Управление на шифроващия ключ, управляван от клиента

Клиентите имат изисквания за поверителност на данните и съответствие, за да защитят данните си чрез криптиране на данните си в покой. Това предпазва данните от излагане в случай, че копие на базата данни е откраднато. При криптиране на данни в покой откраднатите данни от базата данни са защитени от възстановяване на друг сървър без ключа за криптиране.

Всички клиентски данни, съхранявани в Power Platform тях, са криптирани в покой със силни ключове за криптиране, управлявани от Microsoft. Microsoft съхранява и управлява ключа за шифроване на базата данни за всички ваши данни, така че да не се налага да го правите. Въпреки това, Power Platform предоставя този ключ за криптиране, управляван от клиента (CMK), за вашия допълнителен контрол за защита на данните, където можете сами да управлявате ключа за криптиране на базата данни, свързан с вашата Microsoft Dataverse среда. Това Ви позволява да завъртите или разменяте шифроващия ключ при поискване, а също така Ви позволява да предотвратите достъпа на Microsoft до Вашите клиентски данни, когато отмените достъпа на ключа до нашите услуги по всяко време.

За да научите повече за въвеждането Power Platform на ключа, управляван от клиента, гледайте видеоклипа за ключ, управляван от клиента.

Тези операции с шифроващ ключ са налични с управляван от клиента ключ (CMK):

• Създайте RSA (RSA-HSM) ключ от вашия Azure Key vault.
• Създайте корпоративни Power Platform правила за вашия ключ.
• Дайте разрешение на корпоративната Power Platform политика за достъп до хранилището за ключове.
• Дайте на Power Platform администратора на услугата да прочете корпоративните правила.
• Приложете шифроващ ключ към вашата среда.
• Върнете/премахнете CMK криптирането на средата до ключ, управляван от Microsoft.
• Променете ключа, като създадете нова корпоративна политика, премахнете средата от CMK и приложите отново CMK с нови корпоративни правила.
• Заключване на CMK среди чрез отмяна на CMK ключови трезори и/или ключови разрешения.
• Приложи CMK ключ.

Понастоящем всички ваши клиентски данни, съхранявани само в следните приложения и услуги, могат да бъдат шифровани с управляван от клиента ключ:

Търговски облак

• Dataverse (Персонализирани решения и услуги на Microsoft)
• Dataverse Copilot за приложения, управлявани от модели
• Power Automate
• Чат за Dynamics 365
• Продажби на Dynamics 365
• Обслужване на клиенти на Dynamics 365
• Dynamics 365 Клиентски прозрения - данни
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Финанси и операции)
• Dynamics 365 Intelligent Order Management (Финанси и операции)
• Dynamics 365 Project Operations (Финанси и операции)
• Dynamics 365 Supply Chain Management (Финанси и операции)
• Студио Copilot

Суверенен облак - GCC High

• Dataverse (Персонализирани решения и услуги на Microsoft)
• Dataverse Copilot за приложения, управлявани от модели
• Чат за Dynamics 365
• Продажби на Dynamics 365
• Обслужване на клиенти на Dynamics 365
• Dynamics 365 Клиентски прозрения - данни
• Студио Copilot

Бележка

• Свържете се с представител за услуги, които не са изброени по-горе, за информация относно поддръжката на ключове, управлявани от клиента.
• Nuance Разговорният IVR и съдържанието за добре дошли на създателя са изключени от шифроването на ключове, управлявано от клиента.
• Настройките за връзка за конектори продължават да бъдат шифровани с ключ, управляван от Microsoft.
• Настройките на средата на Power Platform продължават да се криптират с ключ, управляван от Microsoft.
• Конфигурираният CMK не криптира данните, изпратени от Copilot Studio като част от логването на одит на сигурността на Agent 365.
• Имената на дисплея, описанията и метаданните на Power Apps продължават да бъдат криптирани с ключ, управляван от Microsoft.
• Връзката към резултатите от изтеглянето и други данни, получени от принудителното изпълнение на програмата за проверка на решение по време на проверка на решението, продължават да бъдат шифровани с ключ, управляван от Microsoft.

Среди с приложения за финанси и операции, където Power Platform интеграцията е разрешена , също могат да бъдат криптирани. Финансовите и оперативните среди без Power Platform интеграция продължават да използват ключа по подразбиране, управляван от Microsoft, за шифроване на данни. Научете повече в Шифроване в приложенията за финанси и операции.

Въведение в управлявания от клиента ключ

С ключ, управляван от клиента, администраторите могат да предоставят свой собствен ключ за криптиране от собствения си Azure Key Vault на услугите за съхранение на Power Platform, за да криптират клиентските си данни. Microsoft няма директен достъп до вашия Azure Key Vault. За да имат достъп на Power Platform услугите до ключа за криптиране от вашия Azure Key Vault, администраторът създава корпоративна политика на Power Platform, която се позовава на криптиращия ключ и предоставя достъп на тази корпоративна политика за четене на ключа от вашия Azure Key Vault.

