回應資料主體權利 (DSR) 刪除 Power Apps 客戶資料的要求
從組織的客戶資料中移除個人資料的「擦除權利」是歐盟 (EU) 一般資料保護規定 (GDPR) 中的一項重要保護。 移除個人資料包括移除系統產生的日誌,但不包括稽核記錄資訊。
Power Apps 允許使用者建立企業營運系統應用程式,這是組織日常作業的重要組成部分。 當使用者離開您的組織時,您需要手動審查並判斷是否要刪除使用者所建立的某些資料和資源。 只要從 Microsoft Entra 中刪除使用者的帳戶,就會自動刪除其他個人資料。
以下是將自動刪除個人資料,以及需要您手動審查和移除哪些資料的明細:
| 需要手動審查和移除 | 當使用者從 Microsoft Entra移除時,會自動刪除 |
|---|---|
| 環境** | 閘道器 |
| 環境權限*** | 閘道權限 |
| 畫布應用程式/自訂頁面** | Power Apps 通知 |
| 畫布應用程式權限 | Power Apps 使用者設定 |
| 連線** | Power Apps 使用者應用程式設定 |
| 連接權限 | |
| 自訂連接器** | |
| 自訂連接器權限 |
** 這些資源中的每一個都包含 [建立者] 和 [修改者] 記錄 (包含個人資料)。 出於安全考慮,這些記錄將會保留,直到該資源被刪除為止。
*** 對於包括 Microsoft Dataverse 資料庫的環境,環境權限 (即被指派環境創造者和管理角色的使用者) 會儲存為該資料庫中的記錄。 如需如何回應 Dataverse 使用者之 DSR 的指導,請參閱回應 Dataverse 客戶資料的資料主體權利 (DSR) 要求。
對於需要手動審查的資料和資源,Power Apps 提供下列經驗來重新指派(如有需要)或刪除特定使用者的個人資料:
網站存取:Power Apps 網站、Power Platform 系統管理中心和 Microsoft 365 Service Trust 入口網站
PowerShell 存取:適用於應用程式建立者和系統管理員的 Power Apps Cmdlet,以及適用於內部部署閘道的 Cmdlet。
以下是可用於刪除每種可能包含個人資料之類型的經驗明細:
| 包含個人資料的資源 | 網站存取 | PowerShell 存取 |
|---|---|---|
| Environment | Power Platform 系統管理中心 | Power Apps cmdlets |
| 環境權限** | Power Platform 系統管理中心 | Power Apps cmdlets |
| 畫布應用程式/自訂頁面 | Power Platform 系統管理中心 Power Apps |
Power Apps cmdlets |
| 畫布應用程式權限 | Power Platform 系統管理中心 | Power Apps cmdlets |
| 連接 | 應用程式建立者:可用 管理員:可用 |
|
| 連接權限 | 應用程式建立者:可用 管理員:可用 |
|
| 自訂連接器 | 應用程式建立者:可用 管理員:可用 |
|
| 自訂連接器權限 | 應用程式建立者:可用 管理員:可用 |
** 隨著引進 Dataverse,如果資料庫是在環境中建立,則環境權限和模型導向應用程式權限會儲存為該資料庫環境中的記錄。 如需如何回應 Dataverse 使用者之 DSR 的指導,請參閱回應 Dataverse 客戶資料的資料主體權利 (DSR) 要求。
先決條件
對於使用者
擁有有效 Power Apps 授權的任何使用者,都可以使用 Power Apps 或適用於應用程式建立者的 PowerShell cmdlet 來執行本文件中所列的使用者作業。
未受管理用戶
如果您是未受管理用戶的成員,表示您的 Microsoft Entra 租用戶不具備全域系統管理員,您可以遵循此部分中所述的步驟移除自己的個人資料。 但是,因為您的租用戶不存在全域系統管理員,所以您必須遵循步驟 12:從 Microsoft Entra 刪除使用者中所述的指示,以從租用戶中刪除您自己的帳戶。
為了判斷您是否為未受管理用戶的成員,請執行下列步驟:
在瀏覽器中開啟下列 URL,確認在 URL 中取代您的電子郵件地址:https://login.microsoftonline.com/common/userrealm/name@contoso.com?api-version=2.1
如果您是未受管理用戶的成員,您將會在回應中看到
"IsViral": true。
{
...
"Login": "name@unmanagedcontoso.com",
"DomainName": "unmanagedcontoso.com",
"IsViral": true,
...
