Pohrana podataka i upravljanje na platformi Power Platform
Kao prvo, važno je napraviti razliku između osobnih podataka i podataka o klijentima.
Osobni podaci su informacije o osobama koje se mogu koristiti za njihovu identifikaciju.
Podaci o klijentima uključuju osobne podatke i druge podatke o klijentima, uključujući URL-ove, metapodatke i informacije o provjeri autentičnosti zaposlenika, kao što su DNS imena.
Mjesto pohrane podataka
Klijent Microsoft Entra sadrži informacije koje su relevantne za organizaciju i njezinu sigurnost. Microsoft Entra Kada se klijent prijavi za Power Platform usluge, odabrana država ili regija klijenta mapira se u najprikladniju geografiju servisa Azure u kojoj Power Platform postoji implementacija. Power Platform pohranjuje podatke o klijentima u Azure geografiji dodijeljenoj klijentu ili matičnoj geografiji, osim kada tvrtke ili usluge implementiraju usluge u više regija.
Neke su tvrtke ili usluge globalno prisutne. Na primjer, tvrtka može imati sjedište u Sjedinjenim Američkim Državama, ali poslovati u Australiji. Možda će biti potrebno da određeni Power Platform podaci budu pohranjeni u Australiji radi usklađivanja s lokalnim propisima. Kada su Power Platform usluge implementirane u više od jedne Azure geografije, to se naziva multi-geo implementacija. U ovom slučaju, samo se metapodaci koji se odnose na okruženje pohranjuju u matičnoj geografiji. Svi metapodaci i podaci o proizvodu u tom okruženju pohranjuju se u udaljenu geografiju.
Microsoft može replicirati podatke u druge regije radi otpornosti podataka. Međutim, ne repliciramo niti premještamo osobne podatke izvan geografije. Podaci replicirani u druge regije mogu uključivati neosobne podatke kao što su podaci o provjeri autentičnosti zaposlenika.
Power Platform usluge dostupne su u određenim Azure geografijama. Za više informacija o tome gdje su Power Platform usluge dostupne, gdje su vaši podaci pohranjeni i kako se koriste idite na Microsoft centar za pouzdanost. Obveze koje se tiču lokacije podataka o klijentima u mirovanju navedene su u Uvjetima obrade podataka Uvjeta Microsoft mrežnih usluga. Microsoft također nudi podatkovne centre za suverene entitete.
Postupanje s podacima
Ovaj odjeljak opisuje kako Power Platform pohranjuje, obrađuje i prenosi podatke o klijentima.
Podaci u mirovanju
Osim ako nije drugačije navedeno u dokumentaciji, podaci o klijentima ostaju u izvornom izvoru (na primjer, Dataverse ili SharePoint). Power Platform aplikacija pohranjena je u Azure Storage kao dio okruženja. Podaci koji se koriste u mobilnim aplikacijama šifrirani su i pohranjeni u SQL Expressu. U većini slučajeva aplikacije koriste Azure Storage za zadržavanje Power Platform podataka usluge i Azure SQL bazu podataka za zadržavanje metapodataka usluge. Podaci koje unesu korisnici aplikacije pohranjuju se u odgovarajući izvor podataka za uslugu, kao što je Dataverse.
Svi podaci koje čuva Power Platform šifrirani su prema zadanim postavkama s pomoću ključeva kojima upravlja Microsoft. Podaci o klijentima pohranjeni u bazi podataka Azure SQL u potpunosti su šifrirani s pomoću tehnologije Transparent Data Encryption (TDE) Azure SQL. Podaci o klijentima pohranjeni u pohrani Azure Blob šifrirani su s pomoću Azure Storage Encryption.
Podaci u obradi
Podaci su u obradi kada se koriste kao dio interaktivnog scenarija ili kada ih dodirne pozadinski proces, poput osvježavanja. Power Platform učitava podatke u obradi u memorijski prostor jednog ili više radnih opterećenja usluge. Kako bi se olakšala funkcionalnost radnog opterećenja, podaci koji su pohranjeni u memoriji nisu šifrirani.
