Tietojen tallennus ja hallinto Power Platformissa
On tärkeää erotella toisistaan henkilökohtaiset tiedot ja asiakastiedot.
Henkilötiedot ovat tietoja henkilöistä, joiden avulla heidät voidaan tunnistaa.
Asiakastiedot sisältävät henkilötietoja ja muita asiakastietoja, mukaan lukien URL-osoitteet, metatiedot ja työntekijöiden todennustiedot, kuten DNS-nimet.
Tietojen sijainti
Microsoft Entra -vuokraajassa on tietoja, jotka ovat relevantteja organisaatiolle ja sen turvallisuudelle. Kun Microsoft Entra -vuokraaja kirjautuu Power Platform -palveluihin, vuokraajan valitsema maa tai alue yhdistetään sopivimpaan Azure-sijaintiin, jossa on Power Platform -käyttöönotto. Power Platform tallentaa asiakastiedot vuokraajalle määritettyyn Azure-sijaintiin, kotimaantieteellinen sijainti, paitsi jos organisaatiolla on palveluiden käyttöönottoja useilla alueilla.
Joillakin organisaatioilla on globaali läsnäolo. Yrityksellä saattaa olla esimerkiksi Yhdysvalloissa pääkonttori, mutta sen liiketoiminta-alue on Australia. Joitain Power Platform -tietoja on ehkä tallennettava Australiassa paikallisten säännösten vuoksi. Kun Power Platform -palveluita otetaan käyttöön useammissa Azure-sijainneissa, puhutaan usean alueen käyttöönotoista. Tällöin vain ympäristöön liittyvät metatiedot tallennetaan kotisijaintiin. Kaikki ympäristön metatiedot ja tuotetiedot tallennetaan etäsijaintiin.
Microsoft saattaa replikoida tietoja muille alueille tietojen sietokyvyn vuoksi. Henkilötietoja ei kuitenkaan replikoida tai siirretä sijainnin ulkopuolelle. Muille alueille replikoidut tiedot voivat sisältää muita kuin henkilökohtaisia tietoja, kuten työntekijöiden todennustietoja.
Power Platform -palvelut ovat käytettävissä tietyissä Azure-sijainneissa. Lisätietoja Power Platform -palveluiden saatavuudesta, tietojen tallennussijainneista ja käytöstä: Microsoftin valvontakeskus. Sitoumukset levossa säilytettävien asiakastietojen sijainnista määritetään kohdassa Tietojenkäsittelyehdot verkkopalvelujen ehdoissa. Microsoft tarjoaa palvelinkeskuksia myös maakohtaisesti.
Tietojen käsittely
Tässä osassa kerrotaan, miten Power Platform tallentaa, käsittelee ja siirtää asiakastietoja.
Levossa säilytettävät tiedot
Ellei dokumentaatiossa toisin ole ilmoitettu, asiakastiedot säilyvät alkuperäisessä lähteessä (esimerkiksi Dataverse tai SharePoint). Power Platform -sovellus tallennetaan Azure-tallennustilassa ympäristön osana. Mobiilisovelluksissa käytettävät tiedot salataan ja tallennetaan SQL Expressiin. Useimmiten sovellukset käyttävät Azure-tallennusta Power Platform -palvelutietojen säilyttämiseen ja Azure SQL -tietokantaa palvelun metatietojen säilyttämiseen. Sovelluksen käyttäjien syöttämät tiedot tallennetaan palvelun tietolähteeseen (esimerkiksi Dataverseen).
Kaikki Power Platformin säilytetty tieto salataan oletusarvoisesti Microsoftin hallituilla avaimilla. Azuren SQL-tietokantoihin tallennetut asiakastiedot salataan täysin käyttämällä Azuren SQL-tietokannan TDE (Transparent Data Encryption) -tekniikkaa. Azure Blob -säilöon tallennetut asiakastiedot salataan Azure-tallennustilan salauksella.
