Поделиться через


Ответ на запросы прав субъектов данных (DSR) для удаления данных клиента Power Apps

"Право на удаление" путем удаления персональных данных из данных клиентов организации — одно из основных прав, предусмотренных Общим регламентом по защите данных (GDPR) Европейского Союза (ЕС). Под удалением персональных данных понимается удаление формируемых системой журналов, за исключением информации журнала аудита.

Power Apps позволяет пользователям создавать бизнес-приложения, которые являются важной частью повседневной работы вашей организации. Когда пользователь покидает вашу организацию, вам нужно будет вручную просмотреть и определить, следует ли удалять определенные данные и ресурсы, созданные пользователем. Другие личные данные будут автоматически удаляться при удалении учетной записи пользователя из Microsoft Entra.

Ниже приводится разбивка между личными данными, которые будут автоматически удалены, и данными, требующими проверки и удаления вручную:

Требует ручного просмотра и удаления Автоматически удаляется при удалении пользователя из Microsoft Entra
Среда** Шлюз
Разрешения среды*** Разрешения шлюза
Приложение на основе холста/пользовательская страница** Уведомления Power Apps
Разрешения приложения на основе холста Параметры пользователя Power Apps
Подключение** Параметры пользователя-приложения Power Apps
Разрешения подключения
Настраиваемый соединитель**
Разрешения настраиваемого соединителя

** Каждый из этих ресурсов содержит записи «Создано» и «Изменено», которые содержат личные данные. По соображениям безопасности, такие записи будут сохраняться пока ресурс не будет удален.

*** Для сред, которые включают базу данных Microsoft Dataverse, разрешения среды (это означает, что пользователям назначают роли создателя и администратора среды) хранятся в виде записи в этой базе данных. Руководство о том, как реагировать на DSR для пользователей Dataverse см. в разделе Ответ на запросы прав субъектов данных (DSR) для данных клиента Dataverse.

Для данных и ресурсов, требующих ручного просмотра, Power Apps предлагает следующие возможности переназначения (при необходимости) или удаления личных данных для конкретного пользователя:

Ниже приводится описание того, какие возможности доступны для удаления каждого типа ресурса, который может содержать личные данные:

Ресурсы, содержащие персональные данные Доступ к веб-сайту Доступ к PowerShell
Environment Центр администрирования Power Platform Командлеты Power Apps
Разрешения среды** Центр администрирования Power Platform Командлеты Power Apps
Приложение на основе холста/пользовательская страница Центр администрирования Power Platform
Power Apps
Командлеты Power Apps
Разрешения приложения на основе холста Центр администрирования Power Platform Командлеты Power Apps
Подключение Создатель приложения: Доступно
Администратор: Доступно
Разрешения подключения Создатель приложения: Доступно
Администратор: Доступно
Настраиваемый соединитель Создатель приложения: Доступно
Администратор: Доступно
Разрешения настраиваемого соединителя Создатель приложения: Доступно
Администратор: Доступно

** С введением Dataverse, если база данных, создается в среде, разрешения среды и приложения на основе модели хранятся в виде записей в среде этой базы данных. Руководство о том, как реагировать на DSR для пользователей Dataverse см. в разделе Ответ на запросы прав субъектов данных (DSR) для данных клиента Dataverse.

Необходимые компоненты

Для пользователей

Любой пользователь с действительной лицензией Power Apps может выполнять операции пользователя описанные в этом документе используя Power Apps или командлеты PowerShell для создателей приложения.

Неуправляемый клиент

Если вы являетесь участником неуправляемого арендатора, то есть у вашего арендатора Microsoft Entra нет глобального администратора, тогда вы все равно сможете выполнить действия, описанные в этой статье, чтобы удалить свои личные данные. Однако, поскольку у вашего арендатора нет глобального администратора, вам нужно будет следовать инструкциям, описанным в шаге 13: удалить пользователя из Microsoft Entra, чтобы удалить свою учетную запись из арендатора.

