Power Platform 中的資料儲存和控管
注意
全新改進的 Power Platform 系統管理中心現已公開預覽! 我們設計的新系統管理中心更易於使用,具有面向任務的導覽,可幫助您更快地實現特定結果。 隨著新的 Power Platform 系統管理中心正式發佈,我們將發佈新的和更新的文件。
首先,區分個人資料與客戶資料非常重要。
個人資料是可用於識別人員的資訊。
客戶資料包含個人資料和其他的客戶資訊,包括 URL、中繼資料以及員工驗證資訊 (例如 DNS 名稱)。
資料落地
Microsoft Entra 租用戶包含與組織及其安全性相關的資訊。 當 Microsoft Entra 租用戶註冊 Power Platform 服務時,租用戶所選的國家或地區將對應至具有 Power Platform 部署的最合適的 Azure 地理位置。 Power Platform 會將客戶資料儲存在租用戶指派的 Azure 地理位置或家庭地理位置中,除非組織在多個地區部署服務。
某些組織有全球化狀態。 例如,一家企業的總部可能在美國,但在澳洲進行業務。 它可能需要將某些 Power Platform 儲存在澳洲以符合當地法規。 當 Power Platform 服務部署在多個 Azure 地理位置時,即稱為多地理位置部署。 在這種情況下,只有與環境相關的中繼資料會儲存在主地理位置中。 該環境中的所有中繼資料與產品資料都會儲存在遠端地理位置。
Microsoft 可能會將資料複製到其他地區,以進行資料復原。 但是,我們並不會在地理位置以外複製或移動個人資料。 複製到其他地區的資料可能包括非個人資料,例如員工驗證資訊。
Power Platform 服務可在特定的 Azure 地理位置使用。 如需 Power Platform 服務的可用位置、資料存放位置和使用方式的詳細資訊,請移至 Microsoft 信任中心。 Microsoft 線上服務條款的資料處理條款會指定客戶待用資料的相關位置。 Microsoft 也為各國政府提供資料中心。
資料處理
本節概述 Power Platform 如何儲存、處理及轉移客戶資料。
待用資料
除非是文件中所述,否則客戶資料仍會保留在原始來源 (例如 Dataverse 或 SharePoint) 中。 Power Platform 應用程式會做為環境的一部分儲存在 Azure 儲存體中。 行動裝置應用程式中使用的資料會經過加密並儲存在 SQL Express 中。 在大多數案例中,應用程式會使用 Azure 儲存體來保存 Power Platform 服務資料,並使用 Azure SQL 資料庫來保存中繼資料。 應用程式使用者輸入的資料會儲存在服務的相應資料來源中 (例如 Dataverse)。
根據預設,Power Platform 保存的所有資料都使用 Microsoft 管理的金鑰進行加密。 儲存在 Azure SQL 資料庫中的客戶資料使用 Azure SQL 的透明資料加密 (TDE) 技術完整加密。 儲存在 Azure Blob 儲存體中的客戶資料會使用 Azure 儲存體加密進行加密。
處理中的資料
當資料做為互動式案例的一部分時,或當背景程序 (例如,重新整理) 觸及該資料時,資料會處於處理中。 Power Platform 會將處理的資料載入至一個或多個服務工作負載的記憶體空間。 為了加強工作負載的功能,儲存在記憶體中的資料並不會加密。
傳輸中的資料
Power Platform 要求所有傳入的 HTTP 流量都使用 TLS 1.2 或更新的版本進行加密。 嘗試使用 TLS 1.1 或更舊版本的要求遭到拒絕。
進階安全性功能
Power Platform 的部分進階安全性功能具有特定的授權要求。
服務標籤
服務標籤表示來自特定 Azure 服務的一組 IP 位址首碼。 您可以使用服務標籤來定義網路安全性群組或 Azure 防火牆的網路存取控制。
服務標籤有助於將頻繁更新網路安全規則的複雜性降至最低。 建立資訊安全規則 (例如,允許或拒絕相應服務的流量) 時,您可以使用服務標籤代替特定 IP 位址。
Microsoft 會管理服務標籤所包含的位址首碼,並在位址變更時自動更新服務標籤。 如需更多資訊,請參閱 Azure IP 範圍和服務標籤 - 公用雲端。
資料外洩防護
Power Platform 包含一組廣泛的資料外洩防護 (DLP) 功能,可協助您管理資料安全性。
儲存體共用存取簽章 (SAS) IP 限制
注意
在啟動這些 SAS 功能之前,客戶必須先允許存取 https://*.api.powerplatformusercontent.com 網域,否則大多數 SAS 功能將無法運作。
此功能集是限制儲存體共用存取簽字 (SAS) 權杖的租用戶特定功能,並且是透過 Power Platform 系統管理中心的功能表來控制。 此設定根據 IP (IPv4 和 IPv6) 限制誰可以使用企業 SAS 權杖。
這些設定可以在系統管理中心的環境隱私權 + 安全性設定中找到。 您必須開啟啟用 IP 位址型儲存體共用存取簽章 (SAS) 規則選項。
管理員可以為此設定允許以下四個選項之一:
| 選項 | 設定 | Description |
