Duomenų saugojimas ir valdymas „Power Platform”
Pirmiausia svarbu atskirti asmeninius duomenis nuo kliento duomenų.
Asmeniniai duomenys yra informacija apie žmones, pagal kurią galima juos identifikuoti.
Kliento duomenys apima asmeninius duomenis ir kitą kliento informaciją, įskaitant URL, metaduomenis ir darbuotojų autentifikavimo informaciją, pvz., DNS vardus.
Duomenų saugojimas
Nuomotojas Microsoft Entra saugo informaciją, susijusią su organizacija ir jos sauga. Kai nuomotojas Microsoft Entra prisiregistruoja gauti Power Platform paslaugas, nuomotojo pasirinkta šalis ar regionas susiejamas su tinkamiausia "Azure" geografija, kurioje yra diegimas Power Platform . „Power Platform” saugo kliento duomenis, esančius nuomininkui priskirtoje „Azure" geografinėje vietovėje arba namų vietovėje, išskyrus atvejus, kai organizacijos teikia paslaugas keliuose regionuose.
Kai kurios organizacijos veikia visame pasaulyje. Pavyzdžiui, įmonės pagrindinė būstinė gali būti JAV, bet verslas gali būti vykdomas Australijoje. Gali prireikti tam tikrus „Power Platform” duomenis saugoti Australijoje, kad būtų laikomasi vietinių nuostatų. Kai „Power Platform” paslaugos diegiamos daugiau nei vienoje „Azure” geografinėje vietovėje, jos vadinamos kelių geografinių objektų diegimu. Tokiu atveju namų geografinėje srityje saugomi tik su aplinka susiję metaduomenys. Visi tos aplinkos metaduomenys ir produktų duomenys saugomi nuotolinėse geografinėse aplinkose.
„Microsoft” gali replikuoti duomenis kituose regionuose, kad duomenys būtų tinkamai apsaugoti. Tačiau nereplikuojame ir neperkeliame asmeninių duomenų už geografinės teritorijos ribų. Į kitus regionus replikuojamuose duomenyse gali būti neasmeninių duomenų, pvz., darbuotojų autentifikavimo informacijos.
„Power Platform” paslaugos teikiamos konkrečiose „Azure” geografinėse vietovėse. Norėdami gauti daugiau informacijos apie tai, kur teikiamos „Power Platform” paslaugos, kur saugomi jūsų duomenys ir kaip jie naudojami, eikite į " „Microsoft” pasitikėjimo centrą. Įsipareigojimai, susiję su klientų duomenų saugojimo vieta, nurodyti Duomenų tvarkymo sąlygose, pateikti „Microsoft” internetinėse paslaugose. „Microsoft” taip pat teikia duomenų centrus nepriklausomiems subjektams.
Duomenų tvarkymas
Šiame skyriuje apibrėžiama, „Power Platform” saugo, apdoroja ir perkelia klientų duomenis.
Neaktyvūs duomenys
Jei dokumentuose nenurodyta kitaip, klientų duomenys lieka pradiniame šaltinyje (pvz., „Dataverse” arba „SharePoint”). Programa „Power Platform” saugojama „Azure” saugykloje kaip aplinkos dalis. Mobiliųjų įrenginių programose naudojami duomenys užšifruojami ir saugomi „SQL Express”. Daugeliu atvejų programos naudoja „Azure” saugyklą „Power Platform” paslaugų duomenims išsaugoti ir „Azure SQL” duomenų bazę paslaugų metaduomenims išsaugoti. Programos vartotojų įvesti duomenys saugomi atitinkamame paslaugos duomenų šaltinyje, pvz., „Dataverse”.
Visi „Power Platform” išsaugomi duomenys pagal numatytuosius nustatymus šifruojami naudojant „Microsoft” valdomus raktus. „Azure SQL” duomenų bazėje saugomi klientų duomenys yra visiškai užšifruojami naudojant „Azure SQL” Skaidrią duomenų šifravimo (TDE) technologiją. „Azure Blob” saugykloje saugomi klientų duomenys šifruojami naudojant „Azure Storage Encryption”.
Apdorojami duomenys...
