Przechowywanie danych i przechowywanie danych w Power Platform

Najpierw należy rozróżniać dane osobiste i dane klienta.

• Dane osobowe to informacje o osobach, które mogą być wykorzystane do ich identyfikacji.

• Dane klienta obejmują dane osobowe i inne informacje o kliencie, w tym adresy URL, metadane i informacje uwierzytelniające pracowników, takie jak nazwy DNS.

Przechowywanie danych

Dzierżawa Microsoft Entra zawiera informacje związane z organizacją i jej zabezpieczeniami. Podczas dzierżawca Microsoft Entra rejestruje się do usług Power Platform, wybrany kraj lub region dzierżawcy jest mapowany na najbardziej odpowiedni obszar geograficzny Azure, w którym istnieje wdrożenie Power Platform. Power Platform przechowuje dane klientów w przypisanym do lokatora regionie Azure lub home geo, z wyjątkiem sytuacji, w których organizacje wdrażają usługi w wielu regionach.

Niektóre organizacje są obecne na całym świecie. Na przykład firma może mieć siedzibę w Stanach Zjednoczonych, ale prowadzić działalność w Australii. W celu zachowania zgodności z lokalnymi przepisami może być konieczne przechowywanie niektórych danych platformy Power Platform w Australii. Kiedy usługi Power Platform są rozmieszczone w więcej niż jednej lokalizacji geograficznej Azure, jest to określane jako rozmieszczenie multi-geo. W tym przypadku w domowym geo przechowywane są tylko metadane związane ze środowiskiem. Wszystkie metadane i dane produktów w tym środowisku są przechowywane w zdalnym geo.

Microsoft może replikować dane do innych regionów w celu zapewnienia ich odporności. Nie powielamy jednak danych osobowych ani nie przenosimy ich poza obszar geograficzny. Dane replikowane do innych regionów mogą zawierać dane nieosobowe, takie jak informacje uwierzytelniające pracowników.

Usługi Power Platform są dostępne w określonych lokalizacjach Azure. Więcej informacji o tym, gdzie dostępne są usługi Power Platform, gdzie przechowywane są Twoje dane i jak są one wykorzystywane, znajdziesz w Centrum zaufania firmy Microsoft. Zobowiązania dotyczące lokalizacji danych magazynowanych klienta określają Warunki przetwarzania danych w Warunkach dotyczących witryny Microsoft Online Services. Microsoft udostępnia również centra danych dla suwerennych podmiotów.

Obsługa danych

Ta sekcja opisuje, w jaki sposób Power Platform przechowuje, przetwarza i przekazuje dane klientów.

Dane magazynowane

Jeśli dokumentacja nie stanowi inaczej, dane klienta pozostają w oryginalnym źródle (np. Dataverse lub SharePoint). Aplikacja Power Platform jest przechowywana w Azure Storage jako część środowiska. Dane używane w aplikacjach mobilnych są zaszyfrowane i przechowywane w SQL Express. W większości przypadków aplikacje używają Azure Storage do przechowywania danych usług Power Platform oraz Azure SQL Database do przechowywania metadanych usług. Dane wprowadzone przez użytkownika aplikacji są przechowywane w odpowiednich źródło danych dotyczących usługi (np. Dataverse).

Wszystkie dane utrwalane przez Power Platform są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Dane klientów przechowywane w bazach danych Azure SQL są w pełni szyfrowane przy użyciu technologii przezroczystego szyfrowania danych (TDE) Azure SQL. Dane klientów przechowywane w Magazynie obiektów blob Azure są szyfrowane przy użyciu szyfrowania magazynu Azure.

Przetwarzanie danych

Dane są przetwarzane, gdy są albo aktywnie używane przez jednego lub kilku użytkowników w ramach interaktywnego scenariusza, albo gdy taki proces w tle, na przykład odświeża dane. Power Platform ładuje przetwarzane dane do obszaru pamięci jednego lub większej liczby prac serwisowych. Aby ułatwić funkcjonalność obciążenia, dane przechowywane w pamięci nie są szyfrowane.

Dane w drodze

Power Platform wymaga, aby cały przychodzący ruch HTTP był szyfrowany przy użyciu protokołu TLS 1.2 lub nowszego. Żądania, które próbuje użyć adresów TLS 1.1 lub niższych, są odrzucane.

