Power Platform'da veri depolama ve yönetme

  • Makale

İlk olarak, kişisel veriler ile müşteri verilerini ayırt etmek önemlidir.

  • Kişisel veriler , kişiler hakkında onları tanımlamak için kullanılabilecek bilgilerdir.

  • Müşteri verileri , URL'ler, meta veriler ve DNS adları gibi çalışan kimlik doğrulama bilgileri dahil olmak üzere kişisel verileri ve diğer müşteri bilgilerini içerir.

Veri yerleşimi

Bir Microsoft Entra kiracısı, kuruluşla ve güvenliğiyle ilgili bilgileri barındırır. Bir Microsoft Entra kiracısı Power Platform hizmetlerine kaydolduğunda kiracının seçilen ülke veya bölgesi, Power Platform dağıtımının mevcut olduğu en uygun Azure coğrafyasıyla eşlenir. Power Platform kuruluşların birden çok bölgede hizmet dağıtmakta olduğu durumlar dışında, kiracının atandığı Azure Coğrafi Bölgesi veya ana coğrafi bölgedeki müşteri verilerini depolar.

Bazı kuruluşlar küresel olarak vardır. Örneğin, bir işletmenin merkezi ABD'de yer alır ancak Avustralya'da iş yapıyor olabilir. Yerel yönetmeliklere uymak için, belirli Power Platform verilerinin Avusturalya'da depolanması gerekebilir. Power Platform hizmetleri birden çok Azure coğrafyasına dağıtıldığında bu durum çok coğrafi bölgeli dağıtım olarak ifade edilir. Bu durumda yalnızca ortamla ilgili meta veriler ana coğrafi bölgede depolanır. Bu ortamdaki tüm meta veriler ve ürün verileri uzak coğrafi bölgede depolanır.

Microsoft Veri dayanıklılığı için verileri diğer bölgelere çoğaltabilir. Ancak verilerinizi coğrafi bölge dışına taşımaz veya çoğaltmayız. Diğer bölgelere çoğaltılan veriler, çalışan kimlik doğrulama bilgileri gibi kişisel olmayan verileri içerebilir.

Power Platform hizmetleri belirli Azure coğrafi bölgelerinde kullanılabilir. Hizmetlerin nerelerde Power Platform kullanılabildiği, verilerinizin nerede depolandığı ve nasıl kullanıldığı hakkında daha fazla bilgi için Güven Merkezi'ne Microsoft gidin. Bekleyen müşteri verilerinin konumuyla ilgili taahhütler, Çevrimiçi Hizmet Şartları'nın Veri İşleme Şartları'nda Microsoft belirtilmiştir. Microsoft Ayrıca bağımsız varlıklar içinveri merkezleri sağlar.

Veri işleme

Bu bölümde, Power Platform'un müşteri verilerini nasıl depoladığı, işlediği ve aktardığı açıklanmaktadır.

Bekleyen veriler

Belgede başka bir şekilde belirtilmediği sürece, müşteri verileri özgün kaynağında kalır (örneğin, Dataverse veya SharePoint). Power Platform uygulaması, bir ortamın parçası olarak Azure Depolama'da depolanır. Mobil uygulamalarda kullanılan veriler şifrelenir ve SQL Express'de depolanır. Çoğu durumda, uygulamalar Power Platform hizmet verilerini sürdürmek için Azure Depolama'yı ve hizmet meta verilerini sürdürmek için Azure SQL Veritabanını kullanır. Uygulama kullanıcıları tarafından girilen veriler, hizmetin ilgili veri kaynağında (ör. Dataverse) depolanır.

Kalıcı Power Platform hale getirilen tüm veriler, yönetilen anahtarlar kullanılarak Microsoft varsayılan olarak şifrelenir. Azure SQL Veritabanında depolanan müşteri verileri Azure SQL’in Saydam Veri Şifreleme (TDE) teknolojisi kullanılarak şifrelenir. Azure Blob depolama içinde depolanan müşteri verileri, Azure depolama şifrelemesi kullanılarak şifrelenir.

