Suverenita dat v prostředích Dataverse a Power Platform
Centrum pro správu Microsoft Power Platform centralizuje správu prostředí a nastavení pro Power Platform a pomáhá spravovat umístění dat a řízení přístupu k datům pro podporu vašich suverénních požadavků. Nastavení tenanta v centru pro správu vám umožní řídit, jak jsou prostředí ve vašem tenantovi vytvářena a spravována. Toto nastavení vám umožňuje regulovat, kteří správci mají možnost vytvářet nová prostředí, přičemž tuto možnost omezuje pouze na globální, Dynamics 365 a správce Power Platform. To zvyšuje vaši kontrolu nad umístěním, metodou a personálem, který přistupuje k vašim datovým aktivům.
Povolení spravovaných prostředí
Spravovaná prostředí poskytují rozsáhlé možnosti, které vám pomohou nakonfigurovat Dataverse a Power Platform a snížit riziko neúmyslného úniku dat a sladit se s vašimi požadavky na zabezpečení a suverenitu. Mezi tyto funkce patří vazba souborů cookie na IP, Customer Lockbox, IP firewall, klíče spravované zákazníkem atd.
V centru pro správu můžete spravovat zásady dat pro spravovaná prostředí. Důrazně doporučujeme, abyste používali zásady dat k ochraně všech prostředí ve vašem tenantovi, například Zásady prevence ztráty dat
V centru pro správu můžete nakonfigurovat kontrolu řešení ve spravovaných prostředích, abyste vynutili kontroly řešení proti souboru pravidel osvědčených postupů a identifikovali tyto problematické vzorce. Tato kontrola vám může pomoci předejít špatným postupům správy dat, které vedou k přístupu nebo distribuci dat, která porušuje vaše suverénní požadavky.
Spravovaná prostředí také předvádí výchozí směrování prostředí, novou funkci podporující suverénní ovládání, takže když do Power Apps přijde nový tvůrce, budou automaticky směrován do vlastního, osobního vývojářského prostoru namísto do sdíleného výchozího prostředí, kde může tvořit bez rizika, že k jeho aplikacím nebo datům budou mít přístup jiní tvůrci.
Další informace naleznete v části Zapnutí spravovaných prostředí – Power Platform a Zásady dat – Power Platform
Datová rezidence a nasazení ve více zeměpisných oblastech
Když se přihlásíte ke službám Power Platform, můžete si vybrat zemi/oblast, která je namapována na nejvhodnější geografii Azure, kde existuje nasazení Power Platform.
Rezidence dat v Power Platform
Data rezidence se zabývá fyzickým umístěním, kde jsou data uložena a zpracovávána. Datová rezidence zajišťuje, že data zákazníků jsou uložena v Azure geografické (nebo domovské) geografické oblasti přidělené tenantovi.
Požadavky na datovou rezidenci jsou společným problémem zákazníků z veřejného sektoru, kteří často požadují, aby společnost Microsoft omezila, kde jsou různé typy dat ukládány a zpracovávány. Power Platform poskytuje ovládací prvky a mechanismy, které zajistí, že osobní údaje a zákaznická data jsou chráněny za účelem omezení služeb a regionů, které koncoví uživatelé mohou používat a vynucovat konfiguraci služeb, aby pomohli zákazníkům splnit jejich potřeby týkající se umístění dat.
Výběr zeměpisné oblasti
Pokud jste globální organizace, nasazení ve více oblastech vám umožní ukládat data v konkrétních regionech, abyste dodrželi místní předpisy. Když se přihlásíte ke službám Power Platform, je vybraná země/oblast tenanta mapována na nejvhodnější geografii Azure, kde existuje nasazení Power Platform. Pro tenanty s více geografickými oblastmi můžete určit oblast pro prostředí. Při nasazení ve více geografických oblastech zůstávají metadata v domovské geografické oblasti, zatímco metadata a skutečná data zůstávají ve vzdálené geografické oblasti. Společnost Microsoft může replikovat data do jiných oblastí, aby byla zajištěna odolnost dat. Další informace naleznete v části Ukládání dat a zásady správného řízení v Power Platform.
