Belešku
Pristup ovoj stranici zahteva autorizaciju. Možete pokušati da se prijavite ili da promenite direktorijume.
Pristup ovoj stranici zahteva autorizaciju. Možete pokušati da promenite direktorijume.
Power Platform Obrađuje i lične podatke i podatke o klijentima. Saznajte više o ličnim podacima i podacima o klijentima u Microsoft centru za poverenje.
Prebivalište podataka
Stanar Microsoft Entra čuva informacije relevantne za organizaciju i njenu bezbednost. Kada Microsoft Entra se stanar prijavi za Power Platform usluge, odabrana zemlja ili region stanara mapira se na najpogodniju Azure geografiju u kojoj Power Platform postoji raspoređivanje. Power Platform čuva podatke o klijentima u Azure geografiji ili kućnoj geografiji, osim ako organizacije ne primenjuju usluge u više regiona.
Neke organizacije imaju globalno prisustvo. Na primer, preduzeće može imati sedište u Sjedinjenim Američkim Državama, ali posluje u Australiji. Možda će biti potrebno da se određeni Power Platform podaci skladište u Australiji zbog usklađivanja sa lokalnim propisima. Kada se Power Platform usluge primene u više Azure geografskih oblasti, to se naziva primena u više geografskih područja. U tom slučaju, samo metapodaci koji se odnose na okruženje skladište se na početnoj geografskoj lokaciji. Svi metapodaci i podaci o proizvodu u tom okruženju skladište se na udaljenoj geografskoj lokaciji.
Power Platform usluge su dostupne u određenim Azure geografijama. Za više informacija o tome gde Power Platform su usluge dostupne, gde se vaši podaci čuvaju i repliciraju za otpornost i kako se koriste, idite na Microsoft Trust Center. Obaveze u vezi sa lokacijom korisničkih podataka u mirovanju nalaze se u Uslovima obrade podataka u uslovima MicrosoftOnline Services. Microsoft takođe obezbeđuje centre podataka za suverene entitete.
Rukovanje podacima
U ovom odeljku je navedeno kako Power Platform skladišti, obrađuje i prenosi podatke o klijentima.
Podaci u mirovanju
Osim ako nije drugačije navedeno u dokumentaciji, podaci o klijentima ostaju u originalnom izvoru (na primer, Dataverse ili SharePoint). Power Platform aplikacije se čuvaju u Azure Storage kao deo okruženja. Podaci o mobilnim aplikacijama su šifrovani i čuvaju se u SKL Ekpress-u. U većini slučajeva, aplikacije koriste Azure skladište da bi sačuvale podatke o Power Platform usluzi i Azure SQL bazu podataka da bi sačuvale metapodatke usluge. Podaci koje su uneli korisnici aplikacije skladište se u odgovarajućim izvor podataka za uslugu, kao što je Dataverse.
Power Platform šifruje sve trajne podatke po defaultu koristeći Microsoft-upravljane ključeve. Podaci klijenata uskladišteni u Azure SQL bazi podataka u potpunosti su šifrovani pomoću Azure SQL tehnologije transparentnog šifrovanja podataka (TDE). Podaci klijenata uskladišteni u Azure skladištu blob objekta šifrovani su metodom Azure šifrovanja skladišta.
Podaci u obradi
Podaci se obrađuju kada se koriste kao deo interaktivnog scenarija ili kada ih dodirne proces u pozadini, kao što je osvežavanje. Power Platform učitava podatke u obradi u memorijski prostor jednog ili više radnih opterećenja usluge. Da bi se olakšala funkcionalnost radnog opterećenja, podaci uskladišteni u memoriji nisu šifrovani.
Podaci u tranzitu
Power Platform šifrira sav dolazni HTTP saobraćaj koristeći TLS KSNUMKS ili više. Zahtevi koji pokušaju da koriste protokol TLS 1.1 ili niži se odbijaju.
Napredne bezbednosne funkcije
Neke od Power Platform naprednih bezbednosnih funkcija mogu imati specifične zahteve za licenciranje.
Oznake usluge
Oznaka usluge je grupa prefiksa IP adrese iz određene Azure usluge. Oznake usluga možete koristiti za definisanje kontrola pristupa mreži u bezbednosnim grupama mreže ili Azure zaštitnom zidu.
Oznake usluga pomažu da se smanji složenost čestih ispravki pravila bezbednosti mreže. Oznake usluga možete da koristite umesto određenih IP adresa kada kreirate bezbednosna pravila koja, na primer, dozvoljavaju ili uskraćuju saobraćaj za odgovarajuću uslugu.
