Power Platform 中的資料儲存和控管
首先,區分個人資料與客戶資料非常重要。
個人資料是可用於識別人員的資訊。
客戶資料包含個人資料和其他的客戶資訊,包括 URL、中繼資料以及員工驗證資訊 (例如 DNS 名稱)。
資料落地
Microsoft Entra 租用戶包含與組織及其安全性相關的資訊。 當 Microsoft Entra 租用戶註冊 Power Platform 服務時,租用戶所選的國家或地區將對應至具有 Power Platform 部署的最合適的 Azure 地理位置。 Power Platform 會將客戶資料儲存在租用戶指派的 Azure 地理位置或家庭地理位置中,除非組織在多個地區部署服務。
某些組織有全球化狀態。 例如,一家企業的總部可能在美國,但在澳洲進行業務。 它可能需要將某些 Power Platform 儲存在澳洲以符合當地法規。 當 Power Platform 服務部署在多個 Azure 地理位置時,即稱為多地理位置部署。 在這種情況下,只有與環境相關的中繼資料會儲存在主地理位置中。 該環境中的所有中繼資料與產品資料都會儲存在遠端地理位置。
Microsoft 可能會將資料複製到其他地區,以進行資料復原。 但是,我們並不會在地理位置以外複製或移動個人資料。 複製到其他地區的數據可能包含非個人數據,例如員工身份驗證資訊。
Power Platform 服務可在特定的 Azure 地理位置使用。 如需 Power Platform 服務的可用位置、資料存放位置和使用方式的詳細資訊,請移至 Microsoft 信任中心。 Microsoft 線上服務條款的資料處理條款會指定客戶待用資料的相關位置。 Microsoft 也為各國政府提供資料中心。
資料處理
本節概述 Power Platform 如何儲存、處理及轉移客戶資料。
待用資料
除非是文件中所述,否則客戶資料仍會保留在原始來源 (例如 Dataverse 或 SharePoint) 中。 Power Platform 應用程式會做為環境的一部分儲存在 Azure 儲存體中。 行動裝置應用程式中使用的資料會經過加密並儲存在 SQL Express 中。 在大多數案例中,應用程式會使用 Azure 儲存體來保存 Power Platform 服務資料,並使用 Azure SQL 資料庫來保存中繼資料。 應用程式使用者輸入的資料會儲存在服務的相應資料來源中 (例如 Dataverse)。
根據預設,Power Platform 保存的所有資料都使用 Microsoft 管理的金鑰進行加密。 儲存在 Azure SQL 資料庫中的客戶資料使用 Azure SQL 的透明資料加密 (TDE) 技術完整加密。 儲存在 Azure Blob 儲存體中的客戶資料會使用 Azure 儲存體加密進行加密。
處理中的資料
當資料做為互動式案例的一部分時,或當背景程序 (例如,重新整理) 觸及該資料時,資料會處於處理中。 Power Platform 會將處理的資料載入至一個或多個服務工作負載的記憶體空間。 為了加強工作負載的功能,儲存在記憶體中的資料並不會加密。
傳輸中的資料
Power Platform 要求所有傳入的 HTTP 流量都使用 TLS 1.2 或更新的版本進行加密。 嘗試使用 TLS 1.1 或更舊版本的要求遭到拒絕。
進階安全性功能
Power Platform 的部分進階安全性功能具有特定的授權要求。
服務標籤
服務標籤表示來自特定 Azure 服務的一組 IP 位址首碼。 您可以使用服務標籤來定義網路安全性群組或 Azure 防火牆的網路存取控制。
服務標籤有助於將頻繁更新網路安全規則的複雜性降至最低。 建立資訊安全規則 (例如,允許或拒絕相應服務的流量) 時,您可以使用服務標籤代替特定 IP 位址。
Microsoft 會管理服務標籤所包含的位址首碼,並在位址變更時自動更新服務標籤。 如需更多資訊,請參閱 Azure IP 範圍和服務標籤 - 公用雲端。
資料外洩防護
Power Platform 包含一組廣泛的資料外洩防護 (DLP) 功能,可協助您管理資料安全性。
儲存體共用存取簽章 (SAS) IP 限制
注意
在啟動這些 SAS 功能之前,客戶必須先允許存取 https://*.api.powerplatformusercontent.com 網域,否則大多數 SAS 功能將無法運作。
此功能集是限制儲存體共用存取簽字 (SAS) 權杖的租用戶特定功能,並且是透過 Power Platform 系統管理中心的功能表來控制。 此設定會根據 IP 限制誰可以使用企業 SAS 權杖。
這項功能目前開放個人預覽版。 公開預覽版計劃於今年春季晚些時候推出,並於 2024 年夏季正式發佈。 如需詳細資訊,請參閱發佈計劃。
這些設定可以在系統管理中心的環境隱私權 + 安全性設定中找到。 您必須開啟啟用 IP 位址型儲存體共用存取簽章 (SAS) 規則選項。
管理員可以對此設定啟用這四個組態設定之一:
| 設定 | Description |
|---|---|
