Zdieľať cez

Ukladanie a riadenie údajov v Power Platform

  • Článok

Na začiatok je dôležité rozlišovať medzi osobnými údajmi a údajmi zákazníkov.

  • Osobné údaje sú informácie o osobách, ktoré je možné použiť na ich identifikáciu.

  • Údaje zákazníka zahŕňajú osobné údaje a ďalšie informácie o zákazníkoch vrátane adries URL, metadát a overovacích informácií zamestnancov, ako sú napríklad názvy DNS.

Umiestnenie údajov

A Microsoft Entra nájomca obsahuje informácie, ktoré sú relevantné pre organizáciu a jej bezpečnosť. Keď sa Microsoft Entra nájomník zaregistruje k Power Platform službám, vybratá krajina alebo región nájomníka sa namapuje na najvhodnejšiu geografickú oblasť Azure, kde existuje nasadenie Power Platform . Power Platform ukladá údaje o zákazníkoch v geografickej oblasti Azure pridelenej nájomníkovi alebo v domovskej geografickej oblasti, okrem prípadov, keď organizácie nasadzujú služby vo viacerých regiónoch.

Niektoré organizácie majú globálne zastúpenie. Napríklad podnik môže mať sídlo v USA, ale podnikať v Austrálii. Aby boli v súlade s miestnymi predpismi, môže byť potrebné, aby boli v Austrálii uložené určité údaje Power Platform. Keď sú služby Power Platform nasadené vo viac ako jednej geografickej oblasti Azure, označuje sa to ako nasadenie vo viacerých geografických oblastiach. V tomto prípade sú v domovskej geografickej oblasti uložené iba metaúdaje súvisiace s prostredím. Všetky metadáta a údaje o produktoch v tomto prostredí sú uložené vo vzdialenej geografickej oblasti.

Spoločnosť Microsoft môže replikovať údaje do iných oblastí, aby zabezpečila odolnosť údajov. Osobné údaje však nereplikujeme ani nepresúvame mimo geografickej oblasti. Údaje replikované do iných oblastí môžu zahŕňať neosobné údaje, ako sú napríklad overovacie informácie zamestnancov.

Služby Power Platform sú dostupné v konkrétnych geografických oblastiach Azure. Ďalšie informácie o tom, kde sú dostupné služby Power Platform, kde sú vaše údaje uložené a ako sa používajú, nájdete v Centre dôveryhodnosti spoločnosti Microsoft. Záväzky týkajúce sa umiestnenia neaktívnych uložených údajov zákazníkov sú špecifikované v podmienkach spracovania údajov v rámci podmienok poskytovania online služieb spoločnosti Microsoft. Spoločnosť Microsoft tiež poskytuje údajové centrá pre suverénne entity.

Manipulácia s údajmi

Táto časť popisuje, ako Power Platform ukladá, spracováva a prenáša údaje o zákazníkoch.

Neaktívne uložené údaje

Pokiaľ nie je v dokumentácii uvedené inak, údaje o zákazníkoch zostávajú v pôvodnom zdroji (napríklad Dataverse alebo SharePoint). Aplikácia Power Platform je uložená v Azure Storage ako súčasť prostredia. Údaje používané v mobilných aplikáciách sú šifrované a uložené v SQL Express. Vo väčšine prípadov aplikácie používajú Azure Storage na uchovávanie servisných údajov Power Platform a databázu Azure SQL Database na uchovávanie metaúdajov služieb. Údaje zadané používateľmi aplikácie sú uložené v príslušnom zdroji údajov pre službu, ako napríklad Dataverse.

Všetky údaje uložené v Power Platform sú predvolene šifrované pomocou kľúčov spravovaných spoločnosťou Microsoft. Údaje používateľov uložené v databáze Azure SQL sú plne šifrované pomocou technológie priehľadného šifrovania údajov Azure SQL (TDE). Údaje zákazníkov uložené v úložisku objektov Blob na platforme Azure sú šifrované pomocou funkcie Azure Storage Encryption.

Spracúvané údaje

Údaje sa spracúvajú, keď sa používajú ako súčasť interaktívneho scenára alebo keď sa ich dotkne proces na pozadí, napríklad obnovenie. Power Platform načíta údaje pri spracovaní do pamäťového priestoru jedného alebo viacerých servisných pracovných zaťažení. Aby sa uľahčila funkčnosť pracovného zaťaženia, údaje uložené v pamäti nie sú šifrované.

Údaje v prenose

Power Platform vyžaduje, aby bol všetok prichádzajúci prenos HTTP šifrovaný pomocou TLS 1.2 alebo vyššej verzie. Žiadosti, ktoré sa pokúšajú použiť TLS 1.1 alebo nižšiu verziu, sú zamietnuté.

