Poznámka
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete sa skúsiť prihlásiť alebo zmeniť adresáre.
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete skúsiť zmeniť adresáre.
Power Platform spracováva osobné údaje aj údaje zákazníkov . Viac informácií o osobných údajoch a údajoch zákazníkov nájdete v Centre dôveryhodnosti spoločnosti Microsoft. ...
Umiestnenie údajov
Nájomca uchováva informácie relevantné pre organizáciu a jej bezpečnosť. Microsoft Entra Keď sa nájomník zaregistruje do služieb, krajina alebo región vybraný nájomníkom sa namapuje na najvhodnejšiu geografickú oblasť Azure, kde existuje nasadenie. Microsoft Entra Power Platform Power Platform Power Platform ukladá údaje o zákazníkoch v pridelenej geografickej oblasti Azure nájomníka alebo v domovskej geografickej oblasti, pokiaľ organizácie nenasadia služby vo viacerých regiónoch.
Niektoré organizácie majú globálne zastúpenie. Napríklad, firma môže mať sídlo v Spojených štátoch, ale podniká v Austrálii. Aby boli v súlade s miestnymi predpismi, môže byť potrebné, aby boli v Austrálii uložené určité údaje Power Platform. Keď sú služby Power Platform nasadené vo viac ako jednej geografickej oblasti Azure, označuje sa to ako nasadenie vo viacerých geografických oblastiach. V tomto prípade sú v domovskej geografickej oblasti uložené iba metaúdaje súvisiace s prostredím. Všetky metadáta a údaje o produktoch v tomto prostredí sú uložené vo vzdialenej geografickej oblasti.
Power Platform Služby sú dostupné v určitých geografických oblastiach Azure. Ďalšie informácie o tom, kde sú služby dostupné, kde sú vaše údaje uložené a replikované kvôli zaisteniu odolnosti a ako sa používajú, nájdete v Centre dôveryhodnosti spoločnosti Microsoft. Power Platform Záväzky týkajúce sa umiestnenia nečinných údajov zákazníkov sú uvedené v podmienkach spracovania údajov v rámci **Podmienok používania online služieb spoločnosti Microsoft**. ... Spoločnosť Microsoft tiež poskytuje údajové centrá pre suverénne entity.
Manipulácia s údajmi
Táto časť popisuje, ako Power Platform ukladá, spracováva a prenáša údaje o zákazníkoch.
Neaktívne uložené údaje
Pokiaľ nie je v dokumentácii uvedené inak, údaje o zákazníkoch zostávajú v pôvodnom zdroji (napríklad Dataverse alebo SharePoint). Power Platform Aplikácie sú uložené v úložisku Azure ako súčasť prostredia. Dáta mobilnej aplikácie sú šifrované a uložené v SQL Express. Vo väčšine prípadov aplikácie používajú Azure Storage na uchovávanie servisných údajov Power Platform a databázu Azure SQL Database na uchovávanie metaúdajov služieb. Údaje zadané používateľmi aplikácie sú uložené v príslušnom zdroji údajov pre službu, ako napríklad Dataverse.
Power Platform štandardne šifruje všetky uložené údaje pomocou kľúčov spravovaných spoločnosťou Microsoft. Údaje používateľov uložené v databáze Azure SQL sú plne šifrované pomocou technológie priehľadného šifrovania údajov Azure SQL (TDE). Údaje zákazníkov uložené v úložisku objektov Blob na platforme Azure sú šifrované pomocou funkcie Azure Storage Encryption.
Spracúvané údaje
Údaje sa spracúvajú, keď sa používajú ako súčasť interaktívneho scenára alebo keď sa ich dotkne proces na pozadí, napríklad obnovenie. Power Platform načíta údaje pri spracovaní do pamäťového priestoru jedného alebo viacerých servisných pracovných zaťažení. Aby sa uľahčila funkčnosť pracovného zaťaženia, údaje uložené v pamäti nie sú šifrované.