|---|---|---|
| 7 | 僅限 IP 繫結 | 這會將 SAS 金鑰限制為要求者的 IP。 |
| 2 | 僅限 IP 防火牆 | 這限制了使用 SAS 金鑰只能在管理員指定的範圍內運作。 |
| 3 | IP 繫結與防火牆 | 這限制了使用 SAS 金鑰在管理員指定的範圍內工作,並且僅限於要求者的 IP。 |
| 4 | IP 繫結或防火牆 | 允許在指定範圍內使用 SAS 金鑰。 如果要求來自範圍之外,則套用 IP 繫結。 |
注意
選擇允許 IP 防火牆 (上表中列出的選項 2、3 和 4) 的管理員必須輸入其網路的 IPv4 和 IPv6 範圍,以確保對其使用者的適當覆寫。
啟用時強制 IP 繫結的產品:
- Dataverse
- Power Automate
- 自訂連接器
- Power Apps
對使用者體驗的影響
當不符合環境 IP 位址限制的使用者開啟應用程式時:使用者會收到一條錯誤訊息,指出存在一般 IP 問題。
當滿足 IP 位址限制的使用者開啟應用程式時:會發生以下事件:
- 使用者可能會收到一個橫幅,該橫幅將很快消失,讓使用者知道 IP 設定已設定,並聯絡管理員以了解詳細資訊或重新整理任何失去連線的頁面。
- 更重要的是,由於此安全設定使用的 IP 驗證,某些功能的執行速度可能比關閉時慢。
以程式設計方式更新設定
管理員可以使用自動化來設定和更新 IP 繫結與防火牆設定、允許列出的 IP 範圍以及記錄切換。 如需進一步了解,請參閱教學課程:建立、更新和列出環境管理設定。
記錄 SAS 呼叫
此設定允許將 Power Platform 內的所有 SAS 呼叫記錄到 Purview。 此記錄會顯示所有建立和使用事件的相關中繼資料,並且可以獨立於上述 SAS IP 限制啟用。 Power Platform 服務在 2024 年加入 SAS 呼叫。
| 欄位名稱 | 欄位描述 |
|---|---|
| response.status_message | 通知事件是否成功:SASSuccess 或 SASAuthorizationError。 |
| response.status_code | 通知事件是否成功:200、401,或 500。 |
| ip_binding_mode | IP 繫結模式由租用戶管理員設定 (如果已開啟)。 僅適用於 SAS 建立事件。 |
| admin_provided_ip_ranges | 由租用戶管理員設定的 IP 範圍 (如果有)。 僅適用於 SAS 建立事件。 |
| computed_ip_filters | 根據 IP 繫結模式和租用戶管理員設定的範圍繫結到 SAS URI 的最終 IP 篩選器集。適用於 SAS 建立和使用事件。 |
| analytics.resource.sas.uri | 嘗試存取或建立的資料。 |
| enduser.ip_address | 呼叫者的公用 IP。 |
| analytics.resource.sas.operation_id | 來自建立事件的唯一識別碼。 依照此搜索會顯示與建立事件中的 SAS 呼叫相關的所有使用和建立事件。 對應到「x-ms-sas-operation-id」回應標頭。 |
| request.service_request_id | 來自要求或回覆的唯一識別碼,可用於查找單個記錄。 對應到「x-ms-service-request-id」回應標頭。 |
| 版本 | 此紀錄結構描述的版本。 |
| type | 一般回覆。 |
| analytics.activity.name | 此事件的活動類型為:建立或使用。 |
| analytics.activity.id | Purview 中記錄的唯一識別碼。 |
| analytics.resource.organization.id | 組織識別碼 |
| analytics.resource.environment.id | 環境識別碼 |
| analytics.resource.tenant.id | 租用戶識別碼 |
| enduser.id | 來自建立事件之建立者的 Microsoft Entra 識別碼的 GUID。 |
| enduser.principal_name | 建立者的 UPN/電子郵件地址。 對於使用事件,這是一個一般回覆:「system@powerplatform」。 |
| enduser.role | 一般回覆: 正常用於建立事件, 系統用於使用事件。 |
開啟 Purview 稽核記錄
為了使記錄顯示在您的 Purview 執行個體中,您必須先為您想要記錄的每個環境選擇加入它。 租用戶管理員可以在 Power Platform 系統管理中心更新此設定。
- 前往 Power Platform 系統管理中心,並使用租用戶管理員憑證登入。
- 在左側導覽窗格中,選擇環境。
- 選擇您想要開啟管理記錄的環境。
- 選取命令列中的設定。
- 選擇產品>隱私權 + 安全性。
- 在儲存共用存取簽章 (SAS) 安全性設定 (預覽版) 下,開啟在 Purview 中啟用 SAS 記錄功能。
搜尋稽核記錄