Pokročilé funkcie zabezpečenia

Niektoré z pokročilých funkcií zabezpečenia Power Platform majú špecifické licenčné požiadavky.

Značky služby

Značka služby predstavuje skupinu predpôn IP adries zo zadanej služby Azure. Pomocou značiek služby môžete definovať riadenie prístupu k sieti v skupinách zabezpečenia siete alebo Azure Firewall.

Značky služby pomáhajú minimalizovať zložitosť častých aktualizácií pravidiel zabezpečenia siete. Pri vytváraní bezpečnostných pravidiel, ktoré napríklad povoľujú alebo zakazujú prenos pre príslušnú službu, môžete použiť značky služieb namiesto konkrétnych adries IP.

Microsoft spravuje predpony adries zahrnuté v značke služby a automaticky aktualizuje značku služby pri zmene adries. Ďalšie informácie nájdete v časti Rozsahy IP a značky služieb Azure – verejný cloud.

Prevencia straty údajov

Power Platform má rozsiahlu množinu funkcií prevencie straty údajov (DLP), , ktoré vám pomôžu spravovať bezpečnosť vašich údajov.

Obmedzenie IP zdieľaného prístupu k úložisku (SAS).

Poznámka

Pred aktiváciou niektorej z týchto funkcií SAS musia zákazníci najskôr povoliť prístup k https://*.api.powerplatformusercontent.com doméne, inak väčšina funkcií SAS nebude fungovať.

Táto sada funkcií je funkcionalitou špecifickou pre nájomcu, ktorá obmedzuje tokeny SAS (Storage Shared Access Signature) a ovláda sa prostredníctvom ponuky v Power Platform centre spravovania. Toto nastavenie obmedzuje, kto môže na základe IP používať podnikové tokeny SAS.

Táto funkcia je momentálne v súkromí verzia Preview. Verejná verzia Preview je naplánovaný na neskoršiu jar tohto roku, s všeobecnou dostupnosťou v lete 2024. Ďalšie informácie nájdete v časti Plánovač vydaní.

Tieto nastavenia nájdete v nastaveniach prostredia Ochrana súkromia a zabezpečenie v centre spravovania. Musíte zapnúť možnosť Povoliť pravidlo zdieľaného prístupu k úložisku (SAS) na základe adresy IP .

Správcovia môžu pre toto nastavenie povoliť jednu z týchto štyroch konfigurácií:

Nastavenie Description
Iba viazanie IP Toto obmedzuje kľúče SAS na IP žiadateľa.
Iba IP brána firewall Toto obmedzuje používanie kľúčov SAS tak, aby fungovali iba v rozsahu špecifikovanom správcom.
Väzba IP a brána firewall Toto obmedzuje používanie kľúčov SAS na prácu v rozsahu špecifikovanom správcom a iba na IP adresu žiadateľa.
IP Binding alebo Firewall Umožňuje použitie kľúčov SAS v určenom rozsahu. Ak požiadavka prichádza mimo rozsahu, použije sa IP Binding.

Produkty vynucujúce viazanie IP, keď sú povolené:

  • Dataverse
  • Power Automate
  • Vlastné konektory
  • Power Apps

Vplyv na používateľskú skúsenosť

  • Keď používateľ, ktorý nespĺňa obmedzenia adries IP daného prostredia, otvorí aplikáciu: Používateľom sa zobrazí chybové hlásenie s odkazom na všeobecný problém s adresou IP.

  • Keď používateľ, ktorý spĺňa obmedzenia adresy IP, otvorí aplikáciu: Vyskytnú sa nasledujúce udalosti:

    • Používatelia môžu dostať banner, ktorý rýchlo zmizne, čo používateľov informuje o tom, že nastavenie IP bolo nastavené, a môžu kontaktovať správcu kvôli podrobnostiam alebo obnoveniu stránok, ktoré stratia pripojenie.
    • Ešte dôležitejšie je, že kvôli overeniu IP, ktoré toto nastavenie zabezpečenia používa, môžu niektoré funkcie fungovať pomalšie, ako keby boli vypnuté.

Zapisovanie hovorov SAS

Toto nastavenie umožňuje prihlásenie všetkých hovorov SAS v rámci Power Platform do Purview. Toto protokolovanie zobrazuje relevantné metadáta pre všetky udalosti vytvorenia a používania a môže byť povolené nezávisle od vyššie uvedených obmedzení SAS IP. Power Platform služby v súčasnosti prijímajú hovory SAS v roku 2024.

