Teilen über

Datenspeicherung und Governance in Power Platform

  • Artikel

Anmerkung

Das neue und verbesserte Power Platform Admin Center befindet sich jetzt in der öffentlichen Vorschauversion! Wir haben das neue Admin Center so gestaltet, dass es benutzerfreundlicher ist und eine aufgabenorientierte Navigation bietet, mit der Sie bestimmte Ergebnisse schneller erzielen können. Wir werden neue und aktualisierte Dokumentationen veröffentlichen, sobald das neue Power Platform Admin Center in die allgemeine Verfügbarkeit übergeht.

Zunächst ist es wichtig, zwischen persönlichen Daten und Kundendaten zu unterscheiden.

  • Persönliche Daten sind Informationen über Personen, anhand derer diese identifiziert werden können.

  • Kundendaten umfassen persönliche und andere Kundendaten, darunter URLs, Metadaten und Mitarbeiterauthentifizierungsinformationen wie DNS-Namen.

Datenresidenz

Ein Microsoft Entra-Mandant enthält Informationen, die für eine Organisation und ihre Sicherheit relevant sind. Wenn sich ein Microsoft Entra-Mandant bei Power Platform-Diensten anmeldet, wird das ausgewählte Land oder die ausgewählte Region des Mandanten der am besten geeigneten Azure-Geografie zugeordnet, in der eine Power Platform-Bereitstellung besteht. Power Platform speichert Kundendaten in der dem Mandanten zugewiesenen Azure-Geografie, oder Start-Geo, außer wenn Organisationen Dienste in mehreren Regionen bereitstellen.

Einige Organisationen sind weltweit präsent. Beispielsweise kann ein Unternehmen seinen Hauptsitz in den Vereinigten Staaten haben, aber in Australien geschäftlich tätig sein. Es kann bestimmte Power Platform Daten brauchen, die in Australien gespeichert werden, um den lokalen Vorschriften zu entsprechen. Wenn Power Platform Dienste in mehr als einer Azure-Geografie bereitgestellt werden, wird dies als Multi-Geo-Bereitstellung bezeichnet. In diesem Fall werden in der Start-Geo nur mit der Umgebung verbundene Metadaten gespeichert. Alle Metadaten und Produktdaten in dieser Umgebung werden in der Remote-Geo gespeichert.

Microsoft kann Daten aus Gründen der Datenresilienz in andere Regionen replizieren. Wir replizieren oder verschieben jedoch keine personenbezogenen Daten außerhalb der Geo. Daten, die in andere Regionen repliziert werden, können nicht personenbezogene Daten wie Mitarbeiterauthentifizierungsinformationen enthalten.

Power Platform-Dienste sind in bestimmten Azure-Geografien verfügbar. Weitere Informationen dazu, wo Power Platform-Dienste zur Verfügung stehen, wo Ihre Daten gespeichert werden und wie sie genutzt werden, finden Sie im Microsoft Trust Center. Verpflichtungen im Hinblick auf den Speicherort ruhender Kundendaten sind in den Bedingungen zur Datenverarbeitung der Bestimmungen für Onlinedienste von Microsoft angegeben. Microsoft bietet auch Rechenzentren für unabhängige Entitäten an.

Datenhandhabung

Dieser Abschnitt beschreibt, wie Power Platform Kundendaten speichert, verarbeitet und übermittelt.

Ruhende Daten

Sofern in der Dokumentation nicht anders angegeben, verbleiben Kundendaten in ihrer ursprünglichen Quelle (z. B. Dataverse oder SharePoint). Eine Power Platform-App wird als Teil einer Umgebung in Azure Storage gespeichert. In mobilen Apps verwendete Daten werden Daten verschlüsselt und in SQL Express gespeichert. In den meisten Fällen verwenden Apps Azure Storage, um Power Platform-Dienstdaten beizubehalten und Azure SQL-Datenbank, um Dienstmetadaten beizubehalten. Von App-Benutzern eingegebene Daten werden in der jeweiligen Datenquelle für den Dienst gespeichert, wie z. B. Dataverse.

Alle Daten, die von Power Platform beibehalten werden, werden standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. In der Azure SQL-Datenbank gespeicherte Kundendaten werden mithilfe der integrierten Transparent-Data-Encryption-Technologie vollständig verschlüsselt. In Azure Blob Storage gespeicherte Kundendaten werden mit der Azure Storage-Verschlüsselung verschlüsselt.

