Chia sẻ qua

Lưu trữ và quản trị dữ liệu trong Power Platform

Power Platform xử lý cả dữ liệu cá nhândữ liệu khách hàng. Tìm hiểu thêm về dữ liệu cá nhân và dữ liệu khách hàng tại Trung tâm tin cậy của Microsoft.

Vị trí dữ liệu

Người thuê lưu trữ thông tin liên quan đến một tổ chức và bảo mật của tổ chức đó. Microsoft Entra Khi Microsoft Entra người thuê đăng ký Power Platform dịch vụ, quốc gia hoặc khu vực được người thuê chọn sẽ được ánh xạ tới vị trí địa lý Azure phù hợp nhất nơi có Power Platform việc triển khai diễn ra. Power Platform lưu trữ dữ liệu khách hàng trong vùng địa lý Azure được chỉ định của người thuê hoặc vùng địa lý nhà, trừ khi các tổ chức triển khai dịch vụ ở nhiều vùng.

Một số tổ chức hoạt động trên toàn cầu. Ví dụ, một doanh nghiệp có thể có trụ sở chính tại Hoa Kỳ nhưng lại kinh doanh tại Úc. Doanh nghiệp này có thể cần lưu trữ dữ liệu nhất định trong Power Platform ở Úc để tuân thủ các quy định của địa phương. Khi các dịch vụ của Power Platform được triển khai ở nhiều khu vực địa lý trên Azure, đây gọi là triển khai đa khu vực địa lý . Trong trường hợp này, chỉ siêu dữ liệu liên quan đến môi trường mới được lưu trữ trong khu vực địa lý chính. Tất cả siêu dữ liệu và dữ liệu sản phẩm trong môi trường đó được lưu trữ trong khu vực địa lý từ xa.

Power Platform các dịch vụ có sẵn ở một số khu vực địa lý Azure nhất định. Để biết thêm thông tin về nơi cung cấp dịch vụ, nơi dữ liệu của bạn được lưu trữ và sao chép để đảm bảo khả năng phục hồi cũng như cách sử dụng dữ liệu, hãy truy cập Power Platform Trung tâm tin cậy của Microsoft . Cam kết về vị trí lưu trữ dữ liệu khách hàng được nêu trong Điều khoản xử lý dữ liệu của Điều khoản dịch vụ trực tuyến của Microsoft. Microsoft cũng cung cấp trung tâm dữ liệu cho các tổ chức có chủ quyền.

Xử lý dữ liệu

Phần này trình bày cách Power Platform lưu trữ, xử lý và truyền dữ liệu khách hàng.

Dữ liệu tĩnh

Trừ khi có quy định khác trong tài liệu, dữ liệu khách hàng luôn nằm trong nguồn ban đầu (ví dụ: Dataverse hoặc SharePoint). Power Platform ứng dụng được lưu trữ trong Azure Storage như một phần của môi trường. Dữ liệu ứng dụng di động được mã hóa và lưu trữ trong SQL Express. Trong hầu hết các trường hợp, các ứng dụng đều dùng Azure Storage để duy trì dữ liệu dịch vụ Power Platform và Cơ sở dữ liệu Azure SQL nhằm duy trì siêu dữ liệu dịch vụ. Dữ liệu do người dùng ứng dụng nhập được lưu trữ trong nguồn dữ liệu tương ứng cho dịch vụ, chẳng hạn như Dataverse.

Power Platform mã hóa tất cả dữ liệu được lưu trữ theo mặc định bằng các khóa do Microsoft quản lý. Dữ liệu khách hàng lưu trữ trong Cơ sở dữ liệu Azure SQL được mã hóa hoàn toàn bằng công nghệ Mã hóa dữ liệu minh bạch (TDE) của Azure SQL. Dữ liệu khách hàng lưu trữ trong Azure Blob Storage được mã hóa bằng tính năng mã hóa của Azure Storage.

Dữ liệu đang xử lý

Dữ liệu đang trong quá trình xử lý khi được dùng như một phần của một trường hợp tương tác hoặc khi một quy trình nền (chẳng hạn như làm mới) chạm vào dữ liệu. Power Platform tải dữ liệu đang xử lý vào dung lượng bộ nhớ của một hoặc nhiều khối lượng công việc dịch vụ. Để hỗ trợ chức năng của khối lượng công việc, dữ liệu lưu trữ trong bộ nhớ không được mã hóa.