Tietoja käsitellään
Tietoja käsitellään, kun yksi tai useampi käyttäjä käyttää niitä aktiivisesti vuorovaikutteisen skenaarion osana tai kun taustaprosessi, kuten päivitys, koskee näitä tietoja. Power Platform lataa käsiteltyjä tietoja yhden tai useamman palvelun työmäärän muistitilaan. Muistiin tallennettuja tietoja ei salata työmäärän toiminnallisuuden varmistamiseksi.
Tietoja siirretään
Power Platform edellyttää, että kaikki saapuva HTTP-liikenne on salattava TLS 1.2:ssa tai sitä uudemmassa. Pyynnöt, jotka käyttävät TLS 1.1 -versiota tai vanhempaa, hylätään.
Kehittyneet suojausominaisuudet
Joillakin Power Platformin kehittyneillä salausominaisuuksilla on tietyt käyttöoikeusvaatimukset.
Palvelutunnisteet
Palvelutunniste tarkoittaa tietyn Azure-palvelun IP-osoitteen etuliitteiden ryhmää. On mahdollista määrittää verkon suojausryhmien tai Azure-palomuurin verkkokäyttöohjausobjekteja palvelutunnisteiden avulla.
Palvelutunnisteet auttavat vähentämään verkon suojaussääntöjen usein toistuvien päivitysten monimutkaisuutta. Palvelutunnuksia voi käyttää erityisten IP-osoitteiden asemesta, kun esimerkiksi palvelun liikenteen sallimista tai estämistä koskevia suojaussääntöjä luodaan.
Microsoft hallitsee palvelutunnisteen piiriin kuuluvat osoitteen etuliitteet ja päivittää palvelutunnisteen automaattisesti osoitteiden muuttuessa. Lisätietoja: Azuren IP-alueet ja palvelutunnisteet - julkinen pilvi.
Tietojen menetyksen estäminen
Power Platformissa on kattava joukko tietojen menetyksen estämistoimintoja, jotka auttavat hallitsemaan tietojen suojausta.
Tallennustilan jaetun käytön allekirjoituksen (SAS) IP-rajoitus
Muistiinpano
Ennen kuin jompikumpi näistä SAS-ominaisuuksista aktivoidaan, asiakkaiden on ensin sallittava toimialueen https://*.api.powerplatformusercontent.com
käyttöoikeus, tai useimmat SAS-toiminnot eivät toimi.
Tämä ominaisuusjoukko on vuokraajakohtainen toiminto, joka rajoittaa Storage Shared Access Signature (SAS) -tunnuksia ja jota hallitaan Power Platform -hallintakeskuksen valikossa. Tämä asetus rajoittaa sitä, ketkä voivat käyttää yrityksen SAS-tunnuksia IP-osoitteen (IPv4 ja IPv6) perusteella.
Nämä asetukset ovat ympäristön Tietoturva ja tietosuoja -asetuksissa hallintakeskuksessa. Ota käyttöön Ota käyttöön IP-osoitteeseen perustuva Storage Shared Access Signature (SAS) -sääntö.
Järjestelmänvalvojat voivat sallia jonkin seuraavista neljästä vaihtoehdosta tälle asetukselle:
Asetus | Asetukset | Description |
---|---|---|
1 | Vain IP-sidonnat | Tämä rajoittaa SAS-avaimet pyytäjän IP-osoitteeseen. |
2 | Vain IP-palomuuri | Tämä rajoittaa SAS-avaimet toimimaan vain järjestelmänvalvojan määrittämällä alueella. |
3 | IP-sidonta ja palomuuri | Tämä rajoittaa SAS-avaimet toimimaan järjestelmänvalvojan määrittämällä alueella ja vain pyytäjän IP-osoitteeseen. |
4 | IP-sidonta tai palomuuri | Sallii SAS-avainten käytön määritetyllä alueella. Jos pyyntö tulee alueen ulkopuolelta, käytetään IP-sidontaa. |
Muistiinpano
Järjestelmänvalvojien, jotka sallivat IP-palomuurin (vaihtoehdot 2, 3 ja 4 yllä olevassa taulukossa), on annettava verkkojensa IPv4- ja IPv6-alueet varmistaakseen käyttäjiensä asianmukaisen kattavuuden.