Daten in Verarbeitung

Daten werden verarbeitet, wenn sie in einem interaktiven Szenario verwendet werden oder wenn ein Hintergrundprozess wie eine Aktualisierung diese berührt. Power Platform lädt aktiv Daten in Verarbeitung in den Speicherplatz eines oder mehrerer Service-Workloads. Um die Funktionalität des Workloads zu erleichtern, werden im Arbeitsspeicher gespeicherte Daten nicht verschlüsselt.

In Transit befindliche Daten

Power Platform verlangt, dass der gesamte eingehende HTTP-Datenverkehr mit TLS 1.2 oder höher verschlüsselt wird. Anforderungen, die versuchen, TLS 1.1 oder niedriger zu verwenden, werden abgelehnt.

Erweiterte Sicherheitsfunktionen

Für einige der erweiterten Sicherheitsfunktionen von Power Platform gelten bestimmte Lizenzanforderungen.

Diensttags

Ein Diensttag stellt eine Gruppe von IP-Adresspräfixen aus einem bestimmten Azure-Dienst dar. Sie können Diensttags verwenden, um Netzwerkzugriffssteuerungen für Netzwerksicherheitsgruppen oder Azure Firewall zu definieren.

Diensttags tragen dazu bei, die Komplexität häufiger Aktualisierungen von Netzwerksicherheitsregeln zu minimieren. Sie können Diensttags anstelle bestimmter IP-Adressen verwenden, wenn Sie Sicherheitsregeln erstellen, die beispielsweise Datenverkehr für den entsprechenden Dienst zulassen oder verweigern.

Microsoft verwaltet die vom Diensttag umfassten Adresspräfixe und aktualisiert den Diensttag automatisch, wenn sich Adressen ändern. Weitere Informationen finden Sie unter Azure-IP-Adressbereiche und Diensttags – öffentliche Cloud.

Verhinderung von Datenverlusten

Power Platform verfügt über eine umfangreiches Palette an Funktionen zur Verhinderung von Datenverlusten (DLP), die Ihnen helfen, die Sicherheit Ihrer Daten zu managen.

IP-Einschränkung für Storage Shared Access Signature (SAS)

Anmerkung

Vor der Aktivierung einer dieser SAS-Funktionen muss die Kundschaft zunächst den Zugriff auf die https://*.api.powerplatformusercontent.com-Domäne zulassen oder die meisten SAS-Funktionen funktionieren nicht.

Bei dieser Featuregruppe handelt es sich um mandantenspezifische Funktionen, die SAS-Speichertoken (Shared Access Signature) einschränken und über ein Menü im Power Platform Admin Center gesteuert werden. Diese Einstellung schränkt ein, wer basierend auf der IP (IPv4 und IPv6) Unternehmens-SAS-Token verwenden kann.

Sie finden diese Einstellungen im Admin Center in den Einstellungen Datenschutz + Sicherheit einer Umgebung. Sie müssen die Option IP-Adressen-basierte SAS-Speicherregel (Shared Access Signature) aktivieren einschalten.

Administratoren können eine der folgenden vier Optionen für diese Einstellung zulassen:

Option Einstellungen Eigenschaft
1 Nur IP-Bindung Dadurch werden SAS-Schlüssel auf die IP des Anforderers beschränkt.
2 Nur IP-Firewall Dadurch wird die Verwendung von SAS-Schlüsseln darauf beschränkt, nur innerhalb eines vom Administrierenden angegebenen Bereichs zu funktionieren.
3 IP-Bindung und -Firewall Dadurch wird die Verwendung von SAS-Schlüsseln darauf beschränkt, innerhalb eines vom Administrierenden angegebenen Bereichs und nur mit der IP des Anfordernden zu funktionieren.
4 IP-Bindung oder -Firewall Ermöglicht die Verwendung von SAS-Schlüsseln innerhalb des angegebenen Bereichs. Wenn die Anforderung von außerhalb des Bereichs kommt, wird IP-Bindung angewendet.

Anmerkung

Administratoren, die sich für die IP-Firewall entschieden haben (Option 2, 3 und 4 in der obigen Tabelle aufgeführt), müssen beide, den IPv4- als auch den IPv6-Bereich ihres Netzwerks eingeben, um eine ordnungsgemäße Abdeckung ihrer Benutzer sicherzustellen.

