Comparteix a través de

Emmagatzematge i govern de dades al Power Platform

  • Article

Nota

El centre Power Platform d'administració nou i millorat ja està en versió preliminar pública. Hem dissenyat el nou centre d'administració perquè sigui més fàcil d'utilitzar, amb una navegació orientada a tasques que us ajuda a aconseguir resultats específics més ràpidament. Publicarem documentació nova i actualitzada a mesura que el nou Power Platform centre d'administració passi a la disponibilitat general.

En primer lloc, és important distingir entre informació personal i dades del client.

  • Les dades personals són informació sobre persones que es poden utilitzar per identificar-les.

  • Les dades del client inclouen dades personals i altra informació del client, com ara URL, metadades i informació d'autenticació dels empleats, com ara noms DNS.

Residència de dades

Un Microsoft Entra llogater allotja informació rellevant per a una organització i la seva seguretat. Quan un Microsoft Entra inquilí es registra als Power Platform serveis, el país o la regió seleccionats de l'inquilí s'assigna a la geografia d'Azure més adequada on hi ha una Power Platform implementació. El Power Platform emmagatzema les dades del client a la geografia de l'Azure assignada a l'inquilí, o ubicació geogràfica, excepte quan les organitzacions implementen serveis a diverses regions.

Algunes organitzacions tenen una presència global. Per exemple, una empresa pot tenir la seu als Estats Units, però fer negocis a Austràlia. Pot ser que necessiti que certes dades del Power Platform s'emmagatzemin a Austràlia per complir amb les normatives locals. Quan els serveis del Power Platform s'implementen a més d'una geografia de l'Azure, s'anomena implementació multigeogràfica. En aquest cas, només les metadades relacionades amb l'entorn s'emmagatzemen a la geografia principal. Totes les metadades i les dades de producte relacionats amb l'entorn s'emmagatzemen en la geografia remota.

Microsoft pot replicar dades a altres regions per a resistència de dades. Tanmateix, no repliquem ni movem les dades personals fora de la ubicació geogràfica. Les dades replicades a altres regions poden incloure dades no personals, com ara informació d'autenticació dels empleats.

Els serveis del Power Platform estan disponibles a geografies específiques de l'Azure. Per obtenir més informació sobre on estan disponibles els serveis del Power Platform, on s'emmagatzemen les dades i com s'utilitzen, aneu al Centre de confiança de Microsoft. Els compromisos sobre la ubicació de les dades de client en repòs s'especifiquen a les Condicions de tractament de dades de les Condicions del Microsoft Online Services. Microsoft també proporciona centres de dades per a entitats sobiranes.

Gestió de les dades

Aquesta secció descriu com el Power Platform emmagatzema, tracta i transfereix les dades de clients.

Dades en repòs

Sempre que no s'especifiqui el contrari a la documentació, les dades dels clients es conserven a la seva font original (per exemple, Dataverse o SharePoint). Una aplicació del Power Platform s'emmagatzema a l'Azure Storage com a part d'un entorn. Les dades utilitzades a les aplicacions mòbils s'encripten i s'emmagatzemen a SQL Express. En la majoria dels casos, les aplicacions utilitzen l'Azure Storage per conservar les dades de servei del Power Platform i Azure SQL Database per conservar les metadades de servei. Les dades introduïdes pels usuaris d'aplicacions s'emmagatzemen a la respectiva font de dades per al servei, com ara Dataverse.

Totes les dades conservades pel Power Platform estan encriptades per defecte amb les tecles administrades per Microsoft. Les dades dels clients emmagatzemades a l'Azure SQL Database estan totalment encriptades amb tecnologia Transparent Data Encryption (TDE) de l'Azure SQL. Les dades del client emmagatzemades a l'Azure Blob Storage s'encripten mitjançant Azure Storage Encryption.

Dades en tractament

Les dades estan en procés de tractament quan s'utilitzen com a part d'un escenari interactiu o quan un procés en segon terme, com ara una actualització, la toca aquestes dades. El Power Platform carrega les dades en tractament a l'espai de memòria d'una o més càrregues de treball de servei. Per facilitar la funcionalitat de la càrrega de treball, les dades emmagatzemades a la memòria no s'encripten.

Dades en trànsit

El Power Platform requereix que s'encripti tot el trànsit HTTP entrant amb TLS 1.2 o superior. Les sol·licituds que intenten utilitzar TLS 1.1 o inferior es rebutgen.

Característiques de seguretat avançades

Algunes de les característiques de seguretat avançades del Power Platform tenen requisits de llicències específics.

