Ukladanie a riadenie údajov v Power Platform
Na začiatok je dôležité rozlišovať medzi osobnými údajmi a údajmi zákazníkov.
Osobné údaje sú informácie o osobách, ktoré je možné použiť na ich identifikáciu.
Údaje zákazníka zahŕňajú osobné údaje a ďalšie informácie o zákazníkoch vrátane adries URL, metadát a overovacích informácií zamestnancov, ako sú napríklad názvy DNS.
Umiestnenie údajov
A Microsoft Entra nájomca obsahuje informácie, ktoré sú relevantné pre organizáciu a jej bezpečnosť. Keď sa Microsoft Entra nájomník zaregistruje k Power Platform službám, vybratá krajina alebo región nájomníka sa namapuje na najvhodnejšiu geografickú oblasť Azure, kde existuje nasadenie Power Platform . Power Platform ukladá údaje o zákazníkoch v geografickej oblasti Azure pridelenej nájomníkovi alebo v domovskej geografickej oblasti, okrem prípadov, keď organizácie nasadzujú služby vo viacerých regiónoch.
Niektoré organizácie majú globálne zastúpenie. Napríklad podnik môže mať sídlo v USA, ale podnikať v Austrálii. Aby boli v súlade s miestnymi predpismi, môže byť potrebné, aby boli v Austrálii uložené určité údaje Power Platform. Keď sú služby Power Platform nasadené vo viac ako jednej geografickej oblasti Azure, označuje sa to ako nasadenie vo viacerých geografických oblastiach. V tomto prípade sú v domovskej geografickej oblasti uložené iba metaúdaje súvisiace s prostredím. Všetky metadáta a údaje o produktoch v tomto prostredí sú uložené vo vzdialenej geografickej oblasti.
Spoločnosť Microsoft môže replikovať údaje do iných oblastí, aby zabezpečila odolnosť údajov. Osobné údaje však nereplikujeme ani nepresúvame mimo geografickej oblasti. Údaje replikované do iných regiónov môžu zahŕňať neosobné údaje, ako sú napríklad overovacie informácie zamestnancov.
Služby Power Platform sú dostupné v konkrétnych geografických oblastiach Azure. Ďalšie informácie o tom, kde sú dostupné služby Power Platform, kde sú vaše údaje uložené a ako sa používajú, nájdete v Centre dôveryhodnosti spoločnosti Microsoft. Záväzky týkajúce sa umiestnenia neaktívnych uložených údajov zákazníkov sú špecifikované v podmienkach spracovania údajov v rámci podmienok poskytovania online služieb spoločnosti Microsoft. Spoločnosť Microsoft tiež poskytuje údajové centrá pre suverénne entity.
Manipulácia s údajmi
Táto časť popisuje, ako Power Platform ukladá, spracováva a prenáša údaje o zákazníkoch.
Neaktívne uložené údaje
Pokiaľ nie je v dokumentácii uvedené inak, údaje o zákazníkoch zostávajú v pôvodnom zdroji (napríklad Dataverse alebo SharePoint). Aplikácia Power Platform je uložená v Azure Storage ako súčasť prostredia. Údaje používané v mobilných aplikáciách sú šifrované a uložené v SQL Express. Vo väčšine prípadov aplikácie používajú Azure Storage na uchovávanie servisných údajov Power Platform a databázu Azure SQL Database na uchovávanie metaúdajov služieb. Údaje zadané používateľmi aplikácie sú uložené v príslušnom zdroji údajov pre službu, ako napríklad Dataverse.
Všetky údaje uložené v Power Platform sú predvolene šifrované pomocou kľúčov spravovaných spoločnosťou Microsoft. Údaje používateľov uložené v databáze Azure SQL sú plne šifrované pomocou technológie priehľadného šifrovania údajov Azure SQL (TDE). Údaje zákazníkov uložené v úložisku objektov Blob na platforme Azure sú šifrované pomocou funkcie Azure Storage Encryption.
