Läs på engelska

Dela via


Granskning med dataskydd i anslutningsprogram

Den här artikeln handlar om de viktigaste ämnen som du behöver förstå för att säkerställa en lyckad och säker upplevelse med ett Power Platform anslutningsprogram som använder en extern tjänst. Detta kan förenkla granskningsprocessen för anslutningsprogrammet, vilket kan spara tid.

När du har läst den här artikeln kan du besvara följande frågor:

Validering av anslutningsprogram

Anslutningsprogram som publiceras av Microsoft kan ansluta till interna eller externa tjänster. Exempelvis kommer anslutningsprogram som SharePoint eller Excel alltid att ansluta till tjänster internt.

Microsoft publicerar emellertid även anslutningsprogram som använder externa tjänster. Anslutningsprogrammet Salesforce använder till exempel Salesforce-tjänsten. När ett anslutningsprogram lämnar Microsofts infrastruktur kör Microsoft en serie valideringskontroller för att säkerställa dataskyddet.

Viktigt

Det är tjänsten, inte själva anslutningsprogrammet, som dikterar vem som bär ansvar för att skydda datan. Anledningen är att det är den tjänst som du är ansluten till som lagrar data, inte anslutningsprogrammet.

Kom ihåg att om dina data finns i Microsofts infrastruktur, så är det Microsoft som styr. Så fort den flyttas till en extern infrastruktur har den verifierade utgivaren kontroll.

Skillnaden gör att du kan vidta lämpliga åtgärder och garantera säkerheten för dina data genom hela anslutningen. Mer information finns i nedanstående avsnitt.

Om anslutningsprogrammet har
publicerats av
Och tjänste-
Infrastrukturen är

gör Microsoft följande:

Exempel
Microsoft Externt - Slutpunktskontroll
- Swagger-validering
- Validering av icke-bakåtkompatibel ändring
- Kvalitets- och verifieringskontroller
Salesforce
Microsoft Internt Alla valideringskontroller för dataskydd SharePoint, Excel
Bekräftat
(inkluderar oberoende utgivare)
Externt - Slutpunktskontroll
- Swagger-validering
- Validering av icke-bakåtkompatibel ändring
- Kvalitets- och verifieringskontroller
Adobe Creative Cloud

Microsofts sekretesspolicy

Microsoft tillämpar sina skyddsprinciper för alla data som finns i Microsofts infrastruktur. Så fort data flyttas till en extern infrastruktur, precis som när en verifierad anslutningsprogramtjänst används, tar de principer som det företaget anger över.

Information om hur Microsoft hanterar problem som säkerhet, sekretess och efterlevnad finns i Microsoft Trust Center.

Sekretesspolicy för externa företag

Anteckning

Det finns begränsningar för att framtvinga Microsofts policy när tjänster för anslutningsprogram finns i extern infrastruktur. När du ansluter till deras tjänst har Microsoft ingen kontroll över vart dina data är på väg – det är upp till det externa företaget. Det är ditt ansvar att undersöka deras regler och villkor, eller att arbeta med dem direkt i syfte att ge vägledning.

Eventuella frågor som du kan tänkas ha till ett externt företags tjänst för anslutningsprogram är exempelvis följande:

  • Lagrar företagets tjänst dina data?
    • Om så är fallet, hur avgör företaget när data ska tas bort?
  • Finns det säkerhetsproblem i anslutningsprogrammet eller någon möjlighet för en angripare att kontrollera eller fånga upp data?
  • Använder företagstjänsten enkel inloggning eller tvåfaktorsautentisering?

Du hittar länken till sekretesspolicyn för varje verifierad anslutning genom att välja länken för kopplingen i listan över alla verifierade kopplingar som publicerats av partner.

Microsoft GDPR-efterlevnad

När en tjänst för anslutningsprogram körs i Microsofts infrastruktur styr Microsoft reglerna för GDPR-överensstämmelse. När data väl har förflyttats till ett företags externa infrastruktur bryter inte Microsoft mot företagets GDPR-regler.

Viktigt

Microsoft Connector-plattformen är GDPR-kompatibel. Den bearbetar enbart dina data utan att lagra den. Under bearbetningen följer den Microsofts policyer om sekretess och GDPR.

Om du t.ex. skapar ett flöde i i Europa skickar Microsoft ingen förfrågan till USA, bearbetar informationen där för att sedan skicka den sedan tillbaka till ett externt företags tjänster. I det här fallet kommer Microsoft att respektera de geografiska gränserna.

GDPR-överensstämmelse för externt företag

När en tjänst för anslutningsprogram körs i ett externt företags infrastruktur styr det företaget reglerna för GDPR-överensstämmelse.

Anteckning

När tjänsten körs på ett externt företags infrastruktur är det ditt ansvar att förstå deras GDPR-krav. Microsoft har ingen kontroll. Anslutningsprogram hos externa företag kan vara GDPR-kompatibla (men är det inte alltid).

Om du använder ett externt företags anslutningsprogram är det en god idé att du utför din egen undersökning, modellering, leverantörsgranskning och strategisteg inom ramarna för ditt eget företag för att försäkra dig om att du förstår tillämpningen av GDPR för din verksamhet. Det kan vara en god idé att börja med dokumentationen för regler och villkor.

