Condividi tramite

Archiviazione e governance dei dati in Power Platform

  • Articolo

Nota

La nuova e migliorata interfaccia di amministrazione di Power Platform è ora disponibile in anteprima pubblica. La nuova interfaccia di amministrazione è stata progettata per essere più facile da usare, con una navigazione orientata alle attività che consente di ottenere risultati specifici più velocemente. Pubblicheremo documentazione nuova e aggiornata man mano che la nuova interfaccia di amministrazione di Power Platform passerà alla disponibilità generale.

In primo luogo, è importante distinguere tra dati personali e dati del cliente.

  • I dati personali sono informazioni sulle persone che possono essere utilizzate per identificarle.

  • I dati dei clienti includono dati personali e altri dati dei clienti come URL, metadati e informazioni di autenticazione dei dipendenti come i nomi DNS.

Residenza dei dati

Un tenant Microsoft Entra ospita le informazioni rilevanti per un'organizzazione e la sua sicurezza. Quando un tenant Microsoft Entra si registra per i servizi Power Platform, il paese o l'area geografica selezionati dal tenant viene mappato all'area geografica di Azure più adatta in cui esiste la distribuzione Power Platform. Power Platform archivia i dati del cliente nell'area geografica di Azure assegnata al tenant oppure geografia principale, tranne nei casi in cui le organizzazioni distribuiscono servizi in più aree geografiche.

Alcune organizzazioni hanno una presenza globale. Ad esempio, un'azienda può avere sede negli Stati Uniti ma fare affari in Australia. Potrebbe essere necessario che alcuni dati Power Platform vengano archiviati in Australia per conformità alle normative locali. Quando i servizi Power Platform vengono distribuiti in più aree geografiche di Azure, viene indicato come distribuzione a più aree geografiche. In questo caso, nella geografia principale vengono memorizzati solo i metadati relativi all'ambiente. Tutti i metadati e i dati di prodotto in quell'ambiente sono archiviati nell'area geografica remota.

Microsoft può replicare i dati in altre aree geografiche per la resilienza dei dati. Tuttavia, non replichiamo o spostiamo i dati personali al di fuori dell'area geografica. I dati replicati in altre regioni possono includere dati non personali come le informazioni di autenticazione dei dipendenti.

I servizi Power Platform sono disponibili in aree geografiche di Azure specifiche. Per altre informazioni su dove sono disponibili i servizi Power Platform, dove vengono archiviati i dati e su come vengono usati, vedi il Centro protezione Microsoft. Le direttive sulla posizione di archiviazione dei dati inattivi dei clienti sono specificate nelle Condizioni dell'elaborazione dati delle Condizioni dei servizi online Microsoft. Microsoft offre anche data center per entità sovrane.

Trattamento dei dati

Questa sezione illustra come Power Platform memorizza, elabora e trasferisce i dati dei clienti.

Dati inattivi

Salvo diversa indicazione nella documentazione, i dati del cliente rimangono nella loro fonte originale (ad esempio, Dataverse o SharePoint). Un'app Power Platform viene archiviata in Archiviazione di Azure come parte di un ambiente. I dati usati nelle app per dispositivi mobili vengono crittografati e archiviati in SQL Express. Nella maggior parte dei casi, le app usano Archiviazione di Azure per memorizzare in modo permanente i dati del servizio Power Platform e il database SQL di Azure per memorizzare in modo permanente i metadati del servizio. I dati inseriti dagli utenti dell'app sono memorizzati nella rispettiva origine dati per il servizio, come Dataverse.

Tutti i dati memorizzati in modo permanente da Power Platform sono crittografati per impostazione predefinita utilizzando chiavi gestite da Microsoft. Tutte i dati del cliente archiviati nel database SQL di Azure vengono crittografati completamente usando la tecnologia Transparent Data Encryption (TDE) di SQL di Azure. I dati dei clienti archiviati nell'archiviazione BLOB di Azure vengono crittografati usando la crittografia di archiviazione di Azure.

Dati in elaborazione

I dati sono in elaborazione quando vengono utilizzati come parte di uno scenario interattivo o quando un processo in background come l'aggiornamento tocca questi dati. Power Platform carica i dati elaborati nello spazio di memoria di uno o più carichi di lavoro del servizio. Per facilitare la funzionalità del carico di lavoro, i dati archiviati in memoria non sono crittografati.

Dati in transito

Power Platform richiede che tutto il traffico HTTP in entrata sia crittografato utilizzando TLS 1.2 o versioni successive. Le richieste che tentano di utilizzare TLS 1.1 o versioni precedenti vengono rifiutate.