}
- 否則,您屬於受管理用戶。
適用於系統管理員
若要使用 Power Platform 系統管理中心、Power Automate 系統管理中心或 適用於 Power Apps 系統管理員的 PowerShell cmdlets 來執行本文件中所概述的管理作業,您需要下述內容:
付費 Power Apps 方案或 Power Apps 方案試用版。 您可以在 https://make.powerapps.com/trial 註冊 30 天的試用。 試用版授權可以更新(如果已過期)。
Microsoft 365 全域管理員或 Microsoft Entra 全域管理員權限 (如果您需要仔細搜尋其他使用者的資源)。 (請注意,環境管理員只能存取他們擁有權限的環境和環境資源。)
步驟 1:刪除或重新指派使用者所建立的所有環境
做為系統管理員,您在為使用者所建立的每個環境處理 DSR 刪除要求時,必須進行兩項決策:
如果您判斷組織中的其他人未使用該環境,您可以選擇刪除環境。
如果您判斷仍然需要環境,您可以選擇不刪除環境,並將自己(或組織中的其他使用者)新增為環境管理員。
重要
刪除環境時,會永久刪除環境中的所有資源,包括所有應用程式、流程、連接等。因此,請在移除之前,先複查環境的內容。
授與使用者環境的存取權
系統管理員可以執行下列步驟,授與環境的系統管理權限:
從 Power Platform 管理中心選取環境,授與管理權限給自己或組織中的其他使用者。
如果環境是由使用者以 DSR 要求建立的,請在存取下方、環境管理,選取查看全部。
刪除使用者所建立的環境
管理員可以透過下列步驟,檢閱並刪除特定使用者所建立的環境:
從 Power Platform 管理中心選取環境。
如果環境是由使用者以 DSR 要求建立的,請選取刪除,然後繼續執行刪除環境的步驟。
使用 PowerShell 授與使用者環境的存取權
系統管理員可使用適用於 Power Apps 系統管理員的 PowerShell Cmdlet 中的 Set-AdminPowerAppEnvironmentRoleAssignment 函數,指派使用者所建立之所有環境的存取權指派給自己(或組織中的其他使用者):
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
$myUserId = $global:currentSession.UserId
#Assign yourself as an admin to each environment created by the user
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Set-AdminPowerAppEnvironmentRoleAssignment -RoleName EnvironmentAdmin -PrincipalType User -PrincipalObjectId $myUserId
#Retrieve the environment role assignments to confirm
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Get-AdminPowerAppEnvironmentRoleAssignment
重要
此函數只適用於在 Dataverse 中不具備資料庫環境的環境。
使用 PowerShell 刪除使用者所建立的環境
系統管理員可以使用適用於 Power Apps 系統管理員的 PowerShell Cmdlet中的 Remove-AdminPowerAppEnvironment 函數,來刪除使用者所建立的所有環境:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
# Retrieve all environments created by the user and then delete them
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppEnvironment
步驟 2:刪除使用者對所有其他環境的權限
可以為使用者指派環境中的權限 (例如環境管理員和環境建立者),這些權限作為「角色指派」儲存在 Power Apps 服務中。隨著 Dataverse 的引入,如果在環境中建立資料庫,這些「角色指派」將作為記錄儲存在該資料庫的環境中。
對於沒有 Dataverse 資料庫的環境
Power Platform 系統管理中心
系統管理員可以從 Power Platform 系統管理中心,執行下列步驟移除使用者的環境權限:
從 Power Platform 管理中心選取環境。
您必須是 Microsoft 365 全域管理員或 Microsoft Entra 全域管理員,才能檢閱所有已在您的組織中建立的環境。
如果您的環境沒有 Dataverse 資料庫,您將會看到存取區段。 在存取下,選取環境管理或環境製作者,然後選取查看全部。
選取使用者,選取移除以移除其權限,然後選取繼續。
PowerShell
系統管理員可以使用適用於 Power Apps 系統管理員的 PowerShell Cmdlet 中的 Remove-AdminPowerAppEnvironmentRoleAssignment 函數,從所有不具備 Dataverse 資料庫的環境中刪除使用者的所有環境角色指派:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#find all environment role assignments for the user for environments without a Dataverse database and delete them
Get-AdminPowerAppEnvironmentRoleAssignment -UserId $deleteDsrUserId | Remove-AdminPowerAppEnvironmentRoleAssignment
重要
此函數只適用於不具備 Dataverse 資料庫環境的環境。
對於具備 Dataverse 資料庫的環境
隨著引進 Dataverse,如果資料庫是在環境中建立,這些「角色指派」會儲存為該資料庫環境中的記錄。 請參考下列文件,了解如何從 Dataverse 的資料庫環境中移除個人資料:Common Data Service 使用者個人資料移除
步驟 3:刪除或重新指派使用者擁有的所有畫布應用程式
使用 Power Apps 管理員 PowerShell Cmdlet 重新指派使用者的畫布應用程式
