Делите путем

Складиштење података и управљање у услузи Power Platform

  • Чланак

Прво, важно је направити разлику између личних података и података о клијентима.

  • Лични подаци су информације о људима које се могу користити за њихову идентификацију.

  • Подаци о клијентима укључују личне податке и друге информације о клијентима, укључујући УРЛ-ове, метаподатке и информације о аутентификацији запослених, као што су ДНС имена.

Пребивалиште података

Станар Microsoft Entra поседује информације које су релевантне за организацију и њену безбедност. Када Microsoft Entra се станар пријави за Power Platform услуге, одабрана земља или регион станара се мапира на најпогоднију географију #глср_цихцддфгз у којој Power Platform постоји распоређивање. Power Platform складишти податке о клијентима у Azure географској области која је додељена закупцу, односно на почетној географској локацији, осим када организације примењују услуге у више региона.

Неке организације имају глобално присуство. На пример, седиште предузећа се можда налази у Сједињеним Државама, али послује у Аустралији. Можда ће бити потребно да се одређени Power Platform подаци складиште у Аустралији због усклађивања са локалним прописима. Када се Power Platform услуге примене у више Azure географских области, то се назива примена у више географских подручја. У том случају, само метаподаци који се односе на окружење складиште се на почетној географској локацији. Сви метаподаци и подаци о производу у том окружењу складиште се на удаљеној географској локацији.

Microsoft може да копира податке у друге регионе ради отпорности података. Међутим, ми не реплицирамо нити премештамо личне податке изван географске области. Подаци реплицирани у другим регионима могу укључивати неличне податке као што су информације о аутентификацији запослених.

Power Platform услуге су доступне у одређеним Azure географским областима. За више информација о томе где су Power Platform услуге доступне, где су ускладиштени подаци и како се користе, посетите Microsoft центар за поузданост. Обавезе које се односе на локацију података клијената у мировању наведене су у Условима обраде података у оквиру одредби услуге Microsoft Online Services. Microsoft такође обезбеђује центре података за суверене ентитете.

Руковање подацима

У овом одељку је наведено како Power Platform складишти, обрађује и преноси податке о клијентима.

Подаци у мировању

Осим ако није другачије наведено у документацији, подаци о клијентима остају у оригиналном извору (на пример, Dataverse или SharePoint). Power Platform апликација се складишти у Azure складишту као део окружења. Подаци који се користе у мобилним апликацијама шифрују се и складиште у услузи SQL Express. У већини случајева, апликације користе Azure складиште да би сачувале податке о Power Platform услузи и Azure SQL базу података да би сачувале метаподатке услуге. Подаци које су унели корисници апликације складиште се у одговарајућим извор података за услугу, као што је Dataverse.

Сви подаци који се чувају у услузи Power Platform подразумевано су шифровани помоћу кључева којима управља Microsoft. Подаци клијената ускладиштени у Azure SQL бази података у потпуности су шифровани помоћу Azure SQL технологије транспарентног шифровања података (TDE). Подаци клијената ускладиштени у Azure складишту блоб објекта шифровани су методом Azure шифровања складишта.

Подаци у обради

Подаци се обрађују када се користе као део интерактивног сценарија или када их додирне процес у позадини, као што је освежавање. Power Platform учитава податке у обради у меморијски простор једног или више радних оптерећења услуге. Да би се олакшала функционалност радног оптерећења, подаци ускладиштени у меморији нису шифровани.

Подаци у транзиту

Power Platform захтева да сав долазни HTTP саобраћај буде шифрован помоћу протокола TLS 1.2 или новијег. Захтеви који покушају да користе протокол TLS 1.1 или нижи се одбијају.

Напредне безбедносне функције

Неке од Power Platform напредних безбедносних функција имају специфичне захтеве за лиценцирање.

Ознаке услуге

Ознака услуге представља групу префикса IP адреса из одређене Azure услуге. Ознаке услуга можете користити за дефинисање контрола приступа мрежи у безбедносним групама мреже или Azure заштитном зиду.

Ознаке услуга помажу да се смањи сложеност честих исправки правила безбедности мреже. Ознаке услуга можете да користите уместо одређених IP адреса када креирате безбедносна правила која, на пример, дозвољавају или ускраћују саобраћај за одговарајућу услугу.

