Almacenamento e regulación de datos en Power Platform
En primeiro lugar, é importante distinguir entre datos persoais e datos de clientes.
Os datos persoais son información sobre persoas que se poden utilizar para identificalas.
Os datos do cliente inclúen datos persoais e outra información do cliente, incluídos os URL, os metadatos e a información de autenticación dos empregados, como os nomes de DNS.
Residencia de datos
Un Microsoft Entra inquilino alberga información que é relevante para unha organización e a súa seguridade. Cando un Microsoft Entra inquilino se rexistra nos servizos Power Platform , o país ou a rexión seleccionados do inquilino mapea á xeografía de Azure máis adecuada onde existe unha Power Platform implementación. Power Platform almacena os datos do cliente na xeografía de Azure asignada ao arrendatario ou xeografía principal, excepto cando as organizacións despreguen servizos en varias rexións.
Algunhas organizacións teñen presenza global. Por exemplo, unha empresa pode ter a súa sede nos Estados Unidos pero facer negocios en Australia. É posible que necesite almacenar determinados datos de Power Platform en Australia para cumprir coa normativa local. Cando se implantan servizos de Power Platform en máis dunha xeografía de Azure, denomínase implantación multixeográfica. Neste caso, só se almacenan os metadatos relacionados co entorno no lugar de inicio. Todos os metadatos e os datos do produto nese contorno almacénanse no lugar remoto.
Microsoft pode replicar os datos noutras rexións para a súa resistencia. Non obstante, non replicamos nin movemos datos persoais fóra do lugar. Os datos replicados noutras rexións poden incluír datos non persoais, como información de autenticación dos empregados.
Os servizos de Power Platform están dispoñibles en xeografías específicas de Azure. Para obter máis información sobre onde están dispoñibles os servizos de Power Platform, onde se almacenan os seus datos e como se usan, vaia ao Centro de confianza de Microsoft. Os compromisos relativos á localización dos datos do cliente en repouso especifícanse nas Condicións de tratamento de datos das Condicións dos servizos en liña de Microsoft. Microsoft tamén ofrece centros de datos para entidades soberanas.
Control dos datos
Nesta sección descríbese como almacenes de Power Platform, procesos e transferencias dos datos dos clientes.
Datos en repouso
A menos que se indique o contrario na documentación, os datos dos clientes permanecen na súa fonte orixinal (por exemplo, Dataverse ou SharePoint). Unha aplicación Power Platform almacénase en Azure Storage como parte dun ambiente. Os datos utilizados nas aplicacións móbiles están cifrados e almacenados en SQL Express. Na maioría dos casos, as aplicacións usan Azure Storage para conservar datos do servizo de Power Platform e Azure SQL Database para conservar metadatos do servizo. Os datos que introducen os usuarios da aplicación gárdanse no orixe de datos correspondente ao servizo, como Dataverse.
Todos os datos conservados por Power Platform están cifrados por defecto mediante chaves xestionadas por Microsoft. Os datos dos clientes almacenados en Azure SQL Database están totalmente cifrados mediante a tecnoloxía Transparent Data Encryption (TDE) de Azure SQL. Os datos dos clientes almacenados en Azure Blob Storage cífranse mediante o cifrado do almacenamento de Azure.
Datos en procesamento
Os datos están en procesamento cando se usan como parte dun escenario interactivo ou cando un proceso en segundo plano, como unha actualización, os toca. Power Platform carga datos en procesamento no espazo de memoria dunha ou máis cargas de traballo de servizo. Para facilitar a funcionalidade da carga de traballo, os datos almacenados na memoria non están cifrados.
Datos en tránsito
Power Platform require que todo o tráfico HTTP entrante estea cifrado mediante TLS 1.2 ou superior. Rexéitanse as solicitudes que tentan utilizar TLS 1.1 ou inferior.
Funcionalidades de seguranza avanzadas
Algunhas das funcións de seguranza avanzadas de Power Platform teñen requisitos de licenza específicos.
Etiquetas de servizo
Unha etiqueta de servizo representa un grupo de prefixos de enderezos IP dun servizo de Azure especificado. Pode usar etiquetas de servizo para definir controis de acceso á rede en grupos de seguranza de rede ou Firewall de Azure.
As etiquetas de servizo axudan a minimizar a complexidade das actualizacións frecuentes das regras de seguranza da rede. Pode usar etiquetas de servizo en lugar de enderezos IP específicos cando crea regras de seguridade que, por exemplo, permiten ou negan o tráfico para o servizo correspondente.
Microsoft xestiona os prefixos de enderezos incluídos na etiqueta de servizo e actualiza automaticamente a etiqueta de servizo a medida que cambian os enderezos. Para obter máis información, consulte Etiquetas de servizo e intervalos IP de Azure: nube pública.
Prevención de perda de datos
Power Platform ten un amplo conxunto de funcións de prevención de perda de datos (DLP) para axudarlle a xestionar a seguridade dos seus datos.
Restrición de IP de sinatura de acceso compartido de almacenamento (SAS).
Nota
Antes de activar calquera destas funcións de SAS, os clientes deben permitir o acceso ao https://*.api.powerplatformusercontent.com dominio ou a maioría das funcións de SAS non funcionarán.