След Power Platform това администраторът на услугата може да добави Dataverse среди към корпоративните правила, за да започне да шифрова всички клиентски данни в средата с вашия шифроващ ключ. Администраторите могат да променят ключа за шифроване на средата, като създадат друга корпоративна политика и добавят средата (след като я премахнат) към новите корпоративни правила. Ако средата вече не трябва да се шифрова с помощта на вашия управляван от клиента ключ, администраторът може да премахне средата Dataverse от корпоративните правила, за да върне шифроването на данни обратно към управлявания от Microsoft ключ.

Администраторът може да заключи управляваните от клиента ключови среди, като отмени достъпа до ключ от корпоративните правила и да отключи средите, като възстанови достъпа до ключа. Повече информация: Заключване на среди чрез отмяна на достъп до хранилище за ключове и/или достъп до разрешение за ключ

За да се опростят ключовите задачи за управление, задачите са разделени на три основни области:

1. Създайте ключ за криптиране.
2. Създайте корпоративни правила и дайте достъп.
3. Управление на криптирането на средата.

Предупреждение

Когато средите са заключени, те не могат да бъдат достъпни от никого, включително от поддръжката на Microsoft. Средите, които са заключени, се деактивират и може да възникне загуба на данни.

Изисквания за лицензиране за управляван от клиента ключ

Правилата за ключове, управлявани от клиента, се прилагат само за среди, които са активирани за управлявани среди. Управляваните среди са включени като право в самостоятелни лицензи Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages и Dynamics 365, които дават премиум права за използване. Научете повече за Managed Environment licensing с прегледа licensing за Microsoft Power Platform.

Освен това, достъпът до използване на ключ, управляван от клиента, за Microsoft Power Platform и Dynamics 365, изисква потребителите в средите, където политиката за ключове за криптиране се прилага, да имат един от следните абонаменти:

• Microsoft 365 или Office 365 A5/E5/G5
• Съответствие с Microsoft 365 A5/E5/F5/G5
• Microsoft 365 F5 Сигурност и Съответствие
• Microsoft 365 A5/E5/F5/G5 Защита и управление на информацията
• Microsoft 365 A5/E5/F5/G5 Управление на вътрешния риск

Научете повече за тези лицензи.

Разберете потенциалния риск, когато управлявате ключа си

Както при всяко важно за бизнеса приложение, трябва да се има доверие на персонала в организацията, който има достъп на административно ниво. Преди да използвате функцията за управление на ключове, трябва да разберете риска при управлението на шифроващите ключове за базата данни. Възможно е злонамерен администратор (лице, на което е предоставен или е получил достъп на ниво администратор с намерение да навреди на защитата или бизнес процесите на организацията), работещ във вашата организация, да използва функцията за управление на ключове, за да създаде ключ и да го използва, за да заключи вашите среди в клиента.

Обмислете следната последователност от събития.

Администраторът на хранилището на злонамерени ключове създава ключ и корпоративна политика в портала Azure. Администраторът на Azure Key Vault отива в Power Platform admin center и добавя среди към корпоративната политика. Злонамереният администратор след това се връща в портала Azure и отнема достъп до ключовете към корпоративната политика, като по този начин заключва всички среди. Това причинява прекъсвания на бизнеса, тъй като всички среди стават недостъпни и ако това събитие не бъде разрешено, т.е. достъпът до ключа е възстановен, данните за средата могат да бъдат потенциално загубени.

Бележка

• Azure Key Vault има вградени предпазни мерки, които помагат за възстановяване на ключа, като изискват активирани настройките Soft Delete и Purge Protection ключови хранилища.
• Друга предпазна мярка, която трябва да се вземе предвид, е да се гарантира, че има разделяне на задачите, при които администраторът на Azure Key Vault няма достъп до администраторския център на Power Platform.

Разделяне на задълженията за намаляване на риска

Този раздел описва управляваните от клиента задължения за ключови функции, за които отговаря всяка роля на администратор. Разделянето на тези задачи помага за намаляване на риска, свързан с ключовете, управлявани от клиента.

Azure Key Vault и Power Platform/Dynamics 365 service admin tasks

За да се активират ключове, управлявани от клиента, първо администраторът на ключовете създава ключ в Azure ключовия сейф и създава корпоративна политика Power Platform. Когато се създаде корпоративната политика, се създава специална управлявана идентичност с Microsoft Entra ID. След това администраторът на ключовия сейф се връща в Azure ключовия сейф и предоставя достъп на корпоративната политика/управляваната идентичност до криптиращия ключ.

