Lưu trữ và quản trị dữ liệu trong Power Platform

Trước tiên, bạn cần phải phân biệt giữa dữ liệu cá nhân và dữ liệu khách hàng.

• Dữ liệu cá nhân là thông tin về một người có thể được sử dụng để nhận dạng họ.

• Dữ liệu khách hàng bao gồm dữ liệu cá nhân và thông tin khách hàng khác, bao gồm URL, siêu dữ liệu và thông tin xác thực nhân viên, chẳng hạn như tên DNS.

Vị trí dữ liệu

Người thuê lưu trữ thông tin có liên quan đến một tổ chức và vấn đề bảo mật của tổ chức đó. Microsoft Entra Khi Microsoft Entra người thuê đăng ký dịch vụ Power Platform , quốc gia hoặc khu vực được người thuê chọn sẽ được ánh xạ tới vị trí địa lý Azure phù hợp nhất nơi có triển khai Power Platform dịch vụ. Power Platform lưu trữ dữ liệu khách hàng trong khu vực địa lý Azure đã gán của đối tượng thuê hoặc khu vực địa lý chính, ngoại trừ trường hợp các tổ chức triển khai dịch vụ ở nhiều khu vực.

Một số tổ chức hoạt động trên toàn cầu. Ví dụ: một doanh nghiệp có thể có trụ sở chính ở Hoa Kỳ nhưng lại kinh doanh ở Úc. Doanh nghiệp này có thể cần lưu trữ dữ liệu nhất định trong Power Platform ở Úc để tuân thủ các quy định của địa phương. Khi các dịch vụ của Power Platform được triển khai ở nhiều khu vực địa lý trên Azure, đây gọi là triển khai đa khu vực địa lý . Trong trường hợp này, chỉ siêu dữ liệu liên quan đến môi trường mới được lưu trữ trong khu vực địa lý chính. Tất cả siêu dữ liệu và dữ liệu sản phẩm trong môi trường đó được lưu trữ trong khu vực địa lý từ xa.

Microsoft có thể sao chép dữ liệu sang các vùng khác để tăng khả năng phục hồi dữ liệu. Tuy nhiên, chúng tôi không sao chép hoặc di chuyển dữ liệu cá nhân ra ngoài khu vực địa lý. Dữ liệu được sao chép sang các vùng khác có thể bao gồm dữ liệu phi cá nhân như thông tin xác thực nhân viên.

Dịch vụ của Power Platform được hỗ trợ ở các khu vực địa lý cụ thể trên Azure. Để biết thêm thông tin về nơi Power Platform có sẵn các dịch vụ, nơi dữ liệu của bạn được lưu trữ và cách dữ liệu được sử dụng, hãy truy cập Microsoft Trung tâm tin cậy. Các cam kết liên quan đến vị trí lưu trữ dữ liệu khách hàng được nêu rõ trong Điều khoản xử lý dữ liệu của Microsoft Điều khoản dịch vụ trực tuyến. Microsoft cũng cung cấp các trung tâm dữ liệu cho các thực thể có chủ quyền.

Xử lý dữ liệu

Phần này trình bày cách Power Platform lưu trữ, xử lý và truyền dữ liệu khách hàng.

Dữ liệu tĩnh

Trừ khi có quy định khác trong tài liệu, dữ liệu khách hàng luôn nằm trong nguồn ban đầu (ví dụ: Dataverse hoặc SharePoint). Ứng dụng Power Platform được lưu trữ trong Azure Storage như một phần của môi trường. Dữ liệu dùng trong các ứng dụng dành cho thiết bị di động được mã hóa và lưu trữ trong SQL Express. Trong hầu hết các trường hợp, các ứng dụng đều dùng Azure Storage để duy trì dữ liệu dịch vụ Power Platform và Cơ sở dữ liệu Azure SQL nhằm duy trì siêu dữ liệu dịch vụ. Dữ liệu do người dùng ứng dụng nhập được lưu trữ trong nguồn dữ liệu tương ứng cho dịch vụ, chẳng hạn như Dataverse.

Tất cả dữ liệu được lưu trữ bởi Power Platform đều được mã hóa theo mặc định bằng khóa do Microsoftquản lý. Dữ liệu khách hàng lưu trữ trong Cơ sở dữ liệu Azure SQL được mã hóa hoàn toàn bằng công nghệ Mã hóa dữ liệu minh bạch (TDE) của Azure SQL. Dữ liệu khách hàng lưu trữ trong Azure Blob Storage được mã hóa bằng tính năng mã hóa của Azure Storage.