| 僅限 IP 繫結 | 這會將 SAS 金鑰限制為要求者的 IP。 |
| 僅限 IP 防火牆 | 這限制了使用 SAS 金鑰只能在管理員指定的範圍內運作。 |
| IP 繫結與防火牆 | 這限制了使用 SAS 金鑰在管理員指定的範圍內工作,並且僅限於要求者的 IP。 |
| IP 繫結或防火牆 | 允許在指定範圍內使用 SAS 金鑰。 如果要求來自範圍之外,則套用 IP 繫結。 |
啟用時強制 IP 繫結的產品:
- Dataverse
- Power Automate
- 自訂連接器
- Power Apps
對使用者體驗的影響
當不滿足環境 IP 位址限制的使用者開啟應用程式時:使用者會收到一則錯誤訊息,指出存在一般 IP 問題。
當符合 IP 位址限制的使用者開啟應用程式時:將發生以下事件:
- 使用者可能會收到一個橫幅,該橫幅將很快消失,讓使用者知道 IP 設定已設定,並聯絡管理員以了解詳細資訊或重新整理任何失去連線的頁面。
- 更重要的是,由於此安全設定使用的 IP 驗證,某些功能的執行速度可能比關閉時慢。
記錄 SAS 呼叫
此設定允許將 Power Platform 內的所有 SAS 呼叫記錄到 Purview。 此記錄會顯示所有建立和使用事件的相關中繼資料,並且可以獨立於上述 SAS IP 限制啟用。 Power Platform 服務在 2024 年加入 SAS 呼叫。
| 欄位名稱 | 欄位描述 |
|---|---|
| response.status_message | 通知事件是否成功:SASSuccess 或 SASAuthorizationError。 |
| response.status_code | 通知事件是否成功:200、401,或 500。 |
| ip_binding_mode | IP 繫結模式由租用戶管理員設定 (如果已開啟)。 僅適用於 SAS 建立事件。 |
| admin_provided_ip_ranges | 由租用戶管理員設定的 IP 範圍 (如果有)。 僅適用於 SAS 建立事件。 |
| computed_ip_filters | 根據 IP 繫結模式和租用戶管理員設定的範圍繫結到 SAS URI 的最終 IP 篩選器集。適用於 SAS 建立和使用事件。 |
| analytics.resource.sas.uri | 嘗試存取或建立的資料。 |
| enduser.ip_address | 呼叫者的公用 IP。 |
| analytics.resource.sas.operation_id | 來自建立事件的唯一識別碼。 依照此搜索會顯示與建立事件中的 SAS 呼叫相關的所有使用和建立事件。 對應到「x-ms-sas-operation-id」回應標頭。 |
| request.service_request_id | 來自要求或回覆的唯一識別碼,可用於查找單個記錄。 對應到「x-ms-service-request-id」回應標頭。 |
| 版本 | 此紀錄結構描述的版本。 |
| type | 一般回覆。 |
| analytics.activity.name | 此事件的活動類型為:建立或使用。 |
| analytics.activity.id | Purview 中記錄的唯一識別碼。 |
| analytics.resource.organization.id | 組織識別碼 |
| analytics.resource.environment.id | 環境識別碼 |
| analytics.resource.tenant.id | 租用戶識別碼 |
| enduser.id | 來自建立事件之建立者的 Microsoft Entra 識別碼的 GUID。 |
| enduser.principal_name | 建立者的 UPN/電子郵件地址。 對於使用事件,這是一個一般回覆:「system@powerplatform」。 |
| enduser.role | 一般回覆: 正常用於建立事件, 系統用於使用事件。 |
啟用 Purview 審核紀錄記錄
為了使日誌顯示在 Purview 實例中,必須首先為要為其設置日誌的每個 環境 選擇加入該實例。 此設置可由 Power Platform 租戶管理員在 系統管理中心 中更新 。
- 轉到 Power Platform 系統管理中心 並使用租戶管理員憑據登錄。
- 在左側導航窗格中,選擇“ 環境”。
- 選擇要為其啟用管理員日誌記錄的 環境。
- 在命令欄中選擇“ 設置 ”。
- 選擇「 產品>隱私 + 安全性」。
- 在「存儲共用訪問簽名 (SAS) 安全設置 (預覽版)」下 ,打開「在 Purview 中啟用 SAS 紀錄記錄」 功能。
搜索審核日誌
租戶管理員可以使用 Purview 查看為 SAS 操作發出的審核日誌,並可以自行診斷 IP 驗證問題中可能返回的錯誤。 Purview 中的日誌是最可靠的解決方案。
使用以下步驟來診斷問題或更好地瞭解租戶中的SAS使用模式。
確保為 環境 啟用了審核日誌記錄。 請參閱 啟用 Purview 審核記錄。