Чтобы определить, являетесь ли вы участником неуправляемого клиента, выполните следующие действия:

  1. Откройте следующий URL-адрес в браузере, убедившись, что заменили ваш адрес электронной почты в URL-адресе: https://login.microsoftonline.com/common/userrealm/name@contoso.com?api-version=2.1

  2. Если вы являетесь участником неуправляемого клиента, то в ответе вы увидите"IsViral": true.

{
  ...
  "Login": "name@unmanagedcontoso.com",
  "DomainName": "unmanagedcontoso.com",
  "IsViral": true,
  ...
}
  1. В противном случае вы принадлежите управляемому клиенту.

Для администраторов

Для выполнения административных операций, описанных в этом документе, с помощью центра администрирования Power Platform, центра администрирования Power Automate или командлетов PowerShell для администраторов Power Apps, потребуются следующие действия:

Шаг 1: удалить или переназначить все среды, созданные пользователем

Под учетной записью администратора, у вас есть 2 решения при обработке запроса DSR на удаление для каждой среды, созданной пользователем:

  1. Если вы решите, что среда не используется кем-то еще в вашей организации, вы можете удалить эту среду.

  2. Если вы решите, что среда по-прежнему требуется, вы можете не удалять эту среду и добавлять себя (или другого пользователя в своей организации) в качестве администратора среды.

Внимание

Удаление среды приведет к окончательному удалению всех ресурсов в среде, включая все приложения, потоки, подключения и т.д. Поэтому перед удалением просмотрите содержимое среды.

Предоставление доступа к средам пользователя

Администратор может предоставить административный доступ к среде, выполнив следующие действия:

  1. Из центра администрирования Power Platform выберите среду, чтобы предоставить привилегии администратора себе или другому пользователю в вашей организации.

  2. Если среда была создана пользователем из запроса DSR, в разделе Доступ, Администратор среды выберите Показать все.

Выберите администратора среды, показать все.

Удаление сред, созданных пользователем

Администратор может просмотреть и удалить среды, созданные определенным пользователем, выполнив следующие действия:

  1. Из центра администрирования Power Platform выберите среду.

  2. Если среда была создана пользователем из запроса DSR, выберите Удалить а затем выполните шаги по удалению среды.

Удаление среды.

Предоставить доступ к средам пользователя с помощью PowerShell

Администратор может назначить себе (или другому пользователю в своей организации) доступ ко всем средам, созданным пользователем, используя функцию Set-AdminPowerAppEnvironmentRoleAssignment в командлетах PowerShell для администраторов Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
$myUserId = $global:currentSession.UserId

#Assign yourself as an admin to each environment created by the user
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Set-AdminPowerAppEnvironmentRoleAssignment -RoleName EnvironmentAdmin -PrincipalType User -PrincipalObjectId $myUserId

#Retrieve the environment role assignments to confirm
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Get-AdminPowerAppEnvironmentRoleAssignment

Внимание

Эта функция работает только в средах не имеющих базы данных в Dataverse.

Удалить среды, созданные пользователем с помощью PowerShell

Администратор может удалить все среды, созданные пользователем, используя функцию Remove-AdminPowerAppEnvironment в командлетах PowerShell для администраторов Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

# Retrieve all environments created by the user and then delete them
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppEnvironment

Шаг 2: удалите права пользователя для всех других сред

Пользователям могут быть назначены разрешения (такие как «Администратор среды» и «Создатель среды») в среде, которые хранятся в службе Power Apps как «назначение роли». С введением Dataverse если база данных создается в среде, эти «назначения ролей» сохраняются в виде записей в среде этой базы данных.

Для сред без база данных Dataverse

Центр администрирования Power Platform

Администратор может удалять разрешения среды пользователя, начиная с центра администрирования Power Platform, выполнив следующие действия:

  1. Из центра администрирования Power Platform выберите среду.

