Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Power Platform обрабатывает как персональные данные, так и данные клиентов. Узнайте больше о персональных данных и данных клиентов в Центр управления безопасностью Microsoft.
Место расположения данных
Клиент Microsoft Entra хранит информацию, относящуюся к организации и ее безопасности. Когда клиент Microsoft Entra регистрируется в службах Power Platform, выбранная клиентом страна или регион сопоставляется с наиболее подходящей географией Azure, где развертывание Power Platform существует. Power Platform хранит данные о клиентах в назначенном клиенту геообъекте Azure или домашнем геообъекте за исключением случаев, когда организации развертывают службы в нескольких регионах.
Некоторые организации имеют глобальное присутствие. Например, компания может иметь штаб-квартиру в США, но вести бизнес в Австралии. Может потребоваться, чтобы определенные данные Power Platform хранились в Австралии в соответствии с местным законодательством. Когда службы Power Platform развернуты более чем в одном геообъекте Azure, это называется развертыванием в нескольких геообъектах. В этом случае в домашнем геообъекте хранятся только метаданные, связанные со средой. Все метаданные и данные о продукте в этой среде хранятся в удаленном геообъекте.
Службы Power Platform доступны в определенных географических регионах Azure. Дополнительные сведения о месте доступности служб Power Platform, месте хранения данных и их репликации для обеспечения их устойчивости, а также способах их использования см. в Центре управления безопасностью Microsoft. Обязательства относительно расположения неактивных данных клиента указаны в условиях обработки данных условий использования веб-служб Microsoft. Корпорация Майкрософт также предоставляет центры обработки данных для национальных облаков.
Обработка данных
В этом разделе описывается, как Power Platform хранит, обрабатывает и передает данные клиентов.
Неактивные данные
Если в документации не указано иное, данные клиентов остаются в исходном источнике (например, Dataverse или SharePoint). Приложения Power Platform хранятся в службе хранилища Azure как часть среды. Данные, используемые в мобильных приложениях, шифруются и хранятся в SQL Express. В большинстве случаев приложения используют хранилище Azure для хранения данных служб Power Platform и базу данных SQL Azure для хранения метаданных службы. Данные, введенные пользователям приложения, хранятся в соответствующем источнике данных для службы, например, Dataverse.
Все данные, хранящиеся Power Platform, по умолчанию шифруются с помощью ключей, управляемых Microsoft. Данные клиентов, хранящиеся в базе данных SQL Azure, полностью шифруются с помощью технологии прозрачного шифрования данных SQL Azure (TDE). Данные клиентов, хранящиеся в хранилище BLOB-объектов Azure, шифруются с помощью шифрования службы хранилища Azure.
Обработка данных
Данные находятся в обработке, когда они активно используются интерактивным сценарием или когда фоновый процесс, такой как обновление, затрагивает эти данные. Power Platform загружает обрабатываемые данные в пространство памяти одной или нескольких рабочих нагрузок службы. Для облегчения работы рабочей нагрузки данные, хранящиеся в памяти, не шифруются.
Передаваемые данные
Power Platform шифрует весь входящий HTTP-трафик с использованием версии TLS 1.2 или новее. Запросы, которые пытаются использовать TLS 1.1 или ниже, отклоняются.
Расширенные функции безопасности
Некоторые расширенные функции безопасности Power Platform могут иметь особые лицензионные требования.
Теги служб
Тег службы представляет собой группу префиксов IP-адресов из конкретной службы Azure. Вы можете использовать теги службы для определения элементов управления доступом к сети в группах безопасности сети или брандмауэре Azure.
Теги служб помогают свести к минимуму сложность частых обновлений правил сетевой безопасности. Вы можете использовать теги служб вместо определенных IP-адресов при создании правил безопасности, которые, например, разрешают или запрещают трафик для соответствующей службы.
Корпорация Microsoft управляет префиксами адресов в теге службы,и автоматически обновляет тег службы при изменении адресов. Дополнительные сведения см. в Диапазоны IP-адресов Azure и теги служб — общедоступное облако.