Microsoft управља префиксима адресе обухваћеним ознаком услуге и аутоматски ажурира ознаку услуге док се адресе мењају. Више информација потражите у чланку Опсези IP адреса за Azure и ознаке услуге – јавни облак.

Спречавање губитка података

Power Platform има велики скуп функција за спречавање губитка података (DLP) које вам помажу да управљате безбедношћу података.

Складиштење Схаред Аццесс Сигнатуре (САС) ИП ограничење

Белешка

Пре активирања било које од ових САС функција, корисници морају прво дозволити приступ домену https://*.api.powerplatformusercontent.com или већина САС функционалности неће радити.

Овај скуп функција је функционалност специфична за клијента која ограничава токене Стораге Схаред Аццесс Сигнатуре (САС) и контролише се путем менија у админ центру Power Platform . Ова поставка ограничава ко, на основу ИП-а (IPv4 и IPv6) може да користи САС токене предузећа.

Ова подешавања се могу наћи у подешавањима приватности + безбедности окружења у админ центру. Морате укључити опцију Омогући ИП адресу засновану на Стораге Схаред Аццесс Сигнатуре (САС).

Администратори могу дозволити једну од ове четири опције за ову поставку:

Опција Поставке Опис
1. Само ИП везивање Ово ограничава САС кључеве на ИП адресе подносиоца захтева.
2. Само ИП заштитни зид Ово ограничава коришћење САС кључева да раде само у опсегу који је одређен администратором.
3. ИП везивање и заштитни зид Ово ограничава коришћење САС кључева за рад у опсегу који је одредио администратор и само на ИП адресе подносиоца захтева.
4. ИП везивање или заштитни зид Омогућава САС кључеве да се користе у наведеном опсегу. Ако захтев долази изван опсега, примењује се ИП везивање.

Белешка

Администратори који су одлучили да омогуће ИП заштитни зид (опција 2, 3 и 4 наведена у горњој табели) морају да унесу и IPv4 и IPv6 опсеге својих мрежа како би осигурали одговарајућу покривеност својих корисника.

Производи који спроводе ИП везивање када је омогућено:

  • Dataverse
  • Power Automate
  • Прилагођени конектори
  • Power Apps

Утицај на корисничко искуство

  • Када корисник, који не испуњава ограничења ИП адресе окружења, отвори апликацију : Корисници добијају поруку о грешци која наводи генерички проблем са ИП адресом.

  • Када корисник, који испуњава ограничења ИП адресе, отвори апликацију : Следећи догађаји се дешавају:

    • Корисници могу добити банер који ће брзо нестати обавештавајући кориснике да је постављена ИП поставка и да контактирају администратора за детаље или да освеже све странице које губе везу.
    • Што је још значајније, због ИП валидације коју користи ова сигурносна поставка, неке функционалности могу радити спорије него да су искључене.

Ажурирање подешавања програмски

Администратори могу да користе аутоматизацију за подешавање и ажурирање ИП везивања у односу на подешавање заштитног зида, ИП опсег који је дозвољен и прекидач за пријављивање . Сазнајте више у Водичу: Креирање, ажурирање и листа поставки управљања окружењем.

Пријављивање САС позива

Ова поставка омогућава да се сви САС позиви у оквиру Power Platform пријаве у Пурвиев. Ово логовање приказује релевантне метаподатке за све догађаје стварања и коришћења и може се омогућити независно од горе наведених ограничења САС ИП-а. Power Platform услуге тренутно укључују САС позиве у 2024. години.