Údaje v prenose
Power Platform šifruje všetku prichádzajúcu HTTP prevádzku pomocou TLS 1.2 alebo vyššieho. Žiadosti, ktoré sa pokúšajú použiť TLS 1.1 alebo nižšiu verziu, sú zamietnuté.
Pokročilé funkcie zabezpečenia
Niektoré pokročilé bezpečnostné funkcie služby Power Platform môžu mať špecifické licenčné požiadavky.
Značky služby
Značka služby je skupina predpon IP adries z konkrétnej služby Azure. Pomocou značiek služby môžete definovať riadenie prístupu k sieti v skupinách zabezpečenia siete alebo Azure Firewall.
Značky služby pomáhajú minimalizovať zložitosť častých aktualizácií pravidiel zabezpečenia siete. Pri vytváraní bezpečnostných pravidiel, ktoré napríklad povoľujú alebo zakazujú prenos pre príslušnú službu, môžete použiť značky služieb namiesto konkrétnych adries IP.
Spoločnosť Microsoft spravuje predpony adries v servisnom tagu a automaticky ich aktualizuje pri zmene adries. Ďalšie informácie nájdete v časti Rozsahy IP a značky služieb Azure – verejný cloud.
Politiky týkajúce sa údajov
Power Platform obsahuje rozsiahle funkcie politiky údajov, ktoré pomáhajú spravovať zabezpečenie údajov.
Obmedzenie IP adresy podpisu zdieľaného prístupu k úložisku (SAS)
Poznámka
Pred aktiváciou ktorejkoľvek z týchto funkcií SAS musia zákazníci najprv povoliť prístup k doméne, inak väčšina funkcií SAS nebude fungovať. https://*.api.powerplatformusercontent.com
Táto sada funkcií je funkcia špecifická pre nájomníka, ktorá obmedzuje tokeny zdieľaného prístupového podpisu k úložisku (SAS) a ovláda sa prostredníctvom ponuky v centre spravovania Power Platform . Toto nastavenie obmedzuje, kto môže na základe IP adresy (IPv4 a IPv6) používať podnikové tokeny SAS.
Tieto nastavenia nájdete v nastaveniach prostredia Ochrana osobných údajov a zabezpečenie v centre spravovania. Musíte zapnúť možnosť Povoliť pravidlo SAS (Shared Access Signature) na základe IP adresy .
Správcovia si môžu pre toto nastavenie vybrať jednu z týchto štyroch možností:
| Možnosť | Nastavenie | Description |
|---|---|---|
| 1 | Iba väzba IP | Toto obmedzuje SAS kľúče na IP adresu žiadateľa. |
| 2 | Iba IP firewall | Toto obmedzuje používanie kľúčov SAS iba na fungovanie v rámci rozsahu určeného správcom. |
| 3 | Väzba IP a firewall | Toto obmedzuje používanie kľúčov SAS na prácu v rámci rozsahu určeného správcom a iba na IP adresu žiadateľa. |
| 4 | Väzba IP adresy alebo firewall | Umožňuje použitie kľúčov SAS v rámci zadaného rozsahu. Ak požiadavka prichádza mimo rozsahu, použije sa väzba IP. |
Poznámka
Správcovia, ktorí sa rozhodnú povoliť IP firewall (možnosti 2, 3 a 4 uvedené v tabuľke vyššie), musia zadať rozsahy IPv4 aj IPv6 svojich sietí, aby zabezpečili správne pokrytie svojich používateľov.
Upozornenie
Možnosti 1 a 3 používajú väzbu IP, ktorá nefunguje správne, ak zákazníci vo svojich sieťach používajú brány s povolenými IP fondmi, reverzným proxy alebo prekladom sieťových adries (NAT). Výsledkom je, že IP adresa používateľa sa mení príliš často na to, aby žiadateľ spoľahlivo mal rovnakú IP adresu medzi operáciami čítania/zápisu SAS.
Možnosti 2 a 4 fungujú podľa očakávania.