Funzionalità di sicurezza avanzata

Alcune delle funzionalità di sicurezza avanzata di Power Platform hanno requisiti di licenza specifici.

Tag di servizio

Un tag di servizio rappresenta un gruppo di prefissi di indirizzi IP da un servizio di Azure specificato. Puoi usare i tag di servizio per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o nel firewall di Azure.

I tag di servizio aiutano a ridurre al minimo la complessità degli aggiornamenti frequenti delle regole di sicurezza della rete. È possibile utilizzare i tag di servizio al posto di indirizzi IP specifici quando si creano regole di sicurezza che, ad esempio, consentono o negano il traffico per il servizio corrispondente.

Microsoft gestisce i prefissi degli indirizzi inclusi nel tag del servizio e aggiorna automaticamente il tag del servizio quando gli indirizzi cambiano. Per alter informazioni, vedi Intervalli IP e tag di servizio di Azure - Cloud pubblico.

Prevenzione della perdita dei dati

Power Platform ha una vasta gamma di Funzionalità di prevenzione della perdita di dati (DLP) per aiutarti a gestire la sicurezza dei dati.

Restrizione IP della firma di accesso condiviso (SAS) di archiviazione

Nota

Prima di attivare una di queste funzionalità SAS, i clienti devono consentire l'accesso al dominio https://*.api.powerplatformusercontent.com o la maggior parte delle funzionalità SAS non funzioneranno.

Questo set di funzionalità è una funzionalità specifica del tenant che limita i token SAS (Storage Shared Access Signature) ed è controllata tramite un menu nell'interfaccia di amministrazione di Power Platform. Questa impostazione limita gli utenti che, in base all'IP (IPv4 e IPv6), possono usare i token di firma di accesso condiviso aziendali.

Queste impostazioni sono disponibili nelle impostazioni Privacy + Sicurezza di un ambiente nell'interfaccia di amministrazione. È necessario attivare l'opzione Abilita regola SAS (Storage Shared Access Signature) basata su indirizzo IP.

Gli amministratori possono consentire una di queste quattro opzioni per questa impostazione:

Opzione Impostazione Descrzione
1 Solo binding IP Ciò limita le chiavi SAS all'IP del richiedente.
2 Solo firewall IP Ciò limita l'utilizzo delle chiavi SAS in modo che funzioni solo entro un intervallo specificato dall'amministratore.
3 Binding IP e firewall Ciò limita l'utilizzo delle chiavi SAS in modo che funzioni all'interno dell'intervallo specificato dall'amministratore solo all'IP del richiedente.
4 Binding IP o firewall Consente l'uso delle chiavi SAS all'interno dell'intervallo specificato. Se la richiesta proviene dall'esterno dell'intervallo, viene applicato il collegamento IP.

Nota

Gli amministratori che hanno scelto di consentire Firewall IP (opzione 2, 3 e 4 elencate nella tabella precedente) devono inserire sia gli intervalli IPv4 che IPv6 delle loro reti per garantire una copertura adeguata dei loro utenti.

Prodotti che impongono l'associazione IP quando abilitati:

  • Dataverse
  • Power Automate
  • Connettori personalizzati
  • Power Apps

Impatto sull'esperienza utente

  • Quando un utente, che non soddisfa le restrizioni relative all'indirizzo IP di un ambiente, apre un'app: gli utenti ricevono un messaggio di errore che cita un problema IP generico.

  • Quando un utente, che soddisfa le restrizioni relative all'indirizzo IP, apre un'app: si verificano i seguenti eventi:

    • Gli utenti potrebbero ricevere un banner che scomparirà rapidamente informando gli utenti che è stata impostata un'impostazione IP e di contattare l'amministratore per i dettagli o per aggiornare eventuali pagine che perdono la connessione.
    • Ancora più significativo, a causa della convalida IP utilizzata da questa impostazione di sicurezza, alcune funzionalità potrebbero essere più lente rispetto a quando erano disattivate.

Aggiornare le impostazioni a livello di programmazione

Gli amministratori possono utilizzare l'automazione per impostare e aggiornare sia l'associazione IP che l'impostazione del firewall, l'intervallo di indirizzi IP consentiti e l'interruttore di registrazione. Altre informazioni in Esercitazione: creare, aggiornare ed elencare le impostazioni di gestione ambiente (anteprima).

Registrazione delle chiamate SAS

Questa impostazione consente a tutte le chiamate SAS all'interno di Power Platform di essere registrate in Purview. Questa registrazione mostra i metadati rilevanti per tutti gli eventi di creazione e utilizzo e può essere abilitata indipendentemente dalle restrizioni IP SAS di cui sopra. I servizi Power Platform stanno attualmente inserendo le chiamate SAS nel 2024.