Názov poľa Popis poľa
response.status_message Informovanie o tom, či bola udalosť úspešná alebo nie: SASSuccess alebo SASAuthorizationError.
response.status_code Informovanie o tom, či bola udalosť úspešná alebo nie: 200, 401 alebo 500.
ip_binding_mode Režim viazania IP nastavený správcom nájomníka, ak je zapnutý. Vzťahuje sa len na udalosti vytvorenia SAS.
admin_provided_ip_ranges Rozsahy IP nastavené správcom nájomníka, ak existuje. Vzťahuje sa len na udalosti vytvorenia SAS.
computed_ip_filters Finálna sada IP filtrov viazaných na SAS URI na základe režimu viazania IP a rozsahov nastavených správcom nájomníka. Vzťahuje sa na udalosti vytvorenia a používania SAS.
analytics.resource.sas.uri Údaje, ktoré sa pokúšali získať alebo vytvoriť.
enduser.ip_address Verejná IP volajúceho.
analytics.resource.sas.operation_id Jedinečný identifikátor z udalosti vytvorenia. Vyhľadávanie podľa tohto zobrazí všetky udalosti použitia a vytvorenia súvisiace s volaniami SAS z udalosti vytvorenia. Mapované na hlavičku "x-ms-sas-operation-id" odpoveď.
request.service_request_id Jedinečný identifikátor z požiadavky alebo odpoveď a možno ho použiť na vyhľadanie jedného záznamu. Mapované na hlavičku „x-ms-service-request-id“ odpoveď.
verzia Verzia tejto logovej schémy.
type Všeobecné odpoveď.
analytics.activity.name Typ aktivity tejto udalosti bol: Vytvorenie alebo Použitie.
analytics.activity.id Jedinečné ID záznamu v Purview.
analytics.resource.organization.id ID organizácie
analytics.resource.environment.id ID prostredia
analytics.resource.tenant.id Tenant ID
enduser.id Identifikátor GUID z Microsoft Entra ID tvorcu z udalosti vytvorenia.
enduser.principal_name UPN/e-mailová adresa tvorcu. Pre udalosti používania je to všeobecný odpoveď: "system@powerplatform".
Rola koncového užívateľa Všeobecné odpoveď: Pravidelné pre udalosti vytvárania a Systém pre udalosti používania.

Zapnite protokolovanie auditu Purview

Ak chcete, aby sa protokoly zobrazovali vo vašej inštancii Purview, musíte sa najprv prihlásiť do každého prostredia, pre ktoré chcete protokoly. Toto nastavenie môže aktualizovať v Power Platform centre správcov správca nájomníka.

  1. Prejdite do Power Platform centra správcov a prihláste sa pomocou poverení správcu nájomníka.
  2. Na ľavom navigačnom paneli vyberte Prostredia.
  3. Vyberte prostredie, pre ktoré chcete zapnúť protokolovanie správcu.
  4. Na paneli príkazov vyberte Nastavenia .
  5. Vyberte Produkt>Ochrana osobných údajov + bezpečnosť.
  6. V časti Nastavenia zabezpečenia zdieľaného prístupu k úložisku (SAS) (verzia Preview) zapnite možnosť Povoliť prihlasovanie SAS v Purview vlastnosť.

Vyhľadajte denníky auditu

Správcovia nájomníkov môžu použiť Purview na zobrazenie protokolov auditu vydávaných pre operácie SAS a môžu sami diagnostikovať chyby, ktoré sa môžu vrátiť pri problémoch s overením IP. Logy v Purview sú najspoľahlivejším riešením.

Nasledujúce kroky použite na diagnostiku problémov alebo lepšie pochopenie vzorov používania SAS v rámci vášho nájomníka.

  1. Uistite sa, že je pre prostredie zapnuté protokolovanie auditu. Pozrite si Zapnutie protokolovania auditu Purview.

  2. Prejdite na portál dodržiavania pravidiel Microsoft Purview a prihláste sa pomocou poverení správcu nájomcu.

  3. Na ľavom navigačnom paneli vyberte Audit. Ak táto možnosť nie je dostupná, znamená to, že prihlásený používateľ nemá správcovský prístup k protokolom auditu dotazov.

  4. Vyberte rozsah dátumu a času v UTC, keď sa pokúšate vyhľadať denníky. Napríklad, keď sa vrátila chyba 403 Zakázaná s kódom chyby unauthorized_caller .

  5. V rozbaľovacom zozname Aktivity – popisné názvy vyhľadajte Power Platform operácie úložiska a vyberte Vytvorené SAS URI a Použité SAS URI.

