数据掩码可帮助在客户交互过程中保护敏感信息,防止数据泄漏。 数据屏蔽也称为去标识化或混淆,是用屏蔽字符串替换敏感数据。 掩码字符串可确保原始未掩码值仍处于隐藏状态。 只有授权的用户才能读取未掩码值(一次一个记录)。 在客户交互中,一线支持用户可以避免暴露敏感信息,如信用卡号、社会安全号或任何个人数据。
屏蔽是如何工作的?
您可以创建掩码规则,设置如何屏蔽敏感信息。
这些规则使用正则表达式 来识别特定模式,例如信用卡号、社保号和电子邮件地址。
检测到这些模式,检索行时,敏感列将替换为屏蔽字符。
先决条件
创建掩码规则
首先获取一组预定义的掩码规则,也可以创建自己的掩码规则。
创建解决方案:在 Power Apps 中创建解决方案。
创建新组件: 在解决方案中创建对象。
选择安全性菜单选项,并选择安全掩码规则。
出现新掩码规则表单。
在此表单中,输入格式为名称的规则:
prefix_name其中prefix可以是CLS_或New_。
输入显示名称和描述。
输入从常规表达式语言中选择的常规表达式。
例如,要屏蔽社会保险号的前五位数字,请使用:
\d(?=\d{2}-\d{2}-\d{4}|\d-\d{2}-\d{4}|-\d{2}-\d{4}|\d-\d{4}|-\d{4})备注
您的正则表达式可以有多个掩码规则,中间用管道
|分隔。示例:
\d(?=\d{2}-\d{2}-\d{4}|\d-\d{2}-\d{4}|-\d{2}-\d{4}|\d-\d{4}|-\d{4})| \S+@\S+\.\S+|[STFGM]\d{4}|(?:4[0-9]{12}(?:[0-9]{3})?|[25][1-7][0-9]{14}|6(?:011|5[0-9][0-9])[0-9]{12}|3[47][0-9]{13}|3(?:0[0-5]|[68][0-9])[0-9]{11}|(?:2131|1800|35\d{3})\d{11})输入一个屏蔽字符,例如
#。在 “输入纯文本测试数据 ”列中输入原始值,例如社会安全号码或电子邮件地址。
在 “输入格式文本测试数据 ”列中输入原始值,例如社会安全号码或电子邮件地址(用于测试包含格式文本格式列的文本数据类型)。
备注
对于 富文本 列,在定义 正则表达式时,需要考虑该列的原始值。 可以使用 Web API 查看原始值,以使用格式文本查询表列。 例如,
https://<environment url>/api/data/v9.2/maskingrules(<id>)?$select=richtestdata(结果)
“richtestdata”: “<div class=”ck-content“ data-wrapper=”true“ dir=”ltr“ style=”--ck-image-style-spacing: 1.5em; --ck-inline-image-style-spacing: calc(var(--ck-image-style-spacing) / 2); --ck-color-selector-caption-background: hsl(0, 0%, 97%); --ck-color-selector-caption-text: hsl(0, 0%, 20%); font-family: Segoe UI; font-size: 11pt;”><p style=“margin: 0;”>123-45-789<//p><//div>”
选择保存。
屏幕上将显示屏蔽纯文本测试数据和屏蔽富文本测试数据。
您的屏蔽值可能是这样屏蔽的:
| 正则表达式 | 原始值 | 掩码值 |
|---|---|---|
\d(?=\d{2}-\d{2}-\d{4}\|\d-\d{2}-\d{4}\|-\d{2}-\d{4}l\d-\d{4}\|-\d{4}) |
SSN123-45-6789 |
SSN###-##-6789 |
[STFGM]\d{4} |
AccountNbrS1234567z |
AccountNbr#567z |
(?:4[0-9]{12}(?:[0-9]{3})?\|[25][1-7][0-9]{14}\|6[?:011\|5[0-9][0-9]](0-9){12}\|3[47][0-9]{13}\|3[?:0[0-5]\|[68][0-9]](0-9){11}\|(?:2131\|1800\|35\d{3})\d{11}) |
MasterCard5678912345678912 |
MasterCard# |
