Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Power Platform processa dados pessoais e dados de clientes. Saiba mais sobre dados pessoais e de clientes na Central de Confiabilidade da Microsoft.
Residência de dados
Um locatário do Microsoft Entra armazena informações relevantes para uma organização e sua segurança. Quando um locatário do Microsoft Entra se inscreve para serviços do Power Platform, o país/região selecionada do locatário é mapeada para a geografia do Azure mais adequada onde uma implantação do Power Platform existe. O Power Platform armazena dados do cliente na área geográfica do Azure atribuída do locatário, ou localização geográfica, a menos que as organizações implantem serviços em várias regiões.
Algumas organizações têm uma presença global. Por exemplo, uma empresa pode ter sede nos Estados Unidos, mas fazer negócios na Austrália. Pode precisar de certos dados do Power Platform a serem armazenados na Austrália para cumprir os regulamentos locais. Quando serviços do Power Platform são implantados em mais de uma geografia do Azure, isso é chamado de implantações multigeográficas. Neste caso, apenas metadados relacionados ao ambiente são armazenados na localização geográfica. Todos os metadados e dados do produto nesse ambiente são armazenados na localização geográfica remota.
Os serviços do Power Platform estão disponíveis em determinadas áreas geográficas do Azure. Para obter mais informações sobre onde os serviços do Power Platform estão disponíveis, onde os dados são armazenados, replicados para resiliência e como são usados, vá até a Central de Confiabilidade da Microsoft. Os compromissos sobre a localização de dados inativos do cliente estão nos Termos do Processamento de Dados dos Termos dos Serviços Online da Microsoft. A Microsoft também fornece data centers para entidades soberanas.
Manipulação de dados
Esta seção descreve como o Power Platform armazena, processa e transfere dados de clientes.
Dados inativos
Salvo indicação em contrário na documentação, os dados do cliente permanecem em sua fonte original (por exemplo, Dataverse ou SharePoint). Os aplicativos do Power Platform são deixados no Armazenamento do Azure como parte de um ambiente. Os dados de aplicativo móvel são criptografados e armazenados no SQL Express. Na maioria dos casos, os aplicativos usam o Armazenamento do Azure para persistir dados de serviço do Power Platform e o Banco de Dados SQL do Azure para persistir metadados de serviço. Os dados inseridos pelos usuários de aplicativos são armazenados no respectivo fonte de dados para o serviço, como o Dataverse.
O Power Platform criptografa todos os dados persistidos por padrão usando chaves gerenciadas pela Microsoft. Os dados armazenados do cliente no Banco de Dados SQL do Azure são totalmente criptografados usando a tecnologia TDE (Transparent Data Encryption) do SQL do Azure. Os dados do cliente armazenados no armazenamento de Blobs do Azure são criptografados usando a Criptografia de Armazenamento do Azure.
Dados em processamento
Os dados estão em processamento quando estão sendo usados como parte de um cenário interativo ou quando um processo em segundo plano, como atualização, toca esses dados. O Power Platform carrega dados em processamento no espaço de memória de uma ou mais cargas de trabalho de serviço. Para facilitar a funcionalidade da carga de trabalho, os dados armazenados na memória não são criptografados.
Dados em trânsito
O Power Platform criptografa todo o tráfego HTTP de entrada usando TLS 1.2 ou superior. As solicitações que tentam usar o TLS 1.1 ou inferior são rejeitadas.
Recursos de segurança avançada
Alguns dos recursos de segurança avançada do Power Platform podem ter requisitos de licenciamento específicos.
Marcas de serviço
Marca de serviço é um grupo de prefixos de endereço IP de um serviço do Azure específico. Você pode usar marcas de serviço para definir controles de acesso à rede em Grupos de Segurança de Rede ou Firewall do Azure.
As marcas de serviço ajudam a minimizar a complexidade das atualizações frequentes das regras de segurança da rede. Você pode usar marcas de serviço em vez de endereços IP específicos ao criar regras de segurança que, por exemplo, permitem ou negam tráfego para o serviço correspondente.
A Microsoft gerencia os prefixos de endereço na marca de serviço e a atualiza automaticamente à medida que os endereços mudam. Para obter mais informações, consulte Intervalos de IP e marcas de serviço do Azure – nuvem pública.