Назив поља Опис поља
респонсе.статус_мессаге Информисање да ли је догађај био успешан или не: САССуццесс или САСАутхоризатионЕррор.
респонсе.статус_цоде Информисање да ли је догађај био успешан или не: 200, 401 или 500.
ип_биндинг_моде Режим везивања ИП адресе постављен од стране администратора станара, ако је укључен. Односи се само на догађаје креирања САС-а.
админ_провидед_ип_рангес ИП опсег постављен од стране администратора станара, ако их има. Односи се само на догађаје креирања САС-а.
цомпутед_ип_филтерс Коначни скуп ИП филтера везаних за САС УРИ-је на основу режима везивања ИП-а и опсега које је поставио администратор станара. Односи се и на догађаје креирања и коришћења САС-а.
аналитика.ресоурце.сас.ури Подаци који су покушавали да се приступе или креирају.
ендусер.ип_аддресс Јавна ИП адреса позиваоца.
аналyтицс.ресоурце.сас.оператион_ид Јединствени идентификатор из догађаја стварања. Претраживање по овоме приказује све догађаје коришћења и креирања који се односе на САС позиве из догађаја стварања. Мапирано на "x-мс-сас-оператион-ид" одговор заглавље.
реqуест.сервице_реqуест_ид Јединствени идентификатор из захтева или одговор и може се користити за тражење једног записа. Пресликано на заглавље одговор "x-мс-сервице-реqуест-ид".
version Верзија ове шеме дневника.
тип Генерички одговор.
analytics.activity.name Врста активности овог догађаја била је: Стварање или употреба.
analytics.activity.id Јединствени ИД записа у Пурвиев.
analytics.resource.organization.id ID организације
analytics.resource.environment.id ID окружења
analytics.resource.tenant.id ID закупца
enduser.id ГУИД из Microsoft Entra ИД-а креатора из догађаја стварања.
ендусер.принципал_наме УПН / адреса е-поште креатора. За догађаје коришћења ово је генерички одговор: "сyстем@поwерплатформ".
ендусер.роле Генерички одговор: Редовно за креирање догађаја и систем за догађаје коришћења.

Укључите Пурвиев ревизију евидентирање

Да би се логови приказали у вашој Пурвиев инстанци, прво морате да се одлучите за свако окружење за које желите дневнике. Ова поставка се може ажурирати Power Platform у админ центру од стране администратора станара.

  1. Идите у Power Platform админ центар и пријавите се са администраторским акредитивима.
  2. У левом окну за навигацију, изаберите Окружења.
  3. Изаберите окружење за које желите да укључите пријављивање администратора.
  4. Изаберите Сеттингс на командној траци.
  5. Изаберите Приватност производа > + Безбедност.
  6. Под Стораге Схаред Аццесс Сигнатуре (САС) Сецуритy Сеттингс (< ДИЦТ__верзија за преглед > Превиеw ) , укључите Енабле САС Логгинг ин Пурвиев функција.

Претрага дневника ревизије

Администратори станара могу да користе Пурвиев да виде дневнике ревизије емитоване за САС операције, и могу сами дијагностицирати грешке које се могу вратити у питањима ИП валидације. Трупци у Пурвиев су најпоузданије решење.

Користите следеће кораке да бисте дијагностиковали проблеме или боље разумели обрасце коришћења САС-а унутар вашег станара.

  1. Уверите се да је евидентирање ревизије укључено за животну средину. Погледајте Укључивање евидентирања ревизије Пурвиев.

  2. Идите на # глср_цихцфјајз Пурвиев портал за усаглашеност и пријавите се са администраторским акредитивима станара.

  3. У левом окну за навигацију изаберите Ревизија. Ако вам ова опција није доступна, то значи да пријављени корисник нема администраторски приступ дневнику ревизије упита.

  4. Изаберите датум и временски опсег у УТЦ када покушавате да потражите дневнике. На пример, када је враћена грешка КСНУМКС Форбидден са кодом грешке унаутхоризед_цаллер .

  5. Из падајуће листе Активности - пријатељска имена , потражите Power Platform операције складиштења и изаберите Креирани САС УРИ и Половни САС УРИ.

