Gegevensopslag en -governance in Power Platform
Ten eerste is het belangrijk om onderscheid te maken tussen: persoonlijke gegevens en klantgegevens.
Persoonsgegevens zijn gegevens over personen waarmee zij geïdentificeerd kunnen worden.
Klantgegevens bevatten persoonlijke gegevens en andere klantinformatie, waaronder URL's, metagegevens en authenticatiegegevens van werknemers, zoals DNS-namen.
Gegevensresidentie
Een Microsoft Entra-tenant bevat informatie die relevant is voor een organisatie en de beveiliging ervan. Wanneer een Microsoft Entra-tenant zich aanmeldt voor Power Platform-services, wordt de voor de tenant geselecteerde land/regio toegewezen aan de meest geschikte Azure-geografie waar een Power Platform-implementatie bestaat. Power Platform slaat klantgegevens op in de toegewezen Azure-geografie ofwel thuisgeo van de tenant, behalve waar organisaties services in meerdere regio's implementeren.
Sommige organisaties zijn wereldwijd aanwezig. Een bedrijf kan bijvoorbeeld zijn hoofdkantoor in de Verenigde Staten hebben, maar zaken doen in Australië. Het kan nodig zijn bepaalde Power Platform-gegevens in Australië op te slaan om te voldoen aan de lokale regelgeving. Wanneer Power Platform-services worden geïmplementeerd in meer dan één Azure-geografie, wordt dit een multigeo-implementatie genoemd. In dit geval worden de omgevingsgerelateerde metagegevens alleen opgeslagen in de thuisgeo. Alle meta- en productgegevens in die omgeving worden opgeslagen in de externe geo.
Microsoft kan gegevens naar andere regio's repliceren voor gegevensveerkracht. We kopiëren of verplaatsen persoonlijke gegevens echter niet buiten de geografische locatie. Gegevens die naar andere regio's worden gerepliceerd, kunnen niet-persoonlijke gegevens bevatten, zoals authenticatiegegevens van werknemers.
Power Platform-services zijn beschikbaar in specifieke geografische Azure-gebieden. Ga naar het Vertrouwenscentrum voor meer informatie over waar Power Platform services beschikbaar zijn, waar uw gegevens worden opgeslagen en hoe ze worden gebruikt Microsoft . Verbintenissen met betrekking tot de locatie van opgeslagen klantgegevens zijn vastgelegd in de Gegevensverwerkingsvoorwaarden van de Microsoft Voorwaarden voor Online Diensten. Microsoft levert ook datacenters voor soevereine entiteiten.
Gegevensverwerking
In dit gedeelte wordt beschreven hoe Power Platform klantgegevens bewaart, verwerkt en overdraagt.
Data-at-rest
Tenzij anders vermeld in de documentatie, blijven klantgegevens in de oorspronkelijke bron (bijvoorbeeld Dataverse of SharePoint). Een Power Platform-app wordt opgeslagen in Azure Storage als onderdeel van een omgeving. Gegevens die worden gebruikt in mobiele apps worden versleuteld en opgeslagen in SQL Express. In de meeste gevallen gebruiken apps Azure Storage om Power Platform-servicegegevens te behouden en Azure SQL Database om servicemetagegevens te behouden. Door appgebruikers ingevoerde gegevens worden opgeslagen in de betreffende gegevensbron voor de service, zoals Dataverse.
Alle gegevens die door Power Platform worden opgeslagen, worden standaard gecodeerd met door Microsoft beheerde sleutels. Klantgegevens die zijn opgeslagen in Azure SQL-database zijn volledig versleuteld met behulp van Azure SQL TDE-technologie (Transparent Data Encryption). Klantgegevens die zijn opgeslagen in Azure Blob Storage, worden versleuteld met Azure Storage Encryption.
Gegevens in verwerking
Gegevens zijn in verwerking wanneer ze worden gebruikt als onderdeel van een interactief scenario of wanneer een achtergrondproces, zoals het vernieuwen, deze gegevens raakt. Power Platform laadt in verwerking zijnde gegevens in de geheugenruimte van een of meer serviceworkloads. Om de functionaliteit van de workload te vergemakkelijken, worden gegevens die in het geheugen zijn opgeslagen niet versleuteld.
Gegevens in transit
Power Platform vereist dat al het inkomende HTTP-verkeer wordt versleuteld met TLS 1.2 of hoger. Verzoeken die TLS 1.1 of lager proberen te gebruiken, worden afgewezen.
Geavanceerde netwerkfuncties
Voor sommige geavanceerde beveiligingsfuncties van Power Platform gelden specifieke licentievereisten.
Servicetags
Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels van een opgegeven Azure-service. U kunt servicetags gebruiken om netwerktoegangsbeheer voor netwerkbeveiligingsgroepen of Azure Firewall te definiëren.