Etiquetes de servei

Una etiqueta de servei representa un grup de prefixos d'adreces IP d'un servei de l'Azure especificat. Podeu utilitzar etiquetes de servei per definir controls d'accés a la xarxa en grups de seguretat de xarxa o l'Azure Firewall.

Les etiquetes de servei ajuden a minimitzar la complexitat de les actualitzacions freqüents de les regles de seguretat de la xarxa. Podeu utilitzar les etiquetes de servei en lloc de les adreces IP específiques quan creeu regles de seguretat que, per exemple, permetin o deneguin el trànsit per al servei corresponent.

Microsoft administra els prefixos d'adreça inclosos a l'etiqueta de servei i actualitza automàticament l'etiqueta de servei a mesura que canvien les adreces. Per obtenir més informació, vegeu Intervals d'IP i etiquetes de servei de l'Azure: núvol públic.

Prevenció de pèrdua de dades

El Power Platform té un ampli conjunt de Característiques de prevenció de pèrdua de dades (DLP) per ajudar-vos a administrar la seguretat de les vostres dades.

Restricció d'IP de la signatura d'accés compartit (SAS) d'emmagatzematge

Nota

Abans d'activar qualsevol d'aquestes característiques de SAS, els clients primer han de permetre l'accés https://*.api.powerplatformusercontent.com al domini o la majoria de les funcionalitats de SAS no funcionaran.

Aquest conjunt de característiques és una funcionalitat específica de l'inquilí que restringeix els testimonis de signatura d'accés compartit (SAS) d'emmagatzematge i es controla mitjançant un menú del centre Power Platform d'administració. Aquesta configuració restringeix qui, en funció de la IP (IPv4 i IPv6), pot utilitzar testimonis SAS empresarials.

Aquesta configuració es pot trobar a la configuració de privadesa + seguretat d'un entorn al centre d'administració . Heu d'activar l'opció Habilita la regla Habilita la signatura d'accés compartit d'emmagatzematge (SAS) basada en l'adreça IP.

Els administradors poden permetre una d'aquestes quatre opcions per a aquesta opció de configuració:

Opció Configuració Descripció
1 Només enllaç IP Això restringeix les claus SAS a la IP del sol·licitant.
2 Només tallafoc IP Això restringeix l'ús de claus SAS perquè només funcioni dins d'un interval especificat per l'administrador.
3 Enllaç IP i tallafoc Això restringeix l'ús de claus SAS per treballar dins d'un interval especificat per l'administrador i només a la IP del sol·licitant.
4 Enllaç IP o tallafoc Permet utilitzar claus SAS dins de l'interval especificat. Si la sol·licitud prové de fora de l'interval, s'aplica l'enllaç d'IP.

Nota

Els administradors que hagin optat per permetre el tallafoc IP (opcions 2, 3 i 4 enumerades a la taula anterior) han d'introduir els rangs IPv4 i IPv6 de les seves xarxes per garantir una cobertura adequada dels seus usuaris.

Productes que apliquen l'enllaç d'IP quan està activat:

  • Dataverse
  • Power Automate
  • Connectors personalitzats
  • Power Apps

Impacte en l'experiència d'usuari

  • Quan un usuari que no compleix les restriccions d'adreça IP d'un entorn obre una aplicació: els usuaris reben un missatge d'error que cita un problema genèric d'IP.

  • Quan un usuari, que compleix les restriccions d'adreça IP, obre una aplicació: es produeixen els esdeveniments següents:

    • Els usuaris poden obtenir un bàner que desapareixerà ràpidament, informant els usuaris que s'ha establert una configuració d'IP i que es posin en contacte amb l'administrador per obtenir més detalls o per actualitzar les pàgines que perdin la connexió.
    • Més important encara, a causa de la validació d'IP que utilitza aquesta configuració de seguretat, algunes funcionalitats poden funcionar més lentament que si estigués desactivada.

Actualitzar la configuració mitjançant programació

Els administradors poden utilitzar l'automatització per definir i actualitzar tant l'enllaç IP com la configuració del tallafoc, l'interval d'IP que apareix a la llista de permesos i el commutador Registre . Més informació a Tutorial: Crear, actualitzar i enumerar la configuració de l'administració de l'entorn.

Registre de trucades SAS

Aquesta configuració permet que totes les trucades SAS es Power Platform connectin a Purview. Aquest registre mostra les metadades rellevants per a tots els esdeveniments de creació i ús i es pot habilitar independentment de les restriccions d'IP SAS anteriors. Power Platform els serveis estan incorporant actualment les trucades SAS el 2024.

