Поділитися через

Зберігання даних і керування ними в Power Platform

  • Стаття

По-перше, важливо розрізняти особисті дані й дані клієнтів.

  • Особисті дані – це відомості про осіб, які можна використовувати для їх ідентифікації.

  • Дані клієнта охоплюють особисті дані та інші відомості про клієнта, зокрема URL-адреси, метадані та відомості про автентифікацію працівників, наприклад імена DNS.

Місце зберігання даних

Орендар Microsoft Entra розміщує інформацію, яка має відношення до організації та її безпеки. Microsoft Entra Коли клієнт реєструється для отримання Power Platform послуг, вибрана ним країна або регіон зіставляється з найбільш підходящим географічним регіоном Azure, де Power Platform існує розгортання. Power Platform зберігає дані клієнтів у призначеному географічному регіоні Azure або географічному розташуванні клієнта, за винятком випадків, коли організація розгортає служби в кількох регіонах.

Деякі організації ведуть діяльність по всьому світу. Наприклад, головний офіс компанії може розташовуватися в Сполучених Штатах, але вести діяльність вона може в Австралії. Для цього може знадобитися, щоб певні дані Power Platform зберігалися в Австралії згідно з місцевими правилами. Якщо служби Power Platform розгортаються в кількох географічних регіонах Azure, це називається мультирегіональним розгортанням. У цьому разі в домашньому географічному розташуванні зберігаються лише ті метадані, які пов’язано із середовищем. Усі метадані та дані продуктів у цьому середовищі зберігаються у віддаленому географічному розташуванні.

Корпорація Майкрософт може переносити копію даних в інші регіони для забезпечення стійкості даних. Проте ми не дублюємо й не переміщуємо особисті дані поза географічне розташування. Дані, відтворені в інші регіони, можуть включати неперсональні дані, такі як інформація для автентифікації працівника.

Служби Power Platform доступні в конкретних географічних регіонах Azure. Щоб отримати додаткові відомості про доступність служб Power Platform, місце збереження даних та спосіб їх використання, перейдіть до центру безпеки та конфіденційності Microsoft. Зобов’язання щодо розташування даних клієнтів у стані спокою зазначено в розділі «Умови обробки даних» документу Умови використання онлайнових служ Microsoft. Корпорація Майкрософт також пропонує послуги центрів обробки даних для суверенних одиниць.

Обробка даних

У цьому розділі описано, як Power Platform зберігає, обробляє та передає дані клієнтів.

Дані, що зберігаються

Якщо інше не зазначено в документації, дані клієнтів залишаються у вихідному джерелі (наприклад, Dataverse або SharePoint). Програма Power Platform зберігається в сховищі Azure як складова середовища. Дані, які використовуються в мобільних програмах, шифруються та зберігаються в SQL Express. Здебільшого програми використовують сховище Azure для зберігання даних служб Power Platform і базу даних SQL Azure для зберігання метаданих служби. Дані, введені користувачами програми, зберігаються у відповідному джерелі даних, як-от Dataverse.

Дані, які зберігаються в Power Platform, шифруються за замовчуванням за допомогою ключів, керованих корпорацією Microsoft. Дані клієнтів, які зберігаються в базі даних SQL Azure, повністю шифруються за допомогою технології прозорого шифрування даних (Transparent Data Encryption, TDE) Azure SQL . Дані клієнтів, що зберігаються в сховищі BLOB-об’єктів Azure, шифруються за допомогою технології шифрування сховища Azure.

Дані, що оброблюються

Дані оброблюються, якщо вони використовуються в рамках інтерактивного сценарію, або якщо їх задіяно у фоновому процесі, як-от оновлення. Power Platform завантажує дані, що оброблюються, у простір пам’яті одного або кількох робочих навантажень служб. Щоб сприяти функціональності робочого навантаження, дані, що зберігаються в пам’яті, не шифруються.

Дані, що передаються

Power Platform вимагає, щоб увесь вхідний http-трафік було зашифровано за допомогою TLS версії 1.2 або вище. Запити, в яких використовується TLS версії 1.1 або нижче, буде відхилено.

Розширені функції безпеки

Деякі розширені функції безпеки Power Platform мають певні ліцензійні вимоги.