轉到 Microsoft Purview 合規門戶 ,並使用租戶管理員憑據登錄。
在左側導航窗格中,選擇“ 審核”。 如果此選項對您不可用,則意味著登錄用戶沒有查詢審核日誌的管理員訪問許可權。
選擇嘗試查找日誌時的 UTC 日期和時間範圍。 例如,當返回帶有 unauthorized_caller 錯誤代碼的 403 Forbidden 錯誤 時。
從「活動 - 友好名稱」 下拉清單中,搜索存儲 操作 Power Platform ,然後選擇 「已創建的 SAS URI 」和 「已使用的 SAS URI」。。
在「關鍵字搜索 」中指定關鍵字。 請參閱 Purview 文檔中的搜索 入門,了解有關此字段的詳細資訊。 你可以根據你的方案使用上表中描述的任何欄位中的值,但以下是建議搜索的欄位(按優先順序):
- x-ms-service-request-id 回覆標頭的值 。 這會將結果篩選為一個SAS URI創建事件或一個SAS URI使用事件,具體取決於標頭來自哪個請求類型。 在調查返回給使用者的 403 禁止的錯誤時,它非常有用。 它也可以用來獲取 powerplatform.analytics.resource.sas.operation_id 值。
- x-ms-sas-operation-id 回覆 標頭的值 。 這會將結果篩選為一個SAS URI創建事件以及該SAS URI的一個或多個使用事件,具體取決於訪問該SAS URI的次數。 它映射到 powerplatform.analytics.resource.sas.operation_id 欄位。
- 完整或部分SAS URI,減去簽名。 這可能會返回許多SAS URI 創建和許多SAS URI使用事件,因為可以根據需要多次請求生成相同的URI。
- 來電方IP位址。 返回該IP的所有創建和使用事件。
- 環境 ID. 這可能會返回大量數據,這些數據可能跨越許多不同的產品 Power Platform,因此請盡可能避免或考慮縮小搜索範圍。
警告
建議不要搜索「用戶主體名稱」或「物件ID」,因為這些名稱或物件ID只會傳播到創建事件,而不會傳播到使用事件。
選擇“搜索 ” ,然後等待結果顯示。
警告
將日誌引入到 Purview 中可能會延遲長達一個小時或更長時間,因此在查找最新事件時請記住這一點。
對 403 禁止訪問/unauthorized_caller錯誤進行故障排除
您可以使用建立和使用方式日誌來確定為什麼調用會導致 403 禁止存取錯誤並帶有 unauthorized_caller 錯誤代碼。
- 在 Purview 中查找日誌,如上一部分所述。 請考慮使用 回覆標頭中的 x-ms-service-request-id 或 x-ms-sas-operation-id 作為搜索關鍵字。
- 打開使用率事件, 已使用的SAS URI,並在 PropertyCollection 下 查找 powerplatform.analytics.resource.sas.computed_ip_filters字段。 此IP範圍是SAS調用用於確定請求是否被授權繼續的IP範圍。
- 將此值與 日誌的IP位址 欄位進行比較,該欄位應該足以確定請求失敗的原因。
- 如果您認為 powerplatform.analytics.resource.sas.computed_ip_filters 的值 不正確,請繼續執行後續步驟。
- 通過使用 x-ms-sas-operation-id 回覆標頭值(或創建日誌中powerplatform.analytics.resource.sas.operation_id 字段的值 )進行搜索,打開創建事件 Created SAS URI。
- 獲取powerplatform.analytics.resource.sas.ip_binding_mode 欄位的值 。 如果它丟失或為空,則表示在該特定請求時未為該 環境 打開IP綁定。
- 獲取 powerplatform.analytics.resource.sas.admin_provided_ip_ranges 的值。 如果它缺失或為空,則表示在該特定請求時未為該 環境 指定IP防火牆範圍。
- 獲取 powerplatform.analytics.resource.sas.computed_ip_filters 的值,該值應與使用事件相同,並根據IP綁定模式和管理員提供的IP防火牆範圍派生。 請參閱中的 數據存儲和治理中的 Power Platform派生邏輯。
這應該為租戶管理員提供足夠的資訊,以更正針對IP綁定設置 環境的任何錯誤配置。
警告
對SAS IP 綁定的 環境 設置所做的更改至少需要30分鐘才能生效。 如果合作夥伴團隊有自己的緩存,那就更多了。
相關文章
Microsoft Power Platform 的安全性
驗證 Power Platform 服務
連線和驗證資料來源
Power Platform 安全性常見問題集
請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應