Produkty, ktoré vynucujú viazanie IP adresy, keď je povolené:
- Dataverse
- Power Automate
- Vlastné konektory
- Power Apps
Vplyv na používateľskú skúsenosť
Keď používateľ, ktorý nespĺňa obmedzenia IP adresy prostredia, otvorí aplikáciu: Používateľom sa zobrazí chybové hlásenie s odkazom na všeobecný problém s IP adresou.
Keď používateľ, ktorý spĺňa obmedzenia IP adresy, otvorí aplikáciu: Nastanú nasledujúce udalosti:
- Používateľom sa môže zobraziť banner, ktorý rýchlo zmizne a informuje ich o nastavení IP adresy a o možnosti kontaktovať administrátora so žiadosťou o podrobnosti alebo obnoviť stránky, ktoré stratia pripojenie.
- A čo je dôležitejšie, kvôli overovaniu IP adresy, ktoré toto nastavenie zabezpečenia používa, niektoré funkcie môžu fungovať pomalšie, ako keby boli vypnuté.
Aktualizovať nastavenia programovo
Správcovia môžu pomocou automatizácie nastaviť a aktualizovať nastavenie viazania IP adries oproti bráne firewall, rozsah IP adries, ktoré sú na zozname povolených, a prepínač Zaznamenávanie v denníku. Viac informácií nájdete v návode: Vytvorenie, aktualizácia a zobrazenie nastavení správy prostredia .
Zaznamenávanie hovorov SAS
Toto nastavenie umožňuje zaznamenávanie všetkých volaní SAS v rámci Power Platform do Purview. Toto protokolovanie zobrazuje relevantné metadáta pre všetky udalosti vytvorenia a použitia a je možné ho povoliť nezávisle od vyššie uvedených obmedzení IP adries SAS. Power Platform Služby v súčasnosti zavádzajú volania SAS v roku 2024.
| Názov poľa | Popis poľa |
|---|---|
| správa_stavu_response | Informácia o úspešnosti udalosti: SASSuccess alebo SASAuthorizationError. |
| kód_stavu_response | Informácia o tom, či bola udalosť úspešná alebo nie: 200, 401 alebo 500. |
| režim_viazania_ip | Režim viazania IP adresy nastavený správcom nájomníka, ak je zapnutý. Vzťahuje sa iba na udalosti vytvárania SAS. |
| rozsahy_ip_adres_poskytnutých_adresou_administrátora | Rozsahy IP adries nastavené správcom nájomníka, ak nejaké existujú. Vzťahuje sa iba na udalosti vytvárania SAS. |
| vypočítané_filtre_IP | Konečná sada IP filtrov viazaných na SAS URI na základe režimu viazania IP a rozsahov nastavených správcom nájomníka. Vzťahuje sa na udalosti vytvárania aj používania SAS. |
| analytics.resource.sas.uri | Údaje, ku ktorým sa pokúšalo získať prístup alebo ktoré sa pokúšali vytvoriť. |
| koncový_používateľ.ip_adresa | Verejná IP adresa volajúceho. |
| analytics.resource.sas.operation_id | Jedinečný identifikátor z udalosti vytvorenia. Vyhľadávanie podľa tohto údaja zobrazuje všetky udalosti použitia a vytvorenia súvisiace s volaniami SAS z udalosti vytvorenia. Namapované na hlavičku odpovede „x-ms-sas-operation-id“. |
| request.service_request_id | Jedinečný identifikátor z požiadavky alebo odpovede, ktorý možno použiť na vyhľadanie jedného záznamu. Namapované na hlavičku odpovede „x-ms-service-request-id“. |
| verzia | Verzia tejto schémy protokolovania. |
| typ | Všeobecná odpoveď. |
| analytics.activity.name | Typ aktivity tejto udalosti bol: Vytvorenie alebo Použitie. |
| analytics.activity.id | Jedinečné ID záznamu v Purview. |
| analytics.resource.organization.id | ID organizácie |
| analytics.resource.environment.id | ID prostredia |
| analytics.resource.tenant.id | ID nájomníka |
| enduser.id | GUID z ID tvorcu z udalosti vytvorenia. Microsoft Entra |
| koncový_používateľ.principal_name | Hlavné meno používateľa/e-mailová adresa tvorcu. Pre udalosti používania je to všeobecná odpoveď: „system@powerplatform“. |
| Rola koncového používateľa | Všeobecná odpoveď: Regular pre udalosti vytvárania a System pre udalosti používania. |
Zapnúť protokolovanie auditu Purview
Aby sa protokoly zobrazovali vo vašej inštancii Purview, musíte ich najprv prihlásiť pre každé prostredie, pre ktoré chcete protokoly zobrazovať. Toto nastavenie môže aktualizovať v centre spravovania správca nájomníka. Power Platform
- Prihláste sa do administrátorského centra Power Platform pomocou administrátorských prihlasovacích údajov tenanta.