Zaawansowane funkcje bezpieczeństwa

Niektóre z zaawansowanych funkcji bezpieczeństwa Power Platform mają określone wymagania licencyjne.

Tagi usługi

Znacznik usługi reprezentuje grupę prefiksów adresów IP z określonej usługi Azure. Klienci mogą używać tagów usług w celu definiowania formantów dostępu do sieci w grupach zabezpieczeń sieciowych lub Azure Firewall.

Znaczniki usług pomagają zminimalizować złożoność częstych aktualizacji zasad bezpieczeństwa sieci. Możesz używać znaczników usług zamiast konkretnych adresów IP, kiedy tworzysz reguły bezpieczeństwa, które np. zezwalają lub odmawiają ruchu dla odpowiedniej usługi.

Firma Microsoft zarządza prefiksami adresów obejmującymi ten tag i automatycznie aktualizuje tag usługi, gdy zmienią się adresy. Aby uzyskać więcej informacji, zobacz Zakresy IP i znaczniki usług Azure - chmura publiczna.

Ochrona przed utratą danych

Na koniec Power Platform posiada rozbudowany zestaw funkcji Data Loss Prevention (DLP), które pomagają w zarządzaniu bezpieczeństwem danych.

Ograniczenie adresu IP podpisu udostępnionego (SAS) magazynu

Uwaga

Przed aktywowaniem jednej z tych funkcji SAS klienci muszą najpierw zezwolić na dostęp do domeny https://*.api.powerplatformusercontent.com lub większość funkcji SAS nie zadziała.

Ten zestaw funkcji jest funkcją specyficzną dla dzierżawcy, która ogranicza tokeny sygnatury dostępu współdzielonego magazynu (SAS) i jest sterowana za pomocą menu w centrum administracyjnym Power Platform. To ustawienie ogranicza liczbę osób, które na podstawie adresu IP (IPv4 i IPv6) mogą używać tokenów SAS przedsiębiorstwa.

Te ustawienia można znaleźć ustawienia w centrum administracyjnym Prywatność + bezpieczeństwo. Należy włączyć opcję Włącz regułę sygnatury dostępu współużytkowego (SAS) magazynu na podstawie adresu IP.

Administratorzy mogą zezwolić na jedną z tych czterech opcji dla tego ustawienia:

Opcja	Ustawienie	Podpis
1	Tylko powiązanie IP	Ogranicza to dostęp kluczy SAS do adresu IP żądania.
2	Tylko zapora IP	W ten sposób użycie kluczy SAS może działać tylko w określonym zakresie administratorów.
3	Powiązanie IP i zapora	W ten sposób użycie kluczy SAS może działać w określonym zakresie administratorów i tylko na adres IP osoby żądającej.
100	Powiązanie IP lub zapora	Umożliwia korzystanie z kluczy SAS w określonym zakresie. Jeśli żądanie pochodzi spoza zakresu, stosowane jest powiązanie IP.

Notatka

Administratorzy, którzy zdecydowali się zezwolić na zaporę IP (opcje 2, 3 i 4 wymienione w powyższej tabeli), muszą wprowadzić zarówno zakresy IPv4, jak i IPv6 swoich sieci, aby zapewnić prawidłowe pokrycie użytkowników.

Produkty, z których włączono powiązanie IP:

• Dataverse
• Power Automate
• Łączniki niestandardowe
• Power Apps

Wpływ na środowiska użytkownika

• Gdy użytkownik, który nie spełnia ograniczeń adresów IP środowiska, otwiera aplikację: użytkownicy otrzymują komunikat o błędzie z powoływaniem się na ogólny problem z adresem IP.

• Gdy użytkownik, który spełnia ograniczenia dotyczące adresu IP, otwiera aplikację: Występują następujące zdarzenia:

  • Użytkownicy mogą otrzymać banner, który szybko znika, poinformowanie użytkowników o ustawieniu adresu IP i skontaktowanie się z administratorem w celu uzyskania szczegółowych informacji lub odświeżenie wszystkich stron, które stracą połączenie.
  • Bardziej znacząco, ze względu na sprawdzanie poprawności adresu IP używanego przez to ustawienie zabezpieczeń, niektóre funkcje mogą działać dłużej niż wtedy, gdy zostało wyłączone.

