Ukladanie a riadenie údajov v Power Platform

Na začiatok je dôležité rozlišovať medzi osobnými údajmi a údajmi zákazníkov.

• Osobné údaje sú informácie o osobách, ktoré je možné použiť na ich identifikáciu.

• Údaje zákazníka zahŕňajú osobné údaje a ďalšie informácie o zákazníkoch vrátane adries URL, metadát a overovacích informácií zamestnancov, ako sú napríklad názvy DNS.

Umiestnenie údajov

A Microsoft Entra nájomca obsahuje informácie, ktoré sú relevantné pre organizáciu a jej bezpečnosť. Keď sa Microsoft Entra nájomník zaregistruje k Power Platform službám, vybratá krajina alebo región nájomníka sa namapuje na najvhodnejšiu geografickú oblasť Azure, kde existuje Power Platform nasadenie. Power Platform ukladá údaje o zákazníkoch v geografickej oblasti Azure pridelenej nájomníkovi alebo v domovskej geografickej oblasti, okrem prípadov, keď organizácie nasadzujú služby vo viacerých regiónoch.

Niektoré organizácie majú globálne zastúpenie. Napríklad podnik môže mať sídlo v USA, ale podnikať v Austrálii. Aby boli v súlade s miestnymi predpismi, môže byť potrebné, aby boli v Austrálii uložené určité údaje Power Platform. Keď sú služby Power Platform nasadené vo viac ako jednej geografickej oblasti Azure, označuje sa to ako nasadenie vo viacerých geografických oblastiach. V tomto prípade sú v domovskej geografickej oblasti uložené iba metaúdaje súvisiace s prostredím. Všetky metadáta a údaje o produktoch v tomto prostredí sú uložené vo vzdialenej geografickej oblasti.

Spoločnosť Microsoft môže replikovať údaje do iných oblastí, aby zabezpečila odolnosť údajov. Osobné údaje však nereplikujeme ani nepresúvame mimo geografickej oblasti. Údaje replikované do iných oblastí môžu zahŕňať neosobné údaje, ako sú napríklad overovacie informácie zamestnancov.

Služby Power Platform sú dostupné v konkrétnych geografických oblastiach Azure. Ďalšie informácie o tom, kde sú dostupné služby Power Platform, kde sú vaše údaje uložené a ako sa používajú, nájdete v Centre dôveryhodnosti spoločnosti Microsoft. Záväzky týkajúce sa umiestnenia neaktívnych uložených údajov zákazníkov sú špecifikované v podmienkach spracovania údajov v rámci podmienok poskytovania online služieb spoločnosti Microsoft. Spoločnosť Microsoft tiež poskytuje údajové centrá pre suverénne entity.

Manipulácia s údajmi

Táto časť popisuje, ako Power Platform ukladá, spracováva a prenáša údaje o zákazníkoch.

Neaktívne uložené údaje

Pokiaľ nie je v dokumentácii uvedené inak, údaje o zákazníkoch zostávajú v pôvodnom zdroji (napríklad Dataverse alebo SharePoint). Aplikácia Power Platform je uložená v Azure Storage ako súčasť prostredia. Údaje používané v mobilných aplikáciách sú šifrované a uložené v SQL Express. Vo väčšine prípadov aplikácie používajú Azure Storage na uchovávanie servisných údajov Power Platform a databázu Azure SQL Database na uchovávanie metaúdajov služieb. Údaje zadané používateľmi aplikácie sú uložené v príslušnom zdroji údajov pre službu, ako napríklad Dataverse.

Všetky údaje uložené v Power Platform sú predvolene šifrované pomocou kľúčov spravovaných spoločnosťou Microsoft. Údaje používateľov uložené v databáze Azure SQL sú plne šifrované pomocou technológie priehľadného šifrovania údajov Azure SQL (TDE). Údaje zákazníkov uložené v úložisku objektov Blob na platforme Azure sú šifrované pomocou funkcie Azure Storage Encryption.

Spracúvané údaje

Údaje sa spracúvajú, keď sa používajú ako súčasť interaktívneho scenára alebo keď sa ich dotkne proces na pozadí, napríklad obnovenie. Power Platform načíta údaje pri spracovaní do pamäťového priestoru jedného alebo viacerých servisných pracovných zaťažení. Aby sa uľahčila funkčnosť pracovného zaťaženia, údaje uložené v pamäti nie sú šifrované.

Údaje v prenose

Power Platform vyžaduje, aby bol všetok prichádzajúci prenos HTTP šifrovaný pomocou TLS 1.2 alebo vyššej verzie. Žiadosti, ktoré sa pokúšajú použiť TLS 1.1 alebo nižšiu verziu, sú zamietnuté.

Pokročilé funkcie zabezpečenia

Niektoré z pokročilých funkcií zabezpečenia Power Platform majú špecifické licenčné požiadavky.

Značky služby

Značka služby predstavuje skupinu predpôn IP adries zo zadanej služby Azure. Pomocou značiek služby môžete definovať riadenie prístupu k sieti v skupinách zabezpečenia siete alebo Azure Firewall.