Spracúvané údaje
Údaje sa spracúvajú, keď sa používajú ako súčasť interaktívneho scenára alebo keď sa ich dotkne proces na pozadí, napríklad obnovenie. Power Platform načíta údaje pri spracovaní do pamäťového priestoru jedného alebo viacerých servisných pracovných zaťažení. Aby sa uľahčila funkčnosť pracovného zaťaženia, údaje uložené v pamäti nie sú šifrované.
Údaje v prenose
Power Platform vyžaduje, aby bol všetok prichádzajúci prenos HTTP šifrovaný pomocou TLS 1.2 alebo vyššej verzie. Žiadosti, ktoré sa pokúšajú použiť TLS 1.1 alebo nižšiu verziu, sú zamietnuté.
Pokročilé funkcie zabezpečenia
Niektoré z pokročilých funkcií zabezpečenia Power Platform majú špecifické licenčné požiadavky.
Značky služby
Značka služby predstavuje skupinu predpôn IP adries zo zadanej služby Azure. Pomocou značiek služby môžete definovať riadenie prístupu k sieti v skupinách zabezpečenia siete alebo Azure Firewall.
Značky služby pomáhajú minimalizovať zložitosť častých aktualizácií pravidiel zabezpečenia siete. Pri vytváraní bezpečnostných pravidiel, ktoré napríklad povoľujú alebo zakazujú prenos pre príslušnú službu, môžete použiť značky služieb namiesto konkrétnych adries IP.
Microsoft spravuje predpony adries zahrnuté v značke služby a automaticky aktualizuje značku služby pri zmene adries. Ďalšie informácie nájdete v časti Rozsahy IP a značky služieb Azure – verejný cloud.
Prevencia straty údajov
Power Platform má rozsiahlu množinu funkcií prevencie straty údajov (DLP), , ktoré vám pomôžu spravovať bezpečnosť vašich údajov.
Obmedzenie IP zdieľaného prístupu k úložisku (SAS).
Poznámka
Pred aktiváciou niektorej z týchto funkcií SAS musia zákazníci najskôr povoliť prístup k https://*.api.powerplatformusercontent.com doméne, inak väčšina funkcií SAS nebude fungovať.
Táto sada funkcií je funkcionalitou špecifickou pre nájomcu, ktorá obmedzuje tokeny SAS (Storage Shared Access Signature) a ovláda sa prostredníctvom ponuky v Power Platform centre spravovania. Toto nastavenie obmedzuje, kto môže na základe IP používať podnikové tokeny SAS.
Táto funkcia je momentálne v súkromí verzia Preview. Verejná verzia Preview je naplánovaný na neskoršiu jar tohto roku, s všeobecnou dostupnosťou v lete 2024. Ďalšie informácie nájdete v časti Plánovač vydaní.
Tieto nastavenia nájdete v nastaveniach prostredia Ochrana súkromia a zabezpečenie v centre spravovania. Musíte zapnúť možnosť Povoliť pravidlo zdieľaného prístupu k úložisku (SAS) na základe adresy IP .
Správcovia môžu pre toto nastavenie povoliť jednu z týchto štyroch konfigurácií:
| Nastavenie | Description |
|---|---|
| Iba viazanie IP | Toto obmedzuje kľúče SAS na IP žiadateľa. |
| Iba IP brána firewall | Toto obmedzuje používanie kľúčov SAS tak, aby fungovali iba v rozsahu špecifikovanom správcom. |
| Väzba IP a brána firewall | Toto obmedzuje používanie kľúčov SAS na prácu v rozsahu špecifikovanom správcom a iba na IP adresu žiadateľa. |
| IP Binding alebo Firewall | Umožňuje použitie kľúčov SAS v určenom rozsahu. Ak požiadavka prichádza mimo rozsahu, použije sa IP Binding. |
Produkty vynucujúce viazanie IP, keď sú povolené:
- Dataverse
- Power Automate
- Vlastné konektory
- Power Apps
Vplyv na používateľskú skúsenosť
Keď používateľ, ktorý nespĺňa obmedzenia adries IP daného prostredia, otvorí aplikáciu: Používateľom sa zobrazí chybové hlásenie s odkazom na všeobecný problém s adresou IP.