Produkte, die bei Aktivierung die IP-Bindung erzwingen:

  • Dataverse
  • Power Automate
  • Benutzerdefinierte Connectors
  • Power Apps

Auswirkungen auf die Benutzererfahrung

  • Wenn Benutzende, welche die IP-Adressbeschränkungen einer Umgebung nicht erfüllen, eine App öffnen: Benutzende erhalten eine Fehlermeldung wegen eines allgemeinen IP-Problems.

  • Wenn ein Benutzender, der die IP-Adressbeschränkungen erfüllt, eine App öffnet: Die folgenden Ereignisse treten auf:

    • Benutzenden wird möglicherweise ein Banner angezeigt, das schnell wieder verschwindet und sie darüber informiert, dass eine IP-Einstellung festgelegt wurde. Sie werden aufgefordert, sich wegen weiterer Einzelheiten an die Administration zu wenden oder alle Seiten zu aktualisieren, deren Verbindung verloren gehen.
    • Noch schwerwiegender ist, dass aufgrund der von dieser Sicherheitseinstellung verwendeten IP-Überprüfung einige Funktionen eventuell langsamer ausgeführt werden als im Falle einer Deaktivierung.

Einstellungen programmgesteuert aktualisieren

Administratoren können die Automatisierung verwenden, um sowohl die IP-Bindung als auch die Firewalleinstellung, den IP-Bereich, der auf der Zulassungsliste steht, und den Umschalter für die Protokollierung festzulegen und zu aktualisieren. Weitere Informationen: Tutorial: Einstellungen für Umgebungsmanagement erstellen, aktualisieren und auflisten

Protokollierung von SAS-Aufrufen

Mit dieser Einstellung können alle SAS-Aufrufe innerhalb von Power Platform in Purview protokolliert werden. Diese Protokollierung zeigt die relevanten Metadaten für alle Erstellungs- und Nutzungsereignisse und kann unabhängig von den oben genannten SAS-IP-Einschränkungen aktiviert werden. Die Power Platform-Dienste nehmen derzeit SAS-Aufrufe im Jahr 2024 auf.

Feldname Feldbeschreibung
response.status_message Informiert, ob das Ereignis erfolgreich war oder nicht: „SASSuccess“ oder „SASAuthorizationError“.
response.status_code Informiert, ob das Ereignis erfolgreich war oder nicht: 200, 401 oder 500.
ip_binding_mode Der IP-Bindungsmodus wird, sofern aktiviert, von der Mandantenadministration festgelegt. Gilt nur für SAS-Erstellungsereignisse.
admin_provided_ip_ranges Gegebenenfalls von der Mandantenadministration festgelegte IP-Adressbereiche. Gilt nur für SAS-Erstellungsereignisse.
computed_ip_filters Endgültiger Satz von IP-Filtern, die an SAS-URIs gebunden sind, und auf dem IP-Bindungsmodus sowie auf den von der Mandantenadministration festgelegten Bereichen basieren. Gilt sowohl für SAS-Erstellungs- als auch für SAS-Nutzungsereignisse.
analytics.resource.sas.uri Die Daten, auf die zugegriffen oder die erstellt werden sollten.
enduser.ip_address Die öffentliche IP-Adresse des Anrufenden.
analytics.resource.sas.operation_id Der eindeutige Bezeichner aus dem Erstellungsereignis. Bei einer Suche danach werden alle Verwendungs- und Erstellungsereignisse angezeigt, die mit den SAS-Aufrufen aus dem Erstellungsereignis in Zusammenhang stehen. Dem Antwortheader „x-ms-sas-operation-id“ zugeordnet.
request.service_request_id Der eindeutige Bezeichner aus der Anforderung oder Antwort, die zum Nachschlagen eines einzelnen Datensatzes verwendet werden kann. Dem Antwortheader „x-ms-service-request-id“ zugeordnet.
version Version dieses Protokollschemas.
Type Generische Antwort.
analytics.activity.name Der Aktivitätstyp dieses Ereignisses war: „Erstellung“ oder „Verwendung“.
analytics.activity.id Eindeutige ID des Datensatzes in Purview.
analytics.resource.organization.id Organisations-ID
analytics.resource.environment.id Umgebungs-ID
analytics.resource.tenant.id Mandanten-ID
enduser.id Die GUID aus Microsoft Entra ID des Erstellenden aus dem Erstellungsereignis.
enduser.principal_name Die UPN/E-Mail-Adresse des Erstellenden. Bei Verwendungsereignissen ist dies eine allgemeine Antwort: „system@powerplatform“.
enduser.role Allgemeine Antwort: Normal für Erstellungsereignisse und System für Verwendungsereignisse.