Nom del camp Descripció del camp
response.status_message Informar si l'esdeveniment s'ha realitzat correctament o no: SASSuccess o SASAuthorizationError.
response.status_code Informar si l'esdeveniment va tenir èxit o no: 200, 401 o 500.
ip_binding_mode Mode d'enllaç IP definit per un administrador d'inquilins, si està activat. Només s'aplica als esdeveniments de creació de SAS.
admin_provided_ip_ranges Intervals d'IP establerts per un administrador d'inquilins, si n'hi ha. Només s'aplica als esdeveniments de creació de SAS.
computed_ip_filters Conjunt final de filtres IP vinculats a URI SAS basats en el mode d'enllaç IP i els intervals establerts per un administrador d'inquilins. S'aplica tant a la creació com als esdeveniments d'ús de SAS.
analytics.resource.sas.uri Les dades a les quals s'intentava accedir o crear.
enduser.ip_address La IP pública de la persona que truca.
analytics.resource.sas.operation_id L'identificador únic de l'esdeveniment de creació. La cerca per això mostra tots els esdeveniments d'ús i creació relacionats amb les trucades SAS de l'esdeveniment de creació. Assignat a la capçalera de resposta "x-ms-sas-operation-id".
request.service_request_id Identificador únic de la sol·licitud o resposta i es pot utilitzar per cercar un sol registre. Assignat a la capçalera de resposta "x-ms-service-request-id".
version Versió d'aquest esquema de registre.
tipus Resposta genèrica.
analytics.activity.name El tipus d'activitat d'aquest esdeveniment va ser: Creació o Ús.
analytics.activity.id Identificador únic del registre a Purview.
analytics.resource.organization.id ID d'org.
analytics.resource.environment.id ID de l'entorn
analytics.resource.tenant.id Identificador d'inquilí de l'
enduser.id El GUID de l'identificador del Microsoft Entra creador de l'esdeveniment de creació.
enduser.principal_name UPN/adreça electrònica del creador. Per als esdeveniments d'ús, aquesta és una resposta genèrica: "system@powerplatform".
enduser.role Resposta genèrica: Regular per a esdeveniments de creació i System per a esdeveniments d'ús.

Activar el registre d'auditoria de Purview

Per tal que els registres es mostrin a la vostra instància de Purview, primer heu d'activar-lo per a cada entorn per al qual vulgueu registres. Un administrador Power Platform d'inquilins pot actualitzar aquesta configuració al centre d'administració.

  1. Aneu al centre Power Platform d'administració i inicieu la sessió amb les credencials d'administrador de l'inquilí.
  2. A la subfinestra de navegació esquerra, seleccioneu Entorns.
  3. Seleccioneu l'entorn per al qual voleu activar el registre d'administrador.
  4. Seleccioneu Configuració a la barra d'ordres.
  5. Seleccioneu Privadesa + seguretat del producte>.
  6. A Configuració de seguretat de la signatura d'accés compartit d'emmagatzematge (SAS) (visualització prèvia), activeu la característica Habilita el registre de SAS a Purview .

Registres d'auditoria de cerca

Els administradors d'inquilins poden utilitzar Purview per veure els registres d'auditoria emesos per a les operacions SAS i poden autodiagnosticar errors que es poden retornar en problemes de validació d'IP. Els registres a Purview són la solució més fiable.

Utilitzeu els passos següents per diagnosticar problemes o entendre millor els patrons d'ús de SAS dins del vostre inquilí.

  1. Assegureu-vos que el registre d'auditoria estigui activat per a l'entorn. Vegeu Activar el registre d'auditoria de Purview.

  2. Aneu al portal de compliment del Microsoft Purview i inicieu la sessió amb les credencials d'administrador de l'inquilí.

  3. A la subfinestra de navegació esquerra, seleccioneu Audita. Si aquesta opció no està disponible, vol dir que l'usuari que ha iniciat la sessió no té accés d'administrador per consultar els registres d'auditoria.

  4. Trieu l'interval de data i hora en UTC per quan intenteu cercar registres. Per exemple, quan es retorna un error 403 Forbidden amb un codi d'error unauthorized_caller .

  5. A la llista desplegable Activitats: noms descriptivs , cerqueu Power Platform operacions d'emmagatzematge i seleccioneu URI SAS creat i URI SAS utilitzat.