Администраторът на ключовите хранилища след това предоставя на съответния администратор на услугата Power Platform/Dynamics 365 достъп до корпоративната политика. След като бъде предоставено разрешение за четене, администраторът на услугата Power Platform/Dynamics 365 може да отиде в Power Platform Admin Center и да добави среди към корпоративната политика. След това всички добавени данни за клиенти се шифроват с управлявания от клиента ключ, свързан с тази корпоративна политика.

Предварителни изисквания

• An Azure subscription, include Azure Key Vault or Azure Key Vault managed hardware security modules.
• Microsoft Entra ID с:
  • Разрешение от сътрудник за абонамента Microsoft Entra.
  • Разрешение за създаване на Azure Key Vault и key.
  • Достъп за създаване на група ресурси. Това е необходимо за настройка на хранилището за ключове.

Създайте ключа и дайте достъп чрез Azure Key Vault

Администратор Azure Key Vault выполняет эти задачи в Azure.

1. Създайте платен абонамент за Azure и Key Vault. Игнорирайте тази стъпка, ако вече имате абонамент, който включва Azure Key Vault.
2. Отидете в услугата Azure Key Vault и създайте ключ. Повече информация: Създаване на ключ в хранилището за ключове
3. Активирайте услугата за корпоративни политики на Power Platform за вашия абонамент за Azure. Направете това само веднъж. Повече информация: Активирайте услугата за корпоративни политики на Power Platform за вашия абонамент за Azure
4. Създайте корпоративни Power Platform правила. Повече информация: Създаване на корпоративна политика
5. Предоставяне на разрешения за корпоративни правила за достъп до хранилището за ключове. Повече информация: Предоставяне на разрешения на корпоративни правила за достъп до хранилище за ключове
6. Дайте разрешение на администраторите на Power Platform и Dynamics 365 да четат корпоративната политика. Повече информация: Предоставяне на привилегия на Power Platform администратор за четене на корпоративни правила

Power Platform/Dynamics 365 задачи за администраторски център на Power Platform

Предварителен компонент

Администраторът на Power Platform трябва да бъде назначен или за администратор на Microsoft Entra в Power Platform, или на Dynamics 365 Service администратор.

Управление на шифроването на средата в Power Platform центъра за администриране

Администраторът Power Platform управлява управлявани от клиента ключови задачи, свързани със средата в Power Platform центъра за администриране.

1. Добавете средите Power Platform към корпоративните правила, за да шифровате данните с управлявания от клиента ключ. Повече информация: Добавяне на среда към корпоративните правила за шифроване на данни
2. Премахнете среди от корпоративните правила, за да върнете шифроването към ключ, управляван от Microsoft. Повече информация: Премахване на среди от правила, за да се върнете към управлявания ключ на Microsoft
3. Променете ключа, като премахнете среди от старите корпоративни правила и добавите среди към нови корпоративни правила. Повече информация: Създаване на ключ за шифроване и предоставяне на достъп
4. Ако използвате по-ранната функция за самостоятелно управляван ключ за шифроване, можете да мигрирате ключа си към ключ, управляван от клиента. Научете повече в Управление на вашия управляван от клиента ключ за шифроване.

Създаване на шифроващ ключ и предоставяне на достъп

Създайте платен абонамент за Azure и архив с ключове

В Azure изпълнете следните стъпки:

1. Създайте абонамент Pay-as-you-go или еквивалентен абонамент за Azure. Тази стъпка не е необходима, ако клиентът вече има абонамент.

2. Създайте група ресурси. Повече информация: Създаване на групи ресурси

   Бележка

   Създайте или използвайте група ресурси, която има локация, например в Централна част на САЩ, която съответства на региона на Power Platform средата, като United States.

3. Създайте хранилище за ключове, като използвате платения абонамент, който включва защита от меко изтриване и изчистване с групата ресурси, която сте създали в предишната стъпка.

   Важно

   За да сте сигурни, че вашата среда е защитена от случайно изтриване на ключа за криптиране, хранилището за ключове трябва да има активирана защита от меко изтриване и изчистване. Няма да можете да шифровате средата си със собствен ключ, без да активирате тези настройки. Повече информация: Azure Key Vault преглед с меко изтриване Повече информация: Създайте ключов архив чрез Azure портал

Създаване на ключ в хранилището за ключове

1. Уверете се, че сте изпълнили предпоставките.
2. Отидете на портала Azure>Key Vault и намерете key vault, където искате да генерирате ключ за криптиране.
3. Проверете настройките на Azure Key Vault:
   1. Изберете Свойства под Настройки.
   2. Под Меко изтриване задайте или проверете дали е зададено на Меко изтриване е активирано при тази опция за хранилище за ключове.
   3. Под Защита от изчистване задайте или проверете дали Разрешаване на защитата от изчистване (налагане на задължителен период на съхранение за изтрити трезори и обекти на трезор) е разрешено.
   4. Ако сте направили промени, изберете Запазване.