    Вы должны быть Глобальный администратор Microsoft 365 или Глобальный администратор Microsoft Entra, чтобы иметь возможность просматривать все среды, которые были созданы в вашей организации.

  2. Если в вашей среде нет базы данных Dataverse, вы увидите раздел Доступ. В разделе Доступ выберите Администратор среды или Создатель среды, затем выберите Показать все.

    Выберите администратора среды, показать все.

  3. Выберите пользователя, выберите Удалить, чтобы удалить их разрешение, затем выберите Продолжить.

PowerShell

Администратор может удалить все назначения ролей среды для пользователя во всех средах без базы данных Dataverse с помощью функции Remove-AdminPowerAppEnvironmentRoleAssignment в командлеты PowerShell для администраторов Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#find all environment role assignments for the user for environments without a Dataverse database and delete them
Get-AdminPowerAppEnvironmentRoleAssignment -UserId $deleteDsrUserId | Remove-AdminPowerAppEnvironmentRoleAssignment

Внимание

Эта функция работает только для сред не имеющих базы данных в Dataverse.

Для сред с базой данных Dataverse

С введением Dataverse, если база данных, создается в среде, эти "назначения ролей" хранятся в виде записей в среде этой базы данных. Пожалуйста, обратитесь к следующей документации о том, как удалить личные данные из среды базы данных в Dataverse: Удаление личных данных пользователя Common Data Service

Шаг 3: удалить или переназначить все приложения на основе холста, которые принадлежат пользователю

Переназначить пользовательские приложения на основе холста, используя командлеты PowerShell администратора Power Apps

Если администратор решает не удалять приложения пользователя на основе холста, он может переназначить приложения, принадлежащие пользователю, с помощью функции Set-AdminPowerAppOwner в командлетах PowerShell администратора Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
$newAppOwnerUserId = "72c272b8-14c3-4f7a-95f7-a76f65c9ccd8"

#find all apps owned by the DSR user and assigns them a new owner
Get-AdminPowerApp -Owner $deleteDsrUserId | Set-AdminPowerAppOwner -AppOwner $newAppOwnerUserId

Удалить пользовательское приложение на основе холста, используя сайт Power Apps

Пользователь может удалить приложение на сайте Power Apps. Полные шаги по удалению приложения см. в разделе удаление приложения.

Удаление пользовательского приложения на основе холста, используя центр администрирования Power Platform

Администратор может удалить приложения, созданные определенным пользователем, выполнив следующие действия:

  1. Из центра администрирования Power Platform выберите среду.

    Вы должны быть Глобальный администратор Microsoft 365 или Глобальный администратор Microsoft Entra, чтобы иметь возможность просматривать все среды, которые были созданы в вашей организации.

  2. В разделе Ресурсы выберите Power Apps.

  3. Выберите приложение, затем выберите Удалить>Удалить из облака.

Удалить пользовательское приложение на основе холста, используя командлеты PowerShell администратора Power Apps

Если администратор решает удалить все приложения на основе холста, принадлежащие пользователю, он может сделать это с помощью функции Remove-AdminApp в командлетах PowerShell администратора Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#find all apps owned by the DSR user and deletes them
Get-AdminPowerApp -Owner $deleteDsrUserId | Remove-AdminPowerApp

Шаг 4: удалите права пользователя для приложений на основе холста

Всякий раз, когда приложение используется совместно с пользователем, Power Apps хранит запись, называемую «назначение ролей», которая описывает права пользователя (CanEdit или CanUse) для приложения. Для получения дополнительных сведений см. статью Совместное использование приложения.

Заметка

Назначения ролей приложения будут удалены при удалении приложения. Назначение роли владельца приложения можно удалить только путем назначения нового владельца приложения.

Чтобы удалить разрешения пользователей для приложения на основе холста, см. раздел Предварительная версия: общий доступ к приложению на основе модели. На шаге 5 удалите роль из списка, а не добавляйте ее.

