Stocarea și guvernanța datelor în Power Platform
În primul rând, este important să se facă distincția între datele personale și datele clienților.
Datele personale sunt informații despre persoane, care pot fi folosite pentru a le identifica.
Datele clienților includ date personale și alte informații despre clienți, inclusiv adrese URL, metadate și informații de autentificare a angajaților, cum ar fi numele DNS.
Rezidența datelor
Un Microsoft Entra chiriaș găzduiește informații relevante pentru o organizație și securitatea acesteia. Când un Microsoft Entra chiriaș se înscrie la servicii Power Platform , țara sau regiunea selectată de chiriaș este mapată la cea mai potrivită geografie Azure unde există o Power Platform implementare. Power Platform stochează datele clienților în zona geografică Azure atribuită entității găzduite sau în geografia de origine, cu excepția cazului în care organizațiile implementează servicii în mai multe regiuni.
Unele organizații au o prezență globală. De exemplu, o afacere poate avea sediul în Statele Unite, dar poate face afaceri în Australia. Este posibil să fie nevoie ca anumite date Power Platform să fie stocate în Australia pentru a respecta reglementările locale. Când serviciile Power Platform sunt implementate în mai mult de o geografie Azure, această implementare se numește multi-geo. În acest caz, numai metadatele legate de mediu sunt stocate în geolocalizarea de origine. Toate metadatele și datele despre produse din acel mediu sunt stocate în locația geografică de la distanță.
Microsoft poate replica datele în alte regiuni pentru rezistența datelor. Cu toate acestea, nu replicăm și nu mutăm datele personale în afara zonei geografice. Datele replicate în alte regiuni pot include date non-personale, cum ar fi informațiile de autentificare a angajaților.
Serviciile Power Platform sunt disponibile în anumite zone geografice Azure. Pentru mai multe informații despre unde sunt disponibile serviciile Power Platform, unde sunt stocate datele și cum sunt utilizate, accesați Centrul de autorizare Microsoft. Angajamentele privind localizarea datelor clienților în stare de repaus sunt specificate în Termenii de prelucrare a datelor din Termenii serviciilor online Microsoft. Microsoft oferă și centre de date pentru entități suverane.
Manipularea datelor
Această secțiune prezintă modul în care Power Platform stochează, procesează și transferă datele clienților.
Date în repaus
Dacă nu se specifică altfel în documentație, datele clienților rămân în sursa inițială (de exemplu, Dataverse sau SharePoint). O aplicație Power Platform este stocată în Azure Storage ca parte a unui mediu. Datele utilizate în aplicațiile mobile sunt criptate și stocate în SQL Express. În cele mai multe cazuri, aplicațiile folosesc Azure Storage pentru a permite persistența datelor serviciului Power Platform și baza de date SQL Azure pentru a permite persistența metadatelor serviciului. Datele introduse de utilizatorii aplicației sunt stocate în sursa de date respectivă pentru serviciu, cum ar fi Dataverse.
Toate datele păstrate de Power Platform sunt criptate în mod implicit folosind chei gestionate de Microsoft. Datele clienților stocate în baza de date SQL Azure sunt complet criptate folosind tehnologia Transparent Data Encryption (TDE) din Azure SQL. Criptarea stocării datelor clienților stocate în bloburi Azure se face prin criptarea stocării Azure.
Date în procesare
Datele sunt în procesare atunci când sunt utilizate ca parte a unui scenariu interactiv sau când un proces de fundal, cum ar fi o reîmprospătare, le modifică. Power Platform încarcă datele în procesare în spațiul de memorie al uneia sau mai multor activități de lucru de serviciu. Pentru a facilita funcționalitatea activității de lucru, datele care sunt stocate în memorie nu sunt criptate.
Datele în tranzit
Power Platform necesită ca tot traficul HTTP de intrare să fie criptat folosind TLS 1.2 sau o versiune ulterioară. Solicitările care încearcă să utilizeze TLS 1.1 sau o versiune mai veche sunt respinse.
Caracteristici de securitate avansate
Unele dintre funcțiile avansate de securitate ale Power Platform au cerințe specifice de licențiere.
Etichete de serviciu
O etichetă de serviciu reprezintă un grup de prefixe de adrese IP de la un serviciu Azure specificat. Puteți utiliza etichetele de serviciu pentru a defini controalele de acces la rețea în grupurile de securitate de rețea sau Azure Firewall.
Etichetele de serviciu ajută la minimizarea complexității actualizărilor frecvente ale regulilor de securitate a rețelei. Puteți utiliza etichete de serviciu în locul adreselor IP specifice atunci când creați reguli de securitate care, de exemplu, permit sau interzic traficul pentru serviciul corespunzător.
Microsoft gestionează prefixele de adresă cuprinse în eticheta de serviciu și actualizează automat eticheta de serviciu pe măsură ce adresele se schimbă. Pentru mai multe informații, consultați Intervalele de IP-uri Azure și etichetele serviciului – cloudul public.
Prevenirea pierderilor de date
Power Platform are un set extins de funcții de prevenire a pierderii datelor (DLP) pentru a vă ajuta să gestionați securitatea datelor.
Restricție IP pentru semnătură de acces partajat la stocare (SAS).
Notă
Înainte de a activa oricare dintre aceste funcții SAS, clienții trebuie să permită accesul la domeniul https://*.api.powerplatformusercontent.com sau majoritatea funcționalităților SAS nu vor funcționa.