  6. Zadajte kľúčové slovo v Vyhľadávanie kľúčových slov. Viac informácií o tomto poli nájdete v časti Začíname s vyhľadávaním v dokumentácii Purview. V závislosti od vášho scenára môžete použiť hodnotu z ktoréhokoľvek z polí opísaných v tabuľke vyššie, nižšie sú však odporúčané polia na vyhľadávanie (v poradí podľa preferencie):

    • Hodnota x-ms-service-request-id odpoveď hlavičky. Toto filtruje výsledky podľa jednej udalosti vytvorenia SAS URI alebo jednej udalosti použitia SAS URI v závislosti od typu požiadavky, z ktorej hlavička pochádza. Je to užitočné pri vyšetrovaní chyby 403 Zakázaná vrátená používateľovi. Môže sa použiť aj na získanie hodnoty powerplatform.analytics.resource.sas.operation_id .
    • Hodnota hlavičky x-ms-sas-operation-id odpoveď. Toto filtruje výsledky na jednu udalosť vytvorenia SAS URI a jednu alebo viac udalostí použitia pre daný SAS URI v závislosti od toho, koľkokrát bol prístupný. Mapuje sa do poľa powerplatform.analytics.resource.sas.operation_id .
    • Úplné alebo čiastočné URI SAS mínus podpis. Môže to vrátiť veľa vytvorených URI SAS a veľa udalostí použitia URI SAS, pretože je možné, aby sa rovnaké URI vyžiadalo toľkokrát, koľkokrát je potrebné.
    • IP adresa volajúceho. Vráti všetky udalosti vytvorenia a použitia pre danú IP.
    • ID prostredia. Môže to vrátiť veľkú množinu údajov, ktoré môžu zahŕňať množstvo rôznych ponúk Power Platform, takže ak je to možné, vyhnite sa tomu, alebo zvážte zúženie okna vyhľadávania.

    Upozornenie

    Neodporúčame hľadať hlavné meno používateľa alebo ID objektu, pretože tieto sa šíria iba do udalostí vytvorenia, nie do udalostí použitia.

  7. Vyberte Hľadať a počkajte, kým sa zobrazia výsledky.

    Nové hľadanie

Upozornenie

Prijatie denníka do Purview môže byť oneskorené až o hodinu alebo viac, takže na to pamätajte pri hľadaní najnovších udalostí.

Riešenie problémov 403 Chyba Forbidden/unauthorized_caller

Pomocou denníkov vytvárania a používania môžete určiť, prečo by volanie malo za následok chybu 403 Forbidden s chybovým kódom unauthorized_caller .

  1. Nájdite denníky v Purview, ako je popísané v predchádzajúcej časti. Zvážte použitie x-ms-service-request-id alebo x-ms-sas-operation-id z odpoveď hlavičiek ako kľúčové slovo vyhľadávania.
  2. Otvorte udalosť použitia, Použité SAS URI a vyhľadajte powerplatform.analytics.resource.sas.computed_ip_filters pole pod Kolekcia majetku. Tento rozsah IP je to, čo volanie SAS používa na určenie, či je požiadavka oprávnená pokračovať alebo nie.
  3. Porovnajte túto hodnotu s poľom IP adresa v denníku, čo by malo stačiť na určenie, prečo požiadavka zlyhala.
  4. Ak si myslíte, že hodnota powerplatform.analytics.resource.sas.computed_ip_filters je nesprávna, pokračujte ďalšími krokmi.
  5. Otvorte udalosť vytvorenia, Vytvorené SAS URI, vyhľadaním pomocou x-ms-sas-operation-id odpoveď hodnotu hlavičky (alebo hodnotu poľa powerplatform.analytics.resource.sas.operation_id z denníka vytvorenia).
  6. Získajte hodnotu poľa powerplatform.analytics.resource.sas.ip_binding_mode . Ak chýba alebo je prázdny, znamená to, že viazanie IP nebolo pre dané prostredie v čase konkrétnej požiadavky zapnuté.
  7. Získajte hodnotu powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Ak chýba alebo je prázdny, znamená to, že rozsahy brány firewall IP neboli v čase konkrétnej požiadavky špecifikované pre dané prostredie.
  8. Získajte hodnotu powerplatform.analytics.resource.sas.computed_ip_filters, ktorá by mala byť identická s udalosťou použitia a je odvodená na základe režimu viazania IP a brány IP poskytnutej správcom rozsahy. Pozrite si logiku odvodzovania v Ukladanie a riadenie údajov v Power Platform.

Správcom nájomníkov by to malo poskytnúť dostatok informácií na nápravu akejkoľvek nesprávnej konfigurácie prostredia pre nastavenia väzby IP.

Upozornenie

Zmeny vykonané v nastaveniach prostredia pre väzbu SAS IP môžu trvať najmenej 30 minút, kým sa prejavia. Mohlo by to byť viac, ak by partnerské tímy mali vlastnú vyrovnávaciu pamäť.

Zabezpečenie v Microsoft Power Platform
Overenie do služieb Power Platform
Pripojenie a overenie zdrojov údajov
Najčastejšie otázky týkajúce sa zabezpečenia Power Platform

Pozrite si tiež