Power Platform 中的数据存储和治理
首先,区分个人数据和客户数据很重要。
个人数据是可用于识别人员身份的相关信息。
客户数据 包括个人数据和其他客户信息,包括 URL、元数据和员工身份验证信息,例如 DNS 名称。
数据驻留
Microsoft Entra 租户保留与组织及其安全性相关的信息。 当 Microsoft Entra 租户注册 Power Platform 服务时,租户选择的国家或地区将映射到存在 Power Platform 部署的最合适的 Azure 地理位置。 Power Platform 将客户数据存储在租户被分配的 Azure 地理位置或主地理位置,除非组织在多个区域部署服务。
有些组织在全球进行部署。 例如,一家企业的总部可能在美国,但在澳大利亚开展业务。 它可能需要将某些 Power Platform 数据存储在澳大利亚以遵守当地法规。 当 Power Platform 服务部署在多个 Azure 地理位置时,称为多地区部署。 在这种情况下,只有与环境相关的元数据存储在主地理位置。 该环境中的所有元数据和产品数据都存储在远程地理位置。
Microsoft 可能会将数据复制到其他区域以实现数据复原能力。 但是,我们不会在地理位置之外复制或移动个人数据。 复制到其他区域的数据可能包括非个人数据,例如员工身份验证信息。
Power Platform 服务在特定的 Azure 地理区域可用。 有关 Power Platform 服务在哪里可用、您的数据存储在哪里以及数据如何使用的详细信息,请转到 Microsoft 信任中心。 在 Microsoft 在线服务条款的“数据处理条款”中指定了有关静态客户数据位置的承诺使用量。 Microsoft 还为主权实体提供数据中心。
数据处理
本节概述 Power Platform 如何存储、处理和传输客户数据。
静态数据
除非文档中另有说明,否则客户数据将保留在其原始来源中(例如,Dataverse 或 SharePoint)。 Power Platform 应用作为环境的一部分存储在 Azure 存储中。 移动应用中使用的数据经过加密,存储在 SQL Express 中。 在大多数情况下,应用使用 Azure 存储保留 Power Platform 服务数据,使用 Azure SQL 数据库保留服务元数据。 应用用户输入的数据存储在服务的相应数据源中,如 Dataverse。
Power Platform 保留的所有数据默认都使用 Microsoft 托管密钥进行加密。 存储在 Azure SQL 数据库中的客户数据都使用 Azure SQL 透明数据加密 (TDE) 方法进行了完全加密。 存储在 Azure Blob 存储区中的客户数据使用 Azure 存储加密进行了加密。
处理中的数据
当数据被用作交互场景的一部分时,或者当后台进程(如刷新)触及数据时,数据正在被处理。 Power Platform 将处理中的数据加载到一个或多个服务工作负载的内存空间中。 为了促进工作负荷的功能,存储在内存中的数据不会加密。
传输中的数据
Power Platform 要求所有传入的 HTTP 流量都使用 TLS 1.2 或更高版本进行加密。 尝试使用 TLS 1.1 或更低版本的请求会被拒绝。
高级安全功能
Power Platform 的一些高级安全功能具有特定的许可要求。
服务标记
服务标记表示来自指定 Azure 服务的一组 IP 地址前缀。 您可以使用服务标记针对网络安全组或 Azure 防火墙定义网络访问控制。
服务标记有助于将频繁更新网络安全规则的复杂性降至最低。 当您创建安全规则(例如,允许或拒绝相应服务的流量)时,您可以使用服务标签代替特定的 IP 地址。
Microsoft 会管理服务标记所包含的地址前缀,并在地址更改时自动更新服务标记。 有关详细信息,请参阅 Azure IP 范围和服务标记 - 公有云。
数据丢失防护
Power Platform 具有一组广泛的数据丢失防护 (DLP) 功能,可帮助您管理数据的安全性。
存储共享访问签名 (SAS) IP 限制
备注
在激活这些 SAS 功能之前,客户必须首先允许访问 https://*.api.powerplatformusercontent.com 域,否则大多数 SAS 功能将无法工作。
此功能集是特定于租户的功能,用于限制存储共享访问签名 (SAS) 令牌,通过 Power Platform 管理中心的菜单进行控制。 此设置根据 IP(IPv4 和 IPv6)限制谁可以使用企业 SAS 令牌。
这些设置可以在管理中心的环境的隐私 + 安全设置中找到。 您必须打开启用基于 IP 地址的存储共享访问签名 (SAS) 规则选项。
管理员可以为此设置允许以下四个选项之一:
| 选项 | 设置 | Description |
|---|---|---|
| 1 | 仅 IP 绑定 | 这将 SAS 密钥限制为请求者的 IP。 |
| 2 | 仅 IP 防火墙 | 这会将 SAS 密钥的使用限制为只能在管理员指定的范围内工作。 |
| 3 | IP 绑定和防火墙 | 这会将 SAS 密钥的使用限制为在管理员指定的范围内工作,并仅限于请求者的 IP。 |