Podaci u prijenosu
Power Platform zahtijeva da sav dolazni HTTP promet bude šifriran s pomoću TLS-a 1.2 ili novijeg. Zahtjevi koji pokušavaju koristiti TLS 1.1 ili nižu verziju odbijaju se.
Napredne značajke sigurnosti
Neke od Power Platform naprednih značajki sigurnosti imaju posebne zahtjeve za licenciranje.
Oznake usluge
Oznaka usluge predstavlja grupu prefiksa IP adresa iz određene Azure usluge. Oznake usluge možete koristiti za definiranje kontrola pristupa mreži u mrežnim sigurnosnim grupama ili Azure vatrozidu.
Oznake usluge pomažu minimizirati složenost čestih ažuriranja mrežnih sigurnosnih pravila. Možete koristiti oznake usluge umjesto određenih IP adresa kada stvarate sigurnosna pravila koja, na primjer, dopuštaju ili zabranjuju promet za odgovarajuću uslugu.
Microsoft upravlja prefiksima adresa obuhvaćenima oznakom usluge i automatski ažurira oznaku usluge kako se adrese mijenjaju. Za više informacija pogledajte Azure IP rasponi i oznake usluge – javni oblak.
Sprečavanje gubitka podataka
Power Platform ima opsežan skup značajki sprečavanja gubitka podataka (DLP) koje vam pomažu u upravljanju sigurnošću vaših podataka.
Ograničenje IP potpisa zajedničkog pristupa za pohranu (SAS)
Napomena
Prije aktiviranja bilo koje od ovih SAS značajki, korisnici prvo moraju dopustiti pristup https://*.api.powerplatformusercontent.com domeni ili većina SAS funkcionalnosti neće raditi.
Ovaj skup značajki funkcija je specifična za klijenta koja ograničava SAS (Storage Shared Access Signature (SAS) tokene i kontrolira se putem izbornika u Power Platform centru za administratore. Ova postavka ograničava tko na temelju IP-a može koristiti SAS tokene tvrtke.
Ova je značajka trenutno u privatnom pretpregledu. Javni pregled planiran je za kasnije ovog proljeća, s općom dostupnošću u ljeto 2024. godine. Dodatne informacije potražite u odjeljku Planer izdanja.
Te se postavke mogu pronaći u postavkama zaštite privatnosti + sigurnosti Dataverse okruženja u centru za administratore. Morate uključiti mogućnost Omogući POTPIS zajedničkog pristupa (SAS) temeljen na IP adresi.
Administratori mogu omogućiti jednu od ove četiri konfiguracije za ovu postavku:
| Postavka | Opis |
|---|---|
| Samo IP vezivanje | Time se SAS ključevi ograničavaju na IP adresu podnositelja zahtjeva. |
| Samo IP vatrozid | To ograničava korištenje SAS ključeva za rad samo unutar raspona određenog administratora. |
| IP povezivanje i vatrozid | To ograničava korištenje SAS ključeva za rad unutar raspona koji je odredio administrator i samo za IP podnositelja zahtjeva. |
| IP povezivanje ili vatrozid | Omogućuje korištenje SAS ključeva unutar navedenog raspona. Ako zahtjev dolazi izvan raspona, primjenjuje se IP povezivanje. |
Proizvodi koji provode IP vezivanje kada je omogućeno:
- Dataverse
- Power Automate
- Prilagođeni poveznici
- Power Apps
Utjecaj na doživljaje aplikacije Power App
Kada korisnik, koji ne zadovoljava ograničenja IP adrese okruženja, otvori aplikaciju: Prikazuje se sljedeća poruka: "Ova je aplikacija prestala raditi. Pokušajte osvježiti preglednik." Postoje planovi za ažuriranje ovog iskustva kako bi se korisniku pružile kontekstualnije informacije o tome zašto se aplikacija nije mogla pokrenuti.