Политики данных
Power Platform включает обширные функции политики данных для управления безопасностью данных.
Ограничение IP-адресов подписанных URL-адресов (SAS) хранилища
Примечание.
Прежде чем активировать любую из этих функций SAS, клиенты должны сначала разрешить доступ к домену https://*.api.powerplatformusercontent.com, иначе большинство функций SAS не будут работать.
Этот набор функций относится к конкретному клиенту и ограничивает токены подписанного URL-адреса (SAS) хранилища. Он управляется через меню в Центре администрирования Power Platform. Этот параметр ограничивает, кто на основе IP-адреса (IPv4 и IPv6) может использовать корпоративные маркеры SAS.
Эти настройки можно найти в параметрах среды Конфиденциальность + безопасность в центре администрирования. Необходимо включить параметр Включить правило подписанного URL-адреса (SAS) к службе хранилища на основе IP-адреса.
Администраторы могут выбрать один из следующих четырех вариантов этого параметра:
| Вариант | Параметр | Описаниен |
|---|---|---|
| 1 | Только IP-привязка | Это ограничивает ключи SAS IP-адресом запрашивающей стороны. |
| 2 | Только IP-брандмауэр | Это ограничивает использование ключей SAS только в пределах диапазона, указанного администратором. |
| 3 | IP-привязка и брандмауэр | Это ограничивает использование ключей SAS в пределах диапазона, указанного администратором, и только IP-адресом запрашивающей стороны. |
| 4 | IP-привязка или брандмауэр | Позволяет использовать ключи SAS в указанном диапазоне. Если запрос поступает из-за пределов диапазона, применяется привязка IP-адреса. |
Примечание.
Администраторы, разрешающие использовать IP-брандмауэр (варианты 2, 3 и 4, перечисленные в таблице выше), должны ввести диапазоны IPv4 и IPv6 своих сетей, чтобы обеспечить надлежащее покрытие для своих пользователей.
Предупреждение
В вариантах 1 и 3 используется привязка на основе IP-адресов, которая работает неправильно, если в сетях клиентов используются шлюзы с поддержкой пулов IP-адресов, обратного прокси-сервера или преобразования сетевых адресов (NAT). Это приводит к тому, что IP-адрес пользователя изменяется слишком часто, чтобы инициатор запроса мог надежно иметь один и тот же IP-адрес между операциями чтения и записи SAS.
Варианты 2 и 4 работают так, как задумано.
Продукты, использующие привязку IP, если она включена:
- Dataverse
- Power Automate
- Пользовательские соединители
- Power Apps
Влияние на пользовательский интерфейс
Когда пользователь, который не соответствует ограничениям IP-адреса среды, открывает приложение: пользователи получают сообщение об ошибке, в котором говорится об общей проблеме с IP-адресом.
Когда пользователь, который не соответствует ограничениям по IP-адресу, открывает приложение: происходят следующие события:
- Пользователи могут получить баннер, который быстро исчезнет, сообщая пользователям, что настройка IP-адреса установлена, и могут связаться с администратором для получения подробной информации или обновления любых страниц, которые теряют соединение.
- Что еще более важно, из-за проверки IP-адреса, которую использует этот параметр безопасности, некоторые функции могут работать медленнее, чем если бы они были отключены.
Обновление параметров программным способом
Администраторы могут использовать автоматизацию для установки и обновления как параметров привязки на основе IP-адресов и параметров брандмауэра, так и диапазона IP-адресов, который находится в списке разрешений, в том числе переключателя Ведение журнала. Подробнее: Учебник. Создание, обновление и вывод списка параметров управления средой.