Dữ liệu đang xử lý

Dữ liệu đang trong quá trình xử lý khi được dùng như một phần của một trường hợp tương tác hoặc khi một quy trình nền (chẳng hạn như làm mới) chạm vào dữ liệu. Power Platform tải dữ liệu đang xử lý vào dung lượng bộ nhớ của một hoặc nhiều khối lượng công việc dịch vụ. Để hỗ trợ chức năng của khối lượng công việc, dữ liệu lưu trữ trong bộ nhớ không được mã hóa.

Dữ liệu đang truyền

Power Platform yêu cầu tất cả lưu lượng truy cập HTTP đến phải được mã hóa bằng TLS 1.2 trở lên. Những yêu cầu tìm cách sử dụng TLS 1.1 trở xuống đều bị từ chối.

Tính năng bảo mật nâng cao

Một số tính năng bảo mật nâng cao của Power Platform có các yêu cầu cấp phép cụ thể.

Thẻ dịch vụ

Thẻ dịch vụ biểu thị một nhóm tiền tố địa chỉ IP từ một dịch vụ Azure được chỉ định. Bạn có thể sử dụng thẻ dịch vụ để xác định các chế độ kiểm soát truy cập mạng trên Nhóm bảo mật mạng hoặc Tường lửa Azure.

Thẻ dịch vụ giúp giảm bớt sự phức tạp khi thường xuyên cập nhật quy tắc bảo mật mạng. Bạn có thể sử dụng thẻ dịch vụ thay cho địa chỉ IP cụ thể khi tạo các quy tắc bảo mật, chẳng hạn như cho phép hoặc từ chối lưu lượng truy cập cho dịch vụ tương ứng.

Microsoft quản lý các tiền tố địa chỉ được bao gồm trong thẻ dịch vụ và tự động cập nhật thẻ dịch vụ khi địa chỉ thay đổi. Để biết thêm thông tin, hãy xem bài viết Dải IP và thẻ dịch vụ trên Azure – Đám mây công cộng.

Ngăn mất dữ liệu

Power Platform sở hữu một nhóm đa dạng các tính năng Ngăn mất dữ liệu (DLP) để giúp bạn quản lý hoạt động bảo mật dữ liệu của mình.

Hạn chế IP của chữ ký truy cập chia sẻ lưu trữ (SAS)

Lưu ý

Trước khi kích hoạt bất kỳ tính năng SAS nào trong số này, trước tiên khách hàng phải cho phép truy cập vào https://*.api.powerplatformusercontent.com miền, nếu không hầu hết các chức năng của SAS sẽ không hoạt động.

Bộ tính năng này là chức năng dành riêng cho người thuê, hạn chế mã thông báo Chữ ký truy cập chia sẻ lưu trữ (SAS) và được kiểm soát thông qua menu trong Power Platform trung tâm quản trị. Thiết lập này hạn chế người có thể sử dụng mã thông báo SAS doanh nghiệp dựa trên IP (IPv4 và IPv6).

Bạn có thể tìm thấy những cài đặt này trong phần cài đặt Quyền riêng tư + Bảo mật của môi trường trong trung tâm quản trị. Bạn phải bật tùy chọn Kích hoạt quy tắc Chữ ký truy cập chia sẻ lưu trữ (SAS) dựa trên địa chỉ IP .

Người quản trị có thể cho phép một trong bốn tùy chọn sau cho cài đặt này:

Tùy chọn	Thiết đặt	Description
1	Chỉ liên kết IP	Điều này hạn chế khóa SAS chỉ áp dụng cho IP của người yêu cầu.
2	Chỉ tường lửa IP	Điều này hạn chế việc sử dụng khóa SAS chỉ hoạt động trong phạm vi do quản trị viên chỉ định.
3	Liên kết IP và Tường lửa	Điều này hạn chế việc sử dụng khóa SAS trong phạm vi do quản trị viên chỉ định và chỉ áp dụng cho IP của người yêu cầu.
Tệp 4	Liên kết IP hoặc Tường lửa	Cho phép sử dụng khóa SAS trong phạm vi được chỉ định. Nếu yêu cầu đến từ bên ngoài phạm vi, IP Binding sẽ được áp dụng.