Теги служб

Тег служби є групою префіксів IP-адрес із вказаної служби Azure. За допомогою тегів служб можна визначити елементи керування доступом до мережі в групах безпеки мережі або брандмауері Azure.

Теги служб допомагають мінімізувати складність частих оновлень правил безпеки мережі. Під час створення правил безпеки можна використовувати теги служб замість певних IP-адрес, наприклад, щоб дозволити або відхилити трафік для відповідної служби.

Корпорація Майкрософт керує префіксами адрес, які містяться в тегі служби, і автоматично оновлює тег служби за зміни адреси. Додаткові відомості див. в розділі Діапазони IP-адрес і теги служб Azure – загальнодоступна хмара.

Захист від втрати даних

Power Platform має широкий набір функцій захисту від втрати даних (DLP), які допомагають керувати безпекою даних.

Обмеження IP-адреси зі спільним доступом до сховища (SAS)

Нотатка

Перш ніж активувати будь-яку з цих функцій SAS, клієнти повинні спочатку дозволити доступ до домену https://*.api.powerplatformusercontent.com , інакше більшість функцій SAS не працюватимуть.

Цей набір функцій є специфічним для клієнта функціоналом, який обмежує токени підпису спільного доступу до сховища (SAS) і керується через меню в Power Platform центрі адміністрування. Цей параметр обмежує тих, хто може використовувати корпоративні токени SAS на основі IP-адреси.

Наразі ця функція доступна в приватному підготовча версії. Загальнодоступна підготовча версія запланована на кінець цієї весни, а загальна доступність запланована на літо 2024 року. Щоб отримати додаткові відомості, перегляньте статтю Планувальник випусків.

Ці налаштування можна знайти в налаштуваннях Конфіденційність + Безпека середовища в Центрі адміністрування. Потрібно ввімкнути параметр Увімкнути правило спільного доступу до сховища на основі IP-адреси (SAS).

Адміністратори можуть увімкнути одну з цих чотирьох конфігурацій для цього параметра:

Налаштування Опис
Тільки прив’язка IP Це обмежує доступ ключів SAS до IP-адреси запитувача.
Тільки IP-брандмауер Це обмежує використання ключів SAS лише для роботи в діапазоні, вказаному адміністратором.
Прив’язка IP та брандмауер Це обмежує використання ключів SAS для роботи в діапазоні, вказаному адміністратором, і лише до IP-адреси запитувача.
Прив’язка IP або брандмауер Дозволяє використовувати ключі SAS у вказаному діапазоні. Якщо запит надходить з-за меж діапазону, застосовується прив’язка IP.

Продукти, які використовують прив’язку IP, коли ввімкнено:

  • Dataverse
  • Power Automate
  • Настроювані з’єднувачі
  • Power Apps

Вплив на користувацький досвід

  • Коли користувач, який не відповідає обмеженням IP-адреси середовища, відкриває програму: користувачі отримують повідомлення про помилку з посиланням на загальну проблему з IP-адресою.

  • Коли користувач, який відповідає обмеженням IP-адреси, відкриває програму: Відбуваються такі події:

    • Користувачі можуть отримати банер, який швидко зникне, повідомляючи про те, що налаштування IP-адреси було встановлено, і зв’язатися з адміністратором для отримання детальної інформації або оновлення будь-яких сторінок, які втрачають з’єднання.
    • Що ще важливіше, через перевірку IP, яку використовує цей параметр безпеки, деякі функції можуть працювати повільніше, ніж якби його було вимкнено.

Ведення журналу дзвінків SAS

Цей параметр дозволяє входити в Purview всі виклики SAS всередині Power Platform . Це ведення журналу показує відповідні метадані для всіх подій створення та використання і може бути включено незалежно від вищезазначених обмежень SAS IP. Power Platform Наразі сервіси впроваджують дзвінки SAS у 2024 році.