Регистрация вызовов SAS
Этот параметр позволяет регистрировать все вызовы SAS во Power Platform в Purview. В этом журнале отображаются соответствующие метаданные для всех событий создания и использования, и его можно включить независимо от вышеуказанных ограничений IP-адресов SAS. Службы Power Platform в настоящее время готовятся к подключению вызовов SAS в 2024 году.
| Имя поля | Описание поля |
|---|---|
| response.status_message | Информирование об успешном/неуспешном событии: SASSuccess или SASAuthorizationError. |
| response.status_code | Информирование об успешном/неуспешном событии: 200, 401 или 500. |
| ip_binding_mode | Режим привязки IP-адреса, заданный администратором арендатора, если он включен. Применяется только к событиям создания SAS. |
| admin_provided_ip_ranges | Диапазоны IP-адресов, заданные администратором арендатора, если таковые имеются. Применяется только к событиям создания SAS. |
| computed_ip_filters | Окончательный набор IP-фильтров, привязанных к URI SAS, на основе режима привязки IP-адресов и диапазонов, установленных администратором арендатора. Применяется как к событиям создания, так и к использованию SAS. |
| analytics.resource.sas.uri | Данные, к которым пытались получить доступ или которые пытались создать. |
| enduser.ip_address | Общедоступный IP-адрес вызывающей стороны. |
| analytics.resource.sas.operation_id | Уникальный идентификатор события создания. Поиск по этому показателю показывает все события использования и создания, связанные с вызовами SAS из события создания. Сопоставляется с заголовком ответа “x-ms-sas-operation-id”. |
| request.service_request_id | Уникальный идентификатор запроса или ответа, который можно использовать для поиска одной записи. Сопоставляется с заголовком ответа “x-ms-service-request-id”. |
| версия | Версия этой схемы журнала. |
| type | Общий ответ. |
| analytics.activity.name | Тип действия этого события: создание или использование. |
| analytics.activity.id | Уникальный ИД записи в Purview. |
| analytics.resource.organization.id | Идентификатор организации |
| analytics.resource.environment.id | Идентификатор среды |
| analytics.resource.tenant.id | Идентификатор клиента |
| enduser.id | GUID из Microsoft Entra ID создателя из события создания. |
| enduser.principal_name | UPN/адрес электронной почты создателя. Для событий использования это общий ответ: “system@powerplatform”. |
| enduser.role | Общий ответ: Обычный для событий создания и Системный для событий использования. |
Включите регистрацию аудита в Purview.
Чтобы журналы отображались в экземпляре Purview, необходимо сначала дать согласие на их использование для каждой среды, для которой требуются журналы. Этот параметр может быть изменен в центре администрирования Power Platform администратором арендатора.
- Войдите в Центр администрирования Power Platform с учетными данными администратора клиента.
- В области навигации выберите Управление.
- На панели Управление выберите Среды.
- Выберите среду, для которой вы хотите включить ведение журнала администратора.
- На панели команд выберите Параметры.
- Выберите Продукт>Конфиденциальность + безопасность.
- В разделе Параметры безопасности подписанных URL-адресов (SAS) хранилища (предварительная версия) включите функцию Включить ведение журнала SAS в Purview.
Поиск в журналах аудита
Администраторы клиента могут использовать Purview для просмотра журналов аудита, создаваемых для операций SAS, и могут самостоятельно диагностировать ошибки, которые могут возвращаться при проблемах с проверкой IP-адресов. Журналы Purview — самое надежное решение.
Выполните следующие действия, чтобы диагностировать проблемы или лучше понять шаблоны использования SAS в вашем арендаторе.
Убедитесь, что ведение журнала аудита включено для среды. См. раздел Включите регистрацию аудита в Purview.
Перейдите на портал соответствия требованиям Microsoft Purview и войдите в систему, используя учетные данные администратора арендатора.
В левой области навигации выберите Аудит. Если этот параметр вам недоступен, это означает, что вошедший в систему пользователь не имеет прав администратора для запросов журналов аудита.
Выберите дату и диапазон времени в формате UTC для поиска журналов. Например, если была возвращена ошибка 403 Forbidden с кодом ошибки unauthorized_caller.
В раскрывающемся списке Действия — понятные имена выполните поиск Операций хранилища Power Platform и выберите Созданный URI SAS и Используемый URI SAS.