Acest set de funcții este o funcționalitate specifică chiriașului, care restricționează simbolurile SAS (Stock Shared Access Signature) și este controlată printr-un meniu din centrul Power Platform de administrare. Această setare restricționează cine, pe baza IP, poate folosi jetoane SAS de întreprindere.
Această funcție este în prezent în previzualizare privată. Previzualizarea publică este planificată pentru mai târziu în această primăvară, cu disponibilitate generală în vara anului 2024. Pentru mai multe informații, consultați Planificatorul de lansări.
Aceste setări pot fi găsite în setările Dataverse mediului Privacy + Security din centrul de administrare. Trebuie să activați opțiunea Activare regulă SAS (Stock Shared Access Signature) pe bază de adresă IP .
Administratorii pot activa una dintre aceste patru configurații pentru această setare:
| Setare | Descriere |
|---|---|
| Numai legarea IP | Acest lucru restricționează cheile SAS la IP-ul solicitantului. |
| Doar IP Firewall | Acest lucru restricționează utilizarea cheilor SAS pentru a funcționa numai într-un interval specificat de administrator. |
| Legare IP și firewall | Acest lucru restricționează utilizarea cheilor SAS pentru a funcționa într-un interval specificat de administrator și numai la IP-ul solicitantului. |
| Legare IP sau Firewall | Permite utilizarea cheilor SAS în intervalul specificat. Dacă cererea vine din afara intervalului, se aplică IP Binding. |
Produse care impun legarea IP atunci când sunt activate:
- Dataverse
- Power Automate
- Conectori particularizați
- Power Apps
Impact asupra experiențelor Power App
Când un utilizator, care nu îndeplinește restricțiile privind adresa IP a unui mediu, deschide o aplicație: este afișat următorul mesaj: „Această aplicație nu mai funcționează. Încercați să vă reîmprospătați browserul.” Există planuri de actualizare a acestei experiențe pentru a oferi mai multe informații contextuale utilizatorului despre motivul pentru care aplicația nu a putut fi lansată.
Când un utilizator, care îndeplinește restricțiile privind adresa IP, deschide o aplicație: apar următoarele evenimente:
- Se afișează un banner cu următorul mesaj: „Organizația dvs. a configurat restricțiile privind adresele IP limitând locul în care Power Apps este accesibil. Este posibil ca această aplicație să nu fie accesibilă atunci când utilizați o altă rețea. Contactați-vă administratorul pentru mai multe detalii.” Acest banner apare pentru câteva secunde și apoi dispare.
- Aplicația se poate încărca mai lent decât dacă nu ar exista restricții privind adresa IP. Restricțiile privind adresa IP împiedică platforma să folosească unele capabilități de performanță care permit timpi de încărcare mai rapidi.
Dacă un utilizator deschide o aplicație, în timp ce îndeplinește cerințele privind adresa IP și apoi se mută într-o nouă rețea care nu mai îndeplinește cerințele privind adresa IP, utilizatorul poate observa conținutul aplicației, cum ar fi imaginile, conținutul media încorporat și link-urile ar putea să nu se încarce sau să fie accesibile.
Înregistrarea apelurilor SAS
Această setare permite ca toate apelurile SAS din Power Platform să fie conectate la Purview. Această înregistrare afișează metadatele relevante pentru toate evenimentele de creare și utilizare și poate fi activată independent de restricțiile IP SAS de mai sus. Power Platform serviciile integrează în prezent apeluri SAS în 2024.
| Nume de câmp | Descrierea câmpului |
|---|---|
| răspuns.mesaj_status | Informarea dacă evenimentul a avut succes sau nu: SASSuccess sau SASAuthorizationError. |
| răspuns.cod_stare | Informarea dacă evenimentul a avut succes sau nu: 200, 401 sau 500. |
| analytics.resource.sas.uri | Datele care încercau să fie accesate sau create. |
| enduser.ip_address | IP-ul public al apelantului. |
| analytics.resource.sas.operation_id | Identificatorul unic de la evenimentul de creare. Căutarea după aceasta arată toate evenimentele de utilizare și creare legate de apelurile SAS din evenimentul de creare. Mapat la antetul de răspuns „x-ms-sas-operation-id”. |
| request.service_request_id | Identificator unic din cerere sau răspuns și poate fi folosit pentru a căuta o singură înregistrare. Mapat la antetul de răspuns „x-ms-service-request-id”. |
| versiune | Versiunea acestei scheme de jurnal. |
| tip | Răspuns generic. |
| analytics.activity.name | Tipul de activitate al acestui eveniment a fost: Creare sau Utilizare. |
| analytics.activity.id | ID unic al înregistrării în Purview. |
| analytics.resource.organization.id | ID organizație |
| analytics.resource.environment.id | ID mediu |
| analytics.resource.tenant.id | ID entitate găzduită |
| enduser.id | GUID-ul de la Microsoft Entra ID-ul creatorului de la evenimentul de creare. |
| Utilizator final.nume_principal | UPN/adresa de e-mail a creatorului. Pentru evenimentele de utilizare, acesta este un răspuns generic: „system@powerplatform”. |
| Utilizator final.rol | Răspuns generic: Obișnuit pentru evenimente de creare și Sistem pentru evenimente de utilizare. |
Articole asociate
Securitate în Microsoft Power Platform
Autentificarea la serviciile Power Platform
Conectarea și autentificarea la sursele de date
Power Platform - Întrebări frecvente despre securitate