  6. Наведите кључну реч у Претраживање кључних речи. Погледајте Почетак претраге у Пурвиев документацији да бисте сазнали више о овом пољу. Можете користити вредност из било ког поља описаног у горњој табели у зависности од вашег сценарија, али у наставку су препоручена поља за претраживање (по редоследу преференција):

    • Вредност заглавља x-мс-сервице-реqуест-ид одговор. Ово филтрира резултате на један догађај креирања САС УРИ-ја или један догађај коришћења САС УРИ-ја, у зависности од тога из којег типа захтева је заглавље. То је корисно када истражујете 403 Форбидден грешку враћену кориснику. Такође се може користити за преузимање поwерплатформ.аналyтицс.ресоурце.сас.оператион_ид вредности .
    • Вредност x -мс-сас -оператион -ид одговор заглавље. Ово филтрира резултате на један догађај креирања САС УРИ и један или више догађаја коришћења за тај САС УРИ у зависности од тога колико пута је приступљено. Мапира се на поwерплатформ.аналyтицс.ресоурце.сас.оператион_ид поље.
    • Потпуни или делимични САС УРИ, минус потпис. Ово може да врати многе САС УРИ креације и многе догађаје коришћења САС УРИ-ја, јер је могуће да се исти УРИ затражи за генерисање онолико пута, колико је потребно.
    • ИП адреса позиваоца. Враћа све догађаје креирања и коришћења за ту ИП адресу.
    • Животна средина ИД. Ово може вратити велики скуп података који се могу проширити на много различитих понуда Power Platform, па избегавајте ако је могуће или размислите о сужавању прозора за претрагу.

    Упозорење

    Не препоручујемо тражење корисничког главног имена или ИД-а објекта, јер се они пропагирају само на догађаје креирања, а не на догађаје употребе.

  7. Изаберите Претражи и сачекајте да се појаве резултати.

    Нова претрага

Упозорење

Унос дневника у Пурвиев може бити одложен до сат времена или више, па имајте то на уму када тражите најновије догађаје.

Решавање проблема КСНУМКС Забрањена / унаутхоризед_цаллер грешка

Можете користити дневнике креирања и коришћења да бисте утврдили зашто би позив резултирао грешком КСНУМКС Форбидден са кодом грешке унаутхоризед_цаллер .

  1. Пронађи дневнике у Пурвиев као што је описано у претходном одељку. Размислите о коришћењу x-мс-сервице-реqуест-ид или x-мс-сас-оператион-ид из одговор заглавља као кључне речи за претрагу.
  2. Отворите догађај употребе, Половни САС УРИ и потражите поwерплатформ.аналyтицс.ресоурце.сас.цомпутед_ип_филтерс поље под ПропертиЦоллецтион. Овај ИП опсег је оно што САС позив користи да би се утврдило да ли је захтев овлашћен да настави или не.
  3. Упоредите ову вредност са пољем ИП адреса дневника, што би требало да буде довољно за утврђивање зашто захтев није успео.
  4. Ако мислите да је вредност поwерплатформ.аналyтицс.ресоурце.сас.цомпутед_ип_филтерс нетачна, наставите са следећим корацима.
  5. Отворите догађај креирања, Цреатед САС УРИ , претраживањем помоћу к-мс-сас-оператион-ид одговор вредност заглавља (или вредност поља поwерплатформ.аналyтицс.ресоурце.сас.оператион_ид из дневника креирања).
  6. Набавите вредност поwерплатформ.аналyтицс.ресоурце.сас.ип_биндинг_моде поља. Ако недостаје или је празан, то значи да ИП везивање није било укључено за то окружење у време тог одређеног захтева.
  7. Добијте вредност поwерплатформ.аналyтицс.ресоурце.сас.админ_провидед_ип_рангес. Ако недостаје или је празан, то значи да опсег ИП заштитног зида није наведен за то окружење у време тог одређеног захтева.
  8. Набавите вредност поwерплатформ.аналyтицс.ресоурце.сас.цомпутед_ип_филтерс , која би требала бити идентична догађају коришћења и изведена је на основу режима везивања ИП-а и опсега ИП заштитног зида које пружа администратор. Погледајте логику извођења у Складиштење података и управљање у Power Platform.

Ово би требало да дају администраторима станара довољно информација да исправе било какву погрешну конфигурацију у односу на окружење за подешавања ИП везивања.

Упозорење

Промене у подешавањима окружења за САС ИП везивање могу трајати најмање 30 минута да ступе на снагу. Могло би бити више ако партнерски тимови имају свој кеш.

Безбедност у Microsoft Power Platform
Аутентификација услуга Power Platform
Повезивање и аутентификација са изворима података
Power Platform Питања о безбедности

Погледајте и