Duomenys apdorojami, kai jie naudojami kaip interaktyviojo scenarijaus dalis arba kai fone vyksta su jais susijęs procesas, pvz., atnaujinimas. „Power Platform” įkelia apdorojamus duomenis į vienos ar kelių paslaugų darbo krūvių atminties vietą. Siekiant palengvinti darbo krūvio funkcionalumą, atmintyje saugomi duomenys nėra užšifruojami.
Perduodami duomenys
„Power Platform” reikalauja, kad visas gaunamas HTTP srautas būtų užšifruojamas naudojant TLS 1.2 ar aukštesnę versiją. Užklausos, kurios bando naudoti TLS 1.1 ar žemesnę versiją, yra atmetamos.
išplėstinės saugos funkcijos
Kai kurioms „Power Platform” išplėstinėms saugos funkcijoms taikomi konkretūs licencijavimo reikalavimai.
Aptarnavimo žymė
Aptarnavimo žymė yra nurodytos „Azure" paslaugos IP adresų priešdėlių grupė. Galite naudoti aptarnavimo žymes tinklo prieigos kontrolei Tinklo saugumo grupėse arba „Azure Firewall” apibrėžti.
Aptarnavimo žymės padeda minimizuoti dažnai atnaujinamų tinklo saugos taisyklių sudėtingumą. Kurdami saugos taisykles, kurios, pvz., leidžia arba draudžia srautą atitinkamai paslaugai, galite naudoti aptarnavimo žymes vietoje konkrečių IP adresų.
„Microsoft” tvarko adresų priešdėlius, kuriuos apima aptarnavimo žymė, ir automatiškai atnaujina aptarnavimo žymę, kai adresai keičiasi. Daugiau informacijos rasite čia: „Azure“ IP intervalai ir paslaugų žymės – viešasis debesis.
Duomenų praradimo prevencija
„Power Platform” turi daug Duomenų praradimo prevencijos (DLP) funkcijų, kad padėtų jums valdyti jūsų duomenų saugą.
Saugyklos bendrinamos prieigos parašo (SAS) IP apribojimas
Pastaba.
Prieš suaktyvindami bet kurią iš šių SAS funkcijų, klientai pirmiausia turi leisti prieigą prie domeno https://*.api.powerplatformusercontent.com , kitaip dauguma SAS funkcijų neveiks.
Šis funkcijų rinkinys yra nuomotojui būdinga funkcija, kuri riboja saugyklos bendrinamos prieigos parašo (SAS) atpažinimo ženklus ir yra valdoma per administravimo centro meniu Power Platform . Šis nustatymas riboja, kas, remdamasis IP, gali naudoti įmonės SAS žetonus.
Ši funkcija šiuo metu yra privačioje peržiūroje. Viešą peržiūrą planuojama atlikti vėliau šį pavasarį, o bendras prieinamumas – 2024 m. vasarą. Daugiau informacijos rasite Leidimų planavimo priemonė.
Šiuos Dataverse parametrus galima rasti aplinkos privatumo + saugos nustatymuose , esančiuose administravimo centre. Turite įjungti taisyklę Įgalinti IP adresu pagrįstą saugyklą Bendrinamos prieigos parašo (SAS) taisyklė .
Administratoriai gali įjungti vieną iš šių keturių šio parametro konfigūracijų:
| Nustatymas | Aprašą |
|---|---|
| Tik IP susiejimas | Tai apriboja SAS raktus iki prašytojo IP. |
| Tik IP užkarda | Tai riboja SAS klavišų naudojimą, kad jie veiktų tik administratoriaus nurodytame diapazone. |
| IP susiejimas ir ugniasienė | Tai riboja SAS klavišų naudojimą, kad jie veiktų administratoriaus nurodytame diapazone ir tik iki prašytojo IP. |
| IP susiejimas arba ugniasienė | Leidžia SAS raktus naudoti nurodytame diapazone. Jei užklausa pateikiama iš už diapazono ribų, taikomas IP susiejimas. |
Produktai, užtikrinantys IP susiejimą, kai įjungta:
- Dataverse
- Power Automate
- Pasirinktinėms jungtims
- Power Apps
Poveikis "Power App" funkcijoms
Kai vartotojas, neatitinkantis aplinkos IP adreso apribojimų, atidaro programą: Rodomas šis pranešimas: "Ši programa nustojo veikti. Pabandykite atnaujinti naršyklę." Planuojama atnaujinti šią patirtį, kad vartotojui būtų pateikta daugiau kontekstinės informacijos apie tai, kodėl programos nepavyko paleisti.