Dữ liệu đang truyền

Power Platform mã hóa tất cả lưu lượng HTTP đến bằng TLS 1.2 trở lên. Những yêu cầu tìm cách sử dụng TLS 1.1 trở xuống đều bị từ chối.

Tính năng bảo mật nâng cao

Một số tính năng bảo mật nâng cao của Power Platform có thể có các yêu cầu cấp phép cụ thể.

Thẻ dịch vụ

Thẻ dịch vụ là một nhóm tiền tố địa chỉ IP từ một dịch vụ Azure cụ thể. Bạn có thể sử dụng thẻ dịch vụ để xác định các chế độ kiểm soát truy cập mạng trên Nhóm bảo mật mạng hoặc Tường lửa Azure.

Thẻ dịch vụ giúp giảm bớt sự phức tạp khi thường xuyên cập nhật quy tắc bảo mật mạng. Bạn có thể sử dụng thẻ dịch vụ thay cho địa chỉ IP cụ thể khi tạo các quy tắc bảo mật, chẳng hạn như cho phép hoặc từ chối lưu lượng truy cập cho dịch vụ tương ứng.

Microsoft quản lý tiền tố địa chỉ trong thẻ dịch vụ và tự động cập nhật khi địa chỉ thay đổi. Để biết thêm thông tin, hãy xem bài viết Dải IP và thẻ dịch vụ trên Azure – Đám mây công cộng.

Chính sách dữ liệu

Power Platform bao gồm các tính năng chính sách dữ liệu mở rộng để giúp quản lý bảo mật dữ liệu.

Hạn chế IP của chữ ký truy cập chia sẻ lưu trữ (SAS)

Lưu ý

Trước khi kích hoạt bất kỳ tính năng SAS nào trong số này, khách hàng phải cấp quyền truy cập vào https://*.api.powerplatformusercontent.com miền, nếu không hầu hết các chức năng của SAS sẽ không hoạt động.

Bộ tính năng này là chức năng dành riêng cho người thuê, hạn chế mã thông báo Chữ ký truy cập chia sẻ lưu trữ (SAS) và được kiểm soát thông qua menu trong Power Platform trung tâm quản trị. Thiết lập này hạn chế những ai có thể sử dụng mã thông báo SAS doanh nghiệp dựa trên IP (IPv4 và IPv6).

Bạn có thể tìm thấy các cài đặt này trong phần cài đặt Quyền riêng tư + Bảo mật của môi trường trong trung tâm quản trị. Bạn phải bật tùy chọn Kích hoạt quy tắc Chữ ký truy cập chia sẻ lưu trữ (SAS) dựa trên địa chỉ IP .

Quản trị viên có thể chọn một trong bốn tùy chọn sau cho cài đặt này:

Tùy chọn Thiết đặt Description
1 Chỉ liên kết IP Điều này hạn chế khóa SAS chỉ áp dụng cho IP của người yêu cầu.
2 Chỉ tường lửa IP Điều này hạn chế việc sử dụng khóa SAS chỉ hoạt động trong phạm vi do quản trị viên chỉ định.
3 Liên kết IP và Tường lửa Điều này hạn chế việc sử dụng khóa SAS trong phạm vi do quản trị viên chỉ định và chỉ áp dụng cho IP của người yêu cầu.
Tệp 4 Liên kết IP hoặc Tường lửa Cho phép sử dụng khóa SAS trong phạm vi được chỉ định. Nếu yêu cầu đến từ bên ngoài phạm vi, IP Binding sẽ được áp dụng.

Lưu ý

Quản trị viên chọn cho phép Tường lửa IP (Tùy chọn 2, 3 và 4 được liệt kê trong bảng trên) phải nhập cả dải IPv4 và IPv6 của mạng của họ để đảm bảo phạm vi phủ sóng phù hợp cho người dùng.

Cảnh báo

Tùy chọn 1 và 3 sử dụng IP Binding, tính năng này không hoạt động chính xác nếu khách hàng có các cổng hỗ trợ IP Pools, Reverse Proxy hoặc Network Address Translation (NAT) được sử dụng trong mạng của họ. Điều này dẫn đến việc địa chỉ IP của người dùng thay đổi quá thường xuyên khiến người yêu cầu không thể có cùng một IP một cách đáng tin cậy giữa các hoạt động đọc/ghi của SAS.