Nome del campo Descrizione campo
response.status_message Informazioni relative al completamento o meno dell'evento: SASSuccess o SASAuthorizationError.
response.status_code Informazioni relative al completamento o meno dell'evento: 200, 401 o 500.
ip_binding_mode Modalità di associazione IP impostata da un amministratore tenant, se attivata. Si applica solo agli eventi di creazione SAS.
admin_provided_ip_ranges Intervalli IP impostati da un amministratore tenant, se presenti. Si applica solo agli eventi di creazione SAS.
computed_ip_filters Set finale di filtri IP associati agli URI SAS in base alla modalità di associazione IP e agli intervalli impostati da un amministratore del tenant. Si applica sia agli eventi di creazione che di utilizzo di SAS.
analytics.resource.sas.uri I dati a cui si stava tentando di accedere o creare.
enduser.ip_address IP pubblico del chiamante.
analytics.resource.sas.operation_id L'identificatore univoco dell'evento di creazione. La ricerca in questo modo mostra tutti gli eventi di utilizzo e creazione correlati alle chiamate SAS dall'evento di creazione. Mappato sull'intestazione della risposta "x-ms-sas-operation-id".
request.service_request_id Identificatore univoco della richiesta o della risposta e può essere utilizzato per cercare un singolo record. Mappato sull'intestazione della risposta "x-ms-service-request-id".
versione Versione di questo schema di log.
Tipo Risposta generica.
analytics.activity.name Il tipo di attività di questo evento era: Creazione o Utilizzo.
analytics.activity.id ID univoco del record in Purview
analytics.resource.organization.id ID organizzazione
analytics.resource.environment.id ID ambiente
analytics.resource.tenant.id ID tenant
enduser.id Il GUID di Microsoft Entra ID del creatore dall'evento di creazione.
enduser.principal_name UPN/indirizzo e-mail del creatore. Per gli eventi di utilizzo questa è una risposta generica: "system@powerplatform".
enduser.role Risposta generica: Normale per eventi di creazione e Sistema per eventi di utilizzo.

Abilitare la registrazione di controllo in Purview

Affinché i log vengano visualizzati nell'istanza di Purview, è prima necessario acconsentire esplicitamente a tali log per ogni ambiente per cui si desidera visualizzare i log. Questa impostazione può essere aggiornata nell'interfaccia di amministrazione di Power Platform da un amministratore del tenant.

  1. Apri l'interfaccia di amministrazione di Power Platform e accedi con le credenziali di amministratore del tenant.
  2. Nel riquadro di spostamento, seleziona Ambienti.
  3. Seleziona l'ambiente per cui vuoi attivare la registrazione amministrativa.
  4. Seleziona Impostazioni nella barra dei comandi.
  5. Seleziona Prodotto>Privacy e sicurezza.
  6. In Impostazioni di sicurezza firma di accesso condiviso (SAS) dello spazio di archiviazione (anteprima) attiva la funzionalità Abilita registrazione SAS in Purview.

Ricerca log di controllo

Gli amministratori dei tenant possono usare Purview per visualizzare i log di controllo generati per le operazioni di firma di accesso condiviso e possono diagnosticare autonomamente gli errori che possono essere restituiti nei problemi di convalida IP. I log in Purview sono la soluzione più affidabile.

are la procedura seguente per diagnosticare i problemi o comprendere meglio i modelli di utilizzo della Firma di accesso condiviso all'interno del tenant.

  1. Assicurati che la registrazione di controllo sia attivata per l'ambiente. Vedi Abilitare la registrazione di controllo in Purview.

  2. Vai al portale di conformità Microsoft Purview e accedi con le credenziali di amministratore del tenant.

  3. Nel riquadro di spostamento sinistro selezionare Controllo. Se questa opzione non è disponibile, significa che l'utente che ha effettuato l'accesso non dispone dell'accesso come amministratore per eseguire query nei log di controllo.

  4. Scegli la data e l'intervallo di tempo in UTC per quando provi a cercare i log. Ad esempio, quando viene restituito un errore 403 Negato con un codice di errore unauthorized_caller.

  5. Nell'elenco a discesa Attività - Nomi descrittivi cerca le operazioni di archiviazione di Power Platform e seleziona URI SAS creato e URI SAS usato.