Microsoft upravlja prefiksima adresa u servisnoj oznaci i automatski ga ažurira kako se adrese menjaju. Više informacija potražite u članku Opsezi IP adresa za Azure i oznake usluge – javni oblak.
Smernice za podatke
Pover Platform uključuje opsežne funkcije politike podataka koje pomažu u upravljanju sigurnošću podataka.
Skladištenje Shared Access Signature (SAS) IP ograničenje
Belešku
Pre aktiviranja bilo koje od ovih SAS funkcija, korisnici moraju prvo dozvoliti pristup domenu https://*.api.powerplatformusercontent.com ili većina SAS funkcionalnosti neće raditi.
Ovaj skup funkcija je funkcionalnost specifična za klijenta koja ograničava tokene Storage Shared Access Signature (SAS) i kontroliše se putem menija u admin centru Power Platform . Ova postavka ograničava ko, na osnovu IP-a (IPv4 i IPv6) može da koristi SAS tokene preduzeća.
Ova podešavanja se mogu naći u podešavanjima privatnosti + bezbednosti okruženja u admin centru. Morate uključiti opciju Omogući IP adresu zasnovanu na Storage Shared Access Signature (SAS).
Administratori mogu da izaberu jednu od ove četiri opcije za ovu postavku:
| Opcija | Podešavanja | Opis |
|---|---|---|
| 1 | Samo IP vezivanje | Ovo ograničava SAS ključeve na IP adrese podnosioca zahteva. |
| 2 | Samo IP zaštitni zid | Ovo ograničava korišćenje SAS ključeva da rade samo u opsegu koji je određen administratorom. |
| 3 | IP vezivanje i zaštitni zid | Ovo ograničava korišćenje SAS ključeva za rad u opsegu koji je odredio administrator i samo na IP adrese podnosioca zahteva. |
| 4 | IP vezivanje ili zaštitni zid | Omogućava SAS ključeve da se koriste u navedenom opsegu. Ako zahtev dolazi izvan opsega, primenjuje se IP vezivanje. |
Belešku
Administratori koji odluče da omoguće IP zaštitni zid (opcija 2, 3 i 4 navedena u gornjoj tabeli) moraju da unesu i IPv4 i IPv6 opsege svojih mreža kako bi osigurali odgovarajuću pokrivenost svojih korisnika.
Upozorenje
Opcije 1 i 3 koriste IP Binding, koji ne radi ispravno ako korisnici imaju IP Pools, Reverse Proki, ili Netvork Address Translation (NAT) omogućeni gatevai koji se koriste u okviru svojih mreža. Ovo dovodi do toga da se IP adresa korisnika menja prečesto da bi tražilac pouzdano imao istu IP adresu između operacija čitanja / pisanja SAS-a.
Opcije 2 i 4 rade kako je predviđeno.
Proizvodi koji sprovode IP vezivanje kada je omogućeno:
- Dataverse
- Power Automate
- Prilagođeni konektori
- Power Apps
Uticaj na korisničko iskustvo
Kada korisnik, koji ne ispunjava ograničenja IP adrese okruženja, otvori aplikaciju: Korisnici dobijaju poruku o grešci koja navodi generički problem sa IP adresom.
Kada korisnik, koji ispunjava ograničenja IP adrese, otvori aplikaciju: Sledeći događaji se dešavaju:
- Korisnici mogu dobiti baner koji će brzo nestati obaveštavajući korisnike da je postavljena IP postavka i da kontaktiraju administratora za detalje ili da osveže sve stranice koje gube vezu.
- Što je još značajnije, zbog IP validacije koju koristi ova sigurnosna postavka, neke funkcionalnosti mogu raditi sporije nego da su isključene.
Ažuriranje podešavanja programski
Administratori mogu da koriste automatizaciju za podešavanje i ažuriranje IP vezivanja u odnosu na podešavanje zaštitnog zida, IP opseg koji je dozvoljen i prekidač za prijavljivanje . Saznajte više u Vodiču: Kreiranje, ažuriranje i lista postavki upravljanja okruženjem.
