合规性与数据隐私
Microsoft 致力于实现最高级别的信任、透明度、标准一致性和法规遵从性。 Microsoft广泛的云产品和服务套件都是从头开始构建的,旨在满足客户最严格的安全和隐私要求。
为了帮助您的组织遵守管理个人数据收集和使用的国家、地区和行业特定要求, Microsoft 提供了任何云服务提供商最全面的合规性产品/服务(包括认证和证明)。 还有供管理员为组织的工作提供支持的工具。 文档的此部分中,将更详细地介绍可帮助您确定和满足自己组织的要求的资源。
信任中心
Microsoft 信任中心 是获取有关 S 产品组合信息的 Microsoft集中资源。 包括有关安全、隐私、合规性和透明性的信息。 虽然此内容可能包含此信息 Power Apps的某些子集,但请务必始终参考 Microsoft 信任中心以获取最新的权威信息。
供您快速参考,您可以在此处找到 Microsoft Power Platform 的信任中心信息:https://www.microsoft.com/trust-center/product-overview。 这将包括有关 Power Apps、Microsoft Power Automate 和 Power BI 的信息。
数据位置
Microsoft 在全球运营多个支持 Microsoft Power Platform 应用程序的数据中心。 组织建立租户时,将建立默认地理(地域)位置。 此外,创建环境以便为应用程序提供支持和存储 Microsoft Dataverse 数据时,可以将此环境的目标设置为特定地域。 可以在此处 https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location 找到 Microsoft Power Platform 的当前地域列表
为了支持操作的连续性, Microsoft 可以将数据复制到地理位置中的其他区域,但数据不会移动到地理位置之外以支持数据复原能力。 如果出现严重故障,这将支持故障转移或更快恢复的能力。 将数据保存在上面注重法律和支持的主站点中列出的特定地域有一些合理例外。 例外,请务必注意,您和您的用户采取的操作可能导致在地域外暴露数据。 也可以配置其他服务以访问数据和将其在地域外暴露。 默认情况下,经过授权的用户可以在全球具有连接的任何位置访问平台和应用程序及数据。
数据保护
在用户设备和 Microsoft 数据中心之间传输的数据是安全的。 在客户和 Microsoft 数据中心之间建立的连接都经过加密,并且所有公共终端节点都使用行业标准的 TLS 进行保护。 TLS 有效建立安全性得到增强的浏览器到服务器连接,以帮助确保桌面与数据中心之间的数据机密性和完整性。 同样也会保护从客户终结点到服务器的 API 访问。 现在,需要 TLS 1.2(或更高版本)才能访问服务器终结点。
也会加密通过本地数据网关传输的数据。 用户上载的数据通常发送到 Azure Blob 存储,系统本身的所有数据和项目存储在 Azure SQL 数据库和 Azure 表存储中。
Dataverse 数据库的所有环境使用 Microsoft SQL Server 透明数据加密 (TDE) 来在数据写入到磁盘时执行实时数据加密,又称静态加密。
默认情况下, Microsoft 存储和管理您的环境的数据库加密密钥,因此您不必这样做。 Power Platform 管理中心中的管理密钥功能为管理员提供自管理与 Dynamics 365 (online) 环境相关的数据库加密密钥的能力。 您可以在此处 阅读有关管理自己的密钥的更多信息,但通常建议您管理 密钥,除非您有维护自己的密钥 Microsoft 的特定业务需求。
用于管理 GDPR 合规性的资源
欧盟 (EU) 一般数据保护条例 (GDPR) 赋予个人对其数据的重要权利。 请参阅 Microsoft Learn 一般数据保护条例摘要 了解 GDPR 的概述,包括术语、行动计划和准备清单,以帮助您在使用产品和服务时 Microsoft 履行 GDPR 规定的义务。
您可以了解有关 GDPR 的更多信息,以及 GDPR 如何 Microsoft 帮助支持 GDPR 和受其影响的客户。
- Microsoft 信任中心 提供有助于 GDPR 问责制的一般信息、合规性最佳实践和文档,例如数据保护影响评估、数据主体请求和数据泄露通知。
- 服务信任门户 提供有关服务如何 Microsoft 帮助支持 GDPR 合规性的信息。
最为管理员,在为隐私提供支持时,最重要的一项活动与数据使用者权限 (DSR) 请求有关。 它们是数据主体为了处理其在您的系统中的个人数据向数据控制者(可能是您的组织)提出的正式请求。 数据主体具有以下权限:获取副本,请求更正,限制对数据的处理,删除数据,以及接收电子格式的副本以将其移到其他数据控制者。
以下链接指向可帮助您根据组织正在运行的功能响应 DSR 请求的详细信息。
| 平台功能区 | 详细响应步骤的链接 |
|---|---|
| Power Apps | 响应数据主体权限(DSR)导出 Power Apps 客户数据的请求 |
| Dataverse | 响应客户数据的数据主体权利(DSR)请求 Dataverse |
| Power Automate | 响应数据主体请求 Power Automate |
| Microsoft 帐户(MSA) | 响应数据主体权限请求 |
| 客户互动应用 | Dynamics 365 数据主体隐私请求 |
Microsoft 365 安全与合规中心
Microsoft 使用 Purview Compliance Manager 在一个位置管理跨 Microsoft 云服务的合规性工作。
Power Automate 审核日志事件
在合规中心审核日志搜索中,管理员可以搜索和查看 Power Automate 事件。 事件包括创建了流、编辑了流、删除了流、编辑了权限、删除了权限、开始了付费试用、续订付费试用。 可使用门户选择要搜索的内容和时间窗口。
在解决方案下,选择审核。
在活动下,选择要审核的 Power Automate 活动。
选择搜索。
搜索完成后,选择搜索查看相关活动的列表。
在列表中选择一行查看活动详细信息。
审核数据保留 90 天。 可对数据执行 CDSV 导出,从而可将其移到 Excel 或 PowerBI 中进行进一步分析。 可以在此处找到有关使用审核信息的完整演练:https://flow.microsoft.com/blog/security-and-compliance-center/