Kai naudotojas, atitinkantis IP adreso apribojimus, atidaro programą: Įvyksta šie įvykiai:
- Rodoma reklamjuostė su tokiu pranešimu: "Jūsų organizacija sukonfigūravo IP adresų apribojimus, ribojančius pasiekiamumo vietą Power Apps . Ši programa gali būti nepasiekiama, kai naudojate kitą tinklą. Norėdami gauti daugiau informacijos, susisiekite su administratoriumi." Ši reklamjuostė pasirodo kelioms sekundėms ir tada išnyksta.
- Programa gali būti įkeliama lėčiau nei tuo atveju, jei nebūtų taikomi IP adreso apribojimai. IP adreso apribojimai neleidžia platformai naudoti kai kurių našumo galimybių, leidžiančių greičiau įkelti.
Jei naudotojas atidaro programą ir atitinka IP adreso reikalavimus, o tada pereina į naują tinklą, kuris nebeatitinka IP adreso reikalavimų, naudotojas gali stebėti programos turinį, pvz., vaizdus, įterptąją laikmeną, o nuorodos gali būti neįkeliamos arba nepasiekiamos.
SAS skambučių registravimas
Šis nustatymas leidžia visiems SAS Power Platform skambučiams prisijungti prie "Purview". Šis registravimas rodo atitinkamus visų kūrimo ir naudojimo įvykių metaduomenis ir gali būti įjungtas nepriklausomai nuo pirmiau nurodytų SAS IP apribojimų. Power Platform paslaugos šiuo metu priima SAS skambučius 2024 m.
| Lauko pavadinimas | Lauko aprašymas |
|---|---|
| response.status_message | Informavimas, ar renginys buvo sėkmingas, ar ne: SASSuccess arba SASAuthorizationError. |
| response.status_code | Informavimas, ar renginys buvo sėkmingas, ar ne: 200, 401 ar 500. |
| analytics.resource.sas.uri | Duomenys, kuriuos buvo bandoma pasiekti arba sukurti. |
| enduser.ip_address | Viešasis skambinančiojo IP. |
| analytics.resource.sas.operation_id | Unikalus identifikatorius iš kūrimo įvykio. Paieška pagal tai rodo visus naudojimo ir kūrimo įvykius, susijusius su SAS skambučiais iš kūrimo įvykio. Susieta su atsakymo antrašte "x-ms-sas-operation-id". |
| request.service_request_id | Užklausos arba atsakymo unikalus identifikatorius, kurį galima naudoti ieškant vieno įrašo. Susieta su atsakymo antrašte "x-ms-service-request-id". |
| versija | Šios žurnalo schemos versija. |
| tipas | Bendras atsakas. |
| analytics.activity.name | Šio įvykio veiklos rūšis: Kūrimas arba naudojimas. |
| analytics.activity.id | Unikalus įrašo ID programoje "Purview". |
| analytics.resource.organization.id | Organizacijos ID |
| analytics.resource.environment.id | Aplinkos ID |
| analytics.resource.tenant.id | „“ nuomotojo ID |
| enduser.id | GUID iš Microsoft Entra kūrėjo ID iš kūrimo įvykio. |
| enduser.principal_name | Kūrėjo UPN / el. pašto adresas. Naudojimo įvykiams tai yra bendras atsakymas: "system@powerplatform". |
| enduser.role | Bendras atsakymas: Reguliarus kūrimo įvykiams ir Sistema naudojimo įvykiams. |
Susiję straipsniai
Sauga Microsoft Power Platform
„Power Platform“ paslaugų autentifikavimas
Prisijungimas prie duomenų šaltinių ir autentifikavimas
Power Platform saugos DUK