Укажите ключевое слово в поиске по ключевым словам. См. раздел Начало работы с поиском в документации по Purview для получения дополнительных сведений об этом поле. Вы можете использовать значение из любого из полей, описанных в таблице выше, в зависимости от вашего сценария, но ниже приведены рекомендуемые поля для поиска (в порядке предпочтения):
- Значение заголовка ответа x-ms-service-request-id. При этом результаты будут отфильтрованы по одному событию создания URI SAS или по одному событию использования URI SAS, в зависимости от типа запроса заголовка. Это полезно при расследовании ошибки 403 Forbidden, возвращенной пользователю. Его также можно использовать для получения значения powerplatform.analytics.resource.sas.operation_id.
- Значение заголовка ответа x-ms-sas-operation-id. При этом результаты фильтруются по одному событию создания URI SAS и одному или нескольким событиям использования этого URI SAS в зависимости от того, сколько раз к нему обращались. Он сопоставляется с полем powerplatform.analytics.resource.sas.operation_id.
- Полный или частичный URI SAS за вычетом подписи. Это может привести к появлению множества созданных URI SAS и событий использования URI SAS, поскольку один и тот же URI может быть запрошен для генерации столько раз, сколько необходимо.
- IP-адрес звонящего. Возвращает все события создания и использования для этого IP-адреса.
- ИД среды. Это может привести к возврату большого набора данных, которые могут охватывать множество различных предложений в Power Platform, поэтому избегайте этого, если это возможно, или подумайте о том, чтобы сузить окно поиска.
Предупреждение
Мы не рекомендуем искать имя субъекта-пользователя или идентификатор объекта, так как они распространяются только на события создания, а не на события использования.
Выберите Поиск и дождитесь результатов.
Предупреждение
Прием журнала в Purview может быть отложен на час или более, поэтому учитывайте это при поиске недавних событий.
Устранение ошибки 403 Forbidden/unauthorized_caller
Вы можете использовать журналы создания и использования, чтобы определить, почему вызов приведел к ошибке 403 Forbidden с кодом unauthorized_caller.
- Найдите журналы в Purview, как описано в предыдущем разделе. В качестве ключевого слова поиска рекомендуется использовать x-ms-service-request-id или x-ms-sas-operation-id из заголовков ответа.
- Откройте событие использования, Созданный URI SAS и найдите поле powerplatform.analytics.resource.sas.computed_ip_filters в разделе PropertyCollection. Этот диапазон IP-адресов используется вызовом SAS, чтобы определить, авторизован ли запрос для продолжения или нет.
- Сравните это значение с полем IP-адреса журнала, которого должно быть достаточно для определения причины сбоя запроса.
- Если вы считаете, что значение powerplatform.analytics.resource.sas.computed_ip_filters неверное, перейдите к следующим шагам.
- Откройте событие создания, Созданный SAS URI, выполнив поиск по значению заголовка ответа x-ms-sas-operation-id (или значению powerplatform.analytics.resource.sas.operation_id поля из журнала создания).
- Получите значение поля powerplatform.analytics.resource.sas.ip_binding_mode. Если он отсутствует или пуст, это означает, что привязка IP-адресов не была включена для этой среды во время этого конкретного запроса.
- Получите значение поля powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Если он отсутствует или пуст, это означает, что диапазоны IP-брандмауэра не были указаны для этой среды во время этого конкретного запроса.
- Получите значение powerplatform.analytics.resource.sas.computed_ip_filters, которое должно быть идентично событию использования и получено на основе режима привязки IP-адресов и диапазонов IP-брандмауэра, предоставляемых администратором. Логику деривации см. в разделе Хранение данных и управление ими в Power Platform.
Эти сведения помогают администраторам клиента исправлять любые неправильные настройки в параметрах привязки IP-адресов среды.
Предупреждение
Изменения параметров среды для привязки к SAS на основе IP-адресов могут вступить в силу не ранее чем через 30 минут. Это может занять больше времени, если у партнерских команд есть свой собственный кэш.
Связанные статьи
Общие сведения о безопасности
Аутентификация в службах Power Platform
Подключение и аутентификация в источниках данных
Вопросы и ответы по безопасности Power Platform