Назва поля Опис поля
response.status_message Інформування про те, чи був захід успішним чи ні: SASSuccess або SASAuthorizationError.
response.status_code Інформування про те, чи пройшов захід успішно, чи ні: 200, 401 або 500.
ip_binding_mode Режим прив’язки IP встановлюється адміністратором клієнта, якщо він увімкнений. Застосовується лише до подій створення SAS.
admin_provided_ip_ranges Діапазони IP-адрес, установлені адміністратором клієнта, якщо такі є. Застосовується лише до подій створення SAS.
computed_ip_filters Остаточний набір IP-фільтрів, прив’язаних до SAS URI, на основі режиму прив’язки IP та діапазонів, встановлених адміністратором клієнта. Застосовується як до подій створення, так і до використання SAS.
analytics.resource.sas.uri Дані, до яких намагалися отримати доступ або створити.
enduser.ip_address Публічна IP-адреса абонента.
analytics.resource.sas.operation_id Унікальний ідентифікатор події створення. Пошук за цим показує всі події використання та створення, пов’язані з викликами SAS з події створення. Зіставлено із заголовком відповіді відповіді "x-ms-sas-operation-id".
request.service_request_id Унікальний ідентифікатор із запиту або відповіді і може використовуватися для пошуку окремого запису. Зіставлено із заголовком відповіді "x-ms-service-request-id".
версія Версія цієї схеми журналу.
тип Загальна відповідь.
analytics.activity.name Тип активності цього заходу був: Creation або Usage.
analytics.activity.id Унікальний ідентифікатор запису в Purview.
analytics.resource.organization.id Ідентифікатор організації
analytics.resource.environment.id Ідентифікатор середовища
analytics.resource.tenant.id Ідентифікатор клієнта
enduser.id GUID з Microsoft Entra ID автора з події створення.
enduser.principal_name UPN або адреса електронної пошти автора. Для подій використання це загальний відповідь: "system@powerplatform".
кінцевий користувач.роль Загальна відповідь: Регулярна для подій створення та Система для подій використання.

Увімкнення журналювання аудиту Purview

Щоб журнали відображалися у вашому екземплярі Purview, спочатку потрібно ввімкнути його для кожного середовища, для якого ви хочете вести журнали. Цей параметр може бути оновлено в Power Platform Центрі адміністрування адміністратором клієнта.

  1. Перейдіть до Power Platform Центру адміністрування та увійдіть за допомогою облікових даних адміністратора клієнта.
  2. На панелі навігації ліворуч виберіть Середовища.
  3. Виберіть середовище, для якого потрібно ввімкнути ведення журналу адміністратора.
  4. Виберіть Налаштування на панелі команд.
  5. Виберіть Конфіденційність продукту>+ Безпека.
  6. У розділі Параметри безпеки спільного доступу до сховища (SAS) (підготовча версія) увімкніть функцію Увімкнути реєстрацію SAS у Purview .

Журнали пошукового аудиту

Адміністратори клієнтів можуть використовувати Purview для перегляду журналів аудиту, виданих для операцій SAS, і можуть самостійно діагностувати помилки, які можуть бути повернуті в разі проблем з перевіркою IP. Логи в Purview є найнадійнішим рішенням.

Виконайте наведені нижче дії, щоб діагностувати проблеми або краще зрозуміти закономірності використання SAS у вашому клієнті.

  1. Переконайтеся, що для середовища ввімкнуто ведення журналу аудиту. Перегляньте розділ Увімкнення журналювання аудиту Purview.

  2. Перейдіть на портал відповідності Microsoft Purview та увійдіть за допомогою облікових даних адміністратора клієнта.

  3. В області навігації ліворуч виберіть Аудит. Якщо цей параметр недоступний, це означає, що користувач, який увійшов у систему, не має права адміністратора до журналів аудиту запитів.

  4. Виберіть діапазон дат і часу в UTC, коли ви намагаєтеся знайти журнали. Наприклад, коли поверталася помилка 403 Forbidden з кодом помилки unauthorized_caller .

  5. У випадаючому списку Дії - дружні назви знайдіть Power Platform операції зберігання та виберіть Created SAS URI та Used SAS URI.