Exempel på frågor som endast kan besvaras av det externa företaget kan exempelvis handla om data som överförs eller bearbetas geografiskt, till exempel:

  • För EU-baserade företag:
    • Lämnar informationen EU vid någon tidpunkt?
    • Skickas informationen till EU vid någon tidpunkt?
  • För USA-baserade företag:
    • Skickas informationen till EU vid någon tidpunkt?

Bekräfta slutpunkt

När dina data bearbetas i Microsofts infrastruktur verifierar Microsoft slutpunkten i syfte att säkerställa att vissa kvalitetskrav uppfylls. Azure Logic Appss upprätthåller regionala gränser, men Power Automate och Power Apps upprätthåller geografiska gränser.

Västra USA är till exempel en region, men USA är en geografisk region. Om en användare väljer västra USA i Logic Appss ser Microsoft till att data inte förs utanför USA:s västra datacentergräns, inte ens till centrala USA eller östra USA. För Power Automate och Power Apps garanterar Microsoft emellertid endast den geografiska gränsen. Detta innebär att om användaren väljer USA kan data komma att bearbetas var som helst i USA, även i västra USA eller östra USA. Vad Microsoft garanterar är att data inte kommer att överföras utanför USA, till exempel till Europa eller Asien.

När data lämnar Microsoft och flyttar till den geografiska plats som användaren väljer styrs användningen och lagringen av data sedan av den policy som det externa företaget har angett. Microsoft agerar endast som en proxy till företagets plattform och skickar förfrågningar till slutpunkten.

Om du använder en verifierad extern anslutning måste du förstå villkoren som erbjuds av företaget för att förstå hur och var dina data bearbetas.

Swagger-validering

Swagger-valideringen mäter likhetsfältet för anslutningsprogram. Microsoft kör den här valideringen för att säkerställa att anslutningsprogrammet följer Open API-standarderna, uppfyller krav och riktlinjer för anslutningsprogram, samt inkluderar lämpliga anpassade Microsoft-tillägg (x-ms).

Validering av icke-bakåtkompatibel ändring

När ett anslutningsprogram uppdateras framtvingar Microsoft ett valideringstest för att säkerställa att inget går fel. Valideringsreglerna kan se om icke-bakåtkompatibla ändringar har gjorts genom att jämföra aktuell swagger-version med tidigare swagger-versioner. Till exempel en parameter som ett företag har markerat som "valfri" och som nu är obligatorisk.

Kvalitets- och verifieringskontroller

Microsoft utför kvalitetskontroller på alla anslutningsprogram. Kvalitetskontroller omfattar funktionsverifiering efter distribution och testning för att säkerställa att funktionerna fungerar som de ska. Microsoft utför också verifieringskontroller. En typ är att se till att utgivaren får skapa ett anslutningsprogram. En annan typ är att genomsöka all kod för anslutningsprogram efter skadlig kod eller virus.

Kommunikations- och autentiseringsmetoder

I samband med körning sker en validering för att kontrollera om användaren har behörighet att anropa, och sedan hämtas token/hemligheterna för anropet till backend.

Microsoft anger inga begränsningar för externa företag för vilken typ av autentisering som ska användas. Denna definieras av den autentisering som stöds av API:n som tillhandahålls av den underliggande tjänsten för anslutningsprogram. Anslutningsprogram stöder olika typer av autentisering (till exempel Microsoft Entra ID, Grundläggande autentisering och OAuth).

Exempel

Om den typ av autentisering som används är:

  • Microsoft Entra ID: Användaren uppmanas att logga in på Microsoft Entra ID (och om företagets policy tvingar en användare att inneha flera autentiseringar, certifikat eller ett smart-card, kan detta också tillämpas här). Dessa framtvingade åtgärder sker mellan användaren och Microsoft Entra ID, som är oberoende av själva anslutningsprogrammet. Många tjänster, särskilt de som tillhandahålls av Microsoft, använder Microsoft Entra ID.

  • Grundläggande autentisering: Användarnamnet och lösenordet skickas i API-begäran. Hemligheterna lagras och krypteras i en intern tokenbutik som bara är åtkomlig för Microsoft Power Platform.

  • OAuth—Omdirigerings-URL för anslutningsprogrammet hämtas från inställningarna och skickas tillbaka till användaren för att denne ska kunna logga in direkt i tjänsten och ge sitt godkännande. Användarens autentiseringsuppgifter lagras inte. När inloggningen slutförts och användaren har gett sitt godkännande till åtkomst till data för deras räkning skickas en autentiseringskod tillbaka till Microsoft Power Platform. Med den autentiseringskoden hämtas sedan en åtkomsttoken hämtas som lagras internt. Denna åtkomsttoken är endast tillgänglig för Microsoft Power Platform.

Översikt över anslutningsprogram

Ge feedback

Vi uppskattar feedback på problem med vår plattform för anslutningsprogram eller förslag på nya funktioner. Om du vill lämna feedback går du till Skicka problem eller få hjälp med anslutningsprogram och väljer typ av feedback.