| 4 | IP 绑定或防火墙 | 允许在指定范围内使用 SAS 密钥。 如果请求来自范围之外,将应用 IP 绑定 |
备注
选择允许 IP 防火墙(上表中列出的选项 2、3 和 4)的管理员必须输入 其网络的 IPv4 和 IPv6 范围,以确保正确覆盖其用户。
启用时强制执行 IP 绑定的产品:
- Dataverse
- Power Automate
- 自定义连接器
- Power Apps
对用户体验的影响
当不符合环境 IP 地址限制的用户打开应用程序时:用户会收到一条错误消息,指出一般 IP 问题。
当满足 IP 地址限制的用户打开应用程序时:将发生以下事件:
- 用户可能会看到一个横幅,该横幅会很快消失,让用户知道 IP 设置已经设置,并联系管理员了解详细信息或刷新任何失去连接的页面。
- 更重要的是,由于此安全设置使用的 IP 验证,某些功能的执行速度可能会比关闭时慢。
以编程方式更新设置
管理员可以使用自动化来设置和更新 IP 绑定与防火墙设置、允许列表的 IP 范围以及 日志记录 切换。 有关详细信息,请参阅 教程:创建、更新和列出环境管理设置。
SAS 调用记录
此设置使 Power Platform 内的所有 SAS 调用都能记录到 Purview 之中。 该日志记录显示所有创建和使用事件的相关元数据,并且可以独立于上述 SAS IP 限制启用。 Power Platform 服务目前正在 2024 年启动 SAS 调用。
| 字段名称 | 字段说明 |
|---|---|
| response.status_message | 通知事件是否成功:SASSuccess 或 SASAuthorizationError。 |
| response.status_code | 通知活动是否成功:200、401 或 500。 |
| ip_binding_mode | 由租户管理员设置的 IP 绑定模式(如果打开)。 仅适用于 SAS 创建事件。 |
| admin_provided_ip_ranges | 由租户管理员设置的 IP 范围(如有)。 仅适用于 SAS 创建事件。 |
| computed_ip_filters | 根据 IP 绑定模式和租户管理员设置的范围,绑定到 SAS URI 的最终 IP 筛选器集。适用于 SAS 创建和使用事件。 |
| analytics.resource.sas.uri | 试图访问或创建的数据。 |
| enduser.ip_address | 调用方的公共 IP。 |
| analytics.resource.sas.operation_id | 创建事件的唯一标识符。 按此搜索会显示与创建事件中的 SAS 调用相关的所有使用和创建事件。 映射到“x-ms-sas-operation-id”响应标头。 |
| request.service_request_id | 请求或响应的唯一标识符,可用于查找单个记录。 映射到“x-ms-service-request-id”响应标头。 |
| 版本 | 此日志架构的版本。 |
| 类型 | 常规响应。 |
| analytics.activity.name | 此事件的活动类型:创建或使用。 |
| analytics.activity.id | Purview 中记录的唯一 ID。 |
| analytics.resource.organization.id | 组织 ID |
| analytics.resource.environment.id | 环境 ID |
| analytics.resource.tenant.id | Tenant ID |
| enduser.id | 创建事件的创建者的 Microsoft Entra ID 的 GUID。 |
| enduser.principal_name | 创建者的 UPN/电子邮件地址。 对于使用事件,这是常规响应:“system@powerplatform”。 |
| enduser.role | 常规响应:创建事件为常规,使用事件为系统。 |
打开 Purview 审核日志记录
为了使日志显示在 Purview 实例中,您必须首先为需要日志的每个环境选择加入该实例。 租户管理员可以 Power Platform 在 管理中心更新此设置。
- 转到 Power Platform 管理中心 并使用租户管理员凭据登录。
- 在左侧导航窗格中,选择 Environments。
- 选择要为其启用管理员日志记录的环境。
- 选择 命令栏中的 Settings 。
- 选择 【产品>隐私 + 安全】。
- 在“存储共享访问签名(SAS)安全设置(预览版) ”下,打开“在 Purview 中启用 SAS 日志记录” 功能。
搜索审核日志
租户管理员可以使用 Purview 查看为 SAS 操作发出的审核日志,并可以自行诊断 IP 验证问题中可能返回的错误。 Purview 中的日志是最可靠的解决方案。
使用以下步骤来诊断问题或更好地了解租户中的 SAS 使用模式。
确保为环境启用审核日志记录。 请参阅 打开 Purview 审核日志记录。
转到 Microsoft Purview 合规门户 并使用租户管理员凭据登录。
在左侧导航窗格中,选择 Audit。 如果此选项对您不可用,则表示已登录用户没有查询审核日志的管理员访问权限。
选择您尝试查找日志时的日期和时间范围(以 UTC 为单位)。 例如,当返回带有 unauthorized_caller 错误代码的 403 Forbidden 错误时。
从活动 - 友好名称 下拉列表中,搜索 Power Platform 存储操作 并选择 创建的 SAS URI 和 使用的 SAS URI。
在 Keyword Search(关键字搜索 )中指定关键字。 请参阅 Purview 文档中的搜索入门 ,了解有关此字段的更多信息。 根据您的方案,您可以使用上表中描述的任何字段中的值,但以下是建议搜索的字段(按优先顺序):
- x-ms-service-request-id 回复标头的值 。 这会将结果筛选为一个 SAS URI 创建事件或一个 SAS URI 使用事件,具体取决于标头来自的请求类型。 在调查返回给用户的 403 Forbidden 错误时,它非常有用。 它还可用于获取 powerplatform.analytics.resource.sas.operation_id 值。
- x-ms-sas-operation-id 回复标头的值 。 这会将结果筛选为一个 SAS URI 创建事件以及该 SAS URI 的一个或多个使用事件,具体取决于该 SAS URI 的访问次数。 它映射到 powerplatform.analytics.resource.sas.operation_id 字段。
- 完整或部分 SAS URI,减去签名。 这可能会返回许多 SAS URI 创建和许多 SAS URI 使用事件,因为可以根据需要多次请求同一 URI 进行生成。
- 调用方 IP 地址。 返回该 IP 的所有创建和使用事件。
- 环境 ID。 这可能会返回大量数据,这些数据可以跨越许多不同的产品 Power Platform,因此请尽可能避免或考虑缩小搜索窗口的范围。
警告
我们不建议搜索 User Principal Name(用户主体名称)或 Object ID(对象 ID),因为它们只会传播到创建事件,而不会传播到使用事件。
选择 搜索 并等待结果显示。
警告
将日志摄取到 Purview 中可能会延迟长达一小时或更长时间,因此在查找最新事件时请记住这一点。
排查 403 禁止/unauthorized_caller 错误
您可以使用创建和使用日志来确定调用导致 403 Forbidden 错误和 unauthorized_caller 错误代码的原因。
- 在 Purview 中查找日志,如上一节所述。 请考虑使用 回复标头中的 x-ms-service-request-id 或 x-ms-sas-operation-id 作为搜索关键字。
- 打开使用事件 Used SAS URI,然后在 PropertyCollection 下 查找 powerplatform.analytics.resource.sas.computed_ip_filters 字段。 此 IP 范围是 SAS 调用用于确定请求是否有权继续的内容。
- 将此值与 日志的 IP Address 字段进行比较,这应该足以确定请求失败的原因。
- 如果您认为 powerplatform.analytics.resource.sas.computed_ip_filters 的值 不正确,请继续执行后续步骤。
- 通过使用 x-ms-sas-operation-id 回复标头值(或创建日志中 powerplatform.analytics.resource.sas.operation_id字段的值 )进行搜索,打开创建事件 Created SAS URI 。
- 获取 powerplatform.analytics.resource.sas.ip_binding_mode 字段的值 。 如果它缺失或为空,则表示在该特定请求时未为该环境启用 IP 绑定。
- 获取 powerplatform.analytics.resource.sas.admin_provided_ip_ranges 的值。 如果它缺失或为空,则表示在发出该特定请求时未为该环境指定 IP 防火墙范围。
- 获取 powerplatform.analytics.resource.sas.computed_ip_filters 的值,该值应与使用事件相同,并且是根据 IP 绑定模式和管理员提供的 IP 防火墙范围派生的。 请参阅数据存储和治理中的 Power Platform派生逻辑。
这应该为租户管理员提供足够的信息,以更正针对 IP 绑定设置环境的任何错误配置。
警告
对 SAS IP 绑定的环境设置所做的更改可能需要至少 30 分钟才能生效。 如果合作伙伴团队有自己的缓存,情况可能会更多。
相关文章
安全性 Microsoft Power Platform
对服务进行身份验证 Power Platform
连接数据源并对其进行身份验证
Power Platform 安全常见问题解答