Veriler işleniyor

Veriler, etkileşimli bir senaryonun parçası olarak veya yenileme gibi bir arkaplan işlemi bu verilere temas ettiğinde işlenir. Power Platform, işlenen verileri bir veya daha fazla hizmet iş yükünün bellek alanına yükler. İş yükünün işlevselliğini kolaylaştırmak için, bellekte depolanan veriler şifrelenmemiştir.

Hareket halindeki veriler

Power Platform, gelen tüm HTTP trafiğinin TLS 1.2 veya sonraki bir kullanılarak şifrelenmesi gerekir. TLS 1.1 veya daha altını kullanmaya çalışan istekler reddedilir.

Gelişmiş güvenlik özellikleri

Bazı Power Platform gelişmiş güvenlik özelliklerinde belirli lisans gereksinimleri vardır.

Hizmet etiketleri

Hizmet etiketi, belirli bir Azure hizmetinden bir grup IP adresi önekini temsil eder. Ağ güvenlik gruplarında veya Azure Güvenlik duvarında ağ erişim denetimlerini tanımlamak için hizmet etiketlerini kullanabilirsiniz.

Hizmet etiketleri, ağ güvenliği kuralları için sık kullanılan güncelleştirmelerin karmaşıklığını en aza indirmeye yardımcı olur. Örneğin, karşılık gelen hizmet için trafiğe izin veren veya erişimi engelleyen bir güvenlik kuralı oluştururken, belirli IP adreslerinin yerine hizmet etiketlerini kullanabilirsiniz.

Microsoft Hizmet etiketinin kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak günceller. Daha fazla bilgi edinmek için bkz. Azure IP Aralıkları ve Hizmet Etiketleri - Genel Bulut.

Veri kaybını önleme

Power Platform, verilerinizin güvenliğini yönetmenize yardımcı olacak kapsamlı Veri Kaybı Önleme (DLP) özellikleri içerir.

Depolama Paylaşımlı Erişim İmzası (SAS) IP kısıtlaması

Not

Bu SAS özelliklerinden birini etkinleştirmeden önce müşterilerin https://*.api.powerplatformusercontent.com etki alanına erişime izin vermeleri gerekir aksi takdirde SAS işlevlerinin çoğu çalışmaz.

Bu özellik kümesi, Depolama Paylaşılan Erişim İmzası (SAS) belirteçlerini sınırlayan ve Power Platform yönetim merkezindeki bir menü aracılığıyla denetlenen kiracıya özgü bir işlevselliktir. Bu ayar, IP'ye (IPv4 ve IPv6) bağlı olarak kimlerin kurumsal SAS belirteçlerini kullanabileceğini kısıtlar.

Bu ayarlar, yönetim merkezinde ortamın Gizlilik + Güvenlik ayarlarında bulunabilir. IP adresi tabanlı Depolama Paylaşılan Erişim İmzası (SAS) kuralını etkinleştir seçeneğini etkinleştirmeniz gerekir.

Yöneticiler bu ayar için şu dört seçenekten birine izin verebilir:

Seçenek Ayar Description
Kategori 1 Yalnızca IP Bağlaması Bu, SAS anahtarlarını istekte bulunanın IP'siyle kısıtlar.
2 Yalnızca IP Güvenlik Duvarı Bu, SAS anahtarlarının kullanımını yalnızca yönetici tarafından belirlenen bir aralıkta çalışacak şekilde kısıtlar.
3 IP Bağlama ve Güvenlik Duvarı Bu, SAS anahtarlarının kullanımını yönetici tarafından belirlenen bir aralıkta ve yalnızca istek sahibinin IP'siyle çalışacak şekilde kısıtlar.
4 IP Bağlama veya Güvenlik Duvarı Belirtilen aralıkta SAS anahtarlarının kullanılmasına izin verir. İstek aralığın dışından geliyorsa IP Bağlama uygulanır.

