Datalagring och lagring av data i Power Platform

Först är det viktigt att skilja mellan personuppgifter och kunddata.

• Personuppgifter är information om personer som kan användas för att identifiera dem.

• Kunddata omfattar personuppgifter och annan kundinformation, inklusive URL:er, metadata och information om anställdas autentisering, till exempel DNS-namn.

Dataresidens

eN Microsoft Entra-klientorganisation innehåller information som är relevant för en organisation och dess säkerhet. När en Microsoft Entra-klientorganisation registrerar sig Power Platform-tjänster, mappas klientorganisationens valda land eller region till den mest lämpliga Azure-geografiskt där Power Platform en distribution finns. Power Platform lagrar kunddata i klientorganisationens tilldelade Azure-geografisk information, eller i hemregionen, förutom när organisationer distribuerar tjänster i flera regioner.

Vissa organisationer har global närvaro. Ett företag kan till exempel vara huvudföretag i USA men göra affärer i Australien. Vissa Power Platform data kan behöva lagras i Australien för att följa lokala regler. När Power Platform-tjänster distribueras i mer än en Azure-geografisk distribution kallas de för en distribution med flera geografiska områden. I det här fallet lagras endast metadata relaterad till miljön i hemgeografi. Alla metadata och produktdata i den miljön lagras i fjärregion.

Microsoft Kan replikera data till andra regioner för dataåterhämtning. Däremot replikerar eller flyttar vi inte personliga data utanför programmet. Data som replikeras till andra regioner kan innehålla icke-personliga data, till exempel information om autentisering av anställda.

Power Platform-tjänster är tillgängliga i specifika Azure-geografier. Mer information om var Power Platform tjänsterna är tillgängliga, var dina data lagras och hur de används finns i Microsoft Säkerhetscenter. Åtaganden om platsen för vilande kunddata anges i villkoren för databehandling i villkoren Microsoft föronlinetjänster. Microsoft tillhandahåller även datacenter för suveräna enheter.

Datahantering

I det här avsnittet beskrivs hur Power Platform lagrar, bearbetar och överför kunddata.

Vilande data

Om inget annat anges i dokumentationen finns kunddata kvar i ursprungskällan (till exempel Dataverse eller SharePoint). Ett Power Platform-program lagras i Azure Storage som en del av en miljö. Data som används i mobilappar krypteras och lagras data i SQL Express. I de flesta fall använder program Azure Storage för att bevara Power Platform servicedata och Azure SQL Database för att bevara tjänstmetadata. Data som skrivs in av programanvändare lagras i respektive datakälla för tjänsten till exempel Dataverse.

Alla data som sparas av Power Platform krypteras som standard med hjälp av Microsoft hanterade nycklar. Kunddata lagras i Azure SQL Database krypteras fullständigt med hjälp av Azure SQL-tekniken Transparent datakryptering (TDE). Kunddata som lagras i Azure blobblagring krypteras med Azure Storage Encryption.

Data under behandling

Data bearbetas antingen aktivt av en eller flera användare som en del av ett interaktivt scenario eller när en bakgrundsprocess som refresh förser data med varandra. Power Platform läser in bearbetade data i minnesutrymmet för en eller flera servicearbetsbelastningar. För att underlätta arbetsbelastningens funktion är data som är lagrade i minnet inte krypterade.

Data under överföring

Power Platform kräver att all inkommande HTTP-trafik krypteras med TLS 1.2 eller högre. Förfrågningar som försöker använda TLS 1.1 eller lägre avvisas.

Avancerade säkerhetsfunktioner

Vissa Power Platform avancerade säkerhetsfunktioner har specifika licenskrav.

Tjänstetaggar

En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Du kan använda tjänsttaggar för att definiera nätverksåtkomstkontroller på nätverkssäkerhetsgrupperna eller Azure-brandväggen.

Tjänstetagg hjälper till att minimera komplexiteten i att ofta uppdatera regler för nätverkssäkerhet. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler som till exempel tillåter eller nekar trafik för motsvarande tjänst.

