Armazenamento de dados e governação no Power Platform
Em primeiro lugar, é importante distinguir entre dados pessoais e dados de cliente.
Dados pessoais são informações sobre pessoas que podem ser usadas para identificá-las.
Os dados do cliente incluem dados pessoais e outras informações do cliente, incluindo URLs, metadados e informações de autenticação de funcionários, como nomes DNS.
Residência dos dados
Um inquilino do Microsoft Entra abriga informações relevantes para uma organização e sua segurança. Quando um inquilino do Microsoft Entra se inscreve para serviços do Power Platform, o país ou região selecionado do inquilino é mapeado para a geografia do Azure mais adequada onde existe uma implementação do Power Platform. O Power Platform armazena dados de clientes na geografia do Azure atribuída pelo inquilino, ou geo base, exceto quando as organizações implementam serviços em várias regiões.
Algumas organizações têm uma presença global. Por exemplo, uma empresa pode estar sediada nos Estados Unidos, mas fazer negócios na Austrália. Pode precisar de certos dados do Power Platform para ser armazenado na Austrália para cumprir regulamentos locais. Quando os serviços do Power Platform são implementados em mais do que uma geografia do Azure, é referido como uma implementação multigeográfico. Neste caso, apenas os metadados relacionados com o ambiente são armazenados na geo base. Todos os metadados e dados do produto nesse ambiente são armazenados na geo remota.
A Microsoft pode replicar dados para outras regiões para resiliência de dados. No entanto, não replicamos nem movemos dados pessoais fora da geo. Os dados replicados para outras regiões podem incluir dados não pessoais, como informações de autenticação de funcionários.
Os serviços do Power Platform estão disponíveis em geografias do Azure específicas. Para obter mais informações sobre o local onde os serviços do Power Platform estão disponíveis, onde os seus dados são armazenados e como são utilizados, vá ao Centro de Confiança da Microsoft. Os compromissos relativos à localização dos dados de clientes inativos encontram-se especificados nos Termos do Processamento de Dados dos Termos dos Serviços Online da Microsoft. A Microsoft também fornece datacenters para entidades soberanas.
Processamento de dados
Esta secção descreve como o Power Platform armazena, processa e transfere dados de clientes.
Dados inativos
Salvo indicação em contrário na documentação, os dados de clientes permanecem na sua origem original (por exemplo, Dataverse ou SharePoint). Uma aplicação do Power Platform é armazenada no Armazenamento do Azure como parte de um ambiente. Os dados utilizados em aplicações móveis são encriptados e armazenados no SQL Express. Na maioria dos casos, as aplicações utilizam o Armazenamento do Azure para persistir dados de serviço do Power Platform e na Base de Dados do SQL do Azure para persistir em metadados de serviço. Os dados que são introduzidos por utilizadores de aplicações são armazenados na respetiva origem de dados para o serviço, tal como o Dataverse.
Todos os dados persistidos pelo Power Platform são encriptados por predefinição utilizando chaves geridas pela Microsoft. Os dados de clientes armazenados na Base de Dados SQL do Azure são totalmente encriptados com a tecnologia de Encriptação de Dados Transparente (TDE) do SQL do Azure. Os dados de clientes armazenados no armazenamento de Blobs do Azure são encriptados através da Encriptação de Armazenamento do Azure.
Dados em processamento
Os dados estão em processamento quando estão a ser utilizados ativamente como parte de um cenário interativo, ou quando um processo de fundo, como a atualização lhes toca. O Power Platform carrega dados em processamento no espaço de memória de uma ou mais cargas de trabalho de serviço. Para facilitar a funcionalidade da carga de trabalho, os dados que são armazenados na memória não são encriptados.
Dados em trânsito
O Power Platform requer que todo o tráfego HTTP de entrada seja encriptado utilizando TLS 1.2 ou superior. Os pedidos que tentem utilizar TLS 1.1 ou inferior são rejeitados.
Funcionalidades de segurança avançadas
Algumas das funcionalidades de segurança avançadas do Power Platform têm requisitos de licenciamento específicos.
Etiqueta de serviço
Uma etiqueta de serviço representa um grupo de prefixos de endereço IP de um serviço do Azure especificado. Pode utilizar etiquetas de serviço para definir controlos de acesso em Grupos de Segurança de Rede ou Azure Firewall.