Značky služby pomáhajú minimalizovať zložitosť častých aktualizácií pravidiel zabezpečenia siete. Pri vytváraní bezpečnostných pravidiel, ktoré napríklad povoľujú alebo zakazujú prenos pre príslušnú službu, môžete použiť značky služieb namiesto konkrétnych adries IP.

Microsoft spravuje predpony adries zahrnuté v značke služby a automaticky aktualizuje značku služby pri zmene adries. Ďalšie informácie nájdete v časti Rozsahy IP a značky služieb Azure – verejný cloud.

Prevencia straty údajov

Power Platform má rozsiahlu množinu funkcií prevencie straty údajov (DLP), , ktoré vám pomôžu spravovať bezpečnosť vašich údajov.

Obmedzenie IP zdieľaného prístupu k úložisku (SAS).

Táto sada funkcií je funkcionalitou špecifickou pre nájomníka, ktorá obmedzuje tokeny SAS (Storage Shared Access Signature) a ovláda sa prostredníctvom ponuky v Power Platform centre spravovania. Toto nastavenie obmedzuje, kto môže na základe IP (IPv4 a IPv6) používať podnikové tokeny SAS.

Tieto nastavenia nájdete v nastaveniach prostredia Ochrana súkromia a zabezpečenie v centre spravovania. Musíte zapnúť možnosť Povoliť pravidlo zdieľaného prístupu k úložisku (SAS) na základe adresy IP .

Správcovia môžu pre toto nastavenie povoliť jednu z týchto štyroch možností:

Produkty vynucujúce viazanie IP, keď sú povolené:

• Dataverse
• Power Automate
• Vlastné konektory
• Power Apps

Vplyv na používateľskú skúsenosť

• Keď používateľ, ktorý nespĺňa obmedzenia adries IP daného prostredia, otvorí aplikáciu: Používateľom sa zobrazí chybové hlásenie s odkazom na všeobecný problém s adresou IP.

• Keď používateľ, ktorý spĺňa obmedzenia adresy IP, otvorí aplikáciu: Vyskytnú sa nasledujúce udalosti:

  • Používatelia môžu dostať banner, ktorý rýchlo zmizne, čo používateľov informuje o tom, že nastavenie IP bolo nastavené, a môžu kontaktovať správcu kvôli podrobnostiam alebo obnoveniu stránok, ktoré stratia pripojenie.
  • Ešte dôležitejšie je, že kvôli overeniu IP, ktoré toto nastavenie zabezpečenia používa, môžu niektoré funkcie fungovať pomalšie, ako keby boli vypnuté.

Aktualizujte nastavenia programovo

Správcovia môžu použiť automatizáciu na nastavenie a aktualizáciu väzby IP v porovnaní s nastavením brány firewall, rozsah IP, ktorý je uvedený v zozname povolených, a prepínač Logging . Ďalšie informácie nájdete v Návod: Vytváranie, aktualizácia a zoznam nastavení správy prostredia.

Zapisovanie hovorov SAS

Toto nastavenie umožňuje prihlásenie všetkých hovorov SAS v rámci Power Platform do Purview. Toto protokolovanie zobrazuje relevantné metadáta pre všetky udalosti vytvorenia a používania a môže byť povolené nezávisle od vyššie uvedených obmedzení SAS IP. Power Platform služby v súčasnosti prijímajú hovory SAS v roku 2024.

Zapnite protokolovanie auditu Purview

Ak chcete, aby sa protokoly zobrazovali vo vašej inštancii Purview, musíte sa najprv prihlásiť do každého prostredia, pre ktoré chcete protokoly. Toto nastavenie je možné aktualizovať v Power Platform admin center od a správca nájomcu.

1. Choďte na Power Platform centrum spravovania a prihláste sa pomocou poverení správcu nájomcu.
2. Na ľavom navigačnom paneli vyberte Prostredia.
3. Vyberte prostredie, pre ktoré chcete zapnúť protokolovanie správcu.
4. Na paneli príkazov vyberte Nastavenia .
5. Vyberte Produkt>Ochrana osobných údajov + bezpečnosť.
6. V časti Nastavenia zabezpečenia zdieľaného prístupu k úložisku (SAS) (ukážka) zapnite funkciu Povoliť prihlásenie SAS v Purview .

Vyhľadajte denníky auditu

Správcovia nájomníkov môžu použiť Purview na zobrazenie protokolov auditu vydávaných pre operácie SAS a môžu sami diagnostikovať chyby, ktoré sa môžu vrátiť pri problémoch s overením IP. Logy v Purview sú najspoľahlivejším riešením.

Nasledujúce kroky použite na diagnostiku problémov alebo lepšie pochopenie vzorov používania SAS v rámci vášho nájomníka.