Microsoft Hanterar de adressprefix som omfattas av tjänstmärket och uppdaterar automatiskt tjänstmärket när adresserna ändras. För mer information, se Azure IP-intervaller och tjänsttaggar – offentliga moln.

Dataförlustskydd

Slutligen har Power Platform en omfattande uppsättning funktioner dataförlust (DLP) som hjälper dig att hantera säkerheten för dina data.

IP-begränsning för lagring av signaturer för delad åtkomst (SAS)

Kommentar

Innan någon av dessa SAS-funktioner aktiveras måste kunderna först tillåta https://*.api.powerplatformusercontent.com åtkomst till domänen eller så fungerar inte de flesta SAS-funktionerna.

Den här funktionsuppsättningen är en klientorganisationsspecifik funktion som begränsar SAS-tokens (Storage Shared Access Signature) och som styrs via ett meny i Power Platform administrationscenter. Den här inställningen begränsar vem, baserat på IP (IPv4 och IPv6) som kan använda SAS-token för företag.

De här inställningarna hittar du i miljöns inställningar Sekretess + säkerhet i administrationscenter. Du måste aktivera alternativet regel Aktivera IP-adressbaserad Storage Shared Access Signature (SAS).

Administratörer kan tillåta något av dessa fyra alternativ för den här inställningen:

Option	Inställning	Description
1	Endast IP-bindning	Detta begränsar SAS-nycklar till beställarens IP-adress.
2	Endast IP-brandväggen	Detta begränsar användningen av SAS-nycklar till att endast fungera inom ett angivet adminintervall.
3	IP-bindning och brandvägg	Detta begränsar användningen av SAS-nycklar till att endast fungera inom ett angivet adminintervall och endas för begärarens IP.
4	IP-bindning eller brandvägg	Tillåter att SAS-nycklar används inom det angivna intervallet. Om begäran kommer från ett annat område tillämpas IP-bindning.

Obs

Administratörer som väljer att tillåta IP-brandvägg (alternativ 2, 3 och 4 i tabellen ovan) måste ange både IPv4- och IPv6-intervallen för sina nätverk för att säkerställa korrekt täckning av sina användare.

Produkter som framtvingar IP-bindning när det är aktiverat:

• Dataverse
• Power Automate
• Anpassade anslutningsappar
• Power Apps

Påverkan på användarupplevelsen

• När en användare, som inte uppfyller en miljös IP-adressbegränsningar, öppnar en app: Användarna får ett felmeddelande som anger ett allmänt IP-problem.

• När en användare, som uppfyller IP-adressbegränsningarna, öppnar en app: Följande händelser inträffar:

  • Användarna kan få en banderoll som snabbt försvinner så att användarna vet att en IP-inställning har ställts in och att kontakta administratören för mer information eller uppdatera sidor som förlorar anslutningen.
  • På grund av den IP-validering som används för den här säkerhetsinställningen kan vissa funktioner fungera bättre än om de var inaktiverade.

Uppdatera inställningar programmatiskt

Administratörer kan använda automatisering för att ange och uppdatera både IP-bindning och brandväggsinställning, det IP-intervall som är tillåtet och växlingsknappen Loggning . Läs mer i Självstudie: Skapa, uppdatera och lista miljöhanteringsinställningar.

Loggning av SAS-samtal

Den här inställningen gör att alla SAS-samtal inom Power Platform kan loggas in på Purview. Den här loggningsloggen visar relevanta metadata för alla skapande- och användningshändelser och kan aktiveras oberoende av SAS IP-begränsningar ovan. Power Platform -tjänster onboarding för SAS-samtal under 2024.

