Power Platform'da veri depolama ve yönetme
İlk olarak, kişisel veriler ile müşteri verilerini ayırt etmek önemlidir.
Kişisel veriler, kişileri tanımlamak için kullanılabilecek bilgilerdir.
Müşteri verileri kişisel verileri ve URL'Ler, meta veriler ve DNS adları gibi çalışan kimlik doğrulaması bilgileri gibi müşteri verilerini içerir.
Veri yerleşimi
Bir Microsoft Entra kiracısı, kuruluşla ve güvenliğiyle ilgili bilgileri barındırır. Bir Microsoft Entra kiracısı Power Platform hizmetlerine kaydolduğunda kiracının seçilen ülke veya bölgesi, Power Platform dağıtımının mevcut olduğu en uygun Azure coğrafyasıyla eşlenir. Power Platform kuruluşların birden çok bölgede hizmet dağıtmakta olduğu durumlar dışında, kiracının atandığı Azure Coğrafi Bölgesi veya ana coğrafi bölgedeki müşteri verilerini depolar.
Bazı kuruluşlar küresel olarak vardır. Örneğin, bir işletmenin merkezi ABD'de yer alır ancak Avustralya'da iş yapıyor olabilir. Yerel yönetmeliklere uymak için, belirli Power Platform verilerinin Avusturalya'da depolanması gerekebilir. Power Platform hizmetleri birden çok Azure coğrafyasına dağıtıldığında bu durum çok coğrafi bölgeli dağıtım olarak ifade edilir. Bu durumda yalnızca ortamla ilgili meta veriler ana coğrafi bölgede depolanır. Bu ortamdaki tüm meta veriler ve ürün verileri uzak coğrafi bölgede depolanır.
Microsoft, veri esnekliği için verileri diğer bölgelere çoğaltabilir. Ancak verilerinizi coğrafi bölge dışına taşımaz veya çoğaltmayız. Diğer bölgelere çoğaltılan veriler, çalışan kimlik doğrulaması bilgileri gibi kişisel olmayan veriler içerebilir.
Power Platform hizmetleri belirli Azure coğrafi bölgelerinde kullanılabilir. Power Platform hizmetlerinin nerelerde sunulduğu, verilerinizin nerede depolandığı ve nasıl kullanıldığı hakkında daha fazla bilgi için Microsoft Güven Merkezi’ne bakın. Bekleyen müşteri verilerinin konumuyla ilgili taahhütler Microsoft Çevrimiçi Hizmet Şartlarının Bilgi İşleme Koşulları bölümünde belirtilir. Microsoft özerk bölgeler için de veri merkezleri sağlar.
Veri işleme
Bu bölümde, Power Platform'un müşteri verilerini nasıl depoladığı, işlediği ve aktardığı açıklanmaktadır.
Bekleyen veriler
Belgede başka bir şekilde belirtilmediği sürece, müşteri verileri özgün kaynağında kalır (örneğin, Dataverse veya SharePoint). Power Platform uygulaması, bir ortamın parçası olarak Azure Depolama'da depolanır. Mobil uygulamalarda kullanılan veriler şifrelenir ve SQL Express'de depolanır. Çoğu durumda, uygulamalar Power Platform hizmet verilerini sürdürmek için Azure Depolama'yı ve hizmet meta verilerini sürdürmek için Azure SQL Veritabanını kullanır. Uygulama kullanıcıları tarafından girilen veriler, hizmetin ilgili veri kaynağında (ör. Dataverse) depolanır.
Power Platform Tarafından sürdürülen tüm veriler, Microsoft tarafından yönetilen anahtarlar kullanılarak varsayılan olarak şifrelenir. Azure SQL Veritabanında depolanan müşteri verileri Azure SQL’in Saydam Veri Şifreleme (TDE) teknolojisi kullanılarak şifrelenir. Azure Blob depolama içinde depolanan müşteri verileri, Azure depolama şifrelemesi kullanılarak şifrelenir.
Veriler işleniyor
Veriler, etkileşimli bir senaryonun parçası olarak veya yenileme gibi bir arkaplan işlemi bu verilere temas ettiğinde işlenir. Power Platform, işlenen verileri bir veya daha fazla hizmet iş yükünün bellek alanına yükler. İş yükünün işlevselliğini kolaylaştırmak için, bellekte depolanan veriler şifrelenmemiştir.