As etiquetas de serviço ajudam a minimizar a complexidade das atualizações frequentes para regras de segurança da rede. Pode utilizar etiquetas de serviço no lugar de endereços IP específicos quando cria regras de segurança que, por exemplo, permitem ou negam o tráfego para o serviço correspondente.
A Microsoft gere os prefixos de endereço englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam. Para mais informações, consulte Intervalos de IP do Azure e Etiquetas de Serviço – Cloud Pública.
Prevenção de perda de dados
O Power Platform tem um vasto conjunto de funcionalidades de Prevenção de Perda de Dados (DLP) para ajudá-lo a gerir a segurança dos seus dados.
Restrição de IP da Assinatura de Acesso Partilhado a Armazenamento (SAS)
Nota
Antes de ativar qualquer uma destas funcionalidades SAS, os clientes têm primeiro de permitir o acesso ao domínio https://*.api.powerplatformusercontent.com
ou a maioria das funcionalidades SAS não irá funcionar.
Este conjunto de funcionalidades é uma funcionalidade específica do inquilino que restringe os tokens de Assinatura de Acesso Partilhado (SAS) de Armazenamento e é controlado através de um menu no centro de administração do Power Platform. Essa configuração restringe quem, com base em IP (IPv4 e IPv6), pode usar tokens SAS corporativos.
Estas definições podem ser encontradas nas definições de Privacidade + Segurança no centro de administração. Tem de ativar a opção Ativar Assinatura de Acesso Partilhado (SAS) de Armazenamento baseada no endereço IP.
Os administradores podem permitir uma destas quatro opções para essa configuração:
Opção | Definição | Description |
---|---|---|
5 | Apenas Enlace de IP | Isto restringe as chaves SAS ao IP do requerente. |
2 | Apenas Firewall de IP | Isto restringe a utilização de chaves SAS para funcionar apenas num intervalo especificado pelo administrador. |
3 | Firewall e Enlace de IP | Isto restringe a utilização de chaves SAS para funcionar num intervalo especificado pelo administrador e apenas para o IP do requerente. |
4 | Firewall ou Enlace de IP | Permite a utilização de chaves SAS no intervalo especificado. Se o pedido tiver origem exterior ao intervalo, é aplicado o Enlace de IP. |
Nota
Os administradores que optaram por permitir o Firewall IP (Opção 2, 3 e 4 listadas na tabela acima) devem inserir os intervalos IPv4 e IPv6 de suas redes para garantir a cobertura adequada de seus usuários.
Produtos que impõem o Enlace de IP quando ativados:
- Dataverse
- Power Automate
- Conectores Personalizados
- Power Apps
Impacto na experiência do utilizador
Quando um utente, que não atende às restrições de endereço IP de um ambiente, abre um aplicativo: os usuários recebem uma mensagem de erro citando um problema de IP genérico.
Quando um utente, que atende às restrições de endereço IP, abre um aplicativo: Os seguintes eventos ocorrem:
- Os utilizadores poderão obter uma faixa que irá desaparecer rapidamente, permitindo que os utilizadores saibam que foi definida uma definição de IP e que contactem o admin para obterem detalhes ou para atualizarem quaisquer páginas que percam a ligação.
- Mais significativamente, devido à validação de IP que esta definição de segurança utiliza, algumas funcionalidades poderão ter um desempenho mais lento do que se estivessem desativadas.
Atualizar configurações programaticamente
Os administradores podem usar a automação para definir e atualizar a configuração de vinculação de IP vs firewall, o intervalo de IP que é permitido listar e a alternância de registro . Saiba mais em Tutorial: Criar, atualizar e listar configurações de gerenciamento de ambiente.
Registo de chamadas SAS
Esta definição permite que todas as chamadas SAS no Power Platform sejam registadas no Purview. Este registo mostra os metadados relevantes para todos os eventos de criação e utilização e pode ser ativado independentemente das restrições de IP de SAS anteriores. Os seriços do Power Platform estão atualmente a integrar chamadas SAS em 2024.