Командлеты PowerShell для администраторов

Администратор может удалить все назначения ролей приложения на основе холста, принадлежащего пользователю, с помощью функции Remove-AdminPowerAppRoleAssignment в командлетах PowerShell администратора Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#find all app role assignments for the DSR user and deletes them
Get-AdminPowerAppRoleAssignment -UserId $deleteDsrUserId | Remove-AdminPowerAppRoleAssignment

Шаг 5: удалить подключения, созданные пользователем

Подключения используются вместе с соединителями при установлении подключения с другими API и системами SaaS. Подключения содержат ссылки на пользователя, который их создал, и, как результат, могут быть удалены, чтобы удалить любые ссылки на пользователя.

Командлеты PowerShell для создателей приложений

Пользователь может удалить все свои подключения с помощью функции Remove-AdminPowerAppConnection одного из командлетов PowerShell для создателей приложений:

Add-PowerAppsAccount

#Retrieves all connections for the calling user and deletes them
Get-AdminPowerAppConnection | Remove-AdminPowerAppConnection

Командлеты PowerShell для администраторов Power Apps

Администратор может удалить все пользовательские подключения с помощью функции Remove-AdminPowerAppConnection в командлетах PowerShell администратора Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#Retrieves all connections for the DSR user and deletes them
Get-AdminPowerAppConnection -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppConnection

Шаг 6: удалите права пользователя для общих подключений

Командлеты PowerShell для создателей приложений

Пользователь может удалить все свои назначения роли для общих подключений с помощью функции Remove-AdminPowerAppConnectionRoleAssignment одного из командлетов PowerShell для создателей приложений:

Add-PowerAppsAccount

#Retrieves all connection role assignments for the calling users and deletes them
Get-AdminPowerAppConnectionRoleAssignment | Remove-AdminPowerAppConnectionRoleAssignment

Заметка

Назначения роли владельца нельзя удалить без удаления ресурса подключения.

Командлеты PowerShell для администраторов

Администратор может удалить все назначения ролей подключения, принадлежащего пользователю, с помощью функции Remove-AdminPowerAppConnectionRoleAssignment в командлетах PowerShell администратора Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#Retrieves all connection role assignments for the DSR user and deletes them
Get-AdminPowerAppConnectionRoleAssignment -PrincipalObjectId $deleteDsrUserId | Remove-AdminPowerAppConnectionRoleAssignment

Шаг 7: удалить настраиваемые соединители, созданные пользователем

Настраиваемые соединители дополняют существующие готовые соединители и позволяют подключаться к другим API, SaaS и специально разработанным системам. Возможно, вы захотите передать владение на настраиваемый соединитель другим пользователям в организации или удалить настраиваемый соединитель.

Командлеты PowerShell для создателей приложений

Пользователь может удалить все свои настраиваемые соединители, используя функцию Remove-AdminPowerAppConnector в командлетах PowerShell для создателей приложений:

Add-PowerAppsAccount

#Retrieves all custom connectors for the calling user and deletes them
Get-AdminPowerAppConnector | Remove-AdminPowerAppConnector

Командлеты PowerShell для администраторов

Администратор может удалить все пользовательские настраиваемые соединители с помощью функции Remove-AdminPowerAppConnector в командлетах PowerShell администратора Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#Retrieves all custom connectors created by the DSR user and deletes them
Get-AdminPowerAppConnector -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppConnector

Шаг 8: удалите разрешения пользователя для общих настраиваемых соединителей

Командлеты PowerShell для создателей приложений

Пользователь может удалить все свои назначения ролей соединителя для общих настраиваемых соединителей с помощью функции the Remove-AdminPowerAppConnectorRoleAssignment в командлетах PowerShell для создателей приложений:

Add-PowerAppsAccount

#Retrieves all connector role assignments for the calling users and deletes them
Get-AdminPowerAppConnectorRoleAssignment | Remove-AdminPowerAppConnectorRoleAssignment

Заметка

Назначения роли владельца нельзя удалить без удаления ресурса подключения.