Programowa aktualizacja ustawień

Administratorzy mogą używać automatyzacji do ustawiania i aktualizowania zarówno powiązania adresów IP względem ustawienia zapory, zakresu adresów IP na liście dozwolonych adresów IP, jak i przełącznika Rejestrowanie . Dowiedz się więcej w temacie Samouczek: Tworzenie, aktualizowanie i wyświetlanie listy ustawień zarządzania środowiskiem.

Rejestrowanie wywołań typu SAS

To ustawienie umożliwia zalogowanie wszystkich wywołań SAS w obrębie Power Platform do zalogowania w Purview. Rejestrowanie to wyświetla metadane odpowiednie dla wszystkich zdarzeń tworzenia i użycia oraz można je włączyć niezależnie od powyższych ograniczeń IP SAS. Usługi Power Platform obecnie dołączają wywołania DAD w 2024 roku.

Nazwa pola	Opis pola
response.status_message	Informacje o tym, czy zdarzenie powiodło się, czy nie: SASSuccess lub SASAuthorizationError.
response.status_code	Informacje o tym, czy zdarzenie powiodło się, czy nie: 200, 401 lub 500.
ip_binding_mode	Tryb powiązania ip ustawiony przez administratora dzierżawy, jeśli jest włączony. Dotyczy tylko zdarzeń tworzenia SAS.
admin_provided_ip_ranges	W razie potrzeby zakresy IP ustawiane przez administratora dzierżawcy. Dotyczy tylko zdarzeń tworzenia SAS.
computed_ip_filters	Ostatni zestaw filtrów IP powiązanych z adresami URL SAS w oparciu o tryb powiązania IP oraz zakresy ustawione przez administratora dzierżawcy. Ma zastosowanie zarówno do tworzenia, jak i używania zdarzeń tworzenia i użycia sas.
analytics.resource.sas.uri	Dane, do których próbowano uzyskać dostęp lub które próbowano utworzyć.
enduser.ip_address	Publiczny adres IP osoby dzwoniącej.
analytics.resource.sas.operation_id	Unikatowy identyfikator ze zdarzenia tworzenia. Wyszukiwanie według tej wartości pokazuje wszystkie zdarzenia użycia i tworzenia związane z wywołaniami SAS ze zdarzenia tworzenia. Zamapowane na nagłówek odpowiedzi „x-ms-sas-operation-id”.
request.service_request_id	Unikatowy identyfikator żądania lub odpowiedzi, może także służyć do wyszukiwania pojedynczego rekordu. Zamapowane na nagłówek odpowiedzi „x-ms-service-request-id”.
version	Wersja tego schematu dziennika.
type	Odpowiedź ogólna.
analytics.activity.name	Typ działania tego zdarzenia: Tworzenie lub Użycie.
analytics.activity.id	Uniaktowy identyfikator w usłudze Purview.
analytics.resource.organization.id	Identyfikator organizacji
analytics.resource.environment.id	Identyfikator środowiska
analytics.resource.tenant.id	Identyfikator dzierżawy
enduser.id	Identyfikator GUID z Microsoft Entra ID dla twórcy ze zdarzenia tworzenia.
enduser.principal_name	UPN/adres e-mail twórcy. W przypadku zdarzeń użycia jest to odpowiedź ogólna: „system@powerplatform”.
enduser.role	Odpowiedź ogólna: Zwykły dla zdarzeń tworzenia i System dla zdarzeń użycia.

Włączanie rejestrowania inspekcji usługi Purview

Aby dzienniki były wyświetlane w wystąpieniu programu Purview, musisz najpierw zdecydować się na nie dla każdego środowiska, dla którego chcesz utworzyć dzienniki. To ustawienie może zostać zaktualizowane w centrum administracyjnym Power Platform przez administratora dzierżawy.