Fältnamn	Fältbeskrivning
response.status_message	Meddelar om händelsen var lyckad eller inte: SASSuccess eller SASAuthorizationError.
response.status_code	Meddelar om händelsen var lyckad eller inte: 200, 401 eller 500.
ip_binding_mode	IP-bindningsläge anges av en administratör i en klientorganisation om det är aktiverat. Gäller endast för SAS-skapandehändelse.
admin_provided_ip_ranges	IP-intervall som ställs in av en administratör i en klientorganisation, i förekommande fall. Gäller endast för SAS-skapandehändelse.
computed_ip_filters	Slutlig uppsättning IP-filter bundna till SAS URI:er baserat på IP-bindningsläge och de intervall som ställts in av en klientadministratör. Gäller både SAS skapande- och användningshändelser.
analytics.resource.sas.uri	Data som försökte nås eller skapas.
enduser.ip_address	Anroparens offentliga IP.
analytics.resource.sas.operation_id	Den unika identifieraren från skapandehändelsen. Genom att söka efter detta visas alla användnings- och skapandehändelser som är relaterade till SAS-anrop från skapandehändelsen. Mappad till svarshuvudet för ”x-ms-sas-operation-id”.
request.service_request_id	Unik identifierare från förfrågan eller svaret och kan användas för att söka efter en enskild post. Mappad till svarshuvudet för ”x-ms-service-request-id”.
version	Version av loggschemat.
type	Generiskt svar.
analytics.activity.name	Typen av aktivitet denna händelse var: Skapande eller Användning.
analytics.activity.id	Unikt ID för posten i Purview.
analytics.resource.organization.id	Org-ID
analytics.resource.environment.id	Miljö-ID
analytics.resource.tenant.id	Klientorganisations-ID
enduser.id	GUID från Microsoft Entra ID för skaparen av skapandehändelsen.
enduser.principal_name	UPN/e-postadress för skaparen. För användningshändelser är detta ett generiskt svar: "system@powerplatform".
enduser.role	Generiskt svar: Vanlig för skapandehändelser och System för användningshändelser.

Aktivera Purview-granskningsloggning

För att loggarna ska visas i Purview-instansen måste du först välja att använda den för varje miljö som du vill ha loggar för. Den här inställningen kan uppdateras i Power Platform administrationscentret av en huvudadministratör.

1. Gå till Power Platform administrationscentret och logga in med autentiseringsuppgifter för klientadministratören.
2. I det vänstra navigeringsfönstret välj du Miljöer.
3. Välj den miljö som du vill aktivera administratörsloggning för.
4. VäljInställningar i kommandofältet.
5. VäljProduktsekretess > + Säkerhet.
6. Under Säkerhetsinställningar för signatur för delad åtkomst (SAS) för lagring (förhandsversion) aktiverar du funktionen Aktivera SAS-loggning i Purview .

Söka i granskningsloggar

Klientadministratörer kan använda Purview för att visa granskningsloggar som genereras för SAS-åtgärder och kan självdiagnostisera fel som kan returneras i IP-valideringsproblem. Loggar i Purview är den mest tillförlitliga lösningen.

Använd följande steg för att diagnostisera problem eller bättre förstå SAS-användningsmönster i din klientorganisation.

1. Kontrollera att granskningsloggning är aktiverat för miljön. Se Aktivera Purview-granskningsloggning.

2. Gå till Purview-efterlevnadsportalen Microsoft och logga in med autentiseringsuppgifter för klientadministratören.

3. I det vänstra navigeringsfönstret välj du Audit. Om det här alternativet inte är tillgängligt för dig innebär det att den inloggade användaren inte har administratörsåtkomst för att fråga granskningsloggar.

4. Välj datum- och tidsintervall i UTC för när du försöker söka efter loggar. Till exempel när ett 403 Förbjudet fel med en unauthorized_caller felkod returnerades.

5. I listrutan Aktiviteter – egna namn söker du efter Power Platform lagringsåtgärder och välj Skapad SAS-URI och Använd SAS-URI.

