Складиштење података и управљање у услузи Power Platform
Прво, важно је направити разлику између личних података и података о клијентима.
Лични подаци су информације о особама које се могу користити за њихову идентификацију.
Подаци о клијентима укључују личне податке и друге информације о клијентима, укључујући URL адресе, метаподатке и информације о потврди идентитета запослених, као што су DNS имена.
Пребивалиште података
Станару Microsoft Entra су смештене информације које су важне за организацију и њену безбедност. Када се Microsoft Entra закупац укаже Power Platform за услуге, одабрана земља или регион станара мапирани су у најпогоднију Азурну географију где Power Platform постоји распоређивање. Power Platform складишти податке о клијентима у Azure географској области која је додељена закупцу, односно на почетној географској локацији, осим када организације примењују услуге у више региона.
Неке организације имају глобално присуство. На пример, седиште предузећа се можда налази у Сједињеним Државама, али послује у Аустралији. Можда ће бити потребно да се одређени Power Platform подаци складиште у Аустралији због усклађивања са локалним прописима. Када се Power Platform услуге примене у више Azure географских области, то се назива примена у више географских подручја. У том случају, само метаподаци који се односе на окружење складиште се на почетној географској локацији. Сви метаподаци и подаци о производу у том окружењу складиште се на удаљеној географској локацији.
Microsoft може да копира податке у друге регионе ради отпорности података. Међутим, ми не реплицирамо нити премештамо личне податке изван географске области. Подаци који се реплицирају у друге регионе могу да садрже податке који нису лични, као што су информације о потврди идентитета запослених.
Power Platform услуге су доступне у одређеним Azure географским областима. За више информација о томе где су Power Platform услуге доступне, где су ускладиштени подаци и како се користе, посетите Microsoft центар за поузданост. Обавезе које се односе на локацију података клијената у мировању наведене су у Условима обраде података у оквиру одредби услуге Microsoft Online Services. Microsoft такође обезбеђује центре података за суверене ентитете.
Руковање подацима
У овом одељку је наведено како Power Platform складишти, обрађује и преноси податке о клијентима.
Подаци у мировању
Осим ако није другачије наведено у документацији, подаци о клијентима остају у оригиналном извору (на пример, Dataverse или SharePoint). Power Platform апликација се складишти у Azure складишту као део окружења. Подаци који се користе у мобилним апликацијама шифрују се и складиште у услузи SQL Express. У већини случајева, апликације користе Azure складиште да би сачувале податке о Power Platform услузи и Azure SQL базу података да би сачувале метаподатке услуге. Подаци које су унели корисници апликације складиште се у одговарајућим извор података за услугу, као што је Dataverse.
Сви подаци који се чувају у услузи Power Platform подразумевано су шифровани помоћу кључева којима управља Microsoft. Подаци клијената ускладиштени у Azure SQL бази података у потпуности су шифровани помоћу Azure SQL технологије транспарентног шифровања података (TDE). Подаци клијената ускладиштени у Azure складишту блоб објекта шифровани су методом Azure шифровања складишта.
Подаци у обради
Подаци се обрађују када се користе као део интерактивног сценарија или када их додирне процес у позадини, као што је освежавање. Power Platform учитава податке у обради у меморијски простор једног или више радних оптерећења услуге. Да би се олакшала функционалност радног оптерећења, подаци ускладиштени у меморији нису шифровани.
Подаци у транзиту
Power Platform захтева да сав долазни HTTP саобраћај буде шифрован помоћу протокола TLS 1.2 или новијег. Захтеви који покушају да користе протокол TLS 1.1 или нижи се одбијају.
Напредне безбедносне функције
Неке од Power Platform напредних безбедносних функција имају специфичне захтеве за лиценцирање.
Ознаке услуге
Ознака услуге представља групу префикса IP адреса из одређене Azure услуге. Ознаке услуга можете користити за дефинисање контрола приступа мрежи у безбедносним групама мреже или Azure заштитном зиду.
Ознаке услуга помажу да се смањи сложеност честих исправки правила безбедности мреже. Ознаке услуга можете да користите уместо одређених IP адреса када креирате безбедносна правила која, на пример, дозвољавају или ускраћују саобраћај за одговарајућу услугу.
Microsoft управља префиксима адресе обухваћеним ознаком услуге и аутоматски ажурира ознаку услуге док се адресе мењају. Више информација потражите у чланку Опсези IP адреса за Azure и ознаке услуге – јавни облак.
Спречавање губитка података
Power Platform има велики скуп функција за спречавање губитка података (DLP) које вам помажу да управљате безбедношћу података.
ИП ограничење за потпис дељеног приступа складишту (САС)
Белешка
Пре него што активирају било коју од ових ФУНКЦИЈА САС-а, клијенти прво морају да https://*.api.powerplatformusercontent.com дозволе приступ домену или већина САС функционалности неће функционисати.
Овај скуп функција је функционалност специфична за закупца која ограничава токене за потпис дељеног приступа за складиштење (САС) и контролише се кроз мени у Power Platform администратор центру. Ова поставка ограничава ко, на основу ИП-а, може да користи пословне САС токене.