  6. Specifica una parola chiave in Ricerca parole chiave. Per altre informazioni su questo campo, vedi Introduzione alla ricerca nella documentazione di Purview. Puoi usare un valore da uno qualsiasi dei campi descritti nella tabella precedente a seconda dello scenario, ma di seguito sono riportati i campi consigliati per la ricerca (in ordine di preferenza):

    • Valore dell'intestazione di x-ms-service-request-id. I risultati vengono filtrati in base a un evento di creazione dell'URI di firma di accesso condiviso o a un evento di utilizzo dell'URI di firma di accesso condiviso, a seconda del tipo di richiesta da cui proviene l'intestazione. È utile quando si indaga su un errore 403 Forbidden restituito all'utente. Può anche essere utilizzato per acquisire il valore powerplatform.analytics.resource.sas.operation_id.
    • Valore dell'intestazione della risposta x-ms-sas-operation-id. I risultati vengono filtrati in base a un evento di creazione dell'URI di firma di accesso condiviso e a uno o più eventi di uso per l'URI di firma di accesso condiviso, a seconda del numero di accessi. Viene eseguito il mapping al campo powerplatform.analytics.resource.sas.operation_id.
    • URI di firma di accesso condiviso completo o parziale, meno la firma. In questo modo potrebbero essere restituite molte creazioni di URI di firma di accesso condiviso e molti eventi di utilizzo dell'URI di firma di accesso condiviso, perché è possibile che lo stesso URI venga richiesto per la generazione tutte le volte che è necessario.
    • Indirizzo IP chiamante. Restituisce tutti gli eventi di creazione e utilizzo per tale IP.
    • ID ambiente. Ciò potrebbe restituire un ampio set di dati che può estendersi a molte offerte Power Platform diverse, quindi evitalo se possibile o considera di restringere la finestra di ricerca.

    Avviso

    Non è consigliabile cercare il nome dell'entità utente o l'ID oggetto, poiché vengono propagati solo agli eventi di creazione, non agli eventi di utilizzo.

  7. Seleziona Cerca e attendi che vengano visualizzati i risultati.

    Una nuova ricerca

Avviso

L'inserimento dell'accesso a Purview può essere posticipato di un'ora o più, quindi tienilo a mente quando cerchi gli eventi più recenti.

Risoluzione dei problemi relativi all'errore 403 Accesso negato/unauthorized_caller

È possibile utilizzare i log di creazione e utilizzo per determinare il motivo per cui una chiamata genera un errore 403 Negato con un codice di errore unauthorized_caller.

  1. Trova i log in Purview come descritto nella sezione precedente. Prendi in considerazione l'uso di x-ms-service-request-id o x-ms-sas-operation-id dalle intestazioni delle risposte come parola chiave di ricerca.
  2. Apri l'evento di uso, URI SAS usato e cerca il campo powerplatform.analytics.resource.sas.computed_ip_filters in PropertyCollection. Questo intervallo IP è ciò che la chiamata SAS usa per determinare se la richiesta è autorizzata a procedere o meno.
  3. Confronta questo valore con il campo Indirizzo IP del registro, che dovrebbe essere sufficiente per determinare il motivo per cui la richiesta non è riuscita.
  4. Se ritieni che il valore di powerplatform.analytics.resource.sas.computed_ip_filters non sia corretto, continua con i passaggi successivi.
  5. Apri l'evento di creazione, URI SAS creato, eseguendo la ricerca usando il valore dell'intestazione della risposta x-ms-sas-operation-id (o il valore del campo powerplatform.analytics.resource.sas.operation_id dal log di creazione).
  6. Recupera il valore del campo powerplatform.analytics.resource.sas.ip_binding_mode. Se è mancante o vuoto, significa che l'associazione IP non era attivata per quell'ambiente al momento di quella particolare richiesta.
  7. Recupera il valore del campo powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Se è mancante o vuoto, significa che gli intervalli del firewall IP non sono stati specificati per quell'ambiente al momento di quella particolare richiesta.
  8. Recupera il valore di powerplatform.analytics.resource.sas.computed_ip_filters, che deve essere identico all'evento di uso e viene derivato in base alla modalità di associazione IP e agli intervalli del firewall IP forniti dall'amministratore. Vedi la logica di derivazione in Archiviazione e governance dei dati in Power Platform.

In questo modo, gli amministratori del tenant dovrebbero disporre di informazioni sufficienti per correggere eventuali errori di configurazione nell'ambiente per le impostazioni di binding IP.

Avviso

L'applicazione delle modifiche apportate alle impostazioni dell'ambiente per il binding IP SAS può richiedere almeno 30 minuti. Potrebbe essere maggiore se i team partner dispongono di una propria cache.

Sicurezza in Microsoft Power Platform
Autenticazione ai servizi Power Platform
Connessione e autenticazione alle origini dati
Domande frequenti sulla sicurezza di Power Platform

Vedi anche