Servicetags helpen de complexiteit van frequente updates van netwerkbeveiligingsregels te minimaliseren. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt die bijvoorbeeld verkeer voor de bijbehorende service toestaan of weigeren.
Microsoft beheert de adresvoorvoegsels die door de servicetag worden omvat en werkt de servicetag automatisch bij wanneer adressen veranderen. Zie Azure IP-bereiken en servicetags - Openbare cloud voor meer informatie.
Preventie van gegevensverlies
Power Platform biedt een uitgebreide set functies ter voorkoming van gegevensverlies om u te helpen bij het beheren van de beveiliging van uw gegevens.
Shared Access Signature (SAS) IP-beperking voor opslag
Opmerking
Voordat een van deze SAS-functies wordt geactiveerd, moeten klanten eerst toegang verlenen tot het domein https://*.api.powerplatformusercontent.com
, anders werken de meeste SAS-functionaliteiten niet.
Deze functieset is een tenantspecifieke functionaliteit waarmee SAS-tokens (Storage Shared Access Signature) worden beperkt en die wordt beheerd via een menu in het Power Platform-beheercentrum. Met deze instelling beperkt u wie, op basis van IP (IPv4 en IPv6), SAS-tokens voor ondernemingen kan gebruiken.
Deze instellingen zijn te vinden in de instellingen voor Privacy + beveiliging van de omgeving in het beheercentrum. U moet de optie Op IP-adres gebaseerde SAS-regel (Storage Shared Access Signature) inschakelen inschakelen.
Beheerders kunnen een van de volgende vier opties voor deze instelling toestaan:
Optie | Instelling | Omschrijving |
---|---|---|
0 | Alleen IP-binding | Hierdoor worden SAS-sleutels beperkt tot het IP-adres van de aanvrager. |
2 | Alleen IP-firewall | Dit beperkt het gebruik van SAS-sleutels, zodat ze alleen binnen een door de beheerder opgegeven bereik werken. |
5 | IP-binding en -firewall | Dit beperkt het gebruik van SAS-sleutels, zodat ze alleen binnen een door de beheerder opgegeven bereik werken en alleen voor het IP-adres van de aanvrager. |
4 | IP-binding of -firewall | Hiermee kunnen SAS-sleutels worden gebruikt binnen het opgegeven bereik. Als de aanvraag van buiten het bereik komt, wordt IP-binding toegepast. |
Notitie
Beheerders die ervoor kiezen om IP-firewall toe te staan (optie 2, 3 en 4 in de bovenstaande tabel) moeten zowel het IPv4- als het IPv6-bereik van hun netwerk invoeren om een goede dekking van hun gebruikers te garanderen.
Producten die IP-binding afdwingen indien ingeschakeld:
- Dataverse
- Power Automate
- Aangepaste connectoren
- Power Apps
Impact op de gebruikerservaring
Wanneer een gebruiker, die niet voldoet aan de IP-adresbeperkingen van omgeving, een app opent: Gebruikers krijgen een foutmelding met de melding dat er sprake is van een algemeen IP-probleem.
Wanneer een gebruiker die wel aan de IP-adresbeperkingen voldoet, een app opent: vinden de volgende gebeurtenissen plaats:
- Gebruikers krijgt mogelijk een banner te zien die snel verdwijnt, zodat gebruikers weten dat er een IP-instelling is ingesteld en ze contact kunnen opnemen met de beheerder voor meer informatie of om pagina's te vernieuwen waarbij de verbinding wordt verbroken.
- Belangrijker nog is dat, vanwege de IP-validatie die deze beveiligingsinstelling gebruikt, sommige functionaliteiten langzamer kunnen werken dan wanneer deze zijn uitgeschakeld.
Instellingen programmatisch bijwerken
Beheerders kunnen automatisering gebruiken om zowel IP-binding als firewall-instellingen, het IP-bereik dat op de toegestane lijst staat en de schakelaar voor Logboekregistratie in te stellen en bij te werken. Meer informatie vindt u in de zelfstudie: Beheerinstellingen voor omgeving maken, bijwerken en weergeven.
Logboekregistratie van SAS-oproepen
Met deze instelling kunnen alle SAS-aanroepen binnen Power Platform worden geregistreerd in Purview. Deze logboekregistratie toont de relevante metagegevens voor alle aanmaak- en gebruiksgebeurtenissen en kan onafhankelijk van de bovenstaande SAS IP-beperkingen worden ingeschakeld. Onboarding van SAS-aanroepen in Power Platform-services vindt momenteel plaats in 2024.
