Säkerhet i Microsoft Power Platform

Power Platform gör det möjligt för både icke-professionella och professionella utvecklare att snabbt och enkelt skapa kompletta lösningar. Säkerhet är mycket viktigt för dessa lösningar. Power Platform är skapat för att ge branschledande skydd.

Organisationerna skyndar på övergången till molnet och införlivar avancerad teknik i verksamheten och affärsbeslutsfattandet. Fler anställda arbetar på distans. Kundbehovet för onlinetjänster ökar i allt större tid. Det räcker inte med traditionella programsäkerhet på plats. Organisationer måste söka efter en molnbaserad säkerhetslösning med flera nivåer för att kunna hitta affärsintelligensdata i Power Platform. Nationella säkerhetsbyråer, finansiella organisationer och vårdgivare som använder Power Platform den mest känsliga informationen.

Microsoft har utvecklat säkerhetsrollen sedan mitten av 2000-talet. Mer än 3 500 Microsoft-tekniker arbetar med att proaktivt ta sig an det ständigt skiftande hotbildslandskapet. Microsoft säkerhet startar på chip BIOS kernel och utökar hela vägen upp till användarupplevelsen. I dag är vår säkerhetsstapel den mest avancerade i branschen. Microsoft betraktas i stort som den globala ledaren mot skadliga angrepp. Microsoft beskydd gäller miljard datorer, inloggningar och zettabyte data.

Power Platform bygger på denna starka grund. Den använder samma säkerhetsstapel som gav Azure rättighet att betjäna och skydda de mest känsliga data i världen, och den integrerar med de mest avancerade verktygen för informationsskydd och regelefterlevnad Microsoft 365. Power Platform ger ett komplett skydd som är utformat för kundernas mest utmaning på molntiden:

• Hur kontrollerar vi vilka som kan ansluta, var de ansluter och hur de ansluter? Hur kan vi kontrollera anslutningarna?
• Hur lagras data? Hur krypteras det? Vilka kontroller har jag för mina data?
• Hur kontrollerar och skyddar jag känsliga data? Hur säkerställer jag att dessa data inte kan användas utanför organisationen?
• Hur kan vi granska vem som kan göra vad? Hur kan vi reagera snabbt om det upptäcks misstänksam aktivitet?

Kontroll

Power Platform-tjänsten regleras av villkoren för Microsoft Online Services och Microsoft sekretesspolicy för företag. Information om platsen för databearbetning finns i villkoren för Microsoft Online Services och Dataskyddstillägg.

När det gäller information om efterlevnad är Microsoft Trust Center den primära resursen för Power Platform. Läs mer på Microsoft efterlevnadserbjudanden.

Tjänsten Power Platform följer Säkerhetsutvecklingslivscykel (SDL). SDL är en uppsättning säkerhetspraxis som stöder krav på säkerhet och regelefterlevnad. Mer information finns på Microsoft Security Development Lifecycle metoder.

Gemensamma Power Platform säkerhetsbegrepp

Power Platform innehåller flera tjänster. Några av säkerhetskoncepten som vi ska använda i den här serien gäller alla. Andra begrepp är emellertid specifika för enskilda tjänster. Där säkerhetskoncepten skiljer sig från de andra anropar vi dem.

Säkerhetskoncept som är gemensamma för alla Power Platform-tjänster inkluderar:

• Servicearkitekturen Power Platform eller hur huvudflödena fungerar i systemet
• Autentisera Power Platform tjänster eller hur användare får tillgång till tjänster
• Ansluta och autentisera till datakällor eller hur tjänster ansluter till datakällor och användare får åtkomst till data
• Datalagring i Power Platform eller hur data skyddas oavsett om det är i paus eller mellan system och tjänster

Power Platform tjänstarkitektur

Tjänsterna Power Platform bygger på Azure, Microsoft molntjänstplattform. Tjänstearkitekturen Power Platform består av fyra komponenter:

• Webbklientdel kluster
• Serverdelsklustret
• premium infrastruktur
• Mobil plattform

Webbklientdel kluster

Gäller för Power Platform tjänster som visar ett webbgränssnitt. Webbkluster förser programmet eller tjänstens startsida med användarens webbläsare. Den använder Microsoft Entra för att autentisera klienter initialt, och tillhandahålla tokens för efterföljande klientanslutningar, till Power Platform servertjänsten.

Ett webbklientdel kluster består av en webbplats ASP.NET som körs i Azure App Service-miljön. När en användare besöker Power Platform-tjänst eller ett program kan klientens DNS-tjänst få det mest lämpliga (vanligtvis närmaste) datacenter från Azure Traffic Manager. Mer information finns i avsnittet om trafikroutningsmetod med prestanda för Azure Traffic Manager.

Webbkluster hanterar inloggnings- och autentiseringssekvensen. Användaren får en åtkomsttoken Microsoft Entra när användaren har autentiserats. Komponenten ASP.NET parsar token för att avgöra vilken organisation användaren tillhör. Komponenten rådgör sedan med den Power Platform globala servertjänsten för att ange till den webbläsare som serverklustret innehåller organisationens klientorganisation. Efterföljande klientinteraktioner sker direkt med serverklustret, utan att det krävs någon webbklientdel kluster åtgärd.

Webbläsaren hämtar statiska resurser som .js, .css och bildfiler, främst från Azure Content Delivery Network (CDN). Sovereign Government klusterdistribution är ett undantag. Av regelefterlevnadsorsaker utelämnar dessa distributioner Azure CDN. I stället använder de ett webbkluster från en kompatibel region för att vara värd för statiskt innehåll.