Създаване на RSA ключове

1. Създайте или импортирайте ключ, който има следните свойства:

   1. На страниците Key Vault свойства изберете Ключове.
   2. Изберете Генериране/импортиране.
   3. На екрана Създаване на ключ задайте следните стойности и след това изберете Създаване.
      • Опции: Генериране
      • Име: Посочете име за ключа
      • Тип ключ: RSA
      • Размер на RSA ключ: 2048 или 3072

   Важно

   Ако зададете дата на изтичане на ключа и ключът е изтекъл, всички среди, които са шифровани с този ключ, ще не работят. Настройте an alert за наблюдение на сертификатите за изтичане с имейл известия за вашия администратор на Power Platform и администратор на Azure ключов vault като напомняне за подновяване на датата на изтичане. Това е важно, за да се предотвратят непланирани прекъсвания на системата.

Импортиране на защитени ключове за хардуерни модули за сигурност (HSM)

Можете да използвате защитените си ключове за хардуерни модули за сигурност (HSM), за да шифровате средите си Power Platform Dataverse . Вашите HSM защитени ключове трябва да бъдат импортирани в хранилището за ключове, за да може да се създаде корпоративна политика. За повече информация вижте Supported HSMsImport HSM-protected ключове към Key Vault (BYOK).

Създайте ключ в Azure Key Vault Managed HSM

Можете да използвате ключ за криптиране, създаден от Azure Key Vault Managed HSM, за да криптирате данните от вашата среда. Това ви дава поддръжка на FIPS 140-2 ниво 3.

Създаване на RSA-HSM ключове

1. Уверете се, че сте изпълнили предпоставките.

2. Отидете в портала Azure.

3. Създайте управляван HSM:

   1. Осигурете управлявания HSM.
   2. Активирайте управлявания HSM.

4. Разрешете защитата от прочистване във вашия управляван HSM.

5. Дайте ролята на управляван HSM крипто потребител на лицето, което е създало хранилището за управлявани HSM ключове.

   1. Достъп до Managed HSM ключовия архив на портала Azure.
   2. Отидете до Local RBAC и изберете + Добавяне.
   3. В падащия списък Роля изберете ролята Управляван HSM Crypto потребител на страницата Присвояване на роля.
   4. Изберете Всички клавиши под Обхват.
   5. Изберете Избор на принципал за защита и след това изберете администратора на страницата Добавяне на принципал .
   6. Изберете Създаване.

6. Създайте RSA-HSM ключ:

   • Опции: Генериране
   • Име: Посочете име за ключа
   • Тип ключ: RSA-HSM
   • Размер на RSA ключа: 2048

   Бележка

   Поддържани RSA-HSM ключови размери: 2048-битови и 3072-битови.

Криптирайте средата си с ключ от Azure Key Vault с частен линк

Можете да обновите мрежата на вашия Azure Key vault, като активирате private endpoint и използвате ключа в ключовия сейф, за да криптирате вашите Power Platform среди.

Можете или да създадете нов трезор за ключове и да установите връзка с частна връзка, или да установите връзка с частна връзка към съществуващ трезор за ключове, да създадете ключ от този трезор за ключове и да го използвате за шифроване на вашата среда. Можете също така да установите връзка с частна връзка към съществуващ трезор за ключове, след като вече сте създали ключ, и да го използвате за шифроване на вашата среда.

Криптиране на данни с ключ от хранилище за ключове с частна връзка

1. Създайте Azure Key vault с тези опции:

   • Активиране на защитата от продухване
   • Тип ключ: RSA
   • Размер на ключа: 2048 или 3072

2. Копирайте URL адреса на хранилището за ключове и URL адреса на шифроващия ключ, които да се използват за създаване на корпоративните правила.

   Бележка

   След като добавите частна крайна точка към хранилището за ключове или забраните мрежата за обществен достъп, няма да можете да видите ключа, освен ако нямате съответното разрешение.

3. Създайте виртуална мрежа.

4. Върни се в хранилището си за ключове и добави private endpoint връзки към Azure Key vault.

   Бележка

   Трябва да изберете опцията Забраняване на мрежата с публичен достъп и да разрешите на надеждните услуги на Microsoft да заобикалят това изключение от защитната стена .

5. Създайте корпоративни Power Platform правила. Повече информация: Създаване на корпоративна политика

6. Предоставяне на разрешения за корпоративни правила за достъп до хранилището за ключове. Повече информация: Предоставяне на разрешения на корпоративни правила за достъп до хранилище за ключове

7. Дайте разрешение на администраторите на Power Platform и Dynamics 365 да четат корпоративната политика. Повече информация: Предоставяне на привилегия на Power Platform администратор за четене на корпоративни правила

8. Power Platform администраторът на центъра за администриране избира средата за шифроване и разрешаване на управлявана среда. Повече информация: Разрешаване на добавяне на управлявана среда към корпоративните правила

9. Power Platform администраторът на центъра за администриране добавя управляваната среда към корпоративните правила. Повече информация: Добавяне на среда към корпоративните правила за шифроване на данни

Активирайте услугата за корпоративни политики на Power Platform за вашия абонамент за Azure

Регистрирайте Power Platform се като доставчик на ресурси. Трябва да изпълните тази задача само веднъж за всеки абонамент за Azure, където се намира вашият Azure Key vault. Трябва да имате права за достъп до абонамента, за да регистрирате доставчика на ресурса.