Tuotteet, jotka käyttävät IP-sidontaa, kun se on otettu käyttöön:
- Dataverse
- Power Automate
- Mukautetut yhdistimet
- Power Apps
Vaikutus käyttäjäkokemukseen
Kun käyttäjä, joka ei täytä ympäristön IP-osoiterajoituksia, avaa sovelluksen: Käyttäjät saavat virheilmoituksen, jossa viitataan yleiseen IP-ongelmaan.
Kun käyttäjä, joka täyttää IP-osoiterajoitukset, avaa sovelluksen: Seuraavat tapahtumat tapahtuvat:
- Käyttäjät voivat nähdä palkin, joka katoaa nopeasti näkyvistä. Näin käyttäjät tietävät, että IP-asetus on määritetty, ja että he voivat ottaa yhteyttä järjestelmänvalvojaan, jos haluavat lisätietoja tai voivat päivittää yhteyden menettäviä sivuja.
- Erityisesti tämän suojausasetuksen käyttämän IP-vahvistuksen vuoksi jotkin toiminnot saattavat toimia hitaammin kuin silloin, kun ominaisuus on poistettu käytöstä.
Päivitä asetukset ohjelmallisesti
Järjestelmänvalvojat voivat automaation avulla määrittää ja päivittää sekä IP-sidonnan että palomuurin asetukset, sallittujen IP-osoitteiden luettelon ja Kirjaaminen-valitsimen . Lisätietoja on kohdassa Opetusohjelma: Ympäristön hallinta-asetusten luominen, päivittäminen ja luetteloiminen.
SAS-kutsujen kirjaaminen
Tämän asetuksen avulla kaikki SAS-kutsut Power Platformissa voidaan kirjata Purview-järjestelmään. Tässä lokissa näkyvät kaikkien luonti- ja käyttötapahtumien olennaiset metatiedot, ja ne voidaan ottaa käyttöön edellä mainituista SAS IP -rajoituksista riippumatta. Power Platform -palveluissa otetaan käyttöön SAS-kutsut vuonna 2024.
Kentän nimi | Kentän kuvaus |
---|---|
response.status_message | Tieto siitä, onnistuiko tapahtuma vai ei: SASSuccess tai SASAuthorization Disclaimer. |
response.status_code | Tieto siitä, onnistuiko tapahtuma vai ei: 200, 401 tai 500. |
ip_binding_mode | Vuokraajan järjestelmänvalvojan asettama IP-sidontatila, jos se on käytössä. Koskee vain SAS-luontitapahtumia. |
admin_provided_ip_ranges | Vuokraajan järjestelmänvalvojan mahdollisesti määrittämät IP-alueet. Koskee vain SAS-luontitapahtumia. |
computed_ip_filters | Lopullinen IP-suodattimien joukko, jotka on sidottu SAS-URI-osoitteisiin IP-sidontatilan ja vuokraajan järjestelmänvalvojan määrittämin alueiden perusteella. Koskee sekä SAS-luonti- että käyttötapahtumia. |
analytics.resource.sas.uri | Tiedot, joita yritettiin käyttää tai luoda. |
enduser.ip_address | Kutsujan julkinen IP-osoite. |
analytics.resource.sas.operation_id | Luontitapahtuman yksilöllinen tunnus. Haku täällä perusteella näyttää kaikki käyttö- ja luontitapahtumat, jotka liittyvät luontitapahtumasta peräisin oleviin SAS-kutsuihin. Yhdistetään vastausotsikkoon x-ms-sas-operation-id. |
request.service_request_id | Pyynnön tai vastauksen yksilöllinen tunnus, jota voi käyttää yksittäisen tietueen hakemiseen. Yhdistetään vastausotsikkoon x-ms-service-request-id. |
version | Tämän lokirakenteen versio. |
type | Yleinen vastaus. |
analytics.activity.name | Tapahtuman aktiviteettityyppi: Luonti tai Käyttö. |
analytics.activity.id | Tietueen yksilöllinen tunnus Purview'ssa. |
analytics.resource.organization.id | Organisaatiotunnus |
analytics.resource.environment.id | Ympäristön tunnus |
analytics.resource.tenant.id | Vuokraajatunnus |
enduser.id | Luontitapahtuman tekijän Microsoft Entra ID:stä peräisin oleva GUID. |
enduser.principal_name | Tekijän täydellinen käyttäjätunnus tai sähköpostiosoite. Käyttötapahtumissa tämä on yleinen vastaus: “system@powerplatform”. |
enduser.role | Yleinen vastaus: Tavallinen luontitapahtumille ja Järjestelmä käyttötapahtumille. |
Ota Purview-valvontaloki käyttöön
Jotta lokit näkyvät Purview-esiintymässäsi, sinun on ensin otettava se käyttöön jokaisessa ympäristössä, johon haluat lokeja. Vuokraajan järjestelmänvalvoja voi päivittää Power Platform tämän asetuksen hallintakeskuksessa .