1. Przejdź do centrum Power Platform administracyjnego i zaloguj się przy użyciu poświadczeń administratora dzierżawy.
2. W okienku nawigacji po lewej stronie wybierz pozycję Środowiska.
3. Wybierz środowisko, dla którego chcesz włączyć rejestrowanie przez administratora.
4. Wybierz Ustawienia na pasku poleceń.
5. Wybierz opcję Prywatność produktu + zabezpieczenia>.
6. W obszarze Ustawienia zabezpieczeń sygnatury dostępu współdzielonego magazynu (SAS) (wersja zapoznawcza) włącz funkcję Włącz rejestrowanie sygnatury dostępu współdzielonego w programie Purview .

Przeszukiwanie dzienników inspekcji

Administratorzy dzierżawy mogą używać usługi Purview do wyświetlania dzienników inspekcji emitowanych dla operacji sygnatury dostępu współdzielonego i mogą samodzielnie diagnozować błędy, które mogą być zwracane w przypadku problemów z weryfikacją adresów IP. Dzienniki w usłudze Purview są najbardziej niezawodnym rozwiązaniem.

Wykonaj poniższe kroki, aby zdiagnozować problemy lub lepiej zrozumieć wzorce użycia sygnatury dostępu współdzielonego w dzierżawie.

1. Upewnij się, że rejestrowanie inspekcji jest włączone dla środowiska. Zobacz Włączanie rejestrowania inspekcji programu Purview.

2. Przejdź do Microsoft portal zgodności usługi Purview i zaloguj się przy użyciu poświadczeń administratora dzierżawy.

3. W okienku nawigacji po lewej stronie wybierz pozycję Inspekcja. Jeśli ta opcja nie jest dla Ciebie dostępna, oznacza to, że zalogowany użytkownik nie ma dostępu administratora do wykonywania zapytań dotyczących dzienników inspekcji.

4. Wybierz zakres dat i godzin w formacie UTC, gdy próbujesz wyszukać dzienniki. Na przykład, gdy został zwrócony błąd 403 Forbidden z kodem błędu unauthorized_caller .

5. Z listy rozwijanej Działania — przyjazne nazwy wyszukaj Power Platform operacje magazynu i wybierz pozycję Utworzony identyfikator URI sygnatury dostępu współdzielonego i Używany identyfikator URI sygnatury dostępu współdzielonego.

6. Określ słowo kluczowe w wyszukiwaniu słów kluczowych. Aby dowiedzieć się więcej o tym polu, zobacz Wprowadzenie do wyszukiwania w dokumentacji usługi Purview. W zależności od scenariusza można użyć wartości z dowolnego pola opisanego w powyższej tabeli, ale poniżej znajdują się zalecane pola do wyszukiwania (w kolejności preferencji):

   • Wartość nagłówka x-ms-service-request-idodpowiedź . Spowoduje to przefiltrowanie wyników do jednego zdarzenia tworzenia identyfikatora URI sygnatury dostępu współdzielonego lub jednego zdarzenia użycia identyfikatora URI sygnatury dostępu współdzielonego, w zależności od typu żądania, z którego pochodzi nagłówek. Jest to przydatne podczas badania błędu 403 Forbidden zwróconego do użytkownika. Można go również użyć do uzyskania wartości powerplatform.analytics.resource.sas.operation_id .
   • Wartość nagłówka x-ms-sas-operation-idodpowiedź . Spowoduje to przefiltrowanie wyników do jednego zdarzenia tworzenia identyfikatora URI sygnatury dostępu współdzielonego i co najmniej jednego zdarzenia użycia dla tego identyfikatora URI sygnatury dostępu współdzielonego w zależności od tego, ile razy uzyskano do niego dostęp. Jest on mapowany na pole powerplatform.analytics.resource.sas.operation_id .
   • Pełny lub częściowy identyfikator URI sygnatury dostępu współdzielonego bez podpisu. Może to spowodować zwrócenie wielu utworzonych identyfikatorów URI sygnatury dostępu współdzielonego i wielu zdarzeń użycia identyfikatora URI sygnatury dostępu współdzielonego, ponieważ możliwe jest, aby ten sam identyfikator URI był żądany do generowania tyle razy, ile jest to potrzebne.
   • Adres IP dzwoniącego. Zwraca wszystkie zdarzenia tworzenia i użycia dla tego adresu IP.
   • Identyfikator środowiska. Może to spowodować zwrócenie dużego zestawu danych, który może obejmować wiele różnych ofert Power Platform, więc unikaj, jeśli to możliwe, lub rozważ zawężenie okna wyszukiwania.