Nome do campo | Descrição do campo |
---|---|
response.status_message | Informa se o evento foi bem-sucedido ou não: SASSuccess ou SASAuthorizationError. |
response.status_code | Informa se o evento foi bem-sucedido ou não: 200, 401 ou 500. |
ip_binding_mode | Modo de enlace de IP definido por um admin de inquilinos, se ativado. Aplica-se apenas a eventos de criação SAS. |
admin_provided_ip_ranges | Intervalos de IP definidos por um admin de inquilinos, se existir. Aplica-se apenas a eventos de criação SAS. |
computed_ip_filters | Conjunto final de filtros IP vinculados a URIs SAS com base no modo de enlace de IP e nos intervalos definidos por um admin de inquilinos. Aplica-se a eventos de criação e de utilização de SAS. |
analytics.resource.sas.uri | Os dados que estava a tentar aceder ou criar. |
enduser.ip_address | O IP público do chamador. |
analytics.resource.sas.operation_id | O identificador exclusivo do evento de criação. A pesquisa mostra todos os eventos de utilização e criação relacionados com as chamadas SAS do evento de criação. Mapeado para o cabeçalho de resposta "x-ms-sas-operation-id". |
request.service_request_id | Identificador exclusivo do pedido ou da resposta e pode ser utilizado para procurar um único registo. Mapeado para o cabeçalho de resposta "x-ms-service-request-id". |
versão | Versão deste esquema de registo. |
type | Resposta genérica. |
analytics.activity.name | O tipo de atividade deste evento foi: Criação ou Utilização. |
analytics.activity.id | ID exclusivo do registo no Purview. |
analytics.resource.organization.id | ID da Organização |
analytics.resource.environment.id | ID do Ambiente |
analytics.resource.tenant.id | ID do Inquilino |
enduser.id | O GUID do Microsoft Entra ID do criador do evento de criação. |
enduser.principal_name | O UPN/endereço de e-mail do agente. Para eventos de utilização, esta é uma resposta genérica: "system@powerplatform". |
enduser.role | Resposta genérica: Regular para eventos de criação e Sistema para eventos de utilização. |
Ativar o registo de auditoria do Purview
Para que os logs sejam exibidos em sua instância do Purview, você deve primeiro optar por ele para cada ambiente para o qual deseja fazer logs. Essa configuração pode ser atualizada no Power Platform centro de administração por um administrador de locatário.
- Aceda ao Power Platform centro de administração e inicie sessão com as credenciais de administrador de inquilino.
- No painel de navegação esquerdo, selecione Ambientes.
- Selecione o ambiente para o qual você deseja ativar o log de administrador.
- Selecione Configurações na barra de comandos.
- Selecione Privacidade do Produto>+ Segurança.
- Em Configurações de Segurança (pré-visualização Configurações de Segurança da Assinatura de Acesso Compartilhado (SAS) de Armazenamento, ative o recurso Habilitar Registro em Log SAS no Purview .
Pesquisar logs de auditoria
Os administradores de locatários podem usar o Purview para exibir logs de auditoria emitidos para operações SAS e podem autodiagnosticar erros que podem ser retornados em problemas de validação de IP. Os logs no Purview são a solução mais confiável.
Use as etapas a seguir para diagnosticar problemas ou entender melhor os padrões de uso do SAS em seu locatário.
Verifique se o log de auditoria está ativado para o ambiente. Consulte Ativar o registro de auditoria do Purview.
Vá para o portal de conformidade Microsoft Purview e faça login com credenciais de administrador de locatário.
No painel de navegação esquerdo, selecione Auditoria. Se essa opção não estiver disponível para você, isso significa que o utente conectado não tem acesso de administrador para consultar logs de auditoria.
Escolha o intervalo de data e hora em UTC para quando você estiver a tentar procurar logs. Por exemplo, quando um erro 403 Forbidden com um código de erro unauthorized_caller foi retornado.
Na lista suspensa Atividades - nomes amigáveis, procure Power Platform operações de armazenamento e selecione URI SAS criado e URI SAS usado.
