Datalagring och lagring av data i Power Platform
Först är det viktigt att skilja mellan personuppgifter och kunddata.
Personliga data är information om personer som kan användas för att identifiera dem.
Kunddata innehåller personliga data men innehåller även andra kunddata som URL:er, metadata och autentiseringsinformation för anställda, till exempel DNS-namn.
Dataresidens
eN Microsoft Entra-klientorganisation innehåller information som är relevant för en organisation och dess säkerhet. När en Microsoft Entra-klientorganisation registrerar sig Power Platform-tjänster, mappas klientorganisationens valda land eller region till den mest lämpliga Azure-geografiskt där Power Platform en distribution finns. Power Platform lagrar kunddata i klientorganisationens tilldelade Azure-geografisk information, eller i hemregionen, förutom när organisationer distribuerar tjänster i flera regioner.
Vissa organisationer har global närvaro. Ett företag kan till exempel vara huvudföretag i USA men göra affärer i Australien. Vissa Power Platform data kan behöva lagras i Australien för att följa lokala regler. När Power Platform-tjänster distribueras i mer än en Azure-geografisk distribution kallas de för en distribution med flera geografiska områden. I det här fallet lagras endast metadata relaterad till miljön i hemgeografi. Alla metadata och produktdata i den miljön lagras i fjärregion.
Microsoft kan replikera data till andra regioner för att de innehåller data. Däremot replikerar eller flyttar vi inte personliga data utanför programmet. Data som replikerats till andra regioner kan innehålla icke-personliga data, till exempel autentiseringsinformation för anställda.
Power Platform-tjänster är tillgängliga i specifika Azure-geografier. Mer information om var Power Platform tjänster är tillgängliga, var din data lagras och hur den används, gå till Microsoft Trust Center. Åtaganden om platsen för vilande kunddata anges i databehandlingsvillkoren i villkoren för Microsoft Online Services-villkor. Microsoft tillhandahåller även datacenter för självständiga enheter.
Datahantering
I det här avsnittet beskrivs hur Power Platform lagrar, bearbetar och överför kunddata.
Vilande data
Om inget annat anges i dokumentationen finns kunddata kvar i ursprungskällan (till exempel Dataverse eller SharePoint). Ett Power Platform-program lagras i Azure Storage som en del av en miljö. Data som används i mobilappar krypteras och lagras data i SQL Express. I de flesta fall använder program Azure Storage för att bevara Power Platform servicedata och Azure SQL Database för att bevara tjänstmetadata. Data som skrivs in av programanvändare lagras i respektive datakälla för tjänsten till exempel Dataverse.
Alla data som bevaras av Power Platform krypteras som standard med Microsoft-hanterade nycklar. Kunddata lagras i Azure SQL Database krypteras fullständigt med hjälp av Azure SQL-tekniken Transparent datakryptering (TDE). Kunddata som lagras i Azure blobblagring krypteras med Azure Storage Encryption.
Data under behandling
Data bearbetas antingen aktivt av en eller flera användare som en del av ett interaktivt scenario eller när en bakgrundsprocess som refresh förser data med varandra. Power Platform läser in bearbetade data i minnesutrymmet för en eller flera servicearbetsbelastningar. För att underlätta arbetsbelastningens funktion är data som är lagrade i minnet inte krypterade.
Data under överföring
Power Platform kräver att all inkommande HTTP-trafik krypteras med TLS 1.2 eller högre. Förfrågningar som försöker använda TLS 1.1 eller lägre avvisas.
Avancerade säkerhetsfunktioner
Vissa Power Platform avancerade säkerhetsfunktioner har specifika licenskrav.
Tjänstetaggar
En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Du kan använda tjänsttaggar för att definiera nätverksåtkomstkontroller på nätverkssäkerhetsgrupperna eller Azure-brandväggen.
Tjänstetagg hjälper till att minimera komplexiteten i att ofta uppdatera regler för nätverkssäkerhet. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler som till exempel tillåter eller nekar trafik för motsvarande tjänst.
Microsoft hanterar adressprefixen som omfattar tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresser ändras. För mer information, se Azure IP-intervaller och tjänsttaggar – offentliga moln.
Dataförlustskydd
Slutligen har Power Platform en omfattande uppsättning funktioner dataförlust (DLP) som hjälper dig att hantera säkerheten för dina data.
IP-begränsning för lagring av signaturer för delad åtkomst (SAS)
Kommentar
Innan någon av dessa SAS-funktioner aktiveras måste kunderna först tillåta https://*.api.powerplatformusercontent.com åtkomst till domänen eller så fungerar inte de flesta SAS-funktionerna.
Den här funktionsuppsättningen är en klientorganisationsspecifik funktion som begränsar SAS-tokens (Storage Shared Access Signature) och som styrs via ett meny i Power Platform administrationscenter. Den här inställningen begränsar vem som kan använda SAS-tokens för företag baserat på IP.