  6. Especifiqueu una paraula clau a la cerca de paraules clau. Vegeu Introducció a la cerca a la documentació de Purview per obtenir més informació sobre aquest camp. Podeu utilitzar un valor de qualsevol dels camps descrits a la taula anterior en funció del vostre escenari, però a continuació es mostren els camps recomanats per cercar (per ordre de preferència):

    • El valor de la capçalera de resposta x-ms-service-request-id . Això filtra els resultats a un esdeveniment de creació d'URI SAS o un esdeveniment d'ús d'URI SAS, en funció del tipus de sol·licitud del qual prové la capçalera. És útil quan s'investiga un error 403 Forbidden retornat a l'usuari. També es pot utilitzar per agafar el valor powerplatform.analytics.resource.sas.operation_id .
    • El valor de la capçalera de resposta x-ms-sas-operation-id . Això filtra els resultats a un esdeveniment de creació d'URI SAS i un o més esdeveniments d'ús per a aquest URI SAS en funció de quantes vegades s'hi hagi accedit. S'assigna al camp powerplatform.analytics.resource.sas.operation_id .
    • URI SAS total o parcial, menys la signatura. Això pot retornar moltes creacions d'URI SAS i molts esdeveniments d'ús d'URI SAS, perquè és possible que el mateix URI es sol·liciti per a la generació tantes vegades com sigui necessari.
    • Adreça IP de la persona que truca. Retorna tots els esdeveniments de creació i ús d'aquesta IP.
    • Identificador d'entorn. Això pot retornar un gran conjunt de dades que poden abastar moltes ofertes diferents Power Platform, així que eviteu-ho si és possible o considereu reduir la finestra de cerca.

    Advertiment

    No es recomana cercar el nom principal d'usuari o l'identificador d'objecte, ja que només es propaguen als esdeveniments de creació, no als esdeveniments d'ús.

  7. Seleccioneu Cerca i espereu que apareguin els resultats.

    Una nova cerca

Advertiment

La ingestió d'inicis de sessió a Purview es pot retardar fins a una hora o més, així que tingueu-ho en compte quan cerqueu els esdeveniments més recents.

Resolució de problemes de l'error 403 Prohibit/unauthorized_caller

Podeu utilitzar els registres de creació i ús per determinar per què una trucada donaria lloc a un error 403 Forbidden amb un codi d'error unauthorized_caller .

  1. Cerqueu registres a Purview tal com es descriu a la secció anterior. Penseu en utilitzar x-ms-service-request-id o x-ms-sas-operation-id de les capçaleres de resposta com a paraula clau de cerca.
  2. Obriu l'esdeveniment d'ús, Used SAS URI, i cerqueu el camp powerplatform.analytics.resource.sas.computed_ip_filters a PropertyCollection. Aquest interval d'IP és el que utilitza la trucada SAS per determinar si la sol·licitud està autoritzada a continuar o no.
  3. Compareu aquest valor amb el camp Adreça IP del registre, que hauria de ser suficient per determinar per què ha fallat la sol·licitud.
  4. Si creieu que el valor de powerplatform.analytics.resource.sas.computed_ip_filters és incorrecte, continueu amb els passos següents.
  5. Obriu l'esdeveniment de creació,URI SAS creat, cercant mitjançant el valor de capçalera de resposta x-ms-sas-operation-id (o el valor de powerplatform.analytics.resource.sas.operation_id camp del registre de creació).
  6. Obteniu el valor d'powerplatform.analytics.resource.sas.ip_binding_mode camp. Si falta o està buit, vol dir que l'enllaç d'IP no estava activat per a aquest entorn en el moment d'aquesta sol·licitud en particular.
  7. Obteniu el valor de powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Si falta o està buit, vol dir que els intervals de tallafoc IP no s'han especificat per a aquest entorn en el moment d'aquesta sol·licitud en particular.
  8. Obteniu el valor de powerplatform.analytics.resource.sas.computed_ip_filters , que ha deser idèntic a l'esdeveniment d'ús i es deriva en funció del mode d'enllaç IP i dels intervals de tallafoc IP proporcionats per l'administrador. Vegeu la lògica de derivació a Emmagatzematge i governança de dades a Power Platform.

Això hauria de proporcionar als administradors d'inquilins prou informació per corregir qualsevol configuració incorrecta a l'entorn per a la configuració d'enllaç IP.

Advertiment

Els canvis fets a la configuració de l'entorn per a l'enllaç d'IP SAS poden trigar almenys 30 minuts a tenir efecte. Podria ser més si els equips associats tinguessin la seva pròpia memòria cau.

Seguretat a Microsoft Power Platform
Autenticació als Power Platform serveis
Connexió i autenticació a fonts de dades
Power Platform Preguntes freqüents sobre seguretat

Consulteu també