1. Влезте в портала Azure и отидете на Абонамент>Resource providers.
2. В списъка с доставчици на ресурси потърсете Microsoft.PowerPlatform и го регистрирайте .

Създаване на корпоративна политика

1. Инсталирайте PowerShell MSI. Повече информация: Инсталирайте PowerShell на Windows, Linux и macOS
2. След като PowerShell MSI е инсталиран, върнете се към Deploy a custom template в Azure.
3. Изберете връзката Създайте свой собствен шаблон в редактора .
4. Копирайте този JSON шаблон в текстов редактор като Notepad. Повече информация: Шаблон json за корпоративна политика
5. Заменете стойностите в JSON шаблона за: EnterprisePolicyName,местоположение, където трябва да се създаде EnterprisePolicy, keyVaultId и keyName. Повече информация: Дефиниции на полета за шаблон json
6. Копирайте обновения шаблон от текстовия редактор, след което го поставете в шаблона Edit на Custom deployment в Azure и изберете Save.
7. Изберете група Абонамент и ресурси, където трябва да се създадат корпоративните правила.
8. Изберете Преглед + създаване и след това изберете Създаване.

Стартира разполагане. Когато това е готово, се създава корпоративната политика.

Json шаблон на корпоративна политика

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Дефиниции на полета за JSON шаблон

• име. Име на политиката на предприятието. Това е името на правилото, което се показва в Power Platform центъра за администриране.

• местоположение. Едно от следните. Това е местоположението на политиката на предприятието и тя трябва да съответства на Dataverse региона на околната среда:

  • "Съединените щати"
  • "Южна Африка"
  • '"Обединено кралство"'
  • "Япония"
  • "Индия"
  • "Франция"
  • "Европа"
  • "Германия"
  • "Швейцария"
  • "Канада"
  • "Бразилия"
  • "Австралия"
  • "Азия"
  • "ОАЕ"
  • "Корея"
  • "Норвегия"
  • "Сингапур"
  • "Швеция"

• Копирайте тези стойности от свойствата на вашия ключов трезор в портала Azure:

  • keyVaultId: Отидете на Ключови> трезори, изберете вашия преглед на хранилището > за ключове. До Essentials изберете JSON View. Копирайте ИД на ресурса в клипборда и поставете цялото съдържание във вашия JSON шаблон.
  • keyName: Отидете на Ключове> трезори изберете вашия трезор >за ключове Ключове. Обърнете внимание на ключа Име и въведете името във вашия JSON шаблон.

Предоставяне на разрешения за корпоративни правила за достъп до хранилището за ключове

След като корпоративните правила бъдат създадени, администраторът на хранилището за ключове предоставя на управлявания достъп на корпоративните правила до шифроващия ключ.

1. Влезте в портала Azure и отидете в Key vaults.
2. Изберете хранилището за ключове, където ключът е присвоен на корпоративните правила.
3. Изберете раздела Контрол на достъпа (IAM) и след това изберете + Добавяне.
4. Изберете Добавяне на присвояване на роля от падащия списък,
5. Потърсете Key Vault Crypto Service Encryption User и го изберете.
6. Изберете Напред.
7. Избор + Избор на членове.
8. Потърсете корпоративните правила, които сте създали.
9. Изберете корпоративните правила и след това изберете Избор.
10. Изберете Преглед + присвояване.

Горната настройка на разрешения се базира на модела Permission модел на вашия ключов сейф Azure ролеви контрол на достъпа. Ако хранилището ви за ключове е зададено на правила за достъп до хранилището, препоръчително е да мигрирате към модела, базиран на роли. За да предоставите на вашата корпоративна политика достъп до хранилището за ключове с помощта на правила за достъп до трезора, създайте правила за достъп, изберете Получаване на операции за управление на ключове и Разопаковане на ключ и Обвиване на ключ за криптографски операции.

Бележка

За да предотвратите непланирани прекъсвания на системата, е важно корпоративната политика да има достъп до ключа. Уверете се, че:

• Хранилището за ключове е активно.
• Ключът е активен и не е изтекъл.
• Ключът не се изтрива.
• Горните ключови разрешения не се анулират.

Средите, които използват този ключ, са деактивирани, когато ключът за шифроване не е достъпен.