Tùy chọn 2 và 4 hoạt động như mong đợi.

Các sản phẩm thực thi IP Binding khi được bật:

  • Dataverse
  • Power Automate
  • Trình kết nối Tùy chỉnh
  • Power Apps

Tác động đến trải nghiệm của người dùng

  • Khi người dùng không đáp ứng các hạn chế về địa chỉ IP của môi trường mở ứng dụng: Người dùng sẽ nhận được thông báo lỗi nêu rõ sự cố IP chung.

  • Khi người dùng đáp ứng các hạn chế về địa chỉ IP mở một ứng dụng: Các sự kiện sau sẽ xảy ra:

    • Người dùng có thể nhận được biểu ngữ biến mất nhanh chóng để thông báo cho họ biết cài đặt IP đã được thiết lập và liên hệ với quản trị viên để biết chi tiết hoặc làm mới bất kỳ trang nào bị mất kết nối.
    • Quan trọng hơn, do xác thực IP mà cài đặt bảo mật này sử dụng nên một số chức năng có thể hoạt động chậm hơn so với khi tắt.

Cập nhật cài đặt theo chương trình

Quản trị viên có thể sử dụng tính năng tự động hóa để thiết lập và cập nhật cả cài đặt liên kết IP so với cài đặt tường lửa, phạm vi IP được phép và nút chuyển đổi Ghi nhật ký . Tìm hiểu thêm trong Hướng dẫn: Tạo, cập nhật và liệt kê Cài đặt quản lý môi trường.

Ghi nhật ký các cuộc gọi SAS

Thiết lập này cho phép tất cả các cuộc gọi SAS trong Power Platform được ghi vào Purview. Việc ghi nhật ký này hiển thị siêu dữ liệu có liên quan cho tất cả các sự kiện tạo và sử dụng và có thể được bật độc lập với các hạn chế IP SAS nêu trên. Power Platform các dịch vụ hiện đang triển khai cuộc gọi SAS vào năm 2024.

Tên trường Mô tả trường
Phản hồi.status_message Thông báo sự kiện thành công hay không: SASSuccess hoặc SASAuthorizationError.
mã_trạng_thái_phản_ứng Thông báo sự kiện thành công hay không: 200, 401 hoặc 500.
Chế độ liên kết ip Chế độ liên kết IP do quản trị viên đối tượng thuê thiết lập nếu được bật. Chỉ áp dụng cho các sự kiện tạo SAS.
admin_provided_ip_ranges Phạm vi IP do quản trị viên đối tượng thuê đặt, nếu có. Chỉ áp dụng cho các sự kiện tạo SAS.
Bộ lọc ip được tính toán Bộ lọc IP cuối cùng được liên kết với URI SAS dựa trên chế độ liên kết IP và phạm vi do quản trị viên thuê bao thiết lập. Áp dụng cho cả sự kiện tạo và sử dụng SAS.
analytics.resource.sas.uri Dữ liệu đang cố gắng truy cập hoặc tạo ra.
enduser.ip_address Địa chỉ IP công khai của người gọi.
analytics.resource.sas.operation_id Mã định danh duy nhất từ sự kiện tạo. Tìm kiếm theo mục này sẽ hiển thị tất cả các sự kiện sử dụng và tạo liên quan đến các lệnh gọi SAS từ sự kiện tạo. Đã ánh xạ tới tiêu đề phản hồi "x-ms-sas-operation-id".
Yêu cầu.service_request_id Mã định danh duy nhất từ yêu cầu hoặc phản hồi và có thể được sử dụng để tra cứu một bản ghi duy nhất. Đã ánh xạ tới tiêu đề phản hồi "x-ms-service-request-id".
phiên bản Phiên bản lược đồ nhật ký này.
loại Phản hồi chung.
analytics.activity.name Loại hoạt động của sự kiện này là: Tạo hoặc Sử dụng.
analytics.activity.id ID duy nhất của bản ghi trong Purview.
analytics.resource.organization.id ID Tổ chức
analytics.resource.environment.id ID môi trường
analytics.resource.tenant.id ID Đối tượng thuê
enduser.id GUID từ ID của người tạo từ sự kiện tạo. Microsoft Entra
enduser.principal_name UPN/địa chỉ email của người tạo. Đối với các sự kiện sử dụng, đây là phản hồi chung: "system@powerplatform".
enduser.role Phản hồi chung: Thông thường cho các sự kiện tạo và Hệ thống cho các sự kiện sử dụng.

