Gegevenssoevereiniteit in Dataverse- en Power Platform omgevingen
In het Microsoft Power Platform-beheercentrum wordt het beheer van omgevingen en instellingen voor Power Platform gecentraliseerd en kunt u zowel de gegevenslocatie als de gegevenstoegangscontroles beheren om uw soevereiniteitsvereisten te ondersteunen. Via Tenantinstellingen in het beheercentrum kunt u bepalen hoe omgevingen in uw tenant worden gemaakt en beheerd. Met deze instelling kunt u bepalen welke beheerders de mogelijkheid hebben om nieuwe omgevingen te maken, door deze mogelijkheid te beperken tot algemene, Dynamics 365- en Power Platform-beheerders. Dit vergroot uw controle over de locatie, de methode en het personeel dat toegang heeft tot uw gegevensassets.
Gebruikers en machtigingen beheren
Momenteel kunt u het beheercentrum gebruiken om instellingen voor gebruikers- en machtigingsbeheer te beheren. U kunt bijvoorbeeld:
Dataverse-teams: we raden het gebruik van Microsoft Entra-groepsteams aan om het gebruikersbeheer te vereenvoudigen en ervoor te zorgen dat bevoegdheden en machtigingen consistent worden geïmplementeerd.
Beveiligingsrollen toewijzen aan gebruikers: we raden u aan de gebruikersinterface van het beheercentrum te gebruiken om gebruikers te beheren door beveiligingsrollen te maken.
Gebruikersbeveiliging configureren in een omgeving: geef in het beheercentrum beveiligingsrollen binnen een bepaalde omgeving op om te beperken welke gebruikers wat kunnen doen. Veel al bestaande rollen zijn geconfigureerd om u te helpen dit proces te stroomlijnen. Beleid op tenantniveau kan worden aangepast om controles op het hoogste niveau te bieden die het risico op gegevensverlies als gevolg van onjuist geconfigureerde afzonderlijke omgevingen minimaliseren, door het bereik in te stellen op alle omgevingen. Zie Beveiligingsconcepten in Microsoft Dataverse - Power Platform voor meer informatie
Beheerde omgevingen inschakelen
Beheerde omgevingen bieden uitgebreide mogelijkheden om Dataverse en Power Platform te configureren, onbedoelde gegevenslekken te verminderen en te voldoen aan uw beveiligings- en soevereiniteitsvereisten. Deze mogelijkheden omvatten Op IP-adres gebaseerde cookie-binding, Klanten-lockbox, IP-firewall, Door klant beheerde sleutels, enzovoort.
In het beheercentrum kunt u gegevensbeleid voor uw beheerde omgevingen beheren. We raden u ten zeerste aan gegevensbeleid te gebruiken om alle omgevingen in uw tenant te beschermen, bijvoorbeeld Beleid ter voorkoming van gegevensverlies
In het beheercentrum kunt u de oplossingscontrole in Beheerde omgevingen configureren om controles van uw oplossingen af te dwingen op basis van een aantal best practice-regels en problematische patronen te identificeren. Deze controle kan u helpen slechte methoden voor gegevensbeheer te voorkomen die resulteren in gegevenstoegang of -distributie die in strijd is met uw soevereiniteitsvereisten.
Beheerde omgevingen biedt ook een voorproefje van standaard omgevingsroutering een nieuwe functie voor soevereiniteitsbeheer. Hiermee worden nieuwe gebruikers in Power Apps automatisch gerouteerd naar hun eigen, persoonlijke ontwikkelaarsruimte in plaats van naar een gedeelde standaardomgeving, waar ze kunnen bouwen zonder het risico te lopen dat andere makers toegang krijgen tot hun apps of gegevens.
Zie Beheerde omgevingen inschakelen - Power Platform en Gegevensbeleid - Power Platform voor meer informatie
Gegevensresidentie in Power Platform
Gegevenslocatie heeft betrekking op de fysieke locatie waar gegevens worden opgeslagen en verwerkt. Vereisten voor gegevenslocatie zijn een veelvoorkomende zorg voor klanten uit de publieke sector, die Microsoft vaak vragen om de locaties waar verschillende soorten gegevens worden opgeslagen en verwerkt, te beperken. Power Platform biedt controles en mechanismen om ervoor te zorgen dat zowel persoonlijke gegevens als klantgegevens worden beschermd om de services en regio's te beperken die eindgebruikers kunnen gebruiken en een serviceconfiguratie af te dwingen zodat klanten kunnen voldoen aan hun gegevenslocatiebehoeften.