Kada korisnik, koji ispunjava ograničenja IP adrese, otvori aplikaciju: Događaju se sljedeći događaji:
- Prikazuje se natpis sa sljedećom porukom: "Vaša je tvrtka ili ustanova konfigurirala ograničenja IP adrese koja ograničavaju gdje Power Apps je dostupno. Ova aplikacija možda neće biti dostupna kada koristite drugu mrežu. Dodatne informacije zatražite od administratora." Ovaj se natpis pojavljuje na nekoliko sekundi, a zatim nestaje.
- Aplikacija se može učitati sporije nego da nisu postavljena ograničenja IP adrese. Ograničenja IP adrese sprječavaju platformu da koristi neke mogućnosti performansi koje omogućuju brže vrijeme učitavanja.
Ako korisnik otvori aplikaciju, dok ispunjava zahtjeve IP adrese, a zatim prijeđe na novu mrežu koja više ne ispunjava zahtjeve IP adrese, korisnik može primijetiti da se sadržaj aplikacije kao što su slike, ugrađeni mediji i veze možda neće učitati ili biti dostupan.
Zapisivanje SAS poziva
Ova postavka omogućuje prijavu svih SAS poziva unutar Power Platform Purviewa. Ovo zapisivanje prikazuje relevantne metapodatke za sve događaje stvaranja i korištenja i može se omogućiti neovisno o gore navedenim SAS IP ograničenjima. Power Platform usluge trenutno uvode SAS pozive 2024. godine.
| Naziv polja | Opis polja |
|---|---|
| response.status_message | Obavještavanje o tome je li događaj bio uspješan ili ne: SASSuccess ili SASAuthorizationError. |
| response.status_code | Obavještavanje je li događaj bio uspješan ili ne: 200, 401 ili 500. |
| analytics.resource.sas.uri | Podaci kojima se pokušavalo pristupiti ili ih je stvoriti. |
| enduser.ip_address | Javni IP pozivatelja. |
| analytics.resource.sas.operation_id | Jedinstveni identifikator iz događaja stvaranja. Pretraživanje po tome prikazuje sve događaje upotrebe i stvaranja povezane sa SAS pozivima iz događaja stvaranja. Mapirano u zaglavlje odgovora "x-ms-sas-operation-id". |
| request.service_request_id | Jedinstveni identifikator iz zahtjeva ili odgovora i može se koristiti za traženje jednog zapisa. Mapirano u zaglavlje odgovora "x-ms-service-request-id". |
| verzija | Verzija ove sheme zapisnika. |
| vrsta | Generički odgovor. |
| analytics.activity.name | Vrsta aktivnosti koju je ovaj događaj bio: Stvaranje ili Korištenje. |
| analytics.activity.id | Jedinstveni ID zapisa u programu Purview. |
| analytics.resource.organization.id | ID tvrtke ili ustanove |
| analytics.resource.environment.id | ID okruženja |
| analytics.resource.tenant.id | ID klijenta sustava |
| enduser.id | GUID iz Microsoft Entra ID-a autora iz događaja stvaranja. |
| enduser.principal_name | UPN/adresa e-pošte autora. Za događaje upotrebe ovo je generički odgovor: "system@powerplatform". |
| enduser.role | Generički odgovor:Redovito za događaje stvaranja i Sustav za događaje korištenja. |
Povezani članci
Sigurnost u usluzi Microsoft Power Platform
Provjera autentičnosti za usluge platforme Power Platform
Povezivanje i provjera autentičnosti izvora podataka
Najčešća pitanja za sigurnost Power Platform
Pogledajte
Povratne informacije
Stiže uskoro: Tijekom 2024. postupno ćemo ukinuti servis Problemi sa servisom GitHub kao mehanizam za povratne informacije za sadržaj i zamijeniti ga novim sustavom za povratne informacije. Dodatne informacije potražite u članku: https://aka.ms/ContentUserFeedback.
Pošaljite i pogledajte povratne informacije za