Bật ghi nhật ký kiểm tra Purview

Để nhật ký hiển thị trong phiên bản Purview của bạn, trước tiên bạn phải chọn hiển thị nhật ký cho từng môi trường mà bạn muốn hiển thị nhật ký. Cài đặt này có thể được cập nhật trong Power Platform trung tâm quản trị bởi người quản trị đối tượng thuê.

  1. Đăng nhập vào trung tâm quản trị Power Platform bằng thông tin đăng nhập quản trị viên đối tượng thuê.
  2. Trong ngăn điều hướng, chọn Quản lý.
  3. Trong ngăn Quản lý , chọn Môi trường.
  4. Chọn môi trường mà bạn muốn bật tính năng ghi nhật ký quản trị.
  5. Chọn Cài đặt trong thanh lệnh.
  6. Chọn Sản phẩm>Quyền riêng tư + Bảo mật.
  7. Trong Cài đặt bảo mật chữ ký truy cập chia sẻ lưu trữ (SAS) (Xem trước), hãy bật tính năng Bật ghi nhật ký SAS trong phạm vi quyền hạn .

Tìm kiếm nhật ký kiểm tra

Người quản lý thuê bao có thể sử dụng Purview để xem nhật ký kiểm tra được phát ra cho các hoạt động SAS và có thể tự chẩn đoán các lỗi có thể được trả về trong các sự cố xác thực IP. Nhật ký phạm vi là giải pháp đáng tin cậy nhất.

Sử dụng các bước sau để chẩn đoán sự cố hoặc hiểu rõ hơn về mô hình sử dụng SAS trong đối tượng thuê của bạn.

  1. Đảm bảo tính năng ghi nhật ký kiểm tra được bật cho môi trường. Xem Bật ghi nhật ký kiểm tra Purview.

  2. Truy cập cổng thông tin tuân thủ Microsoft Purview và đăng nhập bằng thông tin đăng nhập của quản trị viên đối tượng thuê.

  3. Trong ngăn điều hướng bên trái, chọn Kiểm toán. Nếu bạn không sử dụng được tùy chọn này, điều đó có nghĩa là người dùng đã đăng nhập không có quyền quản trị để truy vấn nhật ký kiểm tra.

  4. Chọn phạm vi ngày và giờ theo UTC để tìm kiếm nhật ký. Ví dụ, khi lỗi 403 Forbidden có mã lỗi unauthorized_caller được trả về.

  5. Từ danh sách thả xuống Hoạt động - tên thân thiện , hãy tìm kiếm Power Platform hoạt động lưu trữ và chọn URI SAS đã tạoURI SAS đã sử dụng.

  6. Chỉ định một từ khóa trong Tìm kiếm từ khóa. Xem Bắt đầu tìm kiếm trong tài liệu Purview để tìm hiểu thêm về trường này. Bạn có thể sử dụng giá trị từ bất kỳ trường nào được mô tả trong bảng trên tùy thuộc vào tình huống của bạn, nhưng dưới đây là các trường được đề xuất để tìm kiếm (theo thứ tự ưu tiên):

    • Giá trị của tiêu đề phản hồi x-ms-service-request-id . Thao tác này lọc kết quả thành một sự kiện Tạo URI SAS hoặc một sự kiện sử dụng URI SAS, tùy thuộc vào loại yêu cầu mà tiêu đề đến từ đó. Điều này hữu ích khi điều tra lỗi 403 Forbidden được trả về cho người dùng. Nó cũng có thể được sử dụng để lấy giá trị powerplatform.analytics.resource.sas.operation_id .
    • Giá trị của tiêu đề phản hồi x-ms-sas-operation-id . Thao tác này lọc kết quả thành một sự kiện tạo SAS URI và một hoặc nhiều sự kiện sử dụng cho SAS URI đó tùy thuộc vào số lần truy cập. Nó ánh xạ tới trường powerplatform.analytics.resource.sas.operation_id .
    • URI SAS đầy đủ hoặc một phần, không có chữ ký. Điều này có thể trả về nhiều lần tạo URI SAS và nhiều sự kiện sử dụng URI SAS, vì cùng một URI có thể được yêu cầu tạo nhiều lần tùy theo nhu cầu.
    • Địa chỉ IP của người gọi. Trả về tất cả các sự kiện tạo và sử dụng cho IP đó.
    • ID môi trường. Điều này có thể trả về một tập dữ liệu lớn trải dài trên nhiều dịch vụ khác nhau của Power Platform, vì vậy hãy tránh nếu có thể hoặc cân nhắc thu hẹp cửa sổ tìm kiếm.