Keď používateľ, ktorý spĺňa obmedzenia adresy IP, otvorí aplikáciu: Vyskytnú sa nasledujúce udalosti:
- Používatelia môžu dostať banner, ktorý rýchlo zmizne, čo používateľov informuje o tom, že nastavenie IP bolo nastavené, a môžu kontaktovať správcu kvôli podrobnostiam alebo obnoveniu stránok, ktoré stratia pripojenie.
- Ešte dôležitejšie je, že kvôli overeniu IP, ktoré toto nastavenie zabezpečenia používa, môžu niektoré funkcie fungovať pomalšie, ako keby boli vypnuté.
Zapisovanie hovorov SAS
Toto nastavenie umožňuje prihlásenie všetkých hovorov SAS v rámci Power Platform do Purview. Toto protokolovanie zobrazuje relevantné metadáta pre všetky udalosti vytvorenia a používania a môže byť povolené nezávisle od vyššie uvedených obmedzení SAS IP. Power Platform služby v súčasnosti prijímajú hovory SAS v roku 2024.
| Názov poľa | Popis poľa |
|---|---|
| response.status_message | Informovanie o tom, či bola udalosť úspešná alebo nie: SASSuccess alebo SASAuthorizationError. |
| response.status_code | Informovanie o tom, či bola udalosť úspešná alebo nie: 200, 401 alebo 500. |
| ip_binding_mode | Režim viazania IP nastavený správcom nájomníka, ak je zapnutý. Vzťahuje sa len na udalosti vytvorenia SAS. |
| admin_provided_ip_ranges | Rozsahy IP nastavené správcom nájomníka, ak existuje. Vzťahuje sa len na udalosti vytvorenia SAS. |
| computed_ip_filters | Finálna sada IP filtrov viazaných na SAS URI na základe režimu viazania IP a rozsahov nastavených správcom nájomníka. Vzťahuje sa na udalosti vytvorenia aj používania SAS. |
| analytics.resource.sas.uri | Údaje, ktoré sa pokúšali získať alebo vytvoriť. |
| enduser.ip_address | Verejná IP adresa volajúceho. |
| analytics.resource.sas.operation_id | Jedinečný identifikátor z udalosti vytvorenia. Vyhľadávanie podľa tohto zobrazí všetky udalosti použitia a vytvorenia súvisiace s volaniami SAS z udalosti vytvorenia. Mapované na hlavičku „x-ms-sas-operation-id“ odpoveď. |
| request.service_request_id | Jedinečný identifikátor z požiadavky alebo odpoveď a možno ho použiť na vyhľadanie jedného záznamu. Mapované na hlavičku „x-ms-service-request-id“ odpoveď. |
| verzia | Verzia tejto logovej schémy. |
| type | Všeobecné odpoveď. |
| analytics.activity.name | Typ aktivity tejto udalosti bol: Vytvorenie alebo Použitie. |
| analytics.activity.id | Jedinečné ID záznamu v Purview. |
| analytics.resource.organization.id | ID organizácie |
| analytics.resource.environment.id | ID prostredia |
| analytics.resource.tenant.id | Tenant ID |
| enduser.id | Identifikátor GUID z Microsoft Entra ID tvorcu z udalosti vytvorenia. |
| enduser.principal_name | UPN/e-mailová adresa tvorcu. Pre udalosti použitia je to všeobecný odpoveď: "system@powerplatform". |
| Rola koncového užívateľa | Všeobecné odpoveď: Pravidelné pre udalosti vytvárania a Systém pre udalosti používania. |
Súvisiace články
Zabezpečenie v Microsoft Power Platform
Overenie do služieb Power Platform
Pripojenie a overenie zdrojov údajov
Najčastejšie otázky týkajúce sa zabezpečenia Power Platform
Pozrite si tiež
Pripomienky
Pripravujeme: V priebehu roka 2024 postupne zrušíme službu Problémy v službe GitHub ako mechanizmus pripomienok týkajúcich sa obsahu a nahradíme ju novým systémom pripomienok. Ďalšie informácie nájdete na stránke: https://aka.ms/ContentUserFeedback.
Odoslať a zobraziť pripomienky pre