培训
认证
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
演示保护 Microsoft 365 部署的数据安全、生命周期管理、信息安全和合规性基础知识。
本文介绍您需要了解的最重要的主题,以确保获得成功和安全的使用外部服务的 Power Platform 连接器相关体验。 这可能会简化您的连接器审查过程,从而节省您的时间。
阅读本文后,您应该能够回答以下问题:
由 Microsoft 发布的连接器可能会连接到内部或外部服务。 例如,连接器(例如 SharePoint 或 Excel)将始终在内部连接到服务。
但是,Microsoft 还会发布使用外部服务的连接器。 例如,Salesforce 连接器使用 Salesforce 服务。 每当连接器离开 Microsoft 基础结构时,Microsoft 都会运行一系列验证检查以确保进行数据保护。
重要
它是指示数据保护负责人的服务,而不是连接器本身。 原因是,它是您连接到的用于存储数据的服务,而不是连接器。
请记住,如果数据驻留在 Microsoft 基础结构上,则 Microsoft 将掌握控制权。 转移到外部基础结构后,经过验证的发布者将处于控制之中。
了解这一差别将使您能够采取相应操作,并且能够确保整个连接期间的数据安全性。 详细信息请参阅以下各节。
如果连接器 发布者为 |
并且服务 基础结构为 |
Microsoft 将执行以下操作: |
示例 |
---|---|---|---|
Microsoft | 外部 | - 验证终结点 - Swagger 验证 - 中断性变更验证 - 质量和验证检查 |
Salesforce |
Microsoft | 内部 | 数据保护的所有验证检查 | SharePoint、Excel |
经过验证 (包括独立发布者) |
外部 | - 验证终结点 - Swagger 验证 - 中断性变更验证 - 质量和验证检查 |
Adobe Creative Cloud |
Microsoft 对位于 Microsoft 基础结构上的所有数据应用其保护策略。 数据移到外部基础结构后,如使用经过验证的连接器服务,该公司设置的策略将会接管。
有关 Microsoft 如何处理诸如安全性、隐私和合规性等问题的详细信息,请浏览 Microsoft 信任中心。
备注
当连接器服务位于外部基础结构上时,实施 Microsoft 的策略方面有限制。 连接到服务后,Microsoft 无法控制数据的去向;这由外部公司决定。 您有责任研究他们的条款和条件,或直接与他们联系以提供指导。
例如,您可能对外部公司的连接器服务有以下疑问:
您可以通过选择合作伙伴发布的所有已验证连接器的列表中的连接器链接找到每个已验证连接器的隐私政策的链接。
尽管连接器服务在 Microsoft 基础结构上运行,但是 Microsoft 将控制 GDPR 合规性规则。 一旦数据移至公司的外部基础结构,Microsoft 将不违反其 GDPR 规则。
重要
Microsoft 连接器平台符合 GDPR。 它只处理数据,而不存储它。 处理时,它遵循 Microsoft 隐私和 GDPR 策略。
例如,如果您在欧洲创建流,Microsoft 将不会向美国发送请求,在那里处理数据,然后将其发送回外部公司的服务。 在这种情况下,Microsoft 将遵守地理边界法规。
尽管连接器服务在外部公司的基础结构上运行,但是该公司将控制 GDPR 合规性规则。
备注
当服务在外部公司的基础结构上运行时,您有责任了解其 GDPR 要求。 Microsoft 没有控制权。 外部公司连接器可能符合也可能不符合 GDPR。
如果您使用的是外部公司的连接器,则最好在您的公司执行您自己的研究、建模、供应商审计和战略步骤,以确保您了解适用于您的业务的 GDPR。 您可能希望先从其条款和条件文档开始。
只有外部公司才能解答的问题示例可能涉及跨地理位置传输或处理数据,例如:
在 Microsoft 基础结构上处理数据时,Microsoft 会验证终结点以确保满足某些质量标准。 Azure 逻辑应用会强制执行区域边界,但 Power Automate 和 Power Apps 会强制执行地理边界。
例如,美国西部是一个区域,但美国是一个地域。 在逻辑应用中,如果用户选择美国西部,则 Microsoft 会确保数据不会超出美国西部数据中心边界,甚至不会到达美国中部或美国东部。 然而,对于 Power Automate 和 Power Apps,Microsoft 仅保证不超出地理边界。 这意味着如果用户选择美国,则可以在美国的任何地方处理数据,包括美国西部或美国东部。 Microsoft 将保证数据不会传到美国以外的地方,例如欧洲或亚洲。
数据离开 Microsoft、移到用户选择的地理位置后,数据的使用和存储将受外部公司设置的策略的约束。 Microsoft 将仅充当公司平台的代理,并将向终结点发送请求。
如果您使用的是经过验证的外部连接器,您需要了解公司提供的条款和条件,以了解您的数据处理方式和位置。
Swagger 验证衡量连接器的等同性标准。 Microsoft 运行此验证以确保连接器符合 Open API 标准、满足连接器要求和准则,并包括正确的自定义 Microsoft 扩展 (x-ms)。
更新连接器后,Microsoft 会强制进行验证测试,以确保没有任何中断。 验证规则通过将当前 Swagger 版本与以前的 Swagger 版本进行比较来捕获任何中断性变更。 例如,一个公司标记为可选并且现在已是必需的参数。
Microsoft 会在所有连接器上执行质量检查。 质量检查包括部署后的功能验证和测试,以确保功能正常运行。 Microsoft 也会执行验证检查。 一种类型是确保允许发布者生成连接器。 另一种类型是扫描所有连接器代码中的恶意软件或病毒。
在运行时,会进行验证以检查用户是否有权进行调用,然后获取令牌/机密以用于调用后端。
Microsoft 对外部公司使用的身份验证类型没有限制。 它由底层连接器服务提供的 API 支持的身份验证定义。 连接器将支持不同类型的身份验证(例如 Microsoft Entra ID、基本身份验证或 OAuth)。
如果使用的身份验证类型是:
Microsoft Entra ID:系统将要求用户登录到 Microsoft Entra ID(如果公司策略强制用户拥有多重身份验证、证书或智能卡,也可以在此处强制执行)。 此强制操作发生在用户和 Microsoft Entra ID 之间,这独立于连接器本身。 许多服务(特别是由 Microsoft 提供的服务)都使用 Microsoft Entra ID。
基本身份验证:用户名和密码在 API 请求中发送。 这些机密存储在内部令牌存储中并进行加密,该存储只能通过 Microsoft Power Platform 访问。
OAuth — 从设置中检索连接器的重定向 URL 并将其发送回用户以直接登录服务并授予许可。 不存储用户凭据。 登录成功并且用户同意代表他们访问数据后,授权代码将发送回到 Microsoft Power Platform。 使用该授权代码,然后在内部检索和存储访问令牌。 只能 Microsoft Power Platform 通过访问此访问令牌。
我们非常感谢大家提出有关连接器平台问题或新功能想法的反馈。 要提供反馈,请转到提交问题或获取连接器帮助,然后选择反馈类型。
培训
认证
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
演示保护 Microsoft 365 部署的数据安全、生命周期管理、信息安全和合规性基础知识。