1. Uistite sa, že je pre prostredie zapnuté protokolovanie auditu. Pozrite si Zapnutie protokolovania auditu Purview.

2. Prejdite na portál dodržiavania pravidiel Microsoft Purview a prihláste sa pomocou poverení správcu nájomníka.

3. Na ľavom navigačnom paneli vyberte Audit. Ak táto možnosť nie je dostupná, znamená to, že prihlásený používateľ nemá správcovský prístup k protokolom auditu dotazov.

4. Vyberte rozsah dátumu a času v UTC, keď sa pokúšate vyhľadať denníky. Napríklad, keď sa vrátila chyba 403 Zakázaná s kódom chyby unauthorized_caller .

5. V rozbaľovacom zozname Aktivity – priateľské názvy vyhľadajte operácie úložiska Power Platform a vyberte Vytvorené SAS URI a Použité SAS URI.

6. Zadajte kľúčové slovo v Vyhľadávanie kľúčových slov. Viac informácií o tomto poli nájdete v časti Začíname s vyhľadávaním v dokumentácii Purview. V závislosti od vášho scenára môžete použiť hodnotu z ktoréhokoľvek z polí opísaných v tabuľke vyššie, nižšie sú však odporúčané polia na vyhľadávanie (v poradí podľa preferencie):

   • Hodnota hlavičky odpovede x-ms-service-request-id . Toto filtruje výsledky podľa jednej udalosti vytvorenia SAS URI alebo jednej udalosti použitia SAS URI v závislosti od typu požiadavky, z ktorej hlavička pochádza. Je to užitočné pri vyšetrovaní chyby 403 Zakázaná vrátená používateľovi. Môže sa použiť aj na získanie hodnoty powerplatform.analytics.resource.sas.operation_id .
   • Hodnota hlavičky odpovede x-ms-sas-operation-id . Toto filtruje výsledky na jednu udalosť vytvorenia SAS URI a jednu alebo viac udalostí použitia pre daný SAS URI v závislosti od toho, koľkokrát bol prístupný. Mapuje sa do poľa powerplatform.analytics.resource.sas.operation_id .
   • Úplné alebo čiastočné URI SAS mínus podpis. Môže to vrátiť veľa vytvorených URI SAS a veľa udalostí použitia URI SAS, pretože je možné, aby sa rovnaké URI vyžiadalo toľkokrát, koľkokrát je potrebné.
   • IP adresa volajúceho. Vráti všetky udalosti vytvorenia a použitia pre danú IP.
   • ID prostredia. Môže to vrátiť veľkú množinu údajov, ktoré môžu zahŕňať mnoho rôznych ponúk Power Platform, preto sa tomu, ak je to možné, vyhnite alebo zvážte zúženie okna vyhľadávania.

   Upozornenie

   Neodporúčame hľadať hlavné meno používateľa alebo ID objektu, pretože tieto sa šíria iba do udalostí vytvorenia, nie do udalostí použitia.

7. Vyberte Hľadať a počkajte, kým sa zobrazia výsledky.

   

Riešenie problémov 403 Chyba Forbidden/unauthorized_caller

Pomocou denníkov vytvárania a používania môžete určiť, prečo by volanie malo za následok chybu 403 Forbidden s chybovým kódom unauthorized_caller .

1. Nájdite denníky v Purview, ako je popísané v predchádzajúcej časti. Zvážte použitie x-ms-service-request-id alebo x-ms-sas-operation-id z hlavičiek odpovede ako kľúčového slova vyhľadávania.
2. Otvorte udalosť použitia, Použité SAS URI a vyhľadajte pole powerplatform.analytics.resource.sas.computed_ip_filters v časti PropertyCollection. Tento rozsah IP je to, čo volanie SAS používa na určenie, či je požiadavka oprávnená pokračovať alebo nie.
3. Porovnajte túto hodnotu s poľom IP adresa v denníku, čo by malo stačiť na určenie, prečo požiadavka zlyhala.
4. Ak si myslíte, že hodnota powerplatform.analytics.resource.sas.computed_ip_filters je nesprávna, pokračujte ďalšími krokmi.
5. Otvorte udalosť vytvorenia, Vytvorené SAS URI, vyhľadaním pomocou x-ms-sas-operation-id hodnoty hlavičky odpovede (alebo hodnoty powerplatform.asaanalytics.field.resource) z creation/a560>
6. Získajte hodnotu poľa powerplatform.analytics.resource.sas.ip_binding_mode . Ak chýba alebo je prázdny, znamená to, že viazanie IP nebolo pre dané prostredie v čase konkrétnej požiadavky zapnuté.
7. Získajte hodnotu powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Ak chýba alebo je prázdny, znamená to, že rozsahy brány firewall IP neboli v čase konkrétnej požiadavky špecifikované pre dané prostredie.
8. Získajte hodnotu powerplatform.analytics.resource.sas.computed_ip_filters, ktorá by mala byť identická s udalosťou použitia a je odvodená na základe režimu viazania IP a rozsahov brány firewall IP poskytnutých správcom. Pozrite si logiku odvodzovania v Ukladanie a riadenie údajov v Power Platform.