Power Platform serverdelsklustret

Serverdel-klustret för en viss Power Platform-tjänst fungerar som en grund för alla funktioner som finns tillgängliga i tjänsten. Den består av tjänstslutpunkter, arbetstjänster i bakgrunden, databaser, cacheminnen och andra komponenter.

Serverdel är tillgänglig i de flesta Azure-regioner och distribueras i nya regioner allt eftersom de blir tillgängliga. En region kan vara värd för flera kluster. Med den här konfigurationen kan Power Platform-tjänsterna få obegränsat med vågrät skalning efter att de vertikala och horisontella skalbegränsningarna för ett enskilt kluster har nåtts.

Serverdelskluster är statusfyllda. En serverkluster innehåller alla data för alla innehavare som har tilldelats det. Ett kluster som innehåller data för en specifik klientorganisation kallas klientorganisationens hemkluster. Information om en autentiserad användares hemkluster tillhandahålls av Power Platform global servertjänster till webbkluster. Webbklientdelen använder informationen för att skicka förfrågningar till klientorganisationens serverkluster.

Metadata och data i klientorganisationen lagras inom klusterbegränsningar. Undantaget är dataduplicering till ett sekundärt serverdelkluster som finns i ett kopplat område i samma Azure-geografiskt område. Det sekundära klustret fungerar som ett redundans vid regionala driftavbrott och är passivt vid andra tidpunkter. Mikrotjänster som körs på olika datorer i klustrets virtuella nätverk fungerar även som serverfunktioner. Endast två av dessa mikrotjänster är tillgängliga från det offentliga Internet:

• Gatewaytjänst
• Azure API Management

Power Platform premium infrastruktur

Power Platform Premium ger tillgång till en utökad uppsättning anslutningar som en betald tjänst. Power Platform skapare är inte begränsade till att använda premium anslutningsprogram, men det är programanvändarna. Det vill säga att användare av ett program som inkluderar premiumanslutningar måste ha rätt licens för att komma åt dem. Serverdeltjänsten Power Platform avgör om en användare har åtkomst till förstklassiga anslutningar eller inte.

Mobil plattform

Power Platform har stöd för Android, iOS- och Windows-program (UWP). Säkerhetsöverväganden för mobilappar faller i två kategorier:

• Enhetskommunikation
• Programmen och data på enheten

Enhetskommunikation

Power Platform mobilprogrammen använder samma anslutnings- och autentiseringssekvenser som används av webbläsare. Android och iOS-program öppnar en webbläsarsession i programmet. I Windows-program upprättas en kommunikationskanal med Power Platform-tjänsterna för inloggningsprocessen med hjälp av en mäklartjänst.

I följande tabell visas stöd för certifikatbaserad autentisering (CBA) stöd för mobilappar:

CBA-support	iOS	Android	Fönster
Logga in på tjänsten	Stöds	Stöds	Stöds inte
SSRS ADFS lokalt (anslut till SSRS-server)	Stöds inte	Stöds	Stöds inte
SSRS program-proxyn	Stöds	Stöds	Stöds inte

Mobilappen kommunicerar aktivt med Power Platform-tjänsterna. Användningsstatistik för program och liknande data överförs till tjänster som övervakar användning och aktivitet. Inga kunduppgifter ingår.

Programmen och data på enheten

Mobilappen och de data som krävs lagras säkert på enheten. Microsoft Entra och uppdateringstokens lagras med branschstandardsäkerhetsåtgärder.

Data som cachelagrats på enheten omfattar appdata, användarinställningar, instrumentpaneler och rapporter som har åtkomst till tidigare sessioner. Cacheminnet lagras i ett begränsat läge i det interna lagringsutrymmet. Cacheminnet är endast tillgängligt för programmet och kan krypteras av operativsystemet.

• iOS: kryptering sker automatiskt när användaren anger en lösenkod.
• Android kryptering kan konfigureras i inställningarna.
• Windows: Kryptering hanteras av BitLocker.

Microsoft Intune kryptering på filnivå kan användas för att förbättra datakryptering. Intune är en programvarutjänst som tillhandahåller hantering av mobila enheter och program. Alla tre mobila plattformar har stöd för Intune. Med Intune aktiverat och konfigurerat krypteras data på den mobila enheten, och själva Power Platform-programmet kan inte installeras på ett SD-kort.

Windows-programmet har även stöd för Windows Information Protection (WIP).

Cachelagrad data raderas när användaren:

• avinstallerar programmet
• loggar ut från Power Platform-tjänsten
• kan inte logga in efter att ett lösenord har ändrats eller en token har förfallit

Omlokalisering aktiveras eller inaktiveras explicit av användaren. Om funktionen är aktiverad sparas inte platsdata på enheten och delas inte med Microsoft.

Aviseringar aktiveras eller inaktiveras uttryckligen av användaren. Om meddelanden är aktiverade Android och iOS inte har stöd för geografiska krav på behörighet för meddelanden.

Power Platform Mobile-tjänsterna har inte åtkomst till andra programmappar eller filer på enheten.

Vissa tokenbaserade autentiseringsdata är tillgängliga för andra Microsoft-program, till exempel Authenticator, för att aktivera enkel inloggning. Dessa data hanteras med Microsoft Entra autentiseringsbibliotek SDK.

Relaterade artiklar

Autentisera för Power Platform-tjänster
Ansluta och autentisera till datakällor
Datalagring i Power Platform
Vanliga frågor och svar om Power Platform säkerhet

Se även

• Säkerhet i Microsoft Dataverse
• Microsoft Online Services-villkor
• Sekretesspolicy för Microsoft Enterprise
• Datasekretess tillägg
• Microsoft Security Development Lifecycle metoder
• Trafikroutningsmetod med prestanda för Azure Traffic Manager
• Microsoft Intune
• Windows Information Protection (WIP)