  6. Укажіть ключове слово в полі Пошук за ключовими словами. Перегляньте розділ Початок роботи з пошуком у документації Purview, щоб дізнатися більше про це поле. Ви можете використовувати значення з будь-якого з полів, описаних у таблиці вище, залежно від вашого сценарію, але нижче наведено рекомендовані поля для пошуку (у порядку переваг):

    • Значення заголовка x-ms-service-request-idвідповіді . Це фільтрує результати за однією подією створення SAS URI або однією подією використання SAS URI, залежно від типу запиту, з якого запиту походить заголовок. Це корисно під час розслідування помилки 403 Prohibited, яка повертається користувачеві. Його також можна використовувати для отримання значення powerplatform.analytics.resource.sas.operation_id .
    • Значення заголовка x-ms-sas-operation-idвідповідь . Це фільтрує результати до однієї події створення SAS URI та однієї або кількох подій використання для цього SAS URI залежно від того, скільки разів до нього було отримано доступ. Він відображає поле powerplatform.analytics.resource.sas.operation_id .
    • Повний або частковий SAS URI, за вирахуванням підпису. Це може повернути багато створень SAS URI та багато подій використання SAS URI, оскільки можна запитувати один і той самий URI для генерації стільки разів, скільки потрібно.
    • IP-адреса абонента. Повертає всі події створення та використання для цієї IP-адреси.
    • Ідентифікатор середовища. Це може повернути великий набір даних, які можуть охоплювати багато різних пропозицій Power Platform, тому уникайте, якщо це можливо, або подумайте про звуження вікна пошуку.

    Попередження

    Ми не рекомендуємо шукати ім’я учасника користувача або ідентифікатор об’єкта, оскільки вони поширюються лише на події створення, а не на події використання.

  7. Виберіть Пошук і дочекайтеся появи результатів.

    Новий запит

Попередження

Потрапляння в Purview може затягнутися на годину або більше, тому майте це на увазі, коли шукаєте останні події.

Усунення помилки 403 Forbidden/unauthorized_caller

За допомогою журналів створення та використання можна визначити, чому виклик може призвести до помилки 403 Forbidden із кодом помилки unauthorized_caller .

  1. Знайдіть журнали в Purview, як описано в попередньому розділі. Розгляньте можливість використання x-ms-service-request-id або x-ms-sas-operation-id із заголовків відповідей як ключове слово пошуку.
  2. Відкрийте подію використання, Used SAS URI, і знайдіть поле powerplatform.analytics.resource.sas.computed_ip_filters під PropertyCollection. Цей діапазон IP використовується під час виклику SAS для визначення того, чи дозволено запит продовжувати.
  3. Порівняйте це значення з полем IP-адреси журналу, якого має бути достатньо для визначення причини помилки запиту.
  4. Якщо ви вважаєте, що значення powerplatform.analytics.resource.sas.computed_ip_filters неправильне, перейдіть до наступних кроків.
  5. Відкрийте подію створення,Created SAS URI, виконавши пошук за допомогою значення заголовка x-ms-sas-operation-id відповідь (або значення поля powerplatform.analytics.resource.sas.operation_id з журналу створення).
  6. Отримати значення поля powerplatform.analytics.resource.sas.ip_binding_mode . Якщо він відсутній або порожній, це означає, що прив’язка IP не була включена для цього середовища під час конкретного запиту.
  7. Отримайте значення powerplatform.analytics.resource.sas.admin_provided_ip_ranges . Якщо він відсутній або порожній, це означає, що діапазони IP-брандмауера не були вказані для цього середовища на момент конкретного запиту.
  8. Отримайте значення powerplatform.analytics.resource.sas.computed_ip_filters , яке має бути ідентичним події використання та виводиться на основі режиму прив’язки IP та діапазонів IP-брандмауерів, наданих адміністратором. Дивіться логіку виведення в Зберіганні та управлінні даними в Power Platform.

Це має надати адміністраторам клієнта достатньо інформації для виправлення будь-яких неправильних налаштувань середовища для прив’язки IP-адрес.

Попередження

Зміни, внесені в налаштування середовища для прив’язки IP SAS, можуть вступити в силу не менше 30 хвилин. Могло б бути й більше, якби партнерські команди мали власний кеш.

Безпека в Microsoft Power Platform
Автентифікація в службах Power Platform
Підключення до джерел даних і автентифікація в них
Безпека Power Platform: запитання й відповіді

Див. також