创建和管理掩码规则(预览版)
[本文是预发行文档,可能会有所更改。]
数据掩码可帮助在客户交互过程中保护敏感信息,防止数据泄漏。 数据屏蔽也称为去标识化或混淆,是用屏蔽字符串替换敏感数据。 掩码字符串可确保原始未掩码值仍处于隐藏状态。 只有授权的用户才能读取未掩码值(一次一个记录)。 在客户交互中,一线支持用户可以避免暴露敏感信息,如信用卡号、社会安全号或任何个人数据(PII)。
重要提示
- 这是一项预览功能。
- 预览功能不适合生产使用且功能可能受限。 这些功能在正式发布之前已经可用,以便客户可以抢先体验并提供反馈。
屏蔽是如何工作的?
您可以创建屏蔽规则,设置如何屏蔽敏感信息。
这些规则使用正则表达式 来识别特定模式,例如信用卡号、社保号和电子邮件地址。
在检索行时,会检测这些模式,并且将敏感字段替换为掩码字符。
创建屏蔽规则
您可以从一组预定义的屏蔽规则开始,也可以创建自己的规则。
创建解决方案:在 Power Apps 中创建解决方案。
创建新组件:在解决方案中创建组件。
选择安全性菜单选项,并选择安全屏蔽规则。
出现新屏蔽规则表单。
在此表单中,输入格式为名称的规则:
prefix_name其中prefix可以是CLS_或New_。
输入显示名称和描述。
输入从常规表达式语言中选择的常规表达式。
例如,要屏蔽社会保险号的前五位数字,请使用:
\d(?=\d{2}-\d{2}-\d{4}\|\d-\d{2}-\d{4}\|-\d{2}-\d{4}\|\d-\d{4}\|-\d{4})备注
您的正则表达式可以有多个屏蔽规则,中间用管道
|分隔。示例:
\d(?=\d{2}-\d{2}-\d{4}|\d-\d{2}-\d{4}|-\d{2}-\d{4}|\d-\d{4}|-\d{4})| \S+@\S+\.\S+|[STFGM]\d{4}|(?:4[0-9]{12}(?:[0-9]{3})?|[25][1-7][0-9]{14}|6(?:011|5[0-9][0-9])[0-9]{12}|3[47][0-9]{13}|3(?:0[0-5]|[68][0-9])[0-9]{11}|(?:2131|1800|35\d{3})\d{11})输入一个屏蔽字符,例如
#。在输入纯文本测试数据字段中输入原始值,例如社会保险号、电子邮件地址等。
在输入富文本测试数据字段中输入一个原始值,例如社会保险号、电子邮件地址等(用于测试带富文本格式列的文本数据类型)。
备注
对于富文本字段,在定义常规表达时需要考虑字段的原始值。 您可以使用 Web API 查看原始值,以富文本格式查询表/列。 例如,
https://<org url>/api/data/v9.2/maskingrules(<id>)?$select=richtestdata(结果)
"richtestdata": "<div class="ck-content" data-wrapper="true" dir="ltr" style="--ck-image-style-spacing: 1.5em; --ck-inline-image-style-spacing: calc(var(--ck-image-style-spacing) / 2); --ck-color-selector-caption-background: hsl(0, 0%, 97%); --ck-color-selector-caption-text: hsl(0, 0%, 20%); font-family: Segoe UI; font-size: 11pt;"><p style="margin: 0;">123-45-789<//p><//div>"
选择保存。
现在,您将看到屏蔽纯文本测试数据和屏蔽富文本测试数据。
您的屏蔽值可能是这样屏蔽的:
Regular expression 原始值 掩码值 \d(?=\d{2}-\d{2}-\d{4}\|\d-\d{2}-\d{4}\|-\d{2}-\d{4}\|\d-\d{4}\|-\d{4})SSN 123-45-6789SSN ###-##-6789[STFGM]\d{4}AccountNbr A1234567zAccountNbr #567z(?:4[0-9]{12}(?:[0-9]{3})?\|[25][1-7][0-9]{14}\|6(?:011\|5[0-9][0-9])[0-9]{12}\|3[47][0-9]{13}\|3(?:0[0-5]\|[68][0-9])[0-9]{11}\|(?:2131\|1800\|35\d{3})\d{11})MasterCard 5678912345678912MasterCard #(?:4[0-9]{12}(?:[0-9]{3})?