Este conxunto de funcións é unha función específica do inquilino que restrinxe os tokens de sinatura de acceso compartido de almacenamento (SAS) e contrólase a través dun menú do Power Platform centro de administración. Esta configuración restrinxe quen, en función da IP, pode usar tokens SAS empresariais.
Esta función está actualmente en vista previa privada. A vista previa pública está prevista para a finais desta primavera, con dispoñibilidade xeral no verán de 2024. Para obter máis información, consulta Planificador de versións.
Esta configuración pódese atopar na configuración de Dataverse Privacidade e seguranza a contorna do centro de administración. Debes activar a opción Activar a regra de sinatura de acceso compartido de almacenamento (SAS) baseada en enderezos IP .
Os administradores poden activar unha destas catro configuracións para esta configuración:
| Configuración | Descripción |
|---|---|
| Só vinculación IP | Isto restrinxe as claves SAS á IP do solicitante. |
| Só firewall IP | Isto restrinxe o uso de claves SAS para funcionar só dentro dun intervalo especificado do administrador. |
| Vinculación IP e Firewall | Isto restrinxe o uso de claves SAS para traballar dentro dun intervalo especificado polo administrador e só á IP do solicitante. |
| Vinculación IP ou Firewall | Permite que as chaves SAS se utilicen dentro do intervalo especificado. Se a solicitude procede de fóra do intervalo, aplícase a vinculación IP. |
Produtos que aplican a vinculación IP cando están activados:
- Dataverse
- Power Automate
- Conectores personalizados
- Power Apps
Impacto nas experiencias de Power App
Cando un usuario, que non cumpre as restricións de enderezo IP dun ambiente, abre unha aplicación: móstrase a seguinte mensaxe: "Esta aplicación deixou de funcionar. Proba a actualizar o teu navegador." Hai plans para actualizar esta experiencia para proporcionar máis información contextual ao usuario sobre por que non se puido iniciar a aplicación.
Cando un usuario, que cumpre coas restricións do enderezo IP, abre unha aplicación: ocorren os seguintes eventos:
- Móstrase un banner coa seguinte mensaxe: "A túa organización configurou restricións de enderezos IP que limitan onde se pode acceder a Power Apps . É posible que non se poida acceder a esta aplicación cando utilizas outra rede. Ponte en contacto co teu administrador para obter máis detalles." Este banner aparece durante uns segundos e despois desaparece.
- É posible que a aplicación se cargue máis lentamente que se non estivesen establecidas restricións de enderezos IP. As restricións do enderezo IP impiden que a plataforma utilice algunhas capacidades de rendemento que permiten tempos de carga máis rápidos.
Se un usuario abre unha aplicación mentres cumpre os requisitos do enderezo IP e despois se move a unha rede nova que xa non cumpre cos requisitos do enderezo IP, é posible que o usuario observe o contido da aplicación como imaxes, medios incrustados e ligazóns que non se carguen ou sexan accesibles. .
Rexistro de chamadas SAS
Esta configuración permite que todas as chamadas SAS dentro de Power Platform se inicien sesión en Purview. Este rexistro mostra os metadatos relevantes para todos os eventos de creación e uso e pódese activar independentemente das restricións IP SAS anteriores. Power Platform Actualmente, os servizos están incorporando chamadas de SAS en 2024.
| Nome de campo | Descrición do campo |
|---|---|
| resposta.mensaxe_de estado | Informar se o evento foi exitoso ou non: SASSuccess ou SASAuthorizationError. |
| resposta.código_de_estado | Informar se o evento foi exitoso ou non: 200, 401 ou 500. |
| analytics.resource.sas.uri | Os datos aos que se tentaba acceder ou crear. |
| enderezo_usuario final | A IP pública da persoa que chama. |
| analytics.resource.sas.operation_id | O identificador único do evento de creación. Ao buscar por isto móstranse todos os eventos de uso e creación relacionados coas chamadas SAS do evento de creación. Asignado á cabeceira de resposta "x-ms-sas-operation-id". |
| request.service_request_id | Identificador único da solicitude ou resposta e pódese usar para buscar un único rexistro. Asignado á cabeceira de resposta "x-ms-service-request-id". |
| versión | Versión deste esquema de rexistro. |
| tipo | Resposta xenérica. |
| analytics.activity.name | O tipo de actividade deste evento foi: Creación ou Uso. |
| analytics.activity.id | ID único do rexistro en Purview. |
| analytics.resource.organization.id | ID da organización |
| analytics.resource.environment.id | ID do ambiente |
| analytics.resource.tenant.id | Id. de arrendatario de |
| enduser.id | O GUID de Microsoft Entra ID do creador do evento de creación. |
| Usuario final.nome_principal | O UPN/enderezo de correo electrónico do creador. Para eventos de uso esta é unha resposta xenérica: "system@powerplatform". |
| Usuario final.papel | Resposta xenérica: Regular para eventos de creación e Sistema para eventos de uso. |
Artigos relacionados
Seguranza en Microsoft Power Platform
Autenticación para servizos de Power Platform
Conexión e autenticación con orixes de datos
Preguntas máis frecuentes sobre seguranza de Power Platform