Especifique uma palavra-chave na Pesquisa por palavra-chave. Consulte Introdução à pesquisa na documentação do Purview para saber mais sobre este campo. Você pode usar um valor de qualquer um dos campos descritos na tabela acima, dependendo do seu cenário, mas abaixo estão os campos recomendados para pesquisar (em ordem de preferência):
- O valor do cabeçalho x-ms-service-request-id resposta. Isso filtra os resultados para um evento de Criação de URI SAS ou um evento de uso de URI SAS, dependendo de qual tipo de solicitação o cabeçalho é. É útil ao investigar um erro 403 Forbidden devolvido ao utente. Ele também pode ser usado para pegar o valor powerplatform.analytics.resource.sas.operation_id .
- O valor do cabeçalho x-ms-sas-operation-id resposta. Isso filtra os resultados para um evento de criação de URI SAS e um ou mais eventos de uso para esse URI SAS, dependendo de quantas vezes ele foi acessado. Ele mapeia para o campo powerplatform.analytics.resource.sas.operation_id .
- URI SAS total ou parcial, menos a assinatura. Isso pode retornar muitas criações de URI SAS e muitos eventos de uso de URI SAS, porque é possível que o mesmo URI seja solicitado para geração quantas vezes, conforme necessário.
- Endereço IP do chamador. Retorna todos os eventos de criação e uso desse IP.
- ID do ambiente. Isso pode retornar um grande conjunto de dados que podem abranger muitas ofertas Power Platform diferentes, portanto, evite, se possível, ou considere restringir a janela de pesquisa.
Aviso
Não recomendamos a pesquisa de Nome Principal do Usuário ou ID do Objeto, pois eles são propagados apenas para eventos de criação, não para eventos de uso.
Selecione Pesquisar e aguarde a exibição dos resultados.
Aviso
A ingestão de log no Purview pode ser adiada por até uma hora ou mais, então tenha isso em mente ao procurar os eventos mais recentes.
Solução de problemas do erro 403 Proibido/unauthorized_caller
Você pode usar logs de criação e uso para determinar por que uma chamada resultaria em um erro 403 Forbidden com um código de erro unauthorized_caller .
- Encontre logs no Purview conforme descrito na secção anterior. Considere usar x-ms-service-request-id ou x-ms-sas-operation-id dos cabeçalhos resposta como palavra-chave de pesquisa.
- Abra o evento use,Used SAS URI, e procure o campo powerplatform.analytics.resource.sas.computed_ip_filters em PropertyCollection. Esse intervalo de IP é o que a chamada SAS usa para determinar se a solicitação está autorizada a prosseguir ou não.
- Compare esse valor com o campo Endereço IP do log, que deve ser suficiente para determinar por que a solicitação falhou.
- Se você acha que o valor de powerplatform.analytics.resource.sas.computed_ip_filters está incorreto, continue com as próximas etapas.
- Abra o evento de criação,Created SAS URI, pesquisando usando o valor do cabeçalho x-ms-sas-operation-id resposta (ou o valor de powerplatform.analytics.resource.sas.operation_id campo do log de criação).
- Obtenha o valor de powerplatform.analytics.resource.sas.ip_binding_mode campo. Se estiver ausente ou vazio, significa que a vinculação de IP não estava ativada para esse ambiente no momento dessa solicitação específica.
- Obtenha o valor de powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Se estiver ausente ou vazio, isso significa que os intervalos de firewall IP não foram especificados para esse ambiente no momento dessa solicitação específica.
- Obtenha o valor de powerplatform.analytics.resource.sas.computed_ip_filters , que deve ser idêntico ao evento de uso e é derivado com base no modo de vinculação IP e nos intervalos defirewall IP fornecidos pelo administrador. Consulte a lógica de derivação em Armazenamento e governança de dados em Power Platform.
Isso deve fornecer aos administradores de locatários informações suficientes para corrigir qualquer configuração incorreta no ambiente para configurações de vinculação de IP.
Aviso
As alterações feitas nas configurações de ambiente para vinculação de IP SAS podem levar pelo menos 30 minutos para entrar em vigor. Poderia ser mais se as equipes parceiras tivessem seu próprio cache.
Artigos relacionados
Segurança em Microsoft Power Platform
Autenticação em Power Platform serviços
Conectando-se e autenticando-se a fontes de dados
Power Platform perguntas frequentes sobre segurança