如果管理員決定不刪除使用者的畫布應用程式,則他們可以使用 Power Apps 管理員 PowerShell Cmdlet 中的 Set-AdminPowerAppOwner 函數,重新指派使用者擁有的應用程式:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
$newAppOwnerUserId = "72c272b8-14c3-4f7a-95f7-a76f65c9ccd8"
#find all apps owned by the DSR user and assigns them a new owner
Get-AdminPowerApp -Owner $deleteDsrUserId | Set-AdminPowerAppOwner -AppOwner $newAppOwnerUserId
使用 Power Apps 網站來刪除使用者的畫布應用程式
使用者可從 Power Apps 網站刪除應用程式 如需如何刪除應用程式的完整步驟,請參閱刪除應用程式。
使用 Power Platform 系統管理中心來刪除使用者的畫布應用程式
管理員可以透過下列步驟,刪除使用者所建立的應用程式:
從 Power Platform 管理中心選取環境。
您必須是 Microsoft 365 全域管理員或 Microsoft Entra 全域管理員,才能檢閱所有已在您的組織中建立的環境。
在資源下方,選取 Power Apps。
選取應用程式,然後選取刪除>從雲端刪除。
使用 Power Apps 管理員 PowerShell Cmdlet 刪除使用者的畫布應用程式
如果管理員決定要刪除使用者擁有的所有畫布應用程式,則他們可以使用 Power Apps 管理員 PowerShell Cmdlet 中的 Remove-AdminApp 函數來這麼做:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#find all apps owned by the DSR user and deletes them
Get-AdminPowerApp -Owner $deleteDsrUserId | Remove-AdminPowerApp
步驟 4:刪除使用者對畫布應用程式的權限
只要有使用者共用應用程式,Power Apps 就會儲存名為「角色指派」的記錄,描述使用者對應用程式的權限 (CanEdit 或 CanUse)。 如需詳細資訊,請參閱<共用應用程式>文章。
Note
刪除應用程式時,將會刪除應用程式的角色指派。 只有為應用程式指派新的負責人,才能刪除應用程式負責人的角色指派。
若要將刪除使用者對畫布應用程式的權限,請參閱預覽:共用模型導向應用程式。 對步驟 5,移除而不要從清單中新增角色。
適用於系統管理員的 PowerShell Cmdlet
管理員可以使用 Power Apps 管理員 PowerShell Cmdlet 中的 Remove-AdminPowerAppRoleAssignment 函數,來刪除使用者的畫布應用程式角色指派:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#find all app role assignments for the DSR user and deletes them
Get-AdminPowerAppRoleAssignment -UserId $deleteDsrUserId | Remove-AdminPowerAppRoleAssignment
步驟 5:刪除使用者建立的連接
當建立與其他 API 和 SaaS 系統的連接時,會與連接器搭配使用。 連接會包含對建立它們的使用者的參照,因此可將其移除以移除任何對使用者的參照。
適用於應用程式建立者的 PowerShell Cmdlet
使用者可以使用適用於應用程式建立者的 PowerShell Cmdlet 中的 Remove-AdminPowerAppConnection 函數,來刪除他們的所有連線:
Add-PowerAppsAccount
#Retrieves all connections for the calling user and deletes them
Get-AdminPowerAppConnection | Remove-AdminPowerAppConnection
適用於 Power Apps 系統管理員的 PowerShell Cmdlet
管理員可以使用 Power Apps 管理員 PowerShell cmdlets 中的 Remove-AdminPowerAppConnection 函數,來刪除使用者的連接:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#Retrieves all connections for the DSR user and deletes them
Get-AdminPowerAppConnection -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppConnection
步驟 6:刪除使用者對共用連接的權限
適用於應用程式建立者的 PowerShell Cmdlet
使用者可以使用適用於應用程式建立者的 PowerShell Cmdlet 中的 Remove-AdminPowerAppConnectionRoleAssignment 功能,來刪除他們對於共用連線的所有連線角色指派:
Add-PowerAppsAccount
#Retrieves all connection role assignments for the calling users and deletes them
Get-AdminPowerAppConnectionRoleAssignment | Remove-AdminPowerAppConnectionRoleAssignment
Note
若未刪除連接資源,就無法刪除負責人角色指派。
適用於系統管理員的 PowerShell Cmdlet
管理員可以使用 Power Apps 管理員 PowerShell Cmdlet 中的 Remove-AdminPowerAppConnectionRoleAssignment 函數,來刪除使用者的所有連接角色指派:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#Retrieves all connection role assignments for the DSR user and deletes them