- Power Platform Siirry hallintakeskukseen ja kirjaudu sisään vuokraajan järjestelmänvalvojan tunnistetiedoilla.
- Valitse vasemmassa siirtymisruudussa Ympäristöt.
- Valitse ympäristö, jossa haluat ottaa järjestelmänvalvojan kirjaamisen käyttöön.
- Valitse komentopalkista Asetukset .
- Valitse Tuotteen>tietosuoja + suojaus.
- Ota SAS (Storage Shared Access Signature) Security Settings (esiversio) -kohdassa käyttöön Ota SAS-kirjaaminen käyttöön Purview'ssa -ominaisuus.
Hae valvontalokeista
Vuokraajan järjestelmänvalvojat voivat tarkastella SAS-toimintojen valvontalokeja Purview'n avulla ja diagnosoida itse virheitä, jotka saattavat palautua IP-vahvistusongelmissa. Purview'n lokit ovat luotettavin ratkaisu.
Seuraavien ohjeiden avulla voit diagnosoida ongelmia tai ymmärtää paremmin vuokraajan SAS-käyttömalleja.
Varmista, että valvontalokiin kirjaaminen on otettu käyttöön ympäristössä. Katso Purview-valvontalokin ottaminen käyttöön.
Siirry Microsoft Purview -yhteensopivuusportaaliin ja kirjaudu sisään vuokraajan järjestelmänvalvojan tunnistetiedoilla.
Valitse vasemmassa siirtymisruudussa Seuranta. Jos tämä vaihtoehto ei ole käytettävissäsi, kirjautuneella käyttäjällä ei ole järjestelmänvalvojan oikeuksia kyselyn valvontalokeihin.
Valitse päivämäärä ja aikaväli UTC-ajassa, kun yrität etsiä lokeja. Esimerkiksi kun 403 Kielletty -virhe, jossa on unauthorized_caller virhekoodi, palautettiin.
Etsi avattavasta Aktiviteetit - kutsumanimet Power Platform -luettelosta tallennustoiminnot ja valitse Luotu SAS-URI ja Käytetty SAS-URI.
Määritä avainsana avainsanahaussa . Lisätietoja tästä kentästä on kohdassa Aloita haun käyttö Purview-dokumentaatiossa. Voit käyttää arvoa mistä tahansa yllä olevassa taulukossa kuvatusta kentästä skenaariostasi riippuen, mutta alla on suositellut kentät, joista voit hakea (paremmuusjärjestyksessä):
- x-ms-service-request-id vastaus-otsikon arvo. Tämä suodattaa tulokset yhteen SAS URI -luontitapahtumaan tai yhteen SAS URI -käyttötapahtumaan sen mukaan, mistä pyyntötyypistä otsikko on peräisin. Siitä on hyötyä, kun tutkitaan käyttäjälle palautettua 403 Kielletty -virhettä. Sitä voidaan käyttää myös powerplatform.analytics.resource.sas.operation_id arvon nappaamiseen .
- x-ms-sas-operation-id vastaus-otsikon arvo. Tämä suodattaa tulokset yhteen SAS URI -luontitapahtumaan ja yhteen tai useampaan kyseisen SAS URI:n käyttötapahtumaan sen mukaan, kuinka monta kertaa sitä käytettiin. Se kartoitetaan powerplatform.analytics.resource.sas.operation_id kenttään.