Предоставяне на привилегия на Power Platform администратор за четене на корпоративни правила

Администраторите, които имат административни роли в Dynamics 365 или Power Platform, могат да използват административния център на Power Platform, за да разпределят среди към корпоративната политика. За да получи достъп до корпоративните политики, администраторът с Azure достъп до ключов трезор трябва да предостави ролята Reader на администратора на Power Platform. След като ролята Reader бъде предоставена, администраторът на Power Platform може да разглежда корпоративните политики в административния център на Power Platform.

Бележка

Само администраторите на Power Platform и Dynamics 365, които получават ролята на четец на корпоративната политика, могат да добавят среда към политиката. Други администратори на Power Platform или Dynamics 365 може да могат да видят корпоративната политика, но получават грешка, когато се опитват да Add environment към политиката.

Предоставяне на роля на читател на Power Platform администратор

1. Влезте в портала Azure.
2. Копирайте ID-а на обекта на Power Platform или администратора на Dynamics 365. За да направите това:
   1. Отидете в зоната Users в Azure.
   2. В списъка All users намерете потребителя с Power Platform или администраторски права Dynamics 365, използвайки Search users.
   3. Отворете записа на потребителя, в раздела Общ преглед копирайте идентификатора на обекта на потребителя. Поставете това в текстов редактор като NotePad за по-късно.
3. Копирайте ИД на ресурса на корпоративните правила. За да направите това:
   1. Отидете на Resource Graph Explorer в Azure.
   2. Въведете microsoft.powerplatform/enterprisepolicies в полето Търсене и след това изберете ресурса microsoft.powerplatform/enterprisepolicies .
   3. Изберете Изпълнение на заявка в командната лента. Показва се списък с всички корпоративни Power Platform правила.
   4. Намерете корпоративните правила, където искате да предоставите достъп.
   5. Превъртете надясно на корпоративните правила и изберете Преглед на подробностите.
   6. На страницата Подробности копирайте идентификатора .
4. Започнете Azure Cloud Shell и изпълнете следната команда, като замените objId с обектния ID на потребителя и EP Resource Id с enterprisepolicies ID, копиран в предишните стъпки: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Управление на криптирането на средата

За да управлявате шифроването на средата, се нуждаете от следното разрешение:

• Активен потребител на Microsoft Entra, който има администраторска роля за сигурност в Power Platform и/или Dynamics 365.
• Потребител на Microsoft Entra, който има роля администратор на услуги в Power Platform или Dynamics 365.

Администраторът на хранилището за ключове уведомява Power Platform администратора, че са създадени ключ за шифроване и корпоративна политика, и предоставя корпоративните правила на Power Platform администратора. За да разреши управлявания от клиента ключ, администраторът Power Platform присвоява своите среди на корпоративните правила. След като средата е присвоена и запазена, Dataverse инициира процеса на криптиране, за да зададе всички данни за средата и да ги криптира с управлявания от клиента ключ.

Разрешаване на добавяне на управлявана среда към корпоративните правила

1. Влезте в центъра за администриране на Power Platform.
2. В навигационния екран изберете Управление.
3. В екрана Управление изберете Среди и след това изберете среда от наличния списък със среди.
4. Изберете Разрешаване на управлявани среди.
5. Изберете Разрешаване.

Добавяне на среда към корпоративните правила за шифроване на данни

Важно

Средата е забранена, когато се добави към корпоративните правила за шифроване на данни. Продължителността на престоя на системата зависи от размера на базата данни. Препоръчваме ви да направите тестово изпълнение, като направите копие на целевата среда в тестова среда, за да определите очакваното време за престой на системата. Времето за престой на системата може да се определи чрез проверка на състоянието на криптиране на средата. Времето за престой на системата е между статусите Криптиране и Криптиране - онлайн . За да намалим времето за престой на системата, променяме състоянието на криптиране на Криптиране - онлайн , когато всички основни стъпки за криптиране, които изискваха системата да не работи, са завършени. Системата може да се използва от вашите потребители, докато останалите услуги за съхранение, като търсене и Copilot index, продължават да криптират данните с вашия ключ, управляван от клиента.

1. Влезте в центъра за администриране на Power Platform.
2. В навигационния екран изберете Защита.
3. В екрана Защита изберете Данни и поверителност под Настройки.
4. Изберете Управляван от клиента шифроващ ключ , за да отидете на страницата Корпоративни правила.
5. Изберете правило и след това изберете Редактиране на правила.
6. Изберете Добавяне на среди, изберете желаната среда и след това изберете Продължи.
7. Изберете Записване, след което изберете Потвърждаване.

Важно

• В списъка Добавяне на среди се показват само среди, които са в същия регион като корпоративните правила.
• Завършването на шифроването може да отнеме до четири дни, но средата може да бъде разрешена, преди операцията за добавяне на среди да завърши.
• Операцията може да не завърши и ако е неуспешна, данните ви продължават да бъдат шифровани с ключ, управляван от Microsoft. Можете да изпълните отново операцията за добавяне на среди .