Lưu ý

Người quản trị chọn cho phép Tường lửa IP (Tùy chọn 2, 3 và 4 được liệt kê trong bảng trên) phải nhập cả cả phạm vi IPv4 và IPv6 của mạng của họ để đảm bảo phạm vi phủ sóng phù hợp cho người dùng của họ.

Các sản phẩm thực thi IP Binding khi được bật:

• Dataverse
• Power Automate
• Trình kết nối Tùy chỉnh
• Power Apps

Tác động đến trải nghiệm của người dùng

• Khi người dùng không đáp ứng các hạn chế về địa chỉ IP của môi trường mở ứng dụng: Người dùng sẽ nhận được thông báo lỗi nêu rõ sự cố IP chung.

• Khi người dùng đáp ứng các hạn chế về địa chỉ IP mở một ứng dụng: Các sự kiện sau đây sẽ xảy ra:

  • Người dùng có thể nhận được một biểu ngữ sẽ nhanh chóng biến mất để thông báo cho người dùng biết cài đặt IP đã được thiết lập và liên hệ với quản trị viên để biết chi tiết hoặc để làm mới bất kỳ trang nào bị mất kết nối.
  • Quan trọng hơn, do xác thực IP mà thiết lập bảo mật này sử dụng, một số chức năng có thể hoạt động chậm hơn so với khi tắt.

Cập nhật cài đặt theo chương trình

Quản trị viên có thể sử dụng tính năng tự động hóa để thiết lập và cập nhật cả cài đặt liên kết IP so với tường lửa, phạm vi IP được phép và nút chuyển đổi Ghi nhật ký . Tìm hiểu thêm trong Hướng dẫn: Tạo, cập nhật và liệt kê Cài đặt quản lý môi trường.

Ghi nhật ký các cuộc gọi SAS

Thiết lập này cho phép tất cả các cuộc gọi SAS trong Power Platform được ghi vào Purview. Việc ghi nhật ký này hiển thị siêu dữ liệu có liên quan cho tất cả các sự kiện tạo và sử dụng và có thể được bật độc lập với các hạn chế IP SAS ở trên. Power Platform các dịch vụ hiện đang triển khai các cuộc gọi SAS vào năm 2024.

Tên trường	Mô tả trường
Phản hồi.status_message	Thông báo sự kiện thành công hay không: SASSuccess hoặc SASAuthorizationError.
Mã phản hồi.trạng thái	Thông báo sự kiện thành công hay không: 200, 401 hoặc 500.
Chế độ liên kết ip	Chế độ liên kết IP do người quản trị máy chủ đặt nếu được bật. Chỉ áp dụng cho sự kiện tạo SAS.
admin_provided_ip_ranges	Phạm vi IP do người quản lý đối tượng thuê đặt, nếu có. Chỉ áp dụng cho sự kiện tạo SAS.
Bộ lọc ip được tính toán	Bộ lọc IP cuối cùng được liên kết với SAS URI dựa trên chế độ liên kết IP và phạm vi do quản trị viên thuê bao đặt. Áp dụng cho cả sự kiện tạo và sử dụng SAS.
Phân tích.resource.sas.uri	Dữ liệu đang được cố gắng truy cập hoặc tạo ra.
enduser.địa_chỉ_ip	Địa chỉ IP công khai của người gọi.
analytics.resource.sas.operation_id	Mã định danh duy nhất từ sự kiện tạo. Tìm kiếm theo mục này sẽ hiển thị tất cả các sự kiện sử dụng và tạo liên quan đến các lệnh gọi SAS từ sự kiện tạo. Đã ánh xạ tới tiêu đề "x-ms-sas-operation-id" phản hồi.
Yêu cầu.service_request_id	Mã định danh duy nhất từ yêu cầu hoặc phản hồi và có thể được sử dụng để tra cứu một bản ghi duy nhất. Đã ánh xạ tới tiêu đề "x-ms-service-request-id" phản hồi.
phiên bản	Phiên bản lược đồ nhật ký này.
loại	Phản hồi chung.
analytics.activity.name	Loại hoạt động của sự kiện này là: Tạo hoặc Sử dụng.
analytics.activity.id	ID duy nhất của bản ghi trong Purview.
analytics.resource.organization.id	ID Tổ chức
analytics.resource.environment.id	ID môi trường
analytics.resource.tenant.id	ID Đối tượng thuê
enduser.id	GUID từ Microsoft Entra ID của người tạo từ sự kiện tạo.
enduser.principal_name	UPN/địa chỉ email của người tạo. Đối với các sự kiện sử dụng, đây là phản hồi chung: "system@powerplatform".
enduser.vai trò	Phản hồi chung: Thông thường cho các sự kiện tạo và Hệ thống cho các sự kiện sử dụng.