Aktivieren Sie die Überwachungsprotokollierung in Purview

Damit die Protokolle in Ihrer Purview-Instanz angezeigt werden, müssen Sie sich zunächst für jede Umgebung, für die Sie Protokolle erstellen möchten, dafür anmelden. Diese Einstellung kann im Power Platform Admin Center von einem Mandantenadministrator aktualisiert werden.

  1. Gehen Sie zum Power Platform Admin Center, und melden Sie sich mit Ihren Mandanten-Anmeldeinformationen an.
  2. Wählen Sie im linken Navigationsbereich Umgebungen aus.
  3. Wählen Sie die Umgebung aus, für die Sie die Administratorprotokollierung aktivieren möchten.
  4. Wählen Sie in der Befehlsleiste Einstellungen aus.
  5. Wählen Sie Produkt>Datenschutz und Sicherheit .
  6. Aktivieren Sie unter Sicherheitseinstellungen für Storage Shared Access Signature (SAS) (Vorschauversion) die Funktion SAS-Protokollierung in Purview.

Durchsuchen der Überwachungsprotokolle

Mandantenadministratoren können Purview verwenden, um Überwachungsprotokolle anzuzeigen, die für SAS-Vorgänge ausgegeben werden, und können Fehler selbst diagnostizieren, die bei IP-Validierungsproblemen zurückgegeben werden können. Protokolle in Purview sind die zuverlässigste Lösung.

Führen Sie die folgenden Schritte aus, um Probleme zu diagnostizieren oder SAS-Nutzungsmuster innerhalb Ihres Mandanten besser zu verstehen.

  1. Stellen Sie sicher, dass die Überwachungsprotokollierung für die Umgebung aktiviert ist. Siehe Aktivieren Sie die Überwachungsprotokollierung in Purview

  2. Wechseln Sie zum Microsoft Purview-Compliance-Portal, und melden Sie sich mit den Anmeldeinformationen des Mandantenadministrators an.

  3. Wählen Sie im Navigationsbereich die Option Überwachung aus. Wenn Ihnen diese Option nicht zur Verfügung steht, bedeutet dies, dass der angemeldete Benutzer keinen Administratorzugriff zum Abfragen von Überwachungsprotokollen hat.

  4. Wählen Sie den Datums- und Zeitbereich in UTC für die Suche nach Protokollen aus. Dies ist beispielsweise der Fall, wenn ein 403 Forbidden-Fehler mit einem unauthorized_caller Fehlercode zurückgegeben wurde.

  5. Suchen Sie in der Dropdownliste Aktivitäten – Anzeigenamen nach Power Platform Speichervorgängen und wählen Sie Erstellter SAS-URI und Verwendeter SAS-URI aus.

  6. Geben Sie ein Schlüsselwort in derStichwortsuche an. Weitere Informationen zu diesem Feld finden Sie unter Erste Schritte mit der Suche in der Purview-Dokumentation. Sie können je nach Szenario einen Wert aus einem der in der obigen Tabelle beschriebenen Felder verwenden, aber im Folgenden finden Sie die empfohlenen Felder für die Suche (in der Reihenfolge ihrer Präferenz):

    • Der Wert des Antwortheaders x-ms-Service-request-id. Dadurch werden die Ergebnisse nach einem SAS-URI-Erstellungsereignis oder einem SAS-URI-Verwendungsereignis gefiltert, je nachdem, von welchem Anforderungstyp der Header stammt. Dies ist hilfreich bei der Untersuchung eines 403 Forbidden-Fehlers, der an den Benutzer zurückgegeben wurde. Es kann auch verwendet werden, um den powerplatform.Analytics.resource.sas.operation_id Wert zu erfassen.
    • Der Wert des Antwortheaders x-ms-sas-operation-id. Dadurch werden die Ergebnisse nach einem SAS-URI-Erstellungsereignis und einem oder mehreren Verwendungsereignissen für diesen SAS-URI gefiltert, je nachdem, wie oft darauf zugegriffen wurde. Er ist dem powerplatform.Analytics.resource.sas.operation_id Feld zugeordnet.
    • Vollständiger oder teilweiser SAS-URI abzüglich der Signatur. Dies kann viele SAS-URI-Kreationen und viele SAS-URI-Verwendungsereignisse zurückgeben, da derselbe URI möglicherweise so oft wie nötig zur Generierung angefordert wird.
    • IP-Adresse des Anrufers. Gibt alle Erstellungs- und Verwendungsereignisse für diese IP-Adresse zurück.
    • Umgebungs-ID Dies kann eine große Menge an Daten zurückgeben, die sich über viele verschiedene Angebote von Power Platform erstrecken können, also vermeiden Sie es nach Möglichkeit oder erwägen Sie, das Suchfenster einzugrenzen.