Бележка

Можете да добавяте само среди, които са разрешени като управлявани среди. Типовете среда Trial и Teams не могат да се добавят към корпоративните правила.

Премахване на среди от правила, за да се върнете към ключ, управляван от Microsoft

Следвайте тези стъпки, ако искате да се върнете към шифроващ ключ, управляван от Microsoft.

Важно

Средата е забранена, когато бъде премахната от корпоративните правила, за да се върне шифроването на данни с помощта на ключа, управляван от Microsoft.

1. Влезте в центъра за администриране на Power Platform.
2. В навигационния екран изберете Защита.
3. В екрана Защита изберете Данни и поверителност под Настройки.
4. Изберете Управляван от клиента шифроващ ключ , за да отидете на страницата Корпоративни правила.
5. Изберете раздела Среда с правила и след това намерете средата, която искате да премахнете от управлявания от клиента ключ.
6. Изберете раздела Всички правила , изберете средата, която сте потвърдили в стъпка 2, и след това изберете Редактиране на правила в командната лента.
7. Изберете Премахване на среда в командната лента, изберете средата, която искате да премахнете, и след това изберете Продължи.
8. Изберете Запиши.

Важно

Средата е забранена, когато бъде премахната от корпоративните правила, за да се върне шифроването на данни към управлявания от Microsoft ключ. Не изтривайте и не забранявайте ключа, не изтривайте или забранявайте хранилището за ключове и не премахвайте разрешенията на корпоративните правила за хранилището за ключове. Достъпът до ключа и хранилището за ключове е необходим за поддържане на възстановяването на базата данни. Можете да изтривате и премахвате разрешенията на корпоративните правила след 30 дни.

Преглед на състоянието на шифроване на средата

Преглед на състоянието на шифроване от корпоративните правила

1. Влезте в центъра за администриране на Power Platform.

2. В навигационния екран изберете Защита.

3. В екрана Защита изберете Данни и поверителност под Настройки.

4. Изберете Управляван от клиента шифроващ ключ , за да отидете на страницата Корпоративни правила.

5. Изберете правило и след това в командната лента изберете Редактиране на правила.

6. Прегледайте състоянието на шифроване на средата в раздела Среди с това правило .

   Бележка

   Състоянието на криптиране на средата може да бъде:

   • Криптиране - Процесът на шифроване на ключове, управляван от клиента, се изпълнява и системата е деактивирана за онлайн употреба.

   • Криптиране - онлайн - Криптирането на всички основни услуги, което изисква престой на системата, е завършено и системата е активирана за онлайн употреба.

   • Шифрован - Ключът за шифроване на корпоративните правила е активен и средата е шифрована с вашия ключ.

   • Връщане - Ключът за шифроване се променя от ключ, управляван от клиента, към ключ, управляван от Microsoft, и системата е забранена за онлайн употреба.

   • Връщане - онлайн - Криптирането на всички основни услуги, които изискват престой на системата, са върнали ключа и системата е активирана за онлайн употреба.

   • Управляван от Microsoft ключ - Шифроването на управляван от Microsoft ключ е активно.

   • Неуспешно – ключът за шифроване на корпоративните правила не се използва от всички Dataverse услуги за съхранение. Те изискват повече време за обработка и можете да изпълните отново операцията Добавяне на среда . Свържете се с поддръжката, ако операцията за повторно изпълнение е неуспешна.

     Състоянието на неуспешно шифроване не влияе на данните на вашата среда и нейните операции. Това означава, че някои от Dataverse услугите за съхранение шифроват вашите данни с вашия ключ, а други продължават да използват ключа, управляван от Microsoft. Връщането не се препоръчва, тъй като когато изпълните отново операцията Добавяне на среда , услугата се възобновява от мястото, откъдето е спряла.

   • Предупреждение - Ключът за шифроване на корпоративните правила е активен и една от данните на услугата продължава да бъде шифрована с ключа, управляван от Microsoft. Научете повече в Power Automate CMK предупредителни съобщения.

Преглед на състоянието на шифроване от страницата "Хронология на средата"

Можете да видите историята насредата.

1. Влезте в центъра за администриране на Power Platform.

2. В навигационния екран изберете Управление.

3. В екрана Управление изберете Среди и след това изберете среда от наличния списък със среди.

4. В командната лента изберете Хронология.

5. Намерете хронологията за актуализиране на управлявания от клиента ключ.

   Бележка

   Състоянието показва Изпълнява, когато шифроването е в ход. Показва Успешно , когато шифроването е завършено. Състоянието показва Неуспешно , когато има някакъв проблем с някоя от услугите, която не може да приложи шифроващия ключ.