Not

IP Güvenlik Duvarı'na izin vermeyi seçen yöneticiler (yukarıdaki tabloda listelenen Seçenek 2, 3 ve 4), kullanıcılarının uygun şekilde kapsanmasını sağlamak için ağlarının hem IPv4 hem de IPv6 aralıklarını girmelidir .

Etkinleştirildiğinde IP Bağlamayı zorlayan ürünler:

  • Dataverse
  • Power Automate
  • Özel Bağlayıcılar
  • Power Apps

Kullanıcı deneyiminde etki

  • Bir ortamın IP adresi kısıtlamalarını karşılamayan bir kullanıcı bir uygulama açtığında: Kullanıcılar, genel bir IP sorununu belirten bir hata mesajı alır.

  • IP adresi kısıtlamalarını karşılayan bir kullanıcı bir uygulama açtığında: Aşağıdaki olaylar gerçekleşir:

    • Kullanıcılar, kullanıcıların bir IP ayarı belirlendiğini bildirmek ve ayrıntılar için yöneticiye başvurmak veya bağlantıyı kaybeden sayfaları yenilemek için hızla kaybolacak bir afiş alabilirler.
    • Bu güvenlik ayarının kullandığı IP doğrulaması nedeniyle, bazı işlevler kapalı olduğundan daha yavaş performans gösterebilir.

Ayarları programlı olarak güncelleştirme

Yöneticiler otomasyonu kullanarak hem IP bağlama hem de güvenlik duvarı ayarını, izin verilenler listesindeki IP aralığını ve Günlük Kaydı geçişini ayarlayabilir ve güncelleştirebilir. Öğretici: Ortam Yönetimi Ayarları oluşturma, güncelleştirme ve listeleme bölümündedaha fazla bilgi edinin.

SAS çağrılarının günlüğe kaydedilmesi

Bu ayar, Power Platform içindeki tüm SAS çağrılarının Purview'de günlüğe kaydedilmesini sağlar. Bu günlük kaydı, tüm oluşturma ve kullanım etkinliklerine ilişkin meta verileri gösterir ve yukarıdaki SAS IP kısıtlamalarından bağımsız olarak etkinleştirilebilir. Power Platform hizmetleri şu anda 2024 yılında SAS çağrılarını sunmaktadır.

Alan adı Alan açıklaması
response.status_message Olayın başarılı olup olmadığı konusunda bilgi verme: SASSuccess veya SASAuthorizationError.
response.status_code Olayın başarılı olup olmadığı konusunda bilgi verme: 200, 401 veya 500.
ip_binding_mode Etkinse, kiracı yönetici tarafından ayarlanan IP bağlama modu. Yalnızca SAS oluşturma olayları için geçerlidir.
admin_provided_ip_ranges Varsa, kiracı yönetici tarafından ayarlanan IP aralıkları. Yalnızca SAS oluşturma olayları için geçerlidir.
computed_ip_filters IP bağlama modunu ve bir kiracı yönetici tarafından ayarlanan aralıkları temel alan SAS URI'lerine bağlı son IP filtreleri kümesi. Hem SAS oluşturma hem de kullanım olayları için geçerlidir.
analytics.resource.sas.uri Erişmeye veya oluşturulmaya çalışılan veriler.
enduser.ip_address Arayanın genel IP'si.
analytics.resource.sas.operation_id Oluşturma olayından benzersiz tanıtıcı. Buna göre arama yapmak, oluşturma olayından SAS çağrılarına ilişkin tüm kullanım ve oluşturma olaylarını gösterir. "x-ms-sas-operation-id" yanıt üstbilgisine eşlendi.
request.service_request_id İstek veya yanıttan gelen benzersiz tanıtıcı ve tek bir kayıt aramak için kullanılabilir. "x-ms-service-request-id" yanıt üstbilgisine eşlendi.
sürüm Bu günlük şemasının sürümü.
Tür Genel yanıt.
analytics.activity.name Bu olayın aktivite türü şöyleydi: Oluşturma veya Kullanım.
analytics.activity.id Purview'da kaydın benzersiz kimliği.
analytics.resource.organization.id Kuruluş Kimliği
analytics.resource.environment.id Ortam kimliği
analytics.resource.tenant.id Kiracı kimliği
enduser.id Oluşturma olayının oluşturucusunun Microsoft Entra ID'deki GUID.
enduser.principal_name Oluşturanın UPN/e-posta adresi. Kullanım olayları için bu genel bir yanıttır: "system@powerplatform".
enduser.role Genel yanıt: Oluşturma olayları için Normal ve kullanım olayları için Sistem.

Purview denetim günlüğünü açma

Günlüklerin Purview örneğinizde gösterilmesi için önce günlükleri istediğiniz her ortam için bunu kabul etmeniz gerekir. Bu ayar, yönetim merkezinde bir Power Platform kiracı yöneticisi tarafından güncelleştirilebilir.

  1. Power Platform Yönetim merkezine gidin ve kiracı yöneticisi kimlik bilgileriyle oturum açın.
  2. Sol gezinti bölmesinde Ortamlar'ı seçin.
  3. Yönetici günlük kaydını açmak istediğiniz ortamı seçin.
  4. Komut çubuğunda Ayarlar'ı seçin .
  5. Ürün Gizliliği + Güvenlik'i> seçin.
  6. Depolama Paylaşılan Erişim İmzası (SAS) Güvenlik Ayarları (Önizleme) altındaPurview'da SAS Günlüğünü Etkinleştir özelliğini açın .

Denetleme günlüklerinde arama yapma

Kiracı yöneticileri, SAS işlemleri için yayılan denetim günlüklerini görüntülemek için Purview'u kullanabilir ve IP doğrulama sorunlarında döndürülebilecek hataları kendi kendine tanılayabilir. Purview'daki günlükler en güvenilir çözümdür.

Kiracınızdaki sorunları tanılamak veya SAS kullanım desenlerini daha iyi anlamak için aşağıdaki adımları kullanın.

  1. Ortam için denetim günlüğünün açık olduğundan emin olun. Bkz . Purview denetim günlüğünü açma.

  2. Microsoft Purview uyumluluk portalı gidin ve kiracı yöneticisi kimlik bilgileriyle oturum açın.

  3. Sol gezinti bölmesinde Denetle'yi seçin. Bu seçeneği kullanamıyorsanız bu, oturum açmış kullanıcının sorgu denetleme günlüklerine yönetici erişimi olmadığı anlamına gelir.

  4. Günlükleri aramaya çalıştığınız zaman için UTC cinsinden tarih ve saat aralığını seçin. Örneğin, unauthorized_caller bir hata koduyla 403 Yasak hatası döndürüldüğünde.

  5. Etkinlikler - kolay adlar açılan listesinden depolama işlemlerini Power Platform arayın ve Oluşturulan SAS URI'si ve Kullanılan SAS URI'si'ni seçin .

  6. Anahtar Sözcük Arama'da bir anahtar sözcük belirtin. Bu alan hakkında daha fazla bilgi edinmek için Purview belgelerindeki Aramaya başlama bölümüne bakın . Senaryonuza bağlı olarak yukarıdaki tabloda açıklanan alanlardan herhangi birinden bir değer kullanabilirsiniz, ancak arama yapmak için önerilen alanlar aşağıdadır (tercih sırasına göre):

    • x-ms-service-request-id yanıt üst bilgisinin değeri. Bu, üst bilginin hangi istek türünden olduğuna bağlı olarak sonuçları bir SAS URI Oluşturma olayına veya bir SAS URI kullanım olayına filtreler. Kullanıcıya döndürülen bir 403 Yasak hatasını araştırırken kullanışlıdır. powerplatform.analytics.resource.sas.operation_id değerini almak için de kullanılabilir.
    • x-ms-sas-operation-id yanıt üst bilgisinin değeri. Bu, sonuçları bir SAS URI oluşturma olayına ve kaç kez erişildiğine bağlı olarak bu SAS URI'si için bir veya daha fazla kullanım olayına filtreler. powerplatform.analytics.resource.sas.operation_id alanıyla eşleşir.
    • Tam veya kısmi SAS URI'si, eksi imza. Bu, birçok SAS URI oluşturma ve birçok SAS URI kullanım olayı döndürebilir, çünkü aynı URI'nin oluşturma için gerektiği kadar çok kez istenmesi mümkündür.
    • Arayanın IP adresi. Bu IP için tüm oluşturma ve kullanım olaylarını döndürür.
    • Ortam Kimliği. Bu, birçok farklı teklife Power Platform yayılabilen büyük bir veri kümesi döndürebilir, bu nedenle mümkünse kaçının veya arama penceresini daraltmayı düşünün.