- V navigačnej table vyberte položku Spravovať.
- V table Spravovať vyberte možnosť Prostredia.
- Vyberte prostredie, pre ktoré chcete zapnúť zapisovanie do denníka správcu.
- Na paneli príkazov vyberte položku Nastavenia.
- Vyberte položku Produkt>Ochrana osobných údajov a zabezpečenie.
- V časti Nastavenia zabezpečenia zdieľaného prístupového podpisu (SAS) úložiska (ukážka) zapnite funkciu Povoliť protokolovanie SAS v rozsahu .
Vyhľadávanie v protokoloch auditu
Správcovia nájomníkov môžu použiť Purview na zobrazenie protokolov auditu vygenerovaných pre operácie SAS a môžu sami diagnostikovať chyby, ktoré sa môžu vrátiť pri problémoch s overením IP adresy. Záznamy Purview sú najspoľahlivejším riešením.
Na diagnostikovanie problémov alebo lepšie pochopenie vzorcov používania SAS v rámci vášho nájomníka použite nasledujúce kroky.
Uistite sa, že je pre dané prostredie zapnuté protokolovanie auditu. Pozrite si časť Zapnutie protokolovania auditu Purview.
Prejdite na portál dodržiavania predpisov spoločnosti Microsoft Purview a prihláste sa pomocou prihlasovacích údajov správcu nájomníka. ...
V ľavom navigačnom paneli vyberte položku Audit. Ak táto možnosť nie je k dispozícii, znamená to, že prihlásený používateľ nemá administrátorský prístup k protokolom auditu dotazov.
Vyberte rozsah dátumu a času v UTC pre vyhľadávanie protokolov. Napríklad, keď bola vrátená chyba 403 Forbidden s kódom chyby unauthorized_caller.
V rozbaľovacom zozname Aktivity – priateľské názvy vyhľadajte Power Platform operácie úložiska a vyberte Vytvorený identifikátor URI SAS a Použitý identifikátor URI SAS.
Zadajte kľúčové slovo v časti Vyhľadávanie kľúčových slov. Viac informácií o tejto oblasti nájdete v dokumentácii k článku *Začíname s vyhľadávaním*. ... V závislosti od vašej situácie môžete použiť hodnotu z ktoréhokoľvek z polí opísaných v tabuľke vyššie, ale nižšie sú uvedené odporúčané polia na vyhľadávanie (v poradí podľa preferencií):
- Hodnota hlavičky odpovede x-ms-service-request-id . Toto filtruje výsledky na jednu udalosť vytvorenia SAS URI alebo jednu udalosť použitia SAS URI v závislosti od typu požiadavky, z ktorého hlavička pochádza. Je to užitočné pri vyšetrovaní chyby 403 Forbidden vrátenej používateľovi. Môže sa tiež použiť na získanie hodnoty powerplatform.analytics.resource.sas.operation_id .
- Hodnota hlavičky odpovede x-ms-sas-operation-id . Toto filtruje výsledky na jednu udalosť vytvorenia SAS URI a jednu alebo viac udalostí použitia pre daný SAS URI v závislosti od toho, koľkokrát bol prístup k nemu vykonaný. Mapuje sa na pole powerplatform.analytics.resource.sas.operation_id .