\|[25][1-7][0-9]{14}\|6(?:011\|5[0-9][0-9])[0-9]{12}\|3[47][0-9]{13}\|3(?:0[0-5]\|[68][0-9])[0-9]{11}\|(?:2131\|1800\|35\d{3})\d{11})Visa 4567891234567891Visa #\S+@\S+\.\S+Email name@sample.comEmail #当客户向您发送包含敏感数据的电子邮件并且该电子邮件具有此掩码规则时,您只会在电子邮件的正文中看到掩码值:
管理屏蔽规则
获取掩码规则的列表
转到 Power Apps 门户。
选择要查看屏蔽规则列表的环境。
选择表格,并选择全部过滤器。
在搜索栏中输入屏蔽规则。
选择行表屏蔽规则,名称为屏蔽规则。
将显示屏蔽规则列表。 您可以通过选择 + 更多下拉菜单来展开列表。
为安全列添加屏蔽规则
转到 Power Apps 门户。
选择要向列中添加掩码规则的环境。
从导航菜单中选择表格,然后选择带有加密列的首选表格。
选择方案部分下的列。
选择要打开和编辑的列。 您会看到编辑列窗格。
展开高级选项。
如果未选中启用列安全性复选框,请选中该复选框。
选择屏蔽规则下拉菜单。
选择屏蔽规则。
选择保存。
备注
可以设置掩码规则的数据类型:
- 文本(单行和多行)。
- 数字。
使用屏蔽规则为安全列授予权限
使用列安全配置文件授予读取屏蔽字段的权限。
可以通过列安全性授予用户或团队组访问权限:
读取
允许 - 允许读取安全列。 如果对列应用掩码规则,则显示掩码值。
读取未掩码项
不允许 - 当允许读取且读取未屏蔽不允许时,会显示屏蔽值。
一条记录 - 允许用户读取未屏蔽值。 只有在一次请求一个记录时,才返回未掩码值。 管理和维护安全列的用户应允许使用这些值。
所有记录 - 允许用户检索和读取带有未屏蔽值的多条记录。 此设置具有高度权限。 读取未屏蔽仅允许需要未屏蔽值进行后台处理的后台服务使用。
Update
允许 - 允许用户更新记录。
创建
允许 - 允许用户创建记录。
备注
具有读取和读取未屏蔽权限的系统和应用程序用户将默认获取屏蔽值。 要读取未屏蔽值,请参阅查看屏蔽字段的选项。
查看具有掩码规则的所有列
您可以从所有具有屏蔽规则的表中获取所有受保护列的列表。
转到 Power Apps 门户。
选择要查看所有带屏蔽规则列的环境。
选择表格,并选择全部过滤器。
在搜索栏中输入属性屏蔽规则。
选择 AttributMaskingRule 表。
将显示具有屏蔽规则的列列表。 您可以通过选择 + 更多下拉菜单来展开列表。
如何显示掩码字段?
如果拥有读取未屏蔽字段的权限,则默认情况下会在此处看到屏蔽值:
| 字段类型 | 返回屏蔽值的屏蔽列? |
|---|---|
| 网格 | 始终 |
| 表格 | 始终 |
| Copilot | 始终 |
| Excel 报告 | 始终 |
备注
审计日志显示更新前后事件中未屏蔽的值。 只允许授权用户读取审计日志。
查看掩码字段的选项
备注
这些选项在预览期间可用。
读取未屏蔽值需要权限。 可以读取记录中的未屏蔽值。
在这些示例中,请用自己的值替换 <url>、<table collection name> 和 <recordid>。
记录中所有掩码列的示例:
https://<url>/api/data/v9.1/<table collection name>(<recordid>)?UnMaskedData=true各个掩码列的示例:
将
<column_name>替换为安全列名。https://<url>/api/data/v9.1/<table collection name>(<recordid>)?$select=<column_name>&UnMaskedData=true
已知限制
在表单中读取未屏蔽值
屏蔽值显示在详细/主表单上。 在未来的版本中,应该会有一个按钮,允许拥有读取未屏蔽权限的用户读取未屏蔽值。
在表单中创建和更新未屏蔽值
在创建新记录时,您需要将敏感字段输入为未掩码值。 保存后,表单会自动刷新,敏感字段会立即被屏蔽。 可以更新该字段,但请务必输入未掩码值。
审计日志
未掩码值将显示在审核日志中。 在今后的版本中,这些字段将被屏蔽,并为拥有读取未屏蔽权限的用户提供读取未屏蔽的选项。