   Състоянието Неуспешно може да бъде предупреждениеи не е необходимо да изпълнявате отново опцията Добавяне на среда . Можете да потвърдите дали това е предупреждение.

Промяна на ключа за шифроване на средата с нови корпоративни правила и ключ

За да промените ключа за шифроване, създайте нов ключ и ново корпоративно правило. След това можете да промените корпоративните правила, като премахнете средите и след това добавите средите към новите корпоративни правила. Системата не работи два пъти при преминаване към нова корпоративна политика - 1) за връщане на криптирането към ключ, управляван от Microsoft и 2) за прилагане на новата корпоративна политика.

Съвет

За да завъртите ключа за криптиране, препоръчваме да използвате новата версия на хранилището за ключове или да зададете правила за ротация.

1. В портала Azure създайте нов ключ и нова корпоративна политика. Повече информация: Създаване на шифроващ ключ и предоставяне на достъп и Създаване на корпоративно правило
2. Предоставете на новата корпоративна политика достъп до стария ключ.
3. След като новият ключ и корпоративните правила бъдат създадени, влезте в центъра Power Platform за администриране.
4. В навигационния екран изберете Защита.
5. В екрана Защита изберете Данни и поверителност под Настройки.
6. Изберете Управляван от клиента шифроващ ключ , за да отидете на страницата Корпоративни правила.
7. Изберете раздела Среда с правила и след това намерете средата, която искате да премахнете от управлявания от клиента ключ.
8. Изберете раздела Всички правила , изберете средата, която сте потвърдили в стъпка 2, и след това изберете Редактиране на правила в командната лента.
9. Изберете Премахване на среда в командната лента, изберете средата, която искате да премахнете, и след това изберете Продължи.
10. Изберете Запиши.
11. Повторете стъпки 2-10, докато всички среди в корпоративните правила бъдат премахнати.

Важно

Средата е забранена, когато бъде премахната от корпоративните правила, за да се върне шифроването на данни към управлявания от Microsoft ключ. Не изтривайте и не забранявайте ключа, не изтривайте или забранявайте хранилището за ключове и не премахвайте разрешенията на корпоративните правила за хранилището за ключове. Предоставете новата корпоративна политика на стария трезор за ключове. Достъпът до ключа и хранилището за ключове е необходим за поддържане на възстановяването на базата данни. Можете да изтриете и премахнете разрешенията на корпоративните правила след 30 дни.

12. След като всички среди бъдат премахнати, от Power Platform центъра за администриране отидете на Корпоративни правила.
13. Изберете новите корпоративни правила и след това изберете Редактиране на правила.
14. Изберете Добавяне на среда, изберете средите, които искате да добавите, и след това изберете Продължи.

Важно

Средата е забранена, когато се добави към новите корпоративни правила.

Завъртане на шифроващия ключ на средата с нова версия на ключа

Можете да промените ключа за шифроване на средата, като създадете нова версия на ключа. Когато създавате нова версия на ключа, новата версия на ключа се активира автоматично. Всички ресурси за съхранение откриват новата версия на ключа и започват да я прилагат, за да криптират вашите данни.

Когато промените ключа или версията на ключа, защитата на основния шифроващ ключ се променя, но данните в хранилището винаги остават шифровани с вашия ключ. Не се изискват повече действия от ваша страна, за да гарантирате, че вашите данни са защитени. Завъртането на ключовата версия не влияе на производителността. Няма прекъсване, свързано с завъртането на версията на ключа. Може да отнеме 24 часа на всички доставчици на ресурси да приложат новата ключова версия във фонов режим. Предишната версия на ключа не трябва да бъде деактивирана , тъй като е необходима услугата да я използва за повторно криптиране и за поддръжка на възстановяване на база данни.

За да завъртите шифроващия ключ чрез създаване на нова версия на ключа, използвайте следните стъпки.

1. Отиди в портала Azure>Key Vaults и намери ключовия сейф, където искаш да създадеш нова ключова версия.
2. Придвижете се до Клавиши.
3. Изберете текущия, активиран ключ.
4. Изберете + нова версия.
5. Настройката Разрешено по подразбиране е Да, което означава, че новата версия на ключа се активира автоматично при създаване.
6. Изберете Създаване.

Съвет

За да спазите правилата си за смяна на ключове, можете да завъртите шифроващия ключ с помощта на правилата за ротация. Можете да конфигурирате правила за ротация или да завъртите при поискване, като извикате Завъртане сега.

Важно

Новата версия на ключа се завърта автоматично във фонов режим и не се изисква действие от Power Platform администратора. Важно е предишната версия на ключа да не бъде деактивирана или изтривана поне за 28 дни, за да поддържа възстановяването на базата данни. Деактивирането или изтриването на предишната версия на ключа твърде рано може да изключи средата ви.

Преглед на списъка с криптирани среди

1. Влезте в центъра за администриране на Power Platform.
2