Bật ghi nhật ký kiểm tra Purview

Để nhật ký hiển thị trong phiên bản Purview của bạn, trước tiên bạn phải chọn tham gia cho từng môi trường mà bạn muốn có nhật ký. Cài đặt này có thể được cập nhật trong trung tâm quản trị bởi Power Platform người quản trị thuê bao .

1. Đi đến Power Platform trung tâm quản trị và đăng nhập bằng thông tin đăng nhập của quản trị viên đối tượng thuê.
2. Trong ngăn điều hướng bên trái, chọn Môi trường.
3. Chọn môi trường mà bạn muốn bật chức năng ghi nhật ký quản trị.
4. Chọn Cài đặt trên thanh lệnh.
5. Chọn Sản phẩm>Quyền riêng tư + Bảo mật.
6. Trong Cài đặt bảo mật chữ ký truy cập chia sẻ lưu trữ (SAS) (bản xem trước), hãy bật tính năng Bật ghi nhật ký SAS trong phạm vi .

Tìm kiếm nhật ký kiểm tra

Người quản trị thuê bao có thể sử dụng Purview để xem nhật ký kiểm tra được phát ra cho các hoạt động SAS và có thể tự chẩn đoán lỗi có thể được trả về trong các sự cố xác thực IP. Nhật ký trong Purview là giải pháp đáng tin cậy nhất.

Sử dụng các bước sau để chẩn đoán sự cố hoặc hiểu rõ hơn về mô hình sử dụng SAS trong đối tượng thuê của bạn.

1. Đảm bảo rằng tính năng ghi nhật ký kiểm tra được bật cho môi trường. Xem Bật ghi nhật ký kiểm tra Purview.

2. Truy cập Microsoft Cổng thông tin tuân thủ Purview và đăng nhập bằng thông tin đăng nhập của quản trị viên đối tượng thuê.

3. Trong ngăn điều hướng bên trái, chọn Kiểm toán. Nếu bạn không sử dụng được tùy chọn này, điều đó có nghĩa là người dùng đã đăng nhập không có quyền quản trị để truy vấn nhật ký kiểm tra.

4. Chọn ngày và giờ theo UTC khi bạn muốn tìm kiếm nhật ký. Ví dụ, khi lỗi 403 Forbidden có mã lỗi unauthorized_caller được trả về.

5. Từ danh sách thả xuống Hoạt động - tên thân thiện , tìm kiếm Power Platform hoạt động lưu trữ và chọn URI SAS đã tạo và URI SAS đã sử dụng.

6. Chỉ định một từ khóa trong Tìm kiếm từ khóa. Xem Bắt đầu tìm kiếm trong tài liệu Purview để tìm hiểu thêm về trường này. Bạn có thể sử dụng giá trị từ bất kỳ trường nào được mô tả trong bảng ở trên tùy thuộc vào tình huống của bạn, nhưng dưới đây là các trường được đề xuất để tìm kiếm (theo thứ tự ưu tiên):

   • Giá trị của tiêu đề x-ms-service-request-id phản hồi. Thao tác này sẽ lọc kết quả thành một sự kiện Tạo URI SAS hoặc một sự kiện sử dụng URI SAS, tùy thuộc vào loại yêu cầu mà tiêu đề xuất phát. Điều này hữu ích khi điều tra lỗi 403 Forbidden được trả về cho người dùng. Nó cũng có thể được sử dụng để lấy giá trị powerplatform.analytics.resource.sas.operation_id .
   • Giá trị của tiêu đề x-ms-sas-operation-id phản hồi. Thao tác này lọc kết quả thành một sự kiện tạo SAS URI và một hoặc nhiều sự kiện sử dụng cho SAS URI đó tùy thuộc vào số lần truy cập. Nó ánh xạ tới trường powerplatform.analytics.resource.sas.operation_id .
   • URI SAS đầy đủ hoặc một phần, không có chữ ký. Điều này có thể trả về nhiều lần tạo URI SAS và nhiều sự kiện sử dụng URI SAS, vì cùng một URI có thể được yêu cầu tạo nhiều lần tùy theo nhu cầu.
   • Địa chỉ IP của người gọi. Trả về tất cả các sự kiện tạo và sử dụng cho IP đó.
   • ID môi trường. Điều này có thể trả về một tập dữ liệu lớn trải dài trên nhiều dịch vụ khác nhau của Power Platform, vì vậy hãy tránh nếu có thể hoặc cân nhắc thu hẹp cửa sổ tìm kiếm.