Get-AdminPowerAppConnectionRoleAssignment -PrincipalObjectId $deleteDsrUserId | Remove-AdminPowerAppConnectionRoleAssignment
步驟 7:刪除使用者建立的自訂連接器
自訂連接器會補充現有的內建連接器,並允許與其他 API、SaaS 和自訂開發的系統連接。 您可能會想將自訂連接器的擁有權轉讓給組織中的其他使用者,或是刪除自訂連接器。
適用於應用程式建立者的 PowerShell Cmdlet
使用者可以使用適用於應用程式建立者的 PowerShell Cmdlet 中的 Remove-AdminPowerAppConnector 函數,來刪除其自訂連接器:
Add-PowerAppsAccount
#Retrieves all custom connectors for the calling user and deletes them
Get-AdminPowerAppConnector | Remove-AdminPowerAppConnector
適用於系統管理員的 PowerShell Cmdlet
管理員可以使用 Power Apps 管理員 PowerShell cmdlets 中的 Remove-AdminPowerAppConnector 函數,來刪除使用者建立的所有自訂連接器:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#Retrieves all custom connectors created by the DSR user and deletes them
Get-AdminPowerAppConnector -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppConnector
步驟 8:刪除使用者對共用自訂連接器的權限
適用於應用程式建立者的 PowerShell Cmdlet
使用者可以使用適用於應用程式建立者的 PowerShell Cmdlet 中的 Remove-AdminPowerAppConnectorRoleAssignment 函數,來刪除其對共用自訂連接器的連接器角色指派:
Add-PowerAppsAccount
#Retrieves all connector role assignments for the calling users and deletes them
Get-AdminPowerAppConnectorRoleAssignment | Remove-AdminPowerAppConnectorRoleAssignment
Note
若未刪除連接資源,就無法刪除負責人角色指派。
適用於系統管理員的 PowerShell Cmdlet
管理員可以使用 Power Apps 管理員 PowerShell Cmdlet 中的 Remove-AdminPowerAppConnectorRoleAssignment 函數,來刪除使用者的所有自訂連接器角色指派:
Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
#Retrieves all custom connector role assignments for the DSR user and deletes them
Get-AdminPowerAppConnectorRoleAssignment -PrincipalObjectId $deleteDsrUserId | Remove-AdminPowerAppConnectorRoleAssignment
步驟 9:在 Power Automate 中刪除使用者的個人資料
Power Apps 授權始終包括 Power Automate 功能。 除了隨附於 Power Apps 授權之外,Power Automate 也可做為獨立服務。 如需如何回應使用 Power Automate 服務之使用者的 GDPR 的指導,請參閱回應 Power Automate 的 GDPR 資料主體要求。
重要
建議系統管理員為 Power Apps 使用者完成此步驟。
步驟 10:在 Microsoft Copilot Studio 中刪除使用者的個人資料
Power Apps 功能是建立在 Microsoft Copilot Studio 上。 Microsoft Copilot Studio 也可作為獨立服務提供。 如需如何回應 Microsoft Copilot Studio 服務資料 GDPR 要求的指南,請參閱回應 Microsoft Copilot Studio 的資料主體要求。
重要
建議系統管理員為 Power Apps 使用者完成此步驟。
步驟 11:在 Dataverse 環境中刪除使用者的個人資料
某些 Power Apps授權 (包括 Power Apps 開發人員方案) 讓組織內的使用者能建立 Dataverse 環境,和在 Dataverse 上建立和組建應用程式。 Power Apps 開發人員方案是免費授權,可讓使用者在個別環境中試用 Dataverse。 請參閱 Power Apps 價格頁面,其功能隨附於每個 Power Apps 授權中。
如需如何回應使用 Dataverse 之使用者的 DSR 的指導,請參閱回應 Dataverse 客戶資料的資料主體權利 (DSR) 要求。
重要
建議系統管理員為 Power Apps 使用者完成此步驟。
步驟 12:從 Microsoft Entra 中移除使用者
上述步驟完成後,最後一步就是刪除使用者的 Microsoft Entra 帳戶。
受管理用戶
作為受管理 Microsoft Entra 用戶的系統管理員,您可以按照 Azure 資料主體要求 GDPR 文件(可在 Microsoft 365 Service Trust 入口網站上找到)中所述的步驟,來刪除使用者的帳戶。
未受管理用戶
如果您是未受管理用戶的成員,則必須執行這些步驟,才能從您的 Microsoft Entra 用戶中移除您的帳戶:
Note
請參見上述的未受管理用戶章節,了解如何偵測您是未受管理還是受管理用戶的成員。
使用您的 Microsoft Entra 帳戶登入。
選取關閉帳戶並遵循指示,從您的 Microsoft Entra 用戶中移除您的帳戶。
![選取 [關閉帳戶]。](media/powerapps-gdpr-delete-dsr/close-account.png)