Командлеты PowerShell для администраторов

Администратор может удалить все назначения роли настраиваемого соединителя для пользователя, с помощью функции Remove-AdminPowerAppConnectorRoleAssignment в командлетах PowerShell администратора Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#Retrieves all custom connector role assignments for the DSR user and deletes them
Get-AdminPowerAppConnectorRoleAssignment -PrincipalObjectId $deleteDsrUserId | Remove-AdminPowerAppConnectorRoleAssignment

Шаг 9: Удалить личные данные пользователя в Power Automate

Лицензии Power Apps всегда включают возможности Power Automate. В дополнение к включению в лицензии Power Apps, Power Automate также доступна как отдельная служба. Руководство о том, как реагировать на запросы DSR для пользователей, использующих службу Power Automate см. в разделе Реагирование на запросы субъектов данных GDPR для Power Automate.

Внимание

Администраторам рекомендуется выполнить этот шаг для пользователя Power Apps.

Шаг 10: Удалить личные данные пользователя в Microsoft Copilot Studio

Возможности Power Apps, встроенные на основе Microsoft Copilot Studio. Решение Microsoft Copilot Studio также доступно как отдельная служба. Руководство о том, как реагировать на запросы DSR для пользователей, использующих данные службы Microsoft Copilot Studio см. в разделе Реагирование на запросы субъектов данных для Microsoft Copilot Studio.

Важно

Администраторам рекомендуется выполнить этот шаг для пользователя Power Apps.

Шаг 11. Найти личные данные пользователя в центре администрирования Microsoft 365

Некоторые механизмы обратной связи в Power Apps интегрированы с центром администрирования Microsoft 365. Инструкции по удалению данных обратной связи, хранящихся в центре администрирования Microsoft 365, см. в разделе Как я могу увидеть отзывы моих пользователей?. Глобальный администратор Microsoft Entra может управлять этими данными в пределах центра администрирования Microsoft 365 без необходимости иметь лицензии Microsoft 365 или Office.

Важно

Администраторам рекомендуется выполнить этот шаг для пользователя Power Apps.

Шаг 12: удалить личные данные пользователя в среде Dataverse

Определенные лицензии Power Apps, в том числе план разработчика Power Apps, дают возможность пользователям в вашей организации создавать среды Dataverse и создавать и разрабатывать приложения на Dataverse. План разработчика Power Apps — это бесплатная лицензия, которая позволяет пользователям испытать Dataverse в отдельной среде. См. страницу цен Power Apps, для которой включены возможности в каждой лицензии Power Apps.

Руководство о том, как реагировать на DSR для пользователей, использующих Dataverse см. в разделе Ответ на запросы прав субъектов данных (DSR) для данных клиента Dataverse.

Важно

Администраторам рекомендуется выполнить этот шаг для пользователя Power Apps.

Шаг 13: удалить пользователя из Microsoft Entra

После завершения вышеуказанных шагов последний шаг — удалить учетную запись пользователя для Microsoft Entra.

Управляемый клиент

Как администратор управляемого клиента Microsoft Entra, вы можете удалить учетную запись пользователя, выполнив действия, описанные в документации по запросу субъекта данных Azure GDPR, которую можно найти в Microsoft 365 Service Trust Portal.

Неуправляемый клиент

Если вы являетесь участником неуправляемого клиента, вам нужно будет выполнить следующие шаги, чтобы удалить свою учетную запись из вашего клиента Microsoft Entra:

Заметка

См. раздел неуправляемый клиент выше, чтобы узнать, как определить, являетесь ли вы участником неуправляемого или управляемого клиента.

  1. Войти с использованием учетной записи Microsoft Entra.

  2. Выберите Закрыть учетную запись и следуйте инструкциям, чтобы удалить свой аккаунт из клиент Microsoft Entra.

    Выберите