    Warnung

    Es wird nicht empfohlen, nach dem Benutzerprinzipalnamen oder der Objekt-ID zu suchen, da diese nur an Erstellungsereignisse und nicht an Verwendungsereignisse verbreitet werden.

  7. Wählen Sie Suchen und warten Sie, bis die Ergebnisse angezeigt werden.

    Eine neue Suche

Warnung

Die Protokollerfassung in Purview kann sich um bis zu einer Stunde oder länger verzögern. Denken Sie also daran, wenn Sie nach den neuesten Ereignissen suchen.

Problembehandlung des 403 Forbidden/unauthorized_caller-Fehlers

Sie können Erstellungs- und Nutzungsprotokolle verwenden, um zu ermitteln, warum ein Aufruf zu einem 403 Forbidden-Fehler mit einem unauthorized_caller Fehlercode führen würde.

  1. Suchen Sie Protokolle in Purview, wie im vorherigen Abschnitt beschrieben. Erwägen Sie die Verwendung von x-ms-Service-request-id oder x-ms-sas-operation-id aus den Antwortkopfdaten als Suchschlüsselwort.
  2. Öffnen Sie das Verwendungsereignis Verwendeter SAS-URI und suchen Sie unter PropertyCollection nach dem Feld powerplatform.Analytics.resource.sas.computed_ip_filters. Dieser IP-Bereich wird vom SAS-Aufruf verwendet, um zu bestimmen, ob die Anforderung zum Fortfahren autorisiert ist oder nicht.
  3. Vergleichen Sie diesen Wert mit dem IP-Adressfeld des Protokolls, das ausreichen sollte, um zu bestimmen, warum die Anforderung fehlgeschlagen ist.
  4. Wenn Sie der Meinung sind, dass der Wert von powerplatform.Analytics.resource.sas.computed_ip_filters falsch ist, fahren Sie mit den nächsten Schritten fort.
  5. Öffnen Sie das Erstellungsereignis, Erstellte SAS URI, indem Sie den x-ms-sas-operation-id Antwortheaderwert (oder den Wert des powerplatform.analytics.resource.sas.operation_id Felds aus dem Erstellungsprotokoll) verwenden.
  6. Rufen Sie den Wert des powerplatform.analytics.resource.sas.ip_binding_mode Felds ab. Wenn sie fehlt oder leer ist, bedeutet dies, dass die IP-Bindung für diese Umgebung zum Zeitpunkt der jeweiligen Anforderung nicht aktiviert war.
  7. Rufen Sie den Wert des powerplatform.analytics.resource.sas.admin_provided_ip_ranges Felds ab. Wenn sie fehlt oder leer ist, bedeutet dies, dass zum Zeitpunkt der jeweiligen Anforderung keine IP-Firewallbereiche für diese Umgebung angegeben wurden.
  8. Rufen Sie den Wert von powerplatform.analytics.resource.sas.computed_ip_filters ab, der mit dem Verwendungsereignis identisch sein sollte und basierend auf dem IP-Bindungsmodus und den vom Administrator bereitgestellten IP-Firewallbereichen abgeleitet wird. Weitere Informationen finden Sie in der Ableitungslogik unter Datenspeicherung und -governance in Power Platform.

Dadurch sollten Mandantenadministratoren genügend Informationen erhalten, um Fehlkonfigurationen für die Umgebung für IP-Bindungseinstellungen zu korrigieren.

Warnung

Es kann mindestens 30 Minuten dauern, bis Änderungen an den Umgebungseinstellungen für die SAS-IP-Bindung wirksam werden. Es könnte länger dauern, wenn Partnerteams über einen eigenen Cache verfügen.

Sicherheit in Microsoft Power Platform
Authentifizierung für Power Platform-Dienste
Mit Datenquellen verbinden und authentifizieren
Häufig gestellte Fragen zur Sicherheit in Power Platform

Siehe auch