Selectie van geografische locatie
Wanneer zich aanmeldt voor de Power Platform-services, wordt het geselecteerde land of de geselecteerde regio van de tenant toegewezen aan de meest geschikte Azure-geografie waar een Power Platform-implementatie bestaat. Voor tenants met meerdere geografische locaties kunt u het geografische gebied voor een omgeving opgeven. Meta- en productgegevens voor uw omgeving worden opgeslagen in het externe geografische gebied. Zie Gegevensopslag en -beheer in Power Platform voor meer informatie.
Tenantisolatie
Om de kans op het ongeoorloofd delen van gegevens te verkleinen, moet Power Platform met tenantisolatie op AANworden ingesteld om ervoor te zorgen dat slechts een beperkt aantal (of geen) tenants verbinding kunnen maken met hun soevereine tenant. We raden u aan inkomende en uitgaande verbindingen te voorkomen die de soevereiniteitsgrens overschrijden. Uw beleidsopties kunnen bijvoorbeeld aangeven dat het acceptabel is dat uw tenant wordt verbonden via andere tenant-id's die zich binnen uw soevereine grens bevinden, maar niet door regio's buiten die grens. Zie Binnenkomende en uitgaande toegang tussen tenants beperken - Power Platform voor meer informatie over tenantisolatie.
Back-up/failover
Microsoft kan niet-persoonlijke gegevens, zoals informatie over de verificatie van werknemers, repliceren naar andere regio's voor gegevensbestendigheid. Persoonlijke en klantgegevens worden echter nooit buiten de geografische locatie gerepliceerd of verplaatst. Systeemback-ups van productieomgevingen vinden automatisch plaats en zijn geografisch redundant voor veerkracht en beschikbaarheid. In sommige gevallen kan de back-upregio zich buiten uw soevereine grens bevinden.
Meer informatie over bedrijfscontinuïteit/noodherstel en processen voor failovers en fallbacks voor Dataverse- en F&O-apps vindt u in Bedrijfscontinuïteit en herstel na noodgevallen voor Dynamics 365 SaaS-apps - Power Platform.
Beleid ter voorkoming van gegevensverlies
Power Platform Beleid ter voorkoming van gegevensverlies (DLP) kan als vangrail fungeren bij het afdwingen van vereisten voor gegevenslocaties. Met DLP-beleid kan ook worden afgedwongen welke connectors met elkaar kunnen communiceren om te voorkomen dat gevoelige bedrijfsgegevens onbedoeld of opzettelijk uit de soevereine regio worden overgedragen. Standaard worden alle connectoren in eerste instantie toegewezen aan de niet-zakelijke gegevensgroep (voor persoonlijk gebruik).
Om het risico te verkleinen dat gevoelige informatie uit de soevereine omgeving lekt, moet Connectors voor gevoelige gegevens worden toegewezen aan de gegevensgroep Zakelijk. Om Dynamics 365-omgevingen verder te beschermen, moeten deze connectors ook worden toegewezen aan de gegevensgroep Zakelijk. Zie voor meer informatie over het beheren van DLP-beleid Beleid ter voorkoming van gegevensverlies beheren- Power Platform.
Twee keer wegschrijven
Twee keer wegschrijven biedt nauw gekoppelde, bidirectionele integratie tussen apps voor financiën en bedrijfsactiviteiten en Dataverse. Gegevenswijzigingen in apps voor financiën en bedrijfsactiviteiten leiden tot schrijfbewerkingen naar Dataverse en gegevenswijzigingen in Dataverse kunnen resulteren in schrijfbewerkingen naar apps voor financiën en bedrijfsactiviteiten. Deze geautomatiseerde gegevensstroom zorgt voor een geïntegreerde gebruikerservaring in alle apps.
Voor Twee keer wegschrijven zijn specifieke beveiligingsrollen en machtigingen vereist om naar verwachting te werken. Alle Microsoft Dataverse-gebruikers moeten worden toegevoegd aan de beveiligingsrollen runtime-gebruiker en app-gebruiker voor Twee keer wegschrijven. Als deze rollen niet goed worden beheerd, kan dit mogelijk leiden tot ongeautoriseerde toegang.
De vereisten voor gegevenslocatie en -naleving kunnen variëren, afhankelijk van de geografische locatie waar de gegevens worden opgeslagen en verwerkt. Het is belangrijk om ervoor te zorgen dat de gegevensstroom voldoet aan alle relevante regionale en internationale regelgeving op het gebied van gegevensbescherming. Zie voor meer informatie Twee keer wegschrijven en Beveiligingsrollen en machtigingen instellen voor Twee keer wegschrijven.
Zie voor meer informatie Governance-instelling om anonieme toegang tot Dataverse-gegevens op de Power Pages-website te beheren.