(?:4[0-9]{12}(?:[0-9]{3})?\|[25][1-7][0-9]{14}\|6[?:011\|5[0-9][0-9]](0-9){12}\|3[47][0-9]{13}\|3[?:0[0-5]\|[68][0-9]](0-9){11}\|(?:2131\|1800\|35\d{3})\d{11}) |
签证4567891234567891 |
签证# |
\S+@\S+\.\S+ |
电子邮件name@sample.com |
电子邮件# |
当客户向您发送包含敏感数据的电子邮件,该电子邮件具有此掩码规则时,电子邮件正文中仅显示屏蔽值:
管理掩码规则
获取掩码规则的列表
转到 Power Apps 门户。
选择要显示掩码规则列表的环境。
选择表格,并选择全部过滤器。
在搜索栏中输入掩码规则。
选择行表掩码规则,名称为掩码规则。
将显示掩码规则列表。 您可以通过选择 + 更多下拉菜单来展开列表。
为安全列添加掩码规则
转到 Power Apps。
选择要将掩码规则添加到列的托管环境。
从导航菜单中选择表格,然后选择带有加密列的首选表格。
选择方案部分下的列。
选择要打开和编辑的列。 显示编辑列窗格。
展开高级选项。
如果未选中启用列安全性复选框,请选中该复选框。
选择掩码规则下拉菜单。
选择掩码规则。
选择保存。
备注
掩码规则的数据类型:
- 文本(单行和多行)
- 数字
重要提示
当自定义窗体并向屏蔽列中添加组件(例如富文本编辑器控件)时,整个列将被屏蔽。 有权读取和更新此列的用户可以取消屏蔽它。
使用掩码规则为安全列授予权限
使用列安全配置文件来授予对掩码列的读取权限。
可以通过列安全性授予用户或团队组访问权限:
读取
允许:允许读取加密列。 如果对列应用掩码规则,则显示掩码值。
读取未屏蔽值
不允许:当允许读取且读取未屏蔽值不允许时,会显示屏蔽值。 了解更多关于查看未屏蔽数据
一条记录:允许用户读取未屏蔽值。 只有在一次请求一个记录时,才返回未掩码值。 管理和维护安全列的用户应允许使用这些值。
所有记录:允许用户检索和读取带有未屏蔽值的多条记录。 此设置具有高度权限。 读取未屏蔽值仅允许需要未屏蔽值进行后台处理的后台服务使用。
更新
允许:允许用户更新记录。
创建
允许:允许用户创建记录。
备注
具有读取和读取未屏蔽权限的系统和应用程序用户将默认获取屏蔽值。 若要读取未屏蔽的值,请转到 用于查看屏蔽列的选项。
查看具有掩码规则的所有列
您可以从所有具有掩码规则的表中获取所有受保护列的列表。
转到 Power Apps 门户。
选择要查看所有带掩码规则列的环境。
选择表格,并选择全部过滤器。
在搜索栏中输入属性掩码规则。
选择 AttributMaskingRule 表。
将显示具有掩码规则的列列表。 您可以通过选择 + 更多下拉菜单来展开列表。
屏蔽列如何显示?
如果有权 读取 未屏蔽的列,则默认在此处看到屏蔽的值:
| 列类型 | 返回屏蔽值的屏蔽列? |
|---|---|
| 网格 | 始终 |
| 表格 | 始终 |
| Copilot | 始终 |
| Excel 报告 | 始终 |
备注
审计日志显示更新前后事件中屏蔽的值。 只允许授权用户读取审计日志。
用于查看屏蔽列的选项
将列安全性配置为允许读取未屏蔽的数据时,开发人员可以编写代码,以便使用 UnMaskedData 可选参数显示未屏蔽的数据。 学习如何检索未屏蔽的数据
读取表单上的未屏蔽值
被授予 读取未屏蔽字段 权限的用户会看到用于读取窗体上未屏蔽值的按钮。
若要读取未屏蔽的值,请选择“读取”图标(
所有未屏蔽值的读取请求都将被审核。
备注
“ 读取 ”图标当前仅对具有读取 未屏蔽 权限的具有系统管理员安全角色的用户可见。 我们正在努力在即将到来的更新中为非管理员用户启用可见性。
在表单上创建和更新不隐藏的值
在创建新记录时,您需要将敏感字段输入为未掩码值。 保存后,表单会自动刷新,敏感字段会立即被屏蔽。
若要更新字段,需要 允许读取未屏蔽数据 和 允许更新 权限。
选择读取未屏蔽字段的按钮以获取未屏蔽的值,然后更新该值并保存。
被屏蔽字段上的审核日志
所有创建和更新记录事件都会显示修改前和修改后的值,且这些值以掩码形式展示。
另外还会记录“读取未屏蔽值”。
已知限制/不支持
在表单上创建和更新不隐藏的值
创建新记录时,输入敏感列作为未屏蔽的值。 保存后,窗体会自动刷新,敏感列将立即被掩盖。 可以更新列,但请确保输入未屏蔽的值。
富文本数据中的嵌入图像
如果您在大型文本区域中使用富文本格式(如电子邮件正文)并接受嵌入图像,则掩码规则将继续应用于图像,使其不可读。
包含已添加组件的窗体
当自定义窗体并向屏蔽列中添加组件(例如富文本编辑器控件)时,整个列将被屏蔽。 有权读取和更新此列的用户可以取消屏蔽它。