6. Ange ett nyckelord i Nyckelordssökning. Mer information om det här fältet finns i Kom igång med sökning i Purview-dokumentationen. Du kan använda ett värde från något av fälten som beskrivs i tabellen ovan beroende på ditt scenario, men nedan visas de rekommenderade fälten att söka efter (i prioritetsordning):

   • Värdet för x-ms-service-request-idsvar-huvudet . Detta filtrerar resultatet till en händelse för att skapa SAS-URI eller en SAS URI-användningshändelse, beroende på vilken typ av begäran som rubriken kommer från. Det är användbart när du undersöker ett 403 Forbidden-fel som returneras till användaren. Det kan också användas för att Fånga det powerplatform.analytics.resource.sas.operation_id värdet.
   • Värdet för x-ms-sas-operation-idsvar rubriken. Detta filtrerar resultaten till en SAS-URI-skapandehändelse och en eller flera användningshändelser för den SAS-URI:n beroende på hur många gånger den har använts. Den mappar till powerplatform.analytics.resource.sas.operation_id fältet.
   • Fullständig eller partiell SAS-URI, minus signaturen. Detta kan returnera många SAS URI-skapelser och många SAS URI-användningshändelser, eftersom det är möjligt att samma URI begärs för generering så många gånger som det behövs.
   • Uppringarens IP-adress. Returnerar alla skapande- och användningshändelser för den IP-adressen.
   • Miljö-ID. Detta kan returnera en stor uppsättning data som kan sträcka sig över många olika erbjudanden Power Platform, så undvik om möjligt eller överväg att begränsa sökfönstret.

   Varning

   Vi rekommenderar inte att du söker efter användarens huvudnamn eller objekt-ID, eftersom de endast sprids till skapandehändelser, inte användningshändelser.

7. VäljSök och vänta på att resultaten ska visas.

   

Varning

Inloggningsinmatning i Purview kan fördröjas i upp till en timme eller mer, så tänk på det när du letar efter de senaste händelserna.

Felsökning av 403 Förbjudet/unauthorized_caller fel

Du kan använda skapande- och användningsloggar för att avgöra varför ett anrop skulle resultera i ett 403 Forbidden-fel med en unauthorized_caller felkod.

1. Hitta loggar i Purview enligt beskrivningen i föregående avsnitt. Överväg att använda antingen x-ms-service-request-id eller x-ms-sas-operation-id från svar rubrikerna som sökord.
2. Öppna användningshändelsen, Used SAS URI och leta efter powerplatform.analytics.resource.sas.computed_ip_filters fältet under PropertyCollection. Det här IP-intervallet är det som SAS-anropet använder för att avgöra om begäran har behörighet att fortsätta eller inte.
3. Jämför det här värdet med fältet IP-adress i loggen, vilket bör vara tillräckligt för att avgöra varför begäran misslyckades.
4. Om du tror att värdet för powerplatform.analytics.resource.sas.computed_ip_filters är felaktigt fortsätter du med nästa steg.
5. Öppna skapandehändelsen, Created SAS URI, genom att söka med hjälp av x-ms-sas-operation-id svar rubrikvärdet (eller värdet för powerplatform.analytics.resource.sas.operation_id fältet från skapandeloggen).
6. Hämta värdet för powerplatform.analytics.resource.sas.ip_binding_mode fältet. Om den saknas eller är tom innebär det att IP-bindning inte var aktiverat för den miljön vid tidpunkten för den specifika begäran.
7. Få värdet av powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Om den saknas eller är tom innebär det att IP-brandväggsintervall inte har angetts för den miljön vid tidpunkten för den specifika begäran.
8. Hämta värdet för powerplatform.analytics.resource.sas.computed_ip_filters , som ska vara identiskt med användningshändelsen och härleds baserat på IP-bindningsläge och IP-brandväggsintervall som tillhandahålls avadministratören. Se härledningslogiken i Datalagring och styrning i Power Platform.

Detta bör ge klientadministratörer tillräckligt med information för att korrigera eventuella felkonfigurationer mot miljön för IP-bindningsinställningar.

Varning

Det kan ta minst 30 minuter innan ändringar som görs i miljöinställningarna för SAS IP-bindning börjar gälla. Det kan vara mer om partnerteam har sin egen cache.

Relaterade artiklar

Säkerhet i Microsoft Power Platform
Autentisera till Power Platform tjänster
Ansluta och autentisera till datakällor
Power Platform Vanliga frågor om säkerhet

Se även

• Microsoft Säkerhetscenter
• Välj region när du konfigurerar en miljö
• IP-intervall och tjänsttaggar i Azure – offentligt moln
• Funktioner för dataförlustskydd (DLP)