Den här funktionen är för närvarande i privat förhandsversion. En allmänt tillgänglig förhandsversion planeras till senare i vår med allmän tillgänglighet sommaren 2024. För mer information se Release Planner.
De här inställningarna hittar du i Dataverse-miljöns inställningar Sekretess + säkerhet i administrationscenter. Du måste aktivera alternativet regel Aktivera IP-adressbaserad Storage Shared Access Signature (SAS).
Administratörer kan aktivera någon av dessa fyra konfigurationer för den här inställningen:
| Inställning | Description |
|---|---|
| Endast IP-bindning | Detta begränsar SAS-nycklar till beställarens IP-adress. |
| Endast IP-brandväggen | Detta begränsar användningen av SAS-nycklar till att endast fungera inom ett angivet adminintervall. |
| IP-bindning och brandvägg | Detta begränsar användningen av SAS-nycklar till att endast fungera inom ett angivet adminintervall och endas för begärarens IP. |
| IP-bindning eller brandvägg | Tillåter att SAS-nycklar används inom det angivna intervallet. Om begäran kommer från ett annat område tillämpas IP-bindning. |
Produkter som framtvingar IP-bindning när det är aktiverat:
- Dataverse
- Power Automate
- Anpassade anslutningsappar
- Power Apps
Påverkan på Power App-erfarenheter
När en användare, som inte uppfyller en miljös begränsningar för IP-adresser, öppnar en app: Så visas följande meddelande visas: ”Den här appen har slutat fungera. Försök med att uppdatera webbläsaren.” Det finns planer på att uppdatera den här upplevelsen för att ge användaren mer sammanhangsbaserad information om varför appen inte kunde lanseras.
När en användare som uppfyller IP-adressbegränsningarna öppnar en app: Så inträffar följande:
- En banderoll med följande meddelande visas: "Organisationen har konfigurerat begränsningar för IP-adresser som begränsar där Power Apps är tillgänglig. Appen kanske inte är tillgänglig om du använder ett annat nätverk. Kontakta administratören om du vill ha mer information. Banderollen visas i några sekunder och försvinner sedan.
- Appen kan läsas in mer än om IP-adressbegränsningarna inte var på plats. Begränsningar för IP-adresser gör att plattformen inte kan använda vissa prestandafunktioner som möjliggör snabbare inläsningstider.
Om en användare öppnar en app och uppfyller IP-adresskraven och sedan flyttar till ett nytt nätverk som inte längre uppfyller IP-adresskraven, kan användaren observera appinnehåll som bilder, inbäddat media och länkar kanske inte läses in eller är tillgängligt.
Loggning av SAS-samtal
Den här inställningen gör att alla SAS-samtal inom Power Platform kan loggas in på Purview. Den här loggningsloggen visar relevanta metadata för alla skapande- och användningshändelser och kan aktiveras oberoende av SAS IP-begränsningar ovan. Power Platform -tjänster onboarding för SAS-samtal under 2024.
| Fältnamn | Fältbeskrivning |
|---|---|
| response.status_message | Meddelar om händelsen var lyckad eller inte: SASSuccess eller SASAuthorizationError. |
| response.status_code | Meddelar om händelsen var lyckad eller inte: 200, 401 eller 500. |
| analytics.resource.sas.uri | Data som försökte nås eller skapas. |
| enduser.ip_address | Anroparens offentliga IP. |
| analytics.resource.sas.operation_id | Den unika identifieraren från skapandehändelsen. Genom att söka efter detta visas alla användnings- och skapandehändelser som är relaterade till SAS-anrop från skapandehändelsen. Mappad till svarshuvudet för ”x-ms-sas-operation-id”. |
| request.service_request_id | Unik identifierare från förfrågan eller svaret och kan användas för att söka efter en enskild post. Mappad till svarshuvudet för ”x-ms-service-request-id”. |
| version | Version av loggschemat. |
| type | Generiskt svar. |
| analytics.activity.name | Typen av aktivitet denna händelse var: Skapande eller Användning. |
| analytics.activity.id | Unikt ID för posten i Purview. |
| analytics.resource.organization.id | Org-ID |
| analytics.resource.environment.id | Miljö-ID |
| analytics.resource.tenant.id | Klientorganisations-ID |
| enduser.id | GUID från Microsoft Entra ID för skaparen av skapandehändelsen. |
| enduser.principal_name | UPN/e-postadress för skaparen. För användningshändelser är detta ett generiskt svar: "system@powerplatform". |
| enduser.role | Generiskt svar: Vanlig för skapandehändelser och System för användningshändelser. |
Relaterade artiklar
Säkerhet i Microsoft Power Platform
Autentisera för Power Platform-tjänster
Ansluta och autentisera till datakällor
Vanliga frågor och svar om Power Platform säkerhet
Se även
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för