   Cảnh báo

   Chúng tôi không khuyến khích tìm kiếm Tên người dùng chính hoặc ID đối tượng vì những thông tin này chỉ được truyền đến các sự kiện tạo chứ không phải sự kiện sử dụng.

7. Chọn Tìm kiếm và đợi kết quả xuất hiện.

   

Cảnh báo

Việc nhập nhật ký vào Purview có thể bị trì hoãn tới một giờ hoặc hơn, vì vậy hãy lưu ý điều này khi tìm kiếm các sự kiện gần đây nhất.

Xử lý sự cố lỗi 403 Forbidden/unauthorized_caller

Bạn có thể sử dụng nhật ký tạo và sử dụng để xác định lý do tại sao cuộc gọi sẽ dẫn đến lỗi 403 Forbidden với mã lỗi unauthorized_caller .

1. Tìm nhật ký trong Purview như đã mô tả ở phần trước. Hãy cân nhắc sử dụng x-ms-service-request-id hoặc x-ms-sas-operation-id từ tiêu đề phản hồi làm từ khóa tìm kiếm.
2. Mở sự kiện sử dụng, URI SAS đã sử dụng và tìm trường powerplatform.analytics.resource.sas.computed_ip_filters trong PropertyCollection. Phạm vi IP này là những gì cuộc gọi SAS sử dụng để xác định xem yêu cầu có được phép tiếp tục hay không.
3. So sánh giá trị này với trường Địa chỉ IP của nhật ký, điều này đủ để xác định lý do tại sao yêu cầu không thành công.
4. Nếu bạn cho rằng giá trị của powerplatform.analytics.resource.sas.computed_ip_filters không chính xác, hãy tiếp tục thực hiện các bước tiếp theo.
5. Mở sự kiện tạo, URI SAS đã tạo, bằng cách tìm kiếm bằng giá trị tiêu đề x-ms-sas-operation-id phản hồi (hoặc giá trị của trường powerplatform.analytics.resource.sas.operation_id từ nhật ký tạo).
6. Lấy giá trị của trường powerplatform.analytics.resource.sas.ip_binding_mode . Nếu mục này bị thiếu hoặc trống, điều đó có nghĩa là liên kết IP chưa được bật cho môi trường đó tại thời điểm yêu cầu cụ thể đó.
7. Lấy giá trị của powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Nếu bị thiếu hoặc để trống, điều đó có nghĩa là phạm vi tường lửa IP không được chỉ định cho môi trường đó tại thời điểm yêu cầu cụ thể đó.
8. Lấy giá trị của powerplatform.analytics.resource.sas.computed_ip_filters, giá trị này phải giống hệt với sự kiện sử dụng và được suy ra dựa trên chế độ liên kết IP và phạm vi tường lửa IP do quản trị viên cung cấp. Xem logic suy ra trong Lưu trữ và quản trị dữ liệu trong Power Platform.

Điều này sẽ cung cấp cho người quản trị máy chủ đủ thông tin để sửa bất kỳ cấu hình sai nào đối với môi trường cho các thiết lập liên kết IP.

Cảnh báo

Những thay đổi được thực hiện đối với cài đặt môi trường cho liên kết IP SAS có thể mất ít nhất 30 phút mới có hiệu lực. Có thể nhiều hơn nếu các nhóm đối tác có bộ nhớ đệm riêng.

Bài viết liên quan

An ninh trong Microsoft Power Platform
Xác thực với các dịch vụ Power Platform
Kết nối và xác thực với các nguồn dữ liệu
Power Platform Câu hỏi thường gặp về bảo mật

Xem thêm

• Microsoft Trung tâm tin cậy
• Chọn vùng khi thiết lập môi trường
• Phạm vi IP Azure và Thẻ dịch vụ - Đám mây công cộng
• Tính năng phòng ngừa mất dữ liệu (DLP)