- Úplný alebo čiastočný SAS URI bez podpisu. Toto môže vrátiť veľa vytvorení SAS URI a veľa udalostí použitia SAS URI, pretože je možné, aby sa o generovanie toho istého URI požiadalo toľkokrát, koľkokrát je potrebné.
- IP adresa volajúceho. Vráti všetky udalosti vytvorenia a použitia pre danú IP adresu.
- ID prostredia. Toto môže vrátiť veľkú množinu údajov, ktoré môžu zahŕňať mnoho rôznych ponúk, preto sa tomu, ak je to možné, vyhnite alebo zvážte zúženie vyhľadávacieho okna. Power Platform
Upozornenie
Neodporúčame vyhľadávať hlavné meno používateľa alebo ID objektu, pretože sa prenášajú iba do udalostí vytvorenia, nie do udalostí používania.
Vyberte možnosť Hľadať a počkajte na zobrazenie výsledkov.
Upozornenie
Načítanie protokolov do Purview sa môže oneskoriť až o hodinu alebo viac, preto na to pamätajte pri vyhľadávaní nedávnych udalostí.
Riešenie problémov s chybou 403 Zakázaný/neautorizovaný volajúci
Pomocou denníkov vytvorenia a používania môžete určiť, prečo by volanie viedlo k chybe 403 Forbidden s kódom chyby unauthorized_caller .
- Vyhľadajte protokoly v Purview, ako je popísané v predchádzajúcej časti. Zvážte použitie buď x-ms-service-request-id , alebo x-ms-sas-operation-id z hlavičiek odpovede ako kľúčového slova pre vyhľadávanie.
- Otvorte udalosť použitia Použitý identifikátor SAS URI a vyhľadajte pole powerplatform.analytics.resource.sas.computed_ip_filters v časti PropertyCollection. Tento rozsah IP adries používa volanie SAS na určenie, či je požiadavka autorizovaná na pokračovanie alebo nie.
- Porovnajte túto hodnotu s poľom IP adresa v protokole, čo by malo stačiť na určenie, prečo požiadavka zlyhala.
- Ak si myslíte, že hodnota premennej powerplatform.analytics.resource.sas.computed_ip_filters je nesprávna, pokračujte ďalšími krokmi.
- Otvorte udalosť vytvorenia, Vytvorený identifikátor URI SAS, vyhľadaním pomocou hodnoty hlavičky odpovede x-ms-sas-operation-id (alebo hodnoty poľa powerplatform.analytics.resource.sas.operation_id z denníka vytvorenia).
- Získajte hodnotu poľa powerplatform.analytics.resource.sas.ip_binding_mode . Ak chýba alebo je prázdny, znamená to, že väzba IP nebola v čase danej požiadavky pre dané prostredie zapnutá.
- Získajte hodnotu premennej powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Ak chýba alebo je prázdny, znamená to, že rozsahy IP firewallov neboli v čase danej požiadavky zadané pre dané prostredie.
- Získajte hodnotu premennej powerplatform.analytics.resource.sas.computed_ip_filters, ktorá by mala byť identická s udalosťou použitia a je odvodená na základe režimu väzby IP a rozsahov firewallu IP adries poskytnutých správcom. Pozrite si logiku odvodzovania v časti Ukladanie a riadenie údajov v časti **Ukladanie a riadenie údajov**. Power Platform
Tieto informácie pomáhajú správcom nájomníkov opraviť akúkoľvek nesprávnu konfiguráciu v nastaveniach viazania IP adries v prostredí.
Upozornenie
Zmeny nastavení prostredia pre väzbu SAS IP sa môžu prejaviť až o najmenej 30 minút. Mohlo by to byť viac, keby partnerské tímy mali vlastnú kešku.
Súvisiace články
Prehľad zabezpečenia
Autentifikácia do služieb Power Platform
Pripojenie a overovanie k zdrojom údajov
Power Platform Najčastejšie otázky o bezpečnosti