合规性与数据隐私
Microsoft 致力于实现最高级别的信任、透明、合标和法规合规。 Microsoft 丰富的云产品和服务套件从头构建,以便满足客户最严格的安全和隐私需要。
为了帮助您的组织遵守有关管理个人数据的收集和使用的国家、地区和业界特定的要求,Microsoft 提供了任何云服务提供商最丰富的合规性产品和服务(包括证书和证明)。 还有供管理员为组织的工作提供支持的工具。 文档的此部分中,将更详细地介绍可帮助您确定和满足自己组织的要求的资源。
信任中心
Microsoft 信任中心是用于获取有关 Microsoft 的产品组合的信息的集中资源。 包括有关安全、隐私、合规性和透明性的信息。 由于此内容中可能包含 Power Apps 的一小部分此信息,请务必始终参考 Microsoft 信任中心以获取最新的授权信息。
供您快速参考,您可以在此处找到 Microsoft Power Platform 的信任中心信息:https://www.microsoft.com/trust-center/product-overview。 这将包括有关 Power Apps、Microsoft Power Automate 和 Power BI 的信息。
数据位置
Microsoft 在全球运行多个数据中心,为 Microsoft Power Platform 应用程序提供支持。 组织建立租户时,将建立默认地理(地域)位置。 此外,创建环境以便为应用程序提供支持和存储 Microsoft Dataverse 数据时,可以将此环境的目标设置为特定地域。 可以在此处 https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location 找到 Microsoft Power Platform 的当前地域列表
为了为运行连续性提供支持,Microsoft 可能将数据复制到地域中的其他区域,但是数据不会离开该地域,以便为数据复原提供支持。 如果出现严重故障,这将支持故障转移或更快恢复的能力。 将数据保存在上面注重法律和支持的主站点中列出的特定地域有一些合理例外。 例外,请务必注意,您和您的用户采取的操作可能导致在地域外暴露数据。 也可以配置其他服务以访问数据和将其在地域外暴露。 默认情况下,经过授权的用户可以在全球具有连接的任何位置访问平台和应用程序及数据。
数据保护
数据在用户设备与 Microsoft 数据中心之间传输时是安全的。 已加密客户与 Microsoft 数据中心之间建立的连接,并且已使用业界标准的 TLS 保护所有公共终结点。 TLS 有效建立安全性得到增强的浏览器到服务器连接,以帮助确保桌面与数据中心之间的数据机密性和完整性。 同样也会保护从客户终结点到服务器的 API 访问。 现在,需要 TLS 1.2(或更高版本)才能访问服务器终结点。
也会加密通过本地数据网关传输的数据。 用户上载的数据通常发送到 Azure Blob 存储,系统本身的所有数据和项目存储在 Azure SQL 数据库和 Azure 表存储中。
Dataverse 数据库的所有环境使用 Microsoft SQL Server 透明数据加密 (TDE) 来在数据写入到磁盘时执行实时数据加密,又称静态加密。
默认情况下,Microsoft 存储和管理您的环境的数据库加密密钥,因此您不必管理。 Power Platform 管理中心中的管理密钥功能为管理员提供自管理与 Dynamics 365 (online) 环境相关的数据库加密密钥的能力。 可以在此处阅读有关如何管理自己的密钥的详细信息,但是通常建议让 Microsoft 管理密钥,除非您的具体业务要求需要您自己维护。
用于管理 GDPR 合规性的资源
欧盟 (EU) 一般数据保护条例 (GDPR) 赋予个人对其数据的重要权利。 请参阅Microsoft Learn 一般数据保护条例摘要,查看有关 GDPR 的概述,包括术语、行动计划和准备清单,以帮助您在使用 Microsoft 产品和服务时履行 GDPR 规定的义务。
您可以了解有关 GDPR 的更多信息,以及 Microsoft 如何帮助对它以及受其影响的客户提供支持。
- Microsoft 信任中心提供常规信息、合规性最佳做法和有助于实施 GDPR 问责制的文档,例如数据保护影响评估、数据主体请求和数据泄露通知。
- 服务信任门户提供有关 Microsoft 服务如何帮助支持 GDPR 合规性的信息。
最为管理员,在为隐私提供支持时,最重要的一项活动与数据使用者权限 (DSR) 请求有关。 它们是数据主体为了处理其在您的系统中的个人数据向数据控制者(可能是您的组织)提出的正式请求。 数据主体具有以下权限:获取副本,请求更正,限制对数据的处理,删除数据,以及接收电子格式的副本以将其移到其他数据控制者。
以下链接指向可帮助您根据组织正在运行的功能响应 DSR 请求的详细信息。
| 平台功能区 | 详细响应步骤的链接 |
|---|---|
| Power Apps | 响应有关导出 Power Apps 客户数据的数据使用者权限 (DSR) 请求 |
| Dataverse | 响应 Dataverse 客户数据的数据使用者权限 (DSR) 请求 |
| Power Automate | 响应 Power Automate 的数据主体请求 |
| Microsoft 帐户 (MSA) | 响应数据主体权利请求 |
| 客户互动应用 | Dynamics 365 数据主体的隐私请求 |
Microsoft 365 安全与合规中心
使用 Microsoft Purview 合规性管理器在一个地方跨 Microsoft 云服务管理您的合规工作。
Power Automate 审核日志事件
在合规中心审核日志搜索中,管理员可以搜索和查看 Power Automate 事件。 事件包括创建了流、编辑了流、删除了流、编辑了权限、删除了权限、开始了付费试用、续订付费试用。 可使用门户选择要搜索的内容和时间窗口。
在解决方案下,选择审核。
在活动下,选择要审核的 Power Automate 活动。
选择搜索。
搜索完成后,选择搜索查看相关活动的列表。
在列表中选择一行查看活动详细信息。
审核数据保留 90 天。 可对数据执行 CDSV 导出,从而可将其移到 Excel 或 PowerBI 中进行进一步分析。 可以在此处找到有关使用审核信息的完整演练:https://flow.microsoft.com/blog/security-and-compliance-center/
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