Hareket halindeki veriler
Power Platform, gelen tüm HTTP trafiğinin TLS 1.2 veya sonraki bir kullanılarak şifrelenmesi gerekir. TLS 1.1 veya daha altını kullanmaya çalışan istekler reddedilir.
Gelişmiş güvenlik özellikleri
Bazı Power Platform gelişmiş güvenlik özelliklerinde belirli lisans gereksinimleri vardır.
Hizmet etiketleri
Hizmet etiketi, belirli bir Azure hizmetinden bir grup IP adresi önekini temsil eder. Ağ güvenlik gruplarında veya Azure Güvenlik duvarında ağ erişim denetimlerini tanımlamak için hizmet etiketlerini kullanabilirsiniz.
Hizmet etiketleri, ağ güvenliği kuralları için sık kullanılan güncelleştirmelerin karmaşıklığını en aza indirmeye yardımcı olur. Örneğin, karşılık gelen hizmet için trafiğe izin veren veya erişimi engelleyen bir güvenlik kuralı oluştururken, belirli IP adreslerinin yerine hizmet etiketlerini kullanabilirsiniz.
Microsoft, hizmet etiketi tarafından elde edilen adres öneklerini yönetir ve adres değişikliği olarak hizmet etiketini otomatik olarak güncelleştirir. Daha fazla bilgi edinmek için bkz. Azure IP Aralıkları ve Hizmet Etiketleri - Genel Bulut.
Veri kaybını önleme
Power Platform, verilerinizin güvenliğini yönetmenize yardımcı olacak kapsamlı Veri Kaybı Önleme (DLP) özellikleri içerir.
Depolama Paylaşımlı Erişim İmzası (SAS) IP kısıtlaması
Not
Bu SAS özelliklerinden birini etkinleştirmeden önce müşterilerin https://*.api.powerplatformusercontent.com etki alanına erişime izin vermeleri gerekir aksi takdirde SAS işlevlerinin çoğu çalışmaz.
Bu özellik kümesi, Depolama Paylaşılan Erişim İmzası (SAS) belirteçlerini sınırlayan ve Power Platform yönetim merkezindeki bir menü aracılığıyla denetlenen kiracıya özgü bir işlevselliktir. Bu ayar, IP'ye dayalı olarak kimlerin kurumsal SAS belirteçleri kullanabileceğini kısıtlar.
Bu özellik şu anda özel önizleme aşamasındadır. Genel önizlemenin bu baharın sonlarına doğru yapılması ve genel kullanıma 2024 yazında sunulması planlanıyor. Daha fazla bilgi için bkz. Sürüm Planlayıcı.
Bu ayarlar, yönetim merkezinde ortamın Gizlilik + Güvenlik ayarlarında bulunabilir. IP adresi tabanlı Depolama Paylaşılan Erişim İmzası (SAS) kuralını etkinleştir seçeneğini etkinleştirmeniz gerekir.
Yöneticiler bu ayar için bu dört yapılandırmalardan birini etkinleştirebilir:
| Ayar | Description |
|---|---|
| Yalnızca IP Bağlaması | Bu, SAS anahtarlarını istekte bulunanın IP'siyle kısıtlar. |
| Yalnızca IP Güvenlik Duvarı | Bu, SAS anahtarlarının kullanımını yalnızca yönetici tarafından belirlenen bir aralıkta çalışacak şekilde kısıtlar. |
| IP Bağlama ve Güvenlik Duvarı | Bu, SAS anahtarlarının kullanımını yönetici tarafından belirlenen bir aralıkta ve yalnızca istek sahibinin IP'siyle çalışacak şekilde kısıtlar. |
| IP Bağlama veya Güvenlik Duvarı | Belirtilen aralıkta SAS anahtarlarının kullanılmasına izin verir. İstek aralığın dışından geliyorsa IP Bağlama uygulanır. |
Etkinleştirildiğinde IP Bağlamayı zorlayan ürünler:
- Dataverse
- Power Automate
- Özel Bağlayıcılar
- Power Apps
Kullanıcı deneyiminde etki
Ortamın IP adresi kısıtlamalarını karşılamayan bir kullanıcı bir uygulama açtığında: Kullanıcılar genel bir IP sorununu kaynak gösteren bir hata iletisi alır.