Veldnaam | Veldbeschrijving |
---|---|
response.status_message | Informeren of de gebeurtenis succesvol was of niet: SASSuccess of SASAuthorizationError. |
response.status_code | Informeren of de gebeurtenis succesvol was of niet: 200, 401 of 500. |
ip_binding_mode | IP-bindingsmodus ingesteld door een tenantbeheerder, indien ingeschakeld. Is alleen van toepassing op SAS-aanmaakgebeurtenissen. |
admin_provided_ip_ranges | IP-bereiken die zijn ingesteld door een tenantbeheerder, indien van toepassing. Is alleen van toepassing op SAS-aanmaakgebeurtenissen. |
computed_ip_filters | Laatste set IP-filters gebonden aan SAS-URI's op basis van de IP-bindingsmodus en de bereiken die zijn ingesteld door een tenantbeheerder. Geldt voor zowel SAS-aanmaak- als gebruiksgebeurtenissen. |
analytics.resource.sas.uri | De gegevens waartoe een poging werd gedaan deze te openen of deze te maken. |
enduser.ip_address | De openbare IP van de van de oproepende functie. |
analytics.resource.sas.operation_id | De unieke id van de creatiegebeurtenis. Als u hierop zoekt, worden alle gebruiks- en aanmaakgebeurtenissen weergegeven die verband houden met de SAS-aanroepen van de aanmaakgebeurtenis. Toegewezen aan de antwoordheader 'x-ms-sas-operation-id'. |
request.service_request_id | Unieke identificatie uit de aanvraag of respons en kan worden gebruikt om één record op te zoeken. Toegewezen aan de antwoordheader 'x-ms-service-request-id'. |
versie | Versie van dit logboekschema. |
type | Generieke respons. |
analytics.activity.name | Het type activiteit van dit evenement was: creatie of gebruik. |
analytics.activity.id | Unieke id van de record in Purview. |
analytics.resource.organization.id | Organisatie-id |
analytics.resource.environment.id | Omgevings-id |
analytics.resource.tenant.id | Tenant-id |
enduser.id | De GUID van de Microsoft Entra ID van de maker van de creatiegebeurtenis. |
enduser.principal_name | Het UPN-/e-mailadres van de maker. Voor gebruiksgebeurtenissen is dit een algemene respons: ′system@powerplatform′. |
enduser.role | Algemene respons: Regelmatig voor aanmaakgebeurtenissen en Systeem voor gebruiksgebeurtenissen. |
Purview-auditregistratie inschakelen
Om de logboeken in uw Purview-exemplaar te laten weergeven, moet u zich eerst aanmelden voor elke omgeving waarvoor u logboeken wilt weergeven. Deze instelling kan worden bijgewerkt in de Power Platform Beheercentrum door een tenantbeheerder.
- Ga naar Power Platform Beheercentrum en log in met de beheerdersreferenties van de tenant.
- Selecteer Omgevingen in het linkernavigatievenster.
- Selecteer de omgeving waarvoor u beheerdersregistratie wilt inschakelen.
- Selecteer instellingen in de opdrachtbalk.
- Selecteer product>Privacy + Beveiliging.
- Schakel onder Storage Shared Access Signature (SAS) Security Settings (preview) de functie SAS-logboekregistratie in Purview inschakelen in.
Zoek auditlogs
Tenantbeheerders kunnen Purview gebruiken om auditlogboeken te bekijken die zijn gegenereerd voor SAS-bewerkingen. Ook kunnen ze zelf fouten diagnosticeren die mogelijk worden geretourneerd bij problemen met IP-validatie. Logs in Purview zijn de meest betrouwbare oplossing.
Gebruik de volgende stappen om problemen te diagnosticeren of SAS-gebruikspatronen binnen uw tenant beter te begrijpen.
Zorg ervoor dat auditlogging is ingeschakeld voor omgeving. Zie Purview-auditregistratie inschakelen.
Ga naar de Microsoft Purview-complianceportal en log in met de inloggegevens van de tenantbeheerder.
Selecteer Audit in het linkernavigatievenster. Als deze optie niet voor u beschikbaar is, betekent dit dat de aangemelde gebruiker geen beheerdersrechten heeft om auditlogboeken te raadplegen.
Selecteer het datum- en tijdbereik in UTC wanneer u naar logboeken zoekt. Bijvoorbeeld wanneer een 403 Forbidden-fout met een unauthorized_caller foutcode werd geretourneerd.
Zoek in de vervolgkeuzelijst Activiteiten - beschrijvende namen naar Power Platform opslagbewerkingen en selecteer Aangemaakte SAS-URI en gebruikte SAS-URI.