Políticas de dados
O Power Platform inclui amplos recursos de política de dados para ajudar a gerenciar a segurança de dados.
Restrição de IP de SAS (Assinatura de Acesso de Armazenamento Compartilhado)
Nota
Antes de ativar qualquer um desses recursos de SAS, os clientes devem primeiro permitir o acesso ao domínio https://*.api.powerplatformusercontent.com ou a maioria das funcionalidades de SAS não funcionará.
Este conjunto de recursos é uma funcionalidade específica do locatário que restringe os tokens de Assinatura de Acesso Compartilhado (SAS) do armazenamento e é controlado por meio de um menu no centro de administração do Power Platform. Essa configuração restringe quem, com base no IP (IPv4 e IPv6), pode usar tokens SAS corporativos.
Essas configurações podem ser encontradas nas configurações Privacidade + Segurança no centro de administração. Você deve ativar a opção Habilitar regra de Assinatura de Acesso Compartilhado (SAS) do armazenamento baseado em endereço IP.
Os administradores podem escolher uma destas quatro opções para esta configuração:
| Opção | Configuração | Descrição |
|---|---|---|
| 1 | Somente Associação de IP | Isso restringe as chaves de SAS ao IP do solicitante. |
| 2 | Somente Firewall do IP | Isso restringe o uso de chaves de SAS para funcionar somente dentro de um intervalo especificado pelo administrador. |
| 3 | Associação de IP e Firewall | Isso restringe o uso de chaves de SAS para funcionar dentro de um intervalo especificado pelo administrador e somente para o IP do solicitante. |
| 4 | Associação de IP ou Firewall | Permite que as chaves de SAS sejam usadas dentro do intervalo especificado. Se a solicitação vier de fora do intervalo, a Associação de IP será aplicada. |
Nota
Os administradores que optarem por permitir o Firewall IP (opções 2, 3 e 4 listadas na tabela acima) devem inserir ambos os intervalos IPv4 e IPv6 das redes para garantir a cobertura indicada dos usuários.
Aviso
As opções 1 e 3 usam a Associação de IP, que não funcionará corretamente se os clientes tiverem gateways habilitados para Pools de IPs, Proxy Reverso ou Conversão de Endereços de Rede (NAT) usados nas redes. Isso faz com que o endereço IP de um usuário seja alterado com muita frequência para que um solicitante tenha o mesmo IP de forma confiável entre as operações de leitura/gravação do SAS.
As opções 2 e 4 funcionam como pretendido.
Produtos que impõem a Associação de IP quando são habilitados:
- Dataverse
- Power Automate
- Conectores Personalizados
- Power Apps
Impacto na experiência do usuário
Quando um usuário, que não atende às restrições de endereço IP de um ambiente, abre um aplicativo: os usuários recebem uma mensagem de erro citando um problema de IP genérico.
Quando um usuário, que atende às restrições de endereço IP, abre um aplicativo: os seguintes eventos ocorrem:
- Os usuários podem obter um banner que desaparecerá rapidamente informando aos usuários que uma configuração de IP foi definida e entrar em contato com o administrador para obter detalhes ou atualizar quaisquer páginas que perderem a conexão.
- Mais significativamente, devido à validação de IP que essa configuração de segurança usa, algumas funcionalidades podem ser executadas mais lentamente do que se estivessem desativadas.
Atualizar configurações de forma programada
Os administradores podem usar a automação para definir e atualizar a associação de IP em comparação com a configuração de firewall, o intervalo de IP permitido, além da opção Registrar em Log. Saiba mais em Tutorial: Criar, atualizar e listar Configurações de Gerenciamento do Ambiente.