   Ostrzeżenie

   Nie zalecamy wyszukiwania głównej nazwy użytkownika ani identyfikatora obiektu, ponieważ są one propagowane tylko do zdarzeń tworzenia, a nie zdarzeń użycia.

7. Wybierz pozycję Wyszukaj i poczekaj na wyświetlenie wyników.

   

Ostrzeżenie

Pozyskiwanie logów do usługi Purview może być opóźnione o maksymalnie godzinę lub dłużej, dlatego należy o tym pamiętać podczas wyszukiwania najnowszych zdarzeń.

Rozwiązywanie problemów z błędem 403 Forbidden/unauthorized_caller

Możesz użyć dzienników tworzenia i użycia, aby określić, dlaczego połączenie może spowodować błąd 403 Forbidden z kodem błędu unauthorized_caller .

1. Znajdź dzienniki w programie Purview zgodnie z opisem w poprzedniej sekcji. Rozważ użycie x-ms-service-request-id lub x-ms-sas-operation-id z nagłówków odpowiedzi jako słowa kluczowego wyszukiwania.
2. Otwórz zdarzenie użycia,Używany identyfikator URI sygnatury dostępu współdzielonego i poszukaj pola powerplatform.analytics.resource.sas.computed_ip_filters w obszarze PropertyCollection. Ten zakres adresów IP jest używany przez wywołanie sygnatury dostępu współdzielonego do określenia, czy żądanie jest autoryzowane do kontynuowania, czy nie.
3. Porównaj tę wartość z polem Adres IP dziennika, które powinno być wystarczające do określenia, dlaczego żądanie zakończyło się niepowodzeniem.
4. Jeśli uważasz, że wartość powerplatform.analytics.resource.sas.computed_ip_filters jest nieprawidłowa, przejdź do następnych kroków.
5. Otwórz zdarzenie tworzenia,Utworzono identyfikator URI sygnatury dostępu współdzielonego, wyszukując przy użyciu wartości nagłówka x-ms-sas-operation-id odpowiedź (lub wartości pola powerplatform.analytics.resource.sas.operation_id z dziennika tworzenia).
6. Pobierz wartość pola powerplatform.analytics.resource.sas.ip_binding_mode . Jeśli brakuje go lub jest pusty, oznacza to, że powiązanie adresu IP nie zostało włączone dla tego środowiska w momencie tego konkretnego żądania.
7. Skorzystaj z wartości powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Jeśli brakuje go lub jest pusty, oznacza to, że zakresy zapory IP nie zostały określone dla tego środowiska w momencie tego konkretnego żądania.
8. Pobierz wartość powerplatform.analytics.resource.sas.computed_ip_filters, która powinna być identyczna ze zdarzeniem użycia i jest określana na podstawie trybu powiązania adresów IP i zakresów zapory adresów IP dostarczonych przez administratora. Zobacz logikę wyprowadzania w temacie Magazyn danych i zarządzanie nimi w Power Platform.

Powinno to zapewnić administratorom dzierżawy wystarczającą ilość informacji, aby skorygować wszelkie błędy konfiguracji względem środowiska dla ustawień powiązań adresów IP.

Ostrzeżenie

Zmiany wprowadzone w ustawieniach środowiska dla powiązania adresu IP sygnatury dostępu współdzielonego mogą potrwać co najmniej 30 minut. Może to być więcej, jeśli zespoły partnerskie mają własną pamięć podręczną.

Powiązane artykuły

Bezpieczeństwo w Microsoft Power Platform
Uwierzytelnianie w Power Platform usługach
Nawiązywanie połączenia ze źródłami danych i uwierzytelnianie się z nimi
Power Platform Najczęściej zadawane pytania dotyczące bezpieczeństwa

Zobacz też

• Microsoft Centrum zaufania
• Wybieranie regionu podczas konfigurowania środowiska
• Azure Zakresy adresów IP i tagi usług - Chmura publiczna
• Funkcje zapobiegania utracie danych (DLP)