Prijavljivanje SAS poziva
Ova postavka omogućava da se svi SAS pozivi u okviru Power Platform prijave u Purviev. Ovo logovanje prikazuje relevantne metapodatke za sve događaje stvaranja i korišćenja i može se omogućiti nezavisno od gore navedenih ograničenja SAS IP-a. Power Platform usluge trenutno uključuju SAS pozive u 2024. godini.
| Naziv polja | Opis polja |
|---|---|
| response.status_message | Informisanje da li je događaj bio uspešan ili ne: SASSuccess ili SASAuthorizationError. |
| response.status_code | Informisanje da li je događaj bio uspešan ili ne: 200, 401 ili 500. |
| ip_binding_mode | Režim vezivanja IP adrese postavljen od strane administratora stanara, ako je uključen. Odnosi se samo na događaje kreiranja SAS-a. |
| admin_provided_ip_ranges | IP opseg postavljen od strane administratora stanara, ako ih ima. Odnosi se samo na događaje kreiranja SAS-a. |
| computed_ip_filters | Konačni skup IP filtera vezanih za SAS URI-je na osnovu režima vezivanja IP-a i opsega koje je postavio administrator stanara. Odnosi se i na događaje kreiranja i korišćenja SAS-a. |
| analitika.resource.sas.uri | Podaci koji su pokušavali da se pristupe ili kreiraju. |
| enduser.ip_address | Javna IP adresa pozivaoca. |
| analytics.resource.sas.operation_id | Jedinstveni identifikator iz događaja stvaranja. Pretraživanje po ovome prikazuje sve događaje korišćenja i kreiranja koji se odnose na SAS pozive iz događaja stvaranja. Preslikano na zaglavlje odgovora "x-ms-sas-operation-id". |
| request.service_request_id | Jedinstveni identifikator iz zahteva ili odgovora i može se koristiti za traženje jednog zapisa. Preslikano na zaglavlje odgovora "x-ms-service-request-id". |
| version | Verzija ove šeme dnevnika. |
| tip | Generički odgovor. |
| analytics.activity.name | Vrsta aktivnosti ovog događaja bila je: Stvaranje ili upotreba. |
| analytics.activity.id | Jedinstveni ID zapisa u Purviev. |
| analytics.resource.organization.id | ID organizacije |
| analytics.resource.environment.id | ID okruženja |
| analytics.resource.tenant.id | ID zakupca |
| enduser.id | GUID iz Microsoft Entra ID-a kreatora iz događaja stvaranja. |
| enduser.principal_name | UPN / adresa e-pošte kreatora. Za događaje korišćenja ovo je generički odgovor: "system@powerplatform". |
| enduser.role | Generički odgovor: Redovno za kreiranje događaja i sistem za događaje korišćenja. |
Uključite Purviev reviziju evidentiranje
Da bi se logovi prikazali u vašoj Purviev instanci, prvo morate da se odlučite za svako okruženje za koje želite dnevnike. Ova postavka se može ažurirati Power Platform u admin centru od strane administratora stanara.
- Prijavite se u Pover Platform admin centar sa akreditivima administratora stanara.
- U oknu za navigaciju izaberite Manage.
- U oknu Upravljanje , izaberite Okruženja.
- Izaberite okruženje za koje želite da uključite prijavljivanje administratora.
- Izaberite Settings na komandnoj traci.
- Izaberite Privatnost proizvoda>+ Bezbednost.
- Pod Storage Shared Access Signature (SAS) Bezbednosna podešavanja (Pregled), uključite Omogući SAS prijavljivanje u Purviev funkciju.
Pretraga dnevnika revizije
Administratori stanara mogu da koriste Purviev da vide dnevnike revizije emitovane za SAS operacije, i mogu sami dijagnosticirati greške koje se mogu vratiti u pitanjima IP validacije. Purviev evidencije su najpouzdanije rešenje.
Koristite sledeće korake da biste dijagnostikovali probleme ili bolje razumeli obrasce korišćenja SAS-a unutar vašeg stanara.
Uverite se da je evidentiranje revizije uključeno za životnu sredinu. Pogledajte Uključivanje evidentiranja revizije Purviev.
Idite na portal za usaglašenost Microsoft Purviev i prijavite se sa administratorskim akreditivima.
U levom oknu za navigaciju izaberite Revizija. Ako vam ova opcija nije dostupna, to znači da prijavljeni korisnik nema administratorski pristup dnevniku revizije upita.
Izaberite vremenski opseg datuma i vremena u UTC da biste tražili dnevnike. Na primer, kada je vraćena greška KSNUMKS Forbidden sa kodom greške unauthorized_caller .
Iz padajuće liste Aktivnosti - prijateljska imena , potražite Power Platform operacije skladištenja i izaberite Kreirani SAS URI i Polovni SAS URI.