    Cảnh báo

    Chúng tôi không khuyên bạn nên tìm kiếm Tên người dùng chính hoặc ID đối tượng vì những thông tin này chỉ được truyền đến các sự kiện tạo, không phải sự kiện sử dụng.

  7. Chọn Tìm kiếm và đợi kết quả xuất hiện.

    Một tìm kiếm mới

Cảnh báo

Việc nhập nhật ký vào Purview có thể bị trì hoãn tới một giờ hoặc hơn, vì vậy hãy lưu ý điều này khi tìm kiếm các sự kiện gần đây.

Khắc phục lỗi 403 Forbidden/unauthorized_caller

Bạn có thể sử dụng nhật ký tạo và sử dụng để xác định lý do tại sao cuộc gọi dẫn đến lỗi 403 Forbidden với mã lỗi unauthorized_caller .

  1. Tìm nhật ký trong Purview như đã mô tả ở phần trước. Hãy cân nhắc sử dụng x-ms-service-request-id hoặc x-ms-sas-operation-id từ tiêu đề phản hồi làm từ khóa tìm kiếm.
  2. Mở sự kiện sử dụng, URI SAS đã sử dụng và tìm trường powerplatform.analytics.resource.sas.computed_ip_filters trong PropertyCollection. Phạm vi IP này là thứ mà lệnh gọi SAS sử dụng để xác định xem yêu cầu có được phép tiếp tục hay không.
  3. So sánh giá trị này với trường Địa chỉ IP của nhật ký, đây là thông tin đủ để xác định lý do yêu cầu không thành công.
  4. Nếu bạn cho rằng giá trị của powerplatform.analytics.resource.sas.computed_ip_filters không chính xác, hãy tiếp tục thực hiện các bước tiếp theo.
  5. Mở sự kiện tạo, URI SAS đã tạo, bằng cách tìm kiếm bằng giá trị tiêu đề phản hồi x-ms-sas-operation-id (hoặc giá trị của trường powerplatform.analytics.resource.sas.operation_id từ nhật ký tạo).
  6. Lấy giá trị của trường powerplatform.analytics.resource.sas.ip_binding_mode . Nếu mục này bị thiếu hoặc trống, điều đó có nghĩa là liên kết IP không được bật cho môi trường đó tại thời điểm yêu cầu cụ thể đó.
  7. Lấy giá trị của powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Nếu bị thiếu hoặc để trống, điều đó có nghĩa là phạm vi tường lửa IP không được chỉ định cho môi trường đó tại thời điểm yêu cầu cụ thể đó.
  8. Lấy giá trị của powerplatform.analytics.resource.sas.computed_ip_filters, giá trị này phải giống hệt với sự kiện sử dụng và được suy ra dựa trên chế độ liên kết IP và phạm vi tường lửa IP do quản trị viên cung cấp. Xem logic suy ra trong Lưu trữ và quản trị dữ liệu trong Power Platform.

Thông tin này giúp người quản lý đối tượng thuê sửa bất kỳ cấu hình sai nào trong cài đặt liên kết IP của môi trường.

Cảnh báo

Những thay đổi về cài đặt môi trường cho liên kết IP SAS có thể mất ít nhất 30 phút mới có hiệu lực. Có thể nhiều hơn nếu các nhóm đối tác có bộ nhớ đệm riêng.

Tổng quan về bảo mật
Xác thực với các dịch vụ Power Platform
Kết nối và xác thực với các nguồn dữ liệu
Power Platform câu hỏi thường gặp về bảo mật

Xem thêm

  • Last updated on