Geef een trefwoord op in Zoeken op trefwoord. Zie Aan de slag met zoeken in de Purview-documentatie voor meer informatie over dit veld. U kunt een waarde gebruiken uit elk van de velden die in de bovenstaande tabel worden beschreven, afhankelijk van uw scenario. Hieronder vindt u de aanbevolen velden om op te zoeken (in volgorde van voorkeur):
- De waarde van x-ms-service-request-id respons header. Hiermee worden de resultaten gefilterd op één SAS URI-creatiegebeurtenis of één SAS URI-gebruikgebeurtenis, afhankelijk van het aanvraagtype waarvan de header afkomstig is. Dit is handig bij het onderzoeken van een 403 Forbidden-fout die aan de gebruiker is geretourneerd. Het kan ook worden gebruikt om de powerplatform.analytics.resource.sas.operation_id waarde te pakken.
- De waarde van x-ms-sas-operation-id respons header. Hiermee worden de resultaten gefilterd op één SAS URI-creatiegebeurtenis en één of meer gebruiksgebeurtenissen voor die SAS URI, afhankelijk van hoe vaak deze is geopend. Het wordt toegewezen aan het veld powerplatform.analytics.resource.sas.operation_id .
- Volledige of gedeeltelijke SAS URI, minus de handtekening. Hierdoor kunnen er veel SAS URI-creaties en veel SAS URI-gebruiksgebeurtenissen worden geretourneerd, omdat dezelfde URI zo vaak als nodig kan worden opgevraagd voor generatie.
- IP-adres van de beller. Retourneert alle aanmaak- en gebruiksgebeurtenissen voor dat IP.
- omgeving-ID. Dit kan een grote hoeveelheid gegevens opleveren die betrekking kan hebben op verschillende aanbiedingen van Power Platform. Vermijd dit dus indien mogelijk of overweeg om het zoekvenster te verkleinen.
Waarschuwing
Wij raden af om te zoeken naar User Principal Name of Object ID, omdat deze alleen worden doorgegeven aan aanmaakgebeurtenissen, niet aan gebruiksgebeurtenissen.
Selecteer Zoeken en wacht tot de resultaten verschijnen.
Waarschuwing
Het kan een uur of langer duren voordat logboeken in Purview worden opgenomen. Houd hier rekening mee bij het zoeken naar de meest recente gebeurtenissen.
Problemen oplossen met de fout 403 Forbidden/unauthorized_caller
U kunt aanmaak- en gebruikslogboeken gebruiken om te bepalen waarom een aanroep zou resulteren in een 403 Forbidden-fout met een foutcode unauthorized_caller .
- Zoek naar logs in Purview zoals beschreven in de vorige sectie. Overweeg om x-ms-service-request-id of x-ms-sas-operation-id uit de respons-headers te gebruiken als zoekwoord.
- Open de gebruiksgebeurtenis gebruikte SAS-URI en zoek naar het veld powerplatform.analytics.resource.sas.computed_ip_filters onder PropertyCollection. Dit IP-bereik wordt door de SAS-aanroep gebruikt om te bepalen of het verzoek mag worden voortgezet of niet.
- Vergelijk deze waarde met het veld IP-adres in het logboek. Dit zou voldoende moeten zijn om te bepalen waarom het verzoek is mislukt.
- Als u denkt dat de waarde van powerplatform.analytics.resource.sas.computed_ip_filters onjuist is, gaat u verder met de volgende stappen.
- Open de aanmaakgebeurtenis Created SAS URI door te zoeken met behulp van de headerwaarde x-ms-sas-operation-id respons (of de waarde van het veld powerplatform.analytics.resource.sas.operation_id uit het aanmaaklogboek).
- Haal de waarde van het veld powerplatform.analytics.resource.sas.ip_binding_mode op. Als deze ontbreekt of leeg is, betekent dit dat IP-binding niet was ingeschakeld voor die omgeving op het moment van die specifieke aanvraag.
- Haal de waarde op van powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Als deze ontbreekt of leeg is, betekent dit dat er op het moment van die specifieke aanvraag geen IP-firewallbereiken zijn opgegeven voor die omgeving.
- Haal de waarde op van powerplatform.analytics.resource.sas.computed_ip_filters. Deze moet identiek zijn aan de gebruiksgebeurtenis en wordt afgeleid op basis van de IP-bindingsmodus en door de beheerder opgegeven IP-firewallbereiken. Zie de afleidingslogica in Gegevensopslag en -beheer in Power Platform.
Dit zou tenantbeheerders voldoende informatie moeten geven om eventuele verkeerde configuraties van de omgeving voor IP-bindinginstellingen te corrigeren.
Waarschuwing
Het kan minstens 30 minuten duren voordat wijzigingen in de omgeving-instellingen voor SAS IP-binding van kracht worden. Het zou meer kunnen zijn als partnerteams hun eigen cache hebben.
Verwante artikelen
Veiligheid in Microsoft Power Platform
Authenticeren bij Power Platform services
Verbinding maken met en authenticeren bij gegevensbronnen
Power Platform Veelgestelde vragen over beveiliging