- Täydellinen tai osittainen SAS URI ilman allekirjoitusta. Tämä saattaa palauttaa useita SAS URI -luomuksia ja monia SAS URI -käyttötapahtumia, koska samaa URI-osoitetta voidaan pyytää luotavaksi niin monta kertaa kuin tarvitaan.
- Soittajan IP-osoite. Palauttaa kaikki kyseisen IP-osoitteen luonti- ja käyttötapahtumat.
- Ympäristön tunnus. Tämä saattaa palauttaa suuren tietojoukon, joka voi kattaa monia eri tarjouksia Power Platform, joten vältä, jos mahdollista, tai harkitse hakuikkunan kaventamista.
Varoitus
Emme suosittele hakemista käyttäjätunnuksella tai objektitunnuksella, koska ne välitetään vain luontitapahtumiin, ei käyttötapahtumiin.
Valitse Hae ja odota, että tulokset tulevat näkyviin.
Varoitus
Kirjautumisen käsittely Purview'hun voi viivästyä jopa tunnin tai enemmän, joten pidä tämä mielessä, kun etsit viimeisimpiä tapahtumia.
403 Käyttö estetty/unauthorized_caller -virheen vianmääritys
Luonti- ja käyttölokien avulla voit selvittää, miksi puhelu johtaisi 403 Kielletty -virheeseen ja unauthorized_caller virhekoodiin .
- Etsi lokit Purview'sta edellisessä osassa kuvatulla tavalla. Harkitse haun avainsanana joko x-ms-service-request-id tai x-ms-sas-operation-id vastaus otsikoista.
- Avaa käyttötapahtuma Käytetty SAS-URI ja etsi powerplatform.analytics.resource.sas.computed_ip_filters-kenttä PropertyCollection-kohdasta . SAS-kutsu käyttää tätä IP-aluetta määrittämään, onko pyyntö valtuutettu jatkamaan vai ei.
- Vertaa tätä arvoa lokin IP-osoitekenttään , jonka pitäisi riittää selvittämään, miksi pyyntö epäonnistui.
- Jos powerplatform.analytics.resource.sas.computed_ip_filters-arvo on mielestäsi virheellinen, jatka seuraaviin vaiheisiin.
- Avaa luontitapahtuma Created SAS URI hakemalla x-ms-sas-operation-id vastaus-otsikkoarvolla (tai luontilokin kentän powerplatform.analytics.resource.sas.operation_id arvolla ).
- Hae powerplatform.analytics.resource.sas.ip_binding_mode kentän arvo . Jos se puuttuu tai on tyhjä, se tarkoittaa, että IP-sidonta ei ollut käytössä kyseisessä ympäristössä kyseisen pyynnön aikana.
- Hanki powerplatform.analytics.resource.sas.admin_provided_ip_ranges arvo. Jos se puuttuu tai on tyhjä, se tarkoittaa, että IP-palomuurialueita ei määritetty kyseiselle ympäristölle kyseisen pyynnön aikana.
- Hanki arvo powerplatform.analytics.resource.sas.computed_ip_filters, jonka pitäisi olla identtinen käyttötapahtuman kanssa ja joka johdetaan IP-sidontatilan ja järjestelmänvalvojan antamien IP-palomuurialueiden perusteella. Katso päättelylogiikka kohdasta Tietojen tallennus ja hallinta Power Platform.
Tämän pitäisi antaa vuokraajan järjestelmänvalvojille riittävästi tietoja, jotta he voivat korjata ympäristöön kohdistuvat IP-sidonta-asetusten virheelliset määritykset.
Varoitus
SAS IP -sidonnan ympäristöasetuksiin tehtyjen muutosten voimaantulo voi kestää vähintään 30 minuuttia. Se voisi olla enemmän, jos kumppanitiimeillä olisi oma välimuisti.
Liittyvät artikkelit
Turvallisuus Microsoft Power Platform
Palveluihin todentaminen Power Platform
Tietolähteisiin yhdistäminen ja todentaminen
Power Platform Tietoturvaa koskevat usein kysytyt kysymykset