Registro de chamadas SAS
Essa configuração permite que todas as chamadas SAS dentro do Power Platform sejam registradas no Purview. Esse log mostra os metadados relevantes para todos os eventos de criação e uso e pode ser habilitado independentemente das restrições de IP SAS acima. Os serviços do Power Platform estão atualmente integrando chamadas SAS em 2024.
| Nome do campo | Descrição do campo |
|---|---|
| response.status_message | Informação se o evento foi bem-sucedido ou não: SASSuccess ou SASAuthorizationError. |
| response.status_code | Informação se o evento foi bem-sucedido ou não: 200, 401 ou 500. |
| ip_binding_mode | Modo de associação de IP definido por um administrador de locatário, se ativado. Aplica-se somente a eventos de criação de SAS. |
| admin_provided_ip_ranges | Intervalos de IP definidos por um administrador de locatário, se houver. Aplica-se somente a eventos de criação de SAS. |
| computed_ip_filters | Conjunto final de filtros de IP associados a URIs SAS com base no modo de associação de IP e os intervalos definidos por um administrador de locatário. Aplica-se a eventos de criação e uso de SAS. |
| analytics.resource.sas.uri | Os dados que estavam tentando ser acessados ou criados. |
| enduser.ip_address | O IP público do autor da chamada. |
| analytics.resource.sas.operation_id | O identificador exclusivo do evento de criação. A pesquisa mostra todos os eventos de uso e criação relacionados às chamadas SAS do evento de criação. Mapeado para o cabeçalho de resposta “x-ms-sas-operation-id”. |
| request.service_request_id | Identificador exclusivo da solicitação ou da resposta e pode ser usado para pesquisar um único registro. Mapeado para o cabeçalho de resposta “x-ms-service-request-id”. |
| versão | Versão deste esquema de log. |
| tipo | Resposta genérica. |
| analytics.activity.name | O tipo de atividade desse evento foi: Criação ou Uso. |
| analytics.activity.id | ID exclusiva do registro no Purview. |
| analytics.resource.organization.id | ID da organização |
| analytics.resource.environment.id | ID do Ambiente |
| analytics.resource.tenant.id | ID do locatário |
| enduser.id | O GUID do Microsoft Entra ID do criador do evento de criação. |
| enduser.principal_name | O UPN/endereço de email do criador. Para eventos de uso, esta é uma resposta genérica: “system@powerplatform”. |
| enduser.role | Resposta genérica: Regular para eventos de criação e Sistema para eventos de uso. |
Habilite o log de auditoria no Purview
Para que os logs apareçam na sua instância do Purview, você deve primeiro ativar essa opção para cada ambiente do qual deseja obter logs. Essa configuração pode ser atualizada no Centro de administração do Power Platform por um administrador de locatário.
- Entre no centro de administração do Power Platform com credenciais de administrador de locatário.
- No painel de navegação, selecione Gerenciar.
- No painel Gerenciar, selecione Ambientes.
- Selecione o ambiente para o qual você deseja ativar o registro de administrador.
- Selecione Configurações na barra de comandos.
- Selecione Produto>Privacidade + Segurança.
- Em Configurações de Segurança da Assinatura de Acesso Compartilhado (SAS) (versão preliminar), ative o recurso Habilitar registro em log da SAS no Purview.
Pesquisar logs de auditoria
Os administradores de locatários podem usar o Purview para exibir logs de auditoria emitidos para operações SAS e podem autodiagnosticar erros que podem ser retornados em problemas de validação de IP. Os logs do Purview são a solução mais confiável.
Use as etapas a seguir para diagnosticar problemas ou entender melhor os padrões de uso de SAS em seu locatário.
Verifique se o log de auditoria está ativado para o ambiente. Consulte Ativar log de auditoria do Purview.
Acesse o portal de conformidade do Microsoft Purview e entre com as credenciais de administrador de locatário.
No painel de navegação esquerdo, selecione Auditoria. Se essa opção não estiver disponível para você, significa que o usuário conectado não tem acesso de administrador para consultar logs de auditoria.
Selecione o intervalo de tempo e datas em UTC para procurar logs. Por exemplo, quando um erro 403 Forbidden com um código de erro unauthorized_caller foi retornado.
Na lista suspensa Atividades - nomes amigáveis, pesquise operações de armazenamento do Power Platform e selecione URI SAS Criado e URI SAS Usado.
