению множества созданных URI SAS и событий использования URI SAS, поскольку один и тот же URI может быть запрошен для генерации столько раз, сколько необходимо.
- IP-адрес звонящего. Возвращает все события создания и использования для этого IP-адреса.
- ИД среды. Это может привести к возврату большого набора данных, которые могут охватывать множество различных предложений в Power Platform, поэтому избегайте этого, если это возможно, или подумайте о том, чтобы сузить окно поиска.
Предупреждение
Не рекомендуется выполнять поиск по имени субъекта-пользователя или идентификатору объекта, так как они распространяются только на события создания, а не на события использования.
Выберите Поиск и дождитесь результатов.
Предупреждение
Прием журнала в Purview может быть отложен на срок до часа или более, поэтому учитывайте это при поиске последних событий.
Устранение ошибки 403 Forbidden/unauthorized_caller
Вы можете использовать журналы создания и использования, чтобы определить, почему вызов приведел к ошибке 403 Forbidden с кодом unauthorized_caller.
- Найдите журналы в Purview, как описано в предыдущем разделе. В качестве ключевого слова поиска рекомендуется использовать x-ms-service-request-id или x-ms-sas-operation-id из заголовков ответа.
- Откройте событие использования, Созданный URI SAS и найдите поле powerplatform.analytics.resource.sas.computed_ip_filters в разделе PropertyCollection. Этот диапазон IP-адресов используется вызовом SAS, чтобы определить, авторизован ли запрос для продолжения или нет.
- Сравните это значение с полем IP-адреса журнала, которого должно быть достаточно для определения причины сбоя запроса.
- Если вы считаете, что значение powerplatform.analytics.resource.sas.computed_ip_filters неверное, перейдите к следующим шагам.
- Откройте событие создания, Созданный SAS URI, выполнив поиск по значению заголовка ответа x-ms-sas-operation-id (или значению powerplatform.analytics.resource.sas.operation_id поля из журнала создания).
- Получите значение поля powerplatform.analytics.resource.sas.ip_binding_mode. Если он отсутствует или пуст, это означает, что привязка IP-адресов не была включена для этой среды во время этого конкретного запроса.
- Получите значение поля powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Если он отсутствует или пуст, это означает, что диапазоны IP-брандмауэра не были указаны для этой среды во время этого конкретного запроса.
- Получите значение powerplatform.analytics.resource.sas.computed_ip_filters, которое должно быть идентично событию использования и получено на основе режима привязки IP-адресов и диапазонов IP-брандмауэра, предоставляемых администратором. Логику деривации см. в разделе Хранение данных и управление ими в Power Platform.
Это должно предоставить администраторам клиента достаточно информации для исправления любой неправильной настройки параметров привязки IP-адресов в среде.
Предупреждение
Изменения, внесенные в параметры среды для привязки SAS IP, могут вступить в силу не менее чем через 30 минут. Это может занять больше времени, если у партнерских команд есть свой собственный кэш.
Связанные статьи
Безопасность в Microsoft Power Platform
Аутентификация в службах Power Platform
Подключение и аутентификация в источниках данных
Вопросы и ответы по безопасности Power Platform