    Uyarı

    Kullanıcı Asıl Adı veya Nesne Kimliği için arama yapmanızı önermiyoruz, çünkü bunlar kullanım olaylarına değil yalnızca oluşturma olaylarına yayılır.

  7. Ara'yı seçin ve sonuçların görünmesini bekleyin.

    Yeni bir arama

Uyarı

Purview'a günlük alımı bir saat veya daha uzun süre gecikebilir, bu nedenle en son olayları ararken bunu göz önünde bulundurun.

403 Yasak/unauthorized_caller hatasını giderme

Bir çağrının neden unauthorized_caller bir hata koduyla 403 Yasak hatasıyla sonuçlanacağını belirlemek için oluşturma ve kullanım günlüklerini kullanabilirsiniz.

  1. Önceki bölümde açıklandığı gibi Purview'da günlükleri bulun. Arama anahtar sözcüğü olarak yanıt üst bilgilerinden x-ms-service-request-id veya x-ms-sas-operation-id kullanmayı göz önünde bulundurun.
  2. Kullanım olayını,Kullanılan SAS URI'sini açın ve PropertyCollection altında powerplatform.analytics.resource.sas.computed_ip_filters alanını arayın. Bu IP aralığı, isteğin devam etme yetkisine sahip olup olmadığını belirlemek için SAS çağrısının kullandığı aralıktır.
  3. Bu değeri, isteğin neden başarısız olduğunu belirlemek için yeterli olması gereken günlüğün IP Adresi alanıyla karşılaştırın.
  4. powerplatform.analytics.resource.sas.computed_ip_filters değerinin yanlış olduğunu düşünüyorsanız sonraki adımlarla devam edin.
  5. x-ms-sas-operation-id yanıt üst bilgi değerini (veya oluşturma günlüğündeki powerplatform.analytics.resource.sas.operation_idalanın değerini ) kullanarak arama yaparak oluşturma olayını açın,SAS URI'si oluşturuldu.
  6. powerplatform.analytics.resource.sas.ip_binding_mode alanın değerini alın. Eksik veya boşsa, söz konusu istek sırasında bu ortam için IP bağlamanın açık olmadığı anlamına gelir.
  7. powerplatform.analytics.resource.sas.admin_provided_ip_ranges'in değerini alın. Eksik veya boşsa, söz konusu istek sırasında bu ortam için IP güvenlik duvarı aralıklarının belirtilmediği anlamına gelir.
  8. Kullanım olayıyla aynı olması gereken ve IP bağlama modu ve yönetici tarafından sağlanan IP güvenlik duvarı aralıklarına göre türetilen powerplatform.analytics.resource.sas.computed_ip_filters değerini alın. Veri depolama ve idare bölümündeki türetme mantığına Power Platform bakın.

Bu, kiracı yöneticilerine IP bağlama ayarları için ortama yönelik herhangi bir yanlış yapılandırmayı düzeltmek için yeterli bilgi vermelidir.

Uyarı

SAS IP bağlaması için ortam ayarlarında yapılan değişikliklerin etkili olması en az 30 dakika sürebilir. İş ortağı ekiplerinin kendi önbelleklerine sahip olması daha fazla olabilir.

Güvenlik Microsoft Power Platform
Hizmetlerde Power Platform kimlik doğrulaması
Veri kaynaklarına bağlanma ve kimlik doğrulaması
Power Platform güvenlikle ilgili SSS

Ayrıca bkz.