Especifique uma palavra-chave em Pesquisa de Palavra-chave. Consulte Introdução à pesquisa na documentação do Purview para saber mais sobre esse campo. Você pode usar um valor de qualquer um dos campos descritos na tabela acima, dependendo do seu cenário, mas abaixo estão os campos recomendados para pesquisar (em ordem de preferência):
- O valor do cabeçalho de resposta x-ms-service-request-id. Isso filtra os resultados para um evento de Criação de URI de SAS ou um evento de uso de URI de SAS, dependendo de qual é o tipo de solicitação do cabeçalho. É útil ao investigar um erro 403 Proibido retornado ao usuário. Também pode ser usado para obter o valor de powerplatform.analytics.resource.sas.operation_id.
- O valor do cabeçalho de resposta x-ms-sas-operation-id. Isso filtra os resultados para um evento de criação de URI SAS e um ou mais eventos de uso para esse URI SAS, dependendo de quantas vezes ele foi acessado. Ele mapeia para o campo powerplatform.analytics.resource.sas.operation_id.
- URI SAS total ou parcial, menos a assinatura. Isso pode retornar muitas criações de URI SAS e muitos eventos de uso de URI SAS, pois é possível que o mesmo URI seja solicitado para geração quantas vezes forem necessárias.
- Endereço IP do remetente. Retorna todos os eventos de criação e uso desse IP.
- ID do Ambiente. Isso pode retornar um grande conjunto de dados que pode abranger muitas ofertas diferentes do Power Platform, portanto, evite, se possível, ou restrinja a janela de pesquisa.
Aviso
Não é recomendável pesquisar por Nome Principal do Usuário ou ID do Objeto, pois eles são propagados apenas para eventos de criação, não para eventos de uso.
Selecione Pesquisar e aguarde a exibição dos resultados.
Aviso
Como a ingestão de logs no Purview pode atrasar por até uma hora ou mais, tenha isso em mente ao procurar eventos recentes.
Solução de problemas do erro 403 Proibido/chamador_não_autorizado
Você pode usar logs de criação e uso para determinar por que uma chamada resultaria em um erro 403 Forbidden com um código de erro unauthorized_caller.
- Encontre logs no Purview conforme descrito na seção anterior. Use x-ms-service-request-id ou x-ms-sas-operation-id dos cabeçalhos de resposta como a palavra-chave de pesquisa.
- Abra o evento de uso, URI de SAS Usada, e procure o campo powerplatform.analytics.resource.sas.computed_ip_filters em PropertyCollection. Esse intervalo de IP é o que a chamada SAS usa para determinar se a solicitação está autorizada a prosseguir ou não.
- Compare esse valor com o campo Endereço IP do log, que deve ser suficiente para determinar por que a solicitação falhou.
- Se você acha que o valor de powerplatform.analytics.resource.sas.computed_ip_filters está incorreto, continue com as próximas etapas.
- Abra o evento de criação, URI de SAS Criada, pesquisando usando o valor do cabeçalho de resposta x-ms-sas-operation-id (ou o valor do campo powerplatform.analytics.resource.sas.operation_id do log de criação).
- Obtenha o valor do campo powerplatform.analytics.resource.sas.ip_binding_mode. Se estiver ausente ou vazia, significa que a associação de IP não estava ativada para esse ambiente no momento daquela solicitação específica.
- Obtenha o valor do campo powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Se estiver ausente ou vazia, significa que os intervalos de firewall de IP não foram especificados para esse ambiente no momento daquela solicitação específica.
- Obtenha o valor de powerplatform.analytics.resource.sas.computed_ip_filters, que deve ser idêntico ao evento de uso e é derivado com base no modo de vinculação de IP e nos intervalos de firewall IP fornecidos pelo administrador. Veja a lógica de derivação em Armazenamento e governança de dados no Power Platform.
Essas informações ajudam administradores de locatário a corrigir eventuais configurações incorretas nas configurações de associação de IP do ambiente.
Aviso
As alterações nas configurações de ambiente para associação de IP SAS podem levar pelo menos 30 minutos para entrar em vigor. Isso poderia ser maior se as equipes parceiras tiverem seu próprio cache.
Artigos relacionados
Visão geral de segurança
Autenticação para serviços do Power Platform
Como conectar e autenticar em fontes de dados
Perguntas frequentes sobre segurança do Power Platform