IP adresi kısıtlamalarına uyan bir kullanıcı bir uygulamayı açtığında: Aşağıdaki olaylar oluşur:
- Kullanıcılar, kullanıcıların bir IP ayarı belirlendiğini bildirmek ve ayrıntılar için yöneticiye başvurmak veya bağlantıyı kaybeden sayfaları yenilemek için hızla kaybolacak bir afiş alabilirler.
- Bu güvenlik ayarının kullandığı IP doğrulaması nedeniyle, bazı işlevler kapalı olduğundan daha yavaş performans gösterebilir.
SAS çağrılarının günlüğe kaydedilmesi
Bu ayar, Power Platform içindeki tüm SAS çağrılarının Purview'de günlüğe kaydedilmesini sağlar. Bu günlük kaydı, tüm oluşturma ve kullanım etkinliklerine ilişkin meta verileri gösterir ve yukarıdaki SAS IP kısıtlamalarından bağımsız olarak etkinleştirilebilir. Power Platform hizmetleri şu anda 2024 yılında SAS çağrılarını sunmaktadır.
| Alan adı | Alan açıklaması |
|---|---|
| response.status_message | Olayın başarılı olup olmadığı konusunda bilgi verme: SASSuccess veya SASAuthorizationError. |
| response.status_code | Olayın başarılı olup olmadığı konusunda bilgi verme: 200, 401 veya 500. |
| ip_binding_mode | Etkinse, kiracı yönetici tarafından ayarlanan IP bağlama modu. Yalnızca SAS oluşturma olayları için geçerlidir. |
| admin_provided_ip_ranges | Varsa, kiracı yönetici tarafından ayarlanan IP aralıkları. Yalnızca SAS oluşturma olayları için geçerlidir. |
| computed_ip_filters | IP bağlama modunu ve bir kiracı yönetici tarafından ayarlanan aralıkları temel alan SAS URI'lerine bağlı son IP filtreleri kümesi. Hem SAS oluşturma hem de kullanım olayları için geçerlidir. |
| analytics.resource.sas.uri | Erişmeye veya oluşturulmaya çalışılan veriler. |
| enduser.ip_address | Arayanın genel IP'si. |
| analytics.resource.sas.operation_id | Oluşturma olayından benzersiz tanıtıcı. Buna göre arama yapmak, oluşturma olayından SAS çağrılarına ilişkin tüm kullanım ve oluşturma olaylarını gösterir. "x-ms-sas-operation-id" yanıt üstbilgisine eşlendi. |
| request.service_request_id | İstek veya yanıttan gelen benzersiz tanıtıcı ve tek bir kayıt aramak için kullanılabilir. "x-ms-service-request-id" yanıt üstbilgisine eşlendi. |
| sürüm | Bu günlük şemasının sürümü. |
| Tür | Genel yanıt. |
| analytics.activity.name | Bu olayın aktivite türü şöyleydi: Oluşturma veya Kullanım. |
| analytics.activity.id | Purview'da kaydın benzersiz kimliği. |
| analytics.resource.organization.id | Kuruluş Kimliği |
| analytics.resource.environment.id | Ortam kimliği |
| analytics.resource.tenant.id | Kiracı kimliği |
| enduser.id | Oluşturma olayının oluşturucusunun Microsoft Entra ID'deki GUID. |
| enduser.principal_name | Oluşturanın UPN/e-posta adresi. Kullanım olayları için bu genel bir yanıttır: "system@powerplatform". |
| enduser.role | Genel yanıt: Oluşturma olayları için Normal ve kullanım olayları için Sistem. |
İlgili makaleler
Microsoft Power Platform uygulamasında güvenlik
Power Platform hizmetlerinde kimlik doğrulama
Veri kaynaklarına bağlanma ve kimlik doğrulama
Power Platform güvenliği hakkında SSS
Ayrıca bkz.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin