Хранение данных и управление в Power Platform

Во-первых, важно различать персональные данные и данные клиентов.

  • Персональные данные — это информация о людях, которая может быть использована для их идентификации.

  • Данные клиентов включают персональные данные и другую информацию о клиентах, включая URL-адреса, метаданные и информацию об аутентификации сотрудников, такую как имена DNS.

Место расположения данных

Клиент Microsoft Entra хранит информацию, относящуюся к организации и ее безопасности. Когда клиент Microsoft Entra регистрируется в службах Power Platform, выбранная клиентом страна или регион сопоставляется с наиболее подходящей географией Azure, где развертывание Power Platform существует. Power Platform хранит данные о клиентах в назначенном клиенту геообъекте Azure или домашнем геообъекте за исключением случаев, когда организации развертывают службы в нескольких регионах.

Некоторые организации имеют глобальное присутствие. Например, компания может иметь штаб-квартиру в США, но вести бизнес в Австралии. Может потребоваться, чтобы определенные данные Power Platform хранились в Австралии в соответствии с местным законодательством. Когда службы Power Platform развернуты более чем в одном геообъекте Azure, это называется развертыванием в нескольких геообъектах. В этом случае в домашнем геообъекте хранятся только метаданные, связанные со средой. Все метаданные и данные о продукте в этой среде хранятся в удаленном геообъекте.

Microsoft может реплицировать данные в другие регионы для обеспечения устойчивости данных. Однако мы не копируем и не перемещаем личные данные за пределы геообъекта. Данные, реплицируемые в другие регионы, могут включать неперсональные данные, такие как информация об аутентификации сотрудников.

Службы Power Platform доступны в определенных географических регионах Azure. Дополнительную информацию о том, где Power Platform доступны услуги, где хранятся ваши данные и как они используются, можно найти в Microsoft Центре управления безопасностью. Обязательства относительно местонахождения данных клиентов при хранении указаны в Условиях обработки данных Microsoft Условий предоставления онлайн-услуг. Microsoft также предоставляет центры обработки данных для суверенных субъектов.

Обработка данных

В этом разделе описывается, как Power Platform хранит, обрабатывает и передает данные клиентов.

Неактивные данные

Если в документации не указано иное, данные клиентов остаются в исходном источнике (например, Dataverse или SharePoint). Приложение Power Platform хранится в службе хранилища Azure как часть среды. Данные, используемые в мобильных приложениях, шифруются и хранятся в SQL Express. В большинстве случаев приложения используют хранилище Azure для хранения данных служб Power Platform и базу данных SQL Azure для хранения метаданных службы. Данные, введенные пользователям приложения, хранятся в соответствующем источнике данных для службы, например, Dataverse.

Все данные, сохраняемые Power Platform , по умолчанию зашифрованы с использованием Microsoft-управляемых ключей. Данные клиентов, хранящиеся в базе данных SQL Azure, полностью шифруются с помощью технологии прозрачного шифрования данных SQL Azure (TDE). Данные клиентов, хранящиеся в хранилище BLOB-объектов Azure, шифруются с помощью шифрования службы хранилища Azure.

Обработка данных

Данные находятся в обработке, когда они активно используются интерактивным сценарием или когда фоновый процесс, такой как обновление, затрагивает эти данные. Power Platform загружает обрабатываемые данные в пространство памяти одной или нескольких рабочих нагрузок службы. Для облегчения работы рабочей нагрузки данные, хранящиеся в памяти, не шифруются.

Передаваемые данные

Power Platform требует, чтобы весь входящий HTTP-трафик был зашифрован с использованием версии TLS 1.2 или новее. Запросы, которые пытаются использовать TLS 1.1 или ниже, отклоняются.

Расширенные функции безопасности

Некоторые расширенные функции безопасности Power Platform имеют особые лицензионные требования.

Теги служб

Тег службы представляет собой группу префиксов IP-адресов из указанной службы Azure. Вы можете использовать теги службы для определения элементов управления доступом к сети в группах безопасности сети или брандмауэре Azure.

Теги служб помогают свести к минимуму сложность частых обновлений правил сетевой безопасности. Вы можете использовать теги служб вместо определенных IP-адресов при создании правил безопасности, которые, например, разрешают или запрещают трафик для соответствующей службы.

Microsoft управляет префиксами адресов, включенными в тег услуги, и автоматически обновляет тег услуги по мере изменения адресов. Дополнительные сведения см. в Диапазоны IP-адресов Azure и теги служб — общедоступное облако.

Защита от потери данных

В Power Platform есть обширный набор функций защиты потери данных (DLP), чтобы помочь вам управлять безопасностью своих данных.

Ограничение IP-адресов подписанных URL-адресов (SAS) хранилища

Заметка

Прежде чем активировать любую из этих функций SAS, клиенты должны сначала разрешить доступ к домену https://*.api.powerplatformusercontent.com, иначе большинство функций SAS не будут работать.

Этот набор функций относится к конкретному клиенту и ограничивает токены подписанного URL-адреса (SAS) хранилища. Он управляется через меню в Центре администрирования Power Platform. Этот параметр ограничивает круг лиц, которые могут использовать корпоративные токены SAS на основе IP-адреса (IPv4 и IPv6).

Эти настройки можно найти в параметрах среды Конфиденциальность + безопасность в центре администрирования. Необходимо включить параметр Включить правило подписанного URL-адреса (SAS) к службе хранилища на основе IP-адреса.

Администраторы могут разрешить один из четырех вариантов для этого параметра:

Вариант Параметр Description
1 Только IP-привязка Это ограничивает ключи SAS IP-адресом запрашивающей стороны.
2 Только IP-брандмауэр Это ограничивает использование ключей SAS только в пределах диапазона, указанного администратором.
3 IP-привязка и брандмауэр Это ограничивает использование ключей SAS в пределах диапазона, указанного администратором, и только IP-адресом запрашивающей стороны.
4 IP-привязка или брандмауэр Позволяет использовать ключи SAS в указанном диапазоне. Если запрос поступает из-за пределов диапазона, применяется привязка IP-адреса.

Заметка

Администраторы, которые решили разрешить IP-брандмауэр (варианты 2, 3 и 4, перечисленные в таблице выше), должны ввести оба диапазона IPv4 и IPv6 своих сетей, чтобы обеспечить надлежащее покрытие своих пользователей.

Продукты, использующие привязку IP, если она включена:

  • Dataverse
  • Power Automate
  • Пользовательские соединители
  • Power Apps

Влияние на пользовательский интерфейс

  • Когда пользователь, не соответствующий ограничениям среды по IP-адресу, открывает приложение: Пользователи получают сообщение об ошибке, ссылающееся на общую проблему с IP-адресом.

  • Когда пользователь, который соответствует ограничениям по IP-адресу, открывает приложение: Происходят следующие события:

    • Пользователи могут получить баннер, который быстро исчезнет, сообщая пользователям, что настройка IP-адреса установлена, и могут связаться с администратором для получения подробной информации или обновления любых страниц, которые теряют соединение.
    • Что еще более важно, из-за проверки IP-адреса, которую использует этот параметр безопасности, некоторые функции могут работать медленнее, чем если бы они были отключены.

Обновить настройки программно

Администраторы могут использовать автоматизацию для настройки и обновления как привязки IP-адресов к настройкам брандмауэра, так и разрешенного диапазона IP-адресов и переключателя ведения журнала . Подробнее читайте в Учебнике: Создание, обновление и перечисление параметров управления средой.

Регистрация вызовов SAS

Этот параметр позволяет регистрировать все вызовы SAS внутри Power Platform в Purview. В этом журнале отображаются соответствующие метаданные для всех событий создания и использования, и его можно включить независимо от вышеуказанных ограничений IP-адресов SAS. Службы Power Platform в настоящее время готовятся к подключению вызовов SAS в 2024 году.

Имя поля Описание поля
response.status_message Информирование об успешном/неуспешном событии: SASSuccess или SASAuthorizationError.
response.status_code Информирование об успешном/неуспешном событии: 200, 401 или 500.
ip_binding_mode Режим привязки IP-адреса, заданный администратором арендатора, если он включен. Применяется только к событиям создания SAS.
admin_provided_ip_ranges Диапазоны IP-адресов, заданные администратором арендатора, если таковые имеются. Применяется только к событиям создания SAS.
computed_ip_filters Окончательный набор IP-фильтров, привязанных к URI SAS, на основе режима привязки IP-адресов и диапазонов, установленных администратором арендатора. Применяется как к событиям создания, так и к использованию SAS.
analytics.resource.sas.uri Данные, к которым пытались получить доступ или которые пытались создать.
enduser.ip_address Общедоступный IP-адрес вызывающей стороны.
analytics.resource.sas.operation_id Уникальный идентификатор события создания. Поиск по этому показателю показывает все события использования и создания, связанные с вызовами SAS из события создания. Сопоставляется с заголовком ответа “x-ms-sas-operation-id”.
request.service_request_id Уникальный идентификатор запроса или ответа, который можно использовать для поиска одной записи. Сопоставляется с заголовком ответа “x-ms-service-request-id”.
версия Версия этой схемы журнала.
type Общий ответ.
analytics.activity.name Тип действия этого события: создание или использование.
analytics.activity.id Уникальный ИД записи в Purview.
analytics.resource.organization.id Идентификатор организации
analytics.resource.environment.id Идентификатор среды
analytics.resource.tenant.id Идентификатор клиента
enduser.id GUID из Microsoft Entra ID создателя из события создания.
enduser.principal_name UPN/адрес электронной почты создателя. Для событий использования это общий ответ: “system@powerplatform”.
enduser.role Общий ответ: Обычный для событий создания и Системный для событий использования.

Включите ведение журнала аудита Purview

Чтобы журналы отображались в вашем экземпляре Purview, вам необходимо сначала включить эту функцию для каждой среды, для которой вы хотите получать журналы. Эту настройку может обновить в Power Platform центре администрирования администратор клиента.

  1. Перейдите в Power Platform центр администрирования и войдите в систему, используя учетные данные администратора клиента.
  2. В левой навигационной панели выберите Окружения.
  3. Выберите среду, для которой вы хотите включить ведение журнала администратора.
  4. Выберите Настройки на панели команд.
  5. Выберите Продукт>Конфиденциальность + Безопасность.
  6. В разделе Параметры безопасности подписи общего доступа к хранилищу (SAS) (предварительная версия) включите функцию Включить ведение журнала SAS в Purview .

Поиск журналов аудита

Администраторы арендаторов могут использовать Purview для просмотра журналов аудита, создаваемых для операций SAS, и могут самостоятельно диагностировать ошибки, которые могут возникать при проверке IP-адресов. Журналы в Purview — самое надежное решение.

Используйте следующие шаги для диагностики проблем или лучшего понимания шаблонов использования SAS в вашем клиенте.

  1. Убедитесь, что для среды включено ведение журнала аудита. См. Включение ведения журнала аудита Purview.

  2. Перейдите на Microsoft портал соответствия Purview и войдите в систему, используя учетные данные администратора клиента.

  3. В левой навигационной панели выберите Аудит. Если эта опция вам недоступна, это означает, что вошедший в систему пользователь не имеет прав администратора для запроса журналов аудита.

  4. Выберите диапазон даты и времени в формате UTC, когда вы пытаетесь найти журналы. Например, когда была возвращена ошибка 403 Forbidden с кодом ошибки unauthorized_caller .

  5. В раскрывающемся списке Действия — понятные имена найдите Power Platform операции хранения и выберите Созданная SAS URI и Использованная SAS URI.

  6. Укажите ключевое слово в поиске по ключевым словам. Подробнее об этом поле см. в разделе Начало работы с поиском в документации Purview. Вы можете использовать значение из любого из полей, описанных в таблице выше, в зависимости от вашего сценария, но ниже приведены рекомендуемые поля для поиска (в порядке предпочтения):

    • Значение заголовка x-ms-service-request-id ответ. Это фильтрует результаты по одному событию создания SAS URI или одному событию использования SAS URI в зависимости от типа запроса, к которому относится заголовок. Это полезно при расследовании ошибки 403 Forbidden, возвращаемой пользователю. Его также можно использовать для получения значения powerplatform.analytics.resource.sas.operation_id .
    • Значение заголовка x-ms-sas-operation-id ответ. Это фильтрует результаты по одному событию создания SAS URI и одному или нескольким событиям использования для этого SAS URI в зависимости от того, сколько раз к нему обращались. Он сопоставляется с полем powerplatform.analytics.resource.sas.operation_id .
    • Полный или частичный SAS URI, без подписи. Это может вернуть множество созданий SAS URI и множество событий использования SAS URI, поскольку один и тот же URI может быть запрошен для генерации столько раз, сколько необходимо.
    • IP-адрес вызывающего абонента. Возвращает все события создания и использования для этого IP-адреса.
    • Идентификатор среды. Это может вернуть большой набор данных, которые могут охватывать множество различных предложений Power Platform, поэтому по возможности избегайте этого или рассмотрите возможность сужения окна поиска.

    Предупреждение

    Мы не рекомендуем выполнять поиск по имени участника-пользователя или идентификатору объекта, поскольку они распространяются только на события создания, а не на события использования.

  7. Выберите Поиск и дождитесь появления результатов.

    Новый поиск

Предупреждение

Загрузка журнала в Purview может быть задержана на час и более, поэтому имейте это в виду при поиске последних событий.

Устранение неполадок 403 Ошибка «Запрещенный/неавторизованный_вызывающий»

Вы можете использовать журналы создания и использования, чтобы определить, почему вызов может привести к ошибке 403 Forbidden с кодом ошибки unauthorized_caller .

  1. Найдите журналы в Purview, как описано в предыдущем разделе. Рассмотрите возможность использования в качестве ключевого слова поиска x-ms-service-request-id или x-ms-sas-operation-id из заголовков ответ.
  2. Откройте событие использования, Используемый URI SAS, и найдите поле powerplatform.analytics.resource.sas.computed_ip_filters в разделе PropertyCollection. Этот диапазон IP-адресов используется вызовом SAS для определения того, разрешена ли обработка запроса или нет.
  3. Сравните это значение с полем IP-адрес журнала, этого должно быть достаточно для определения причины сбоя запроса.
  4. Если вы считаете, что значение powerplatform.analytics.resource.sas.computed_ip_filters неверно, перейдите к следующим шагам.
  5. Откройте событие создания, Created SAS URI, выполнив поиск с использованием значения заголовка x-ms-sas-operation-id ответ (или значения поля powerplatform.analytics.resource.sas.operation_id из журнала создания).
  6. Получите значение поля powerplatform.analytics.resource.sas.ip_binding_mode . Если он отсутствует или пуст, это означает, что привязка IP не была включена для этой среды на момент данного запроса.
  7. Получите значение powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Если он отсутствует или пуст, это означает, что диапазоны IP-адресов брандмауэра не были указаны для этой среды на момент данного конкретного запроса.
  8. Получите значение powerplatform.analytics.resource.sas.computed_ip_filters, которое должно быть идентично событию использования и выводится на основе режима привязки IP и предоставленных администратором диапазонов IP-адресов брандмауэра. См. логику вывода в разделе Хранение данных и управление ими в разделе Power Platform.

Это должно предоставить администраторам арендаторов достаточно информации для исправления любых неверных настроек среды для параметров привязки IP.

Предупреждение

Изменения, внесенные в настройки среды для привязки SAS IP, могут вступить в силу не менее чем через 30 минут. Их могло бы быть больше, если бы у команд-партнеров был свой собственный кэш.

Безопасность в Microsoft Power Platform
Аутентификация в Power Platform сервисах
Подключение и аутентификация к источникам данных
Power Platform часто задаваемые вопросы по безопасности

См. также