Ова функција је тренутно у приватним < ДИЦТ__верзија за преглед > превиеw. < ДИЦТ__верзија за јавни преглед >Публиц превиеw планирано је за касније овог пролећа, уз општу доступност у лето 2024. Више информација потражите у чланку Планер издавања.
Ове поставке се могу пронаћи у поставкама приватности и безбедности окружења у администратор центру. Морате укључити опцију правила "Омогући ИП адресу засновану на складишту са потписом дељеног приступа (САС )."
Администратори могу да омогуће једну од ове четири конфигурације за ову поставку:
| Поставке | Опис |
|---|---|
| Само ИП повезивање | Овим се САС кључеви ограничавају на ИП захтевача. |
| Само ИП заштитни зид | Ово ограничава коришћење САС кључева само на рад у наведеном опсегу администратора. |
| ИП повезивање и заштитни зид | Ово ограничава коришћење САС кључева за рад у опсегу који је навео администратор и само на ИП кода захтевача. |
| ИП повезивање или заштитни зид | Дозвољава да се САС кључеви користе у наведеном опсегу. Ако захтев потиче изван опсега, примењује се ИП повезивање. |
Производи који спроводе ИП повезивање када је омогућено:
- Dataverse
- Power Automate
- Прилагођени конектори
- Power Apps
Утицај на корисничко искуство
Када корисник, који не испуњава ограничења ИП адресе окружења, отвори апликацију: Корисници добијају поруку о грешци наводећи генерички проблем са ИП адресом.
Када корисник, који испуњава ограничења ИП адресе, отвори апликацију : Догодиће се следећи догађаји:
- Корисници могу да добију рекламни натпис који ће брзо нестати обавештавајући кориснике да је постављена ИП поставка и да се за детаље обратите администратору или да освеже све странице које изгубе везу.
- Што је још важније, због ИП провере ваљаности коју ова безбедносна поставка користи, неке функције могу да се обављају спорије него да су искључене.
Евидентирање САС позива
Ова поставка омогућава да сви САС позиви буду Power Platform пријављени у "Пурвиеw". Ово евидентирање приказује релевантне метаподатке за све догађаје креирања и коришћења и може се омогућити независно од горенаведених САС ИП ограничења. Power Platform услуге тренутно укрцају на САС позиве 2024.
| Назив поља | Опис поља |
|---|---|
| респонсе.статус_мессаге | Обавештавање да ли је догађај био успешан или не: САССуццесс или САСАутхоризатионЕррор. |
| респонсе.статус_цоде | Обавештавање да ли је догађај био успешан или не: 200, 401 или 500. |
| ип_биндинг_моде | Режим ИП повезивања који је поставио администратор закупца, ако је укључен. Примењује се само на догађаје креирања САС-а. |
| админ_провидед_ип_рангес | ИП опсеге које је поставио администратор закупца, ако их има. Примењује се само на догађаје креирања САС-а. |
| цомпутед_ип_филтерс | Коначни скуп ИП филтера повезаних са САС УРИ-јем заснованим на режиму ИП повезивања и опсегима које је поставио администратор закупца. Примењује се и на догађаје креирања САС-а и коришћења. |
| аналитика.ресоурце.сас.ури | Подаци којима је било покушај приступа или креирани. |
| ендусер.ип_аддресс | Јавни ИП позиваоца. |
| аналyтицс.ресоурце.сас.оператион_ид | Јединствени идентификатор из догађаја креирања. Претраживање овим приказује све догађаје коришћења и креирања у вези са САС позивима са догађаја креирања. Мапирано у "x-мс-сас-оператион-ид" одговор заглавље. |
| реqуест.сервице_реqуест_ид | Јединствени идентификатор из захтева или одговор и може се користити за потраживање једног записа. Мапирано у "x-мс-сервице-реqуест-ид" одговор заглавље. |
| version | Верзија ове шеме евиденције. |
| тип | Генеричка одговор. |
| analytics.activity.name | Тип активности овог догађаја је био: Креирање или коришћење. |
| analytics.activity.id | Јединствени ИД записа у програму "Пурвиеw". |
| analytics.resource.organization.id | ID организације |
| analytics.resource.environment.id | ID окружења |
| analytics.resource.tenant.id | ID закупца |
| enduser.id | ГУИД из Microsoft Entra ИД-а творца из догађаја креирања. |
| ендусер.принципал_наме | УПН /емаил адреса аутора. За догађаје коришћења ово је генерички одговор: "сyстем@поwерплатформ". |
| ендусер.роле | Генериц одговор: Регулар фор цреатион евентс анд Сyстем фор усинг евентс. |
Сродни чланци
Безбедност у услузи Microsoft Power Platform
Потврда идентитета у Power Platform услугама
Повезивање са изворима података и потврда идентитета у њима
Најчешћа питања о безбедности услуге Power Platform
Погледајте и
Повратне информације
Стиже ускоро: Током 2024. године постепено ћемо укидати проблеме са услугом GitHub као механизам повратних информација за садржај и заменити га новим системом повратних информација. За додатне информације, погледајте: https://aka.ms/ContentUserFeedback.
Пошаљите и прегледајте повратне информације за