Navedite ključnu reč u Pretraživanje ključnih reči. Pogledajte Početak pretrage u Purviev dokumentaciji da biste saznali više o ovom polju. Možete koristiti vrednost iz bilo kog polja opisanog u gornjoj tabeli u zavisnosti od vašeg scenarija, ali u nastavku su preporučena polja za pretraživanje (po redosledu preferencija):
- Vrednost zaglavlja odgovora x-ms-service-request-id . Ovo filtrira rezultate na jedan događaj kreiranja SAS URI-ja ili jedan događaj korišćenja SAS URI-ja, u zavisnosti od toga iz kojeg tipa zahteva je zaglavlje. To je korisno kada istražujete 403 Forbidden grešku vraćenu korisniku. Takođe se može koristiti za preuzimanje powerplatform.analytics.resource.sas.operation_id vrednosti .
- Vrednost zaglavlja odgovora x-ms-sas-operation-id . Ovo filtrira rezultate na jedan događaj kreiranja SAS URI i jedan ili više događaja korišćenja za taj SAS URI u zavisnosti od toga koliko puta je pristupljeno. Mapira se na powerplatform.analytics.resource.sas.operation_id polje.
- Potpuni ili delimični SAS URI, minus potpis. Ovo može da vrati mnoge SAS URI kreacije i mnoge događaje korišćenja SAS URI-ja, jer je moguće da se isti URI zatraži za generisanje onoliko puta, koliko je potrebno.
- IP adresa pozivaoca. Vraća sve događaje kreiranja i korišćenja za tu IP adresu.
- Životna sredina ID. Ovo može vratiti veliki skup podataka koji se mogu proširiti na mnogo različitih ponuda Power Platform, pa izbegavajte ako je moguće ili razmislite o sužavanju prozora za pretragu.
Upozorenje
Ne preporučujemo traženje korisničkog glavnog imena ili ID-a objekta jer se oni propagiraju samo na događaje kreiranja, a ne na događaje upotrebe.
Izaberite Pretraži i sačekajte da se pojave rezultati.
Upozorenje
Unos dnevnika u Purviev može biti odložen do sat vremena ili više, pa imajte to na umu kada tražite nedavne događaje.
Rešavanje problema KSNUMKS Zabranjena / unauthorized_caller greška
Možete koristiti dnevnike kreiranja i korišćenja da biste utvrdili zašto bi poziv rezultirao greškom KSNUMKS Forbidden sa kodom greške unauthorized_caller .
- Pronađi dnevnike u Purviev kao što je opisano u prethodnom odeljku. Razmislite o korišćenju x-ms-service-request-id ili x-ms-sas-operation-id iz zaglavlja odgovora kao ključne reči za pretragu.
- Otvorite događaj upotrebe, Polovni SAS URI i potražite powerplatform.analytics.resource.sas.computed_ip_filters polje pod PropertiCollection. Ovaj IP opseg je ono što SAS poziv koristi da bi se utvrdilo da li je zahtev ovlašćen da nastavi ili ne.
- Uporedite ovu vrednost sa poljem IP adresa dnevnika, što bi trebalo da bude dovoljno za utvrđivanje zašto zahtev nije uspeo.
- Ako mislite da je vrednost powerplatform.analytics.resource.sas.computed_ip_filters netačna, nastavite sa sledećim koracima.
- Otvorite događaj kreiranja, Created SAS URI, pretraživanjem pomoću vrednosti zaglavlja odgovora k-ms-sas-operation-id (ili vrednosti polja powerplatform.analytics.resource.sas.operation_id iz dnevnika kreiranja).
- Nabavite vrednost powerplatform.analytics.resource.sas.ip_binding_mode polja. Ako nedostaje ili je prazan, to znači da IP vezivanje nije bilo uključeno za to okruženje u vreme tog određenog zahteva.
- Dobijte vrednost powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Ako nedostaje ili je prazan, to znači da opseg IP zaštitnog zida nije naveden za to okruženje u vreme tog određenog zahteva.
- Nabavite vrednost powerplatform.analytics.resource.sas.computed_ip_filters, koja bi trebala biti identična događaju korišćenja i izvedena je na osnovu režima vezivanja IP-a i opsega IP zaštitnog zida koje pruža administrator. Pogledajte logiku izvođenja u Skladištenje podataka i upravljanje u Power Platform.
Ove informacije pomažu administratorima stanara da isprave bilo kakvu pogrešnu konfiguraciju u podešavanjima IP vezivanja okruženja.
Upozorenje
Promene postavki okruženja za SAS IP vezivanje mogu potrajati najmanje 30 minuta da stupe na snagu. Moglo bi biti više ako partnerski timovi imaju svoj keš.
Srodni članci
Pregled bezbednosti
Autentifikacija usluga Power Platform
Povezivanje i autentifikacija sa izvorima podataka
Power Platform Pitanja o bezbednosti