Izolace klienta
Aby se snížila možnost neoprávněného sdílení dat, Power Platform by měla být nastavena se zapnutou izolací tenantů, aby bylo zajištěno, že pouze omezený počet tenantů (nebo žádný) se může spojit se svým suverénním tenantem. Doporučujeme zabránit příchozím a odchozím spojením, která překračují hranici suverenity. Ovládací prvky vašich zásad mohou například indikovat, že je přijatelné, aby váš tenant byl připojen pomocí jiných tenant_id, které jsou v rámci vaší suverénní hranice, ale ne regiony mimo tuto hranici. Další informace o izolaci tenantů najdete v části: Omezení příchozího a odchozího přístupu napříč tenanty – Power Platform.
Záloha / převzetí služeb při selhání
Microsoft může replikovat neosobní neosobní údaje, jako jsou informace o ověřování zaměstnanců, do jiných oblastí za účelem odolnosti dat. Osobní údaje a data zákazníků však nejsou nikdy replikována ani přesouvána mimo geografickou oblast. Systémové zálohy produkčních prostředí probíhají automaticky a jsou geograficky redundantní z důvodu odolnosti a dostupnosti. V některých případech může být oblast zálohy mimo vaši suverénní hranici.
Další informace o kontinuitě podnikání / obnově po havárii, převzetí služeb při selhání a záložních procesech pro Dataverse a aplikace F a O naleznete v tématu: Provozní kontinuita a zotavení po havárii pro aplikace SaaS Dynamics 365 – Power Platform.
Zásady prevence ztráty dat
Power Platform Zásady ochrany před ztrátou dat (DLP) mohou fungovat jako zábrany, které pomohou prosadit požadavky na umístění dat. Zásady DLP mohou také pomoci prosadit, které konektory mohou mezi sebou komunikovat, aby se zabránilo neúmyslnému nebo záměrnému přenosu citlivých obchodních dat mimo suverénní region. Ve výchozím nastavení jsou všechny konektory zpočátku přiřazeny k neobchodní datové skupině (pro osobní použití).
Aby se snížilo riziko úniku citlivých informací ze suverénního prostředí, konektory pro citlivá data by měly být přiřazeny ke skupině Obchodní data. Pro další ochranu prostředí Dynamics 365 by tyto konektory měly být také přiřazeny ke skupině Obchodní data. Další informace o správě zásad DLP naleznete v části: Správa zásad prevence ztráty dat (DLP) – Power Platform.
Duální zápis
Dual-write poskytuje pevně propojenou obousměrnou integraci mezi finanční a provozní aplikace a Dataverse. Změny dat ve finančních a provozních aplikacích mohou způsobit zápisy do aplikace Dataverse a změny dat v Dataverse mohou způsobit zápisy do finančních a provozních aplikací. Tento automatizovaný tok dat poskytuje integrované uživatelské prostředí napříč aplikacemi.
Duální zápis vyžaduje specifické role zabezpečení a oprávnění, aby fungoval podle očekávání. Všichni uživatelé Microsoft Dataverse by měli být přidáni do uživatelských rolí zabezpečení s duálním zápisem za běhu a uživatelských rolí s duálním zápisem. Pokud tyto role nejsou správně spravovány, může to vést k neoprávněnému přístupu.
Požadavky na rezidenci dat a dodržování předpisů se mohou lišit v závislosti na geografickém umístění, kde jsou data uložena a zpracovávána. Je důležité zajistit, aby tok dat byl v souladu se všemi příslušnými regionálními a mezinárodními předpisy o ochraně dat. Více informací viz Duální zápis a Nastavení role zabezpečení a oprávnění pro duální zápis.
Více informací viz Nastavení správy pro řízení anonymního přístupu k datům Dataverse na webu Power Pages.