租用戶管理員可以使用 Purview 查看 SAS 操作發出的稽核記錄,並且可以自我診斷 IP 驗證問題中可能傳回的錯誤。 Purview 中的記錄是最可靠的解決方案。
使用以下步驟診斷問題或更了解租用戶內的 SAS 使用模式。
確保環境的稽核記錄已開啟。 請參閱開啟 Purview 稽核記錄。
前往 Microsoft Purview 合規入口網站,並使用租用戶管理員憑證登入。
在左側導覽窗格中,選擇稽核。 如果您無法使用此選項,則表示登入使用者沒有查詢稽核記錄的管理員權限。
選擇您要尋找記錄的 UTC 日期和時間範圍。 例如,當傳回帶有 unauthorized_caller 錯誤代碼的 403 Forbidden 錯誤時。
從活動 - 易記名稱下拉式清單中,搜尋 Power Platform儲存體作業,然後選擇已建立的 SAS URI和已使用的 SAS URI。
在關鍵字搜尋中指定關鍵字。 請參閱 Purview 文件中的開始搜尋,以了解有關該欄位的更多資訊。 您可以根據您的情況使用上表中描述的任何欄位的值,但以下是建議搜尋的欄位 (按優先順序):
- x-ms-service-request-id 回應標頭的值。 這會將結果篩選為 SAS URI 建立事件或一個 SAS URI 使用事件,具體取決於標頭來自哪種請求類型。 在調查返回給使用者的 403 Forbidden 錯誤時它很有用。 它也可用於取得 powerplatform.analytics.resource.sas.operation_id 值。
- x-ms-sas-operation-id 回應標頭的值。 這會將結果篩選為 SAS URI 建立事件和該 SAS URI 的一個或多個使用事件,具體取決於造訪次數。 它會對應到 powerplatform.analytics.resource.sas.operation_id 欄位。
- 完整或部分 SAS URI,減去簽名。 這可能會傳回許多 SAS URI 建立和許多 SAS URI 使用事件,因為可以根據需要多次請求產生相同的 URI。
- 呼叫者 IP 位址。 傳回該 IP 的所有建立和使用事件。
- 環境 ID。 這可能會傳回一組跨越 Power Platform 的許多不同產品的大型資料,因此請盡可能避免或考慮縮小搜尋視窗。
警告
我們不建議搜尋使用者主體名稱或物件 ID,因為它們只會傳播到建立事件,而不是使用事件。
選擇搜尋並等待結果出現。
警告
Purview 的記錄輸入可能會延遲長達一小時或更長時間,因此在尋找最新事件時請記住這一點。
解決 403 Forbidden/unauthorized_caller 錯誤
您可以使用建立和使用記錄來確定為什麼呼叫會導致帶有 unauthorized_caller 錯誤代碼的 403 Forbidden 錯誤。
- 請依照上一節所述在 Purview 中尋找記錄。 考慮使用回應標頭中的 x-ms-service-request-id 或 x-ms-sas-operation-id 作為搜尋關鍵字。
- 開啟使用事件 Used SAS URI,然後尋找 PropertyCollection 下的 powerplatform.analytics.resource.sas.computed_ip_filters 欄位。 SAS 呼叫使用此 IP 範圍來決定請求是否已授權繼續。
- 將此值與記錄的 IP 位址欄位進行比較,這足以確定請求失敗的原因。
- 如果您認為 powerplatform.analytics.resource.sas.computed_ip_filters 的值不正確,請繼續下一步。
- 透過使用 x-ms-sas-operation-id 回應標頭值 (或建立記錄中的 powerplatform.analytics.resource.sas.operation_id 欄位的值) 進行搜索,開啟建立事件 Created SAS URI。
- 取得 powerplatform.analytics.resource.sas.ip_binding_mode 欄位的值。 如果它缺失或為空,則表示在該特定請求時未為該環境開啟 IP 繫結。
- 取得 powerplatform.analytics.resource.sas.admin_provided_ip_ranges 的值。 如果缺失或為空,則表示在該特定請求時未為該環境指定 IP 防火牆範圍。
- 取得 powerplatform.analytics.resource.sas.computed_ip_filters 的值,該值應該與使用事件相同,並且基於 IP 繫結模式和管理員提供的 IP 防火牆範圍衍生而來。 請參閱 Power Platform 中資料儲存與治理的衍生邏輯。
這應該為租用戶管理員提供足夠的資訊來修正針對 IP 繫結設定環境的任何錯誤設定。
警告
對 SAS IP 繫結的環境設定所做的變更至少需要 30 分鐘才能生效。 如果合作團隊有自己的快取,那麼可能會更多。
相關文章
Microsoft Power Platform 的安全性
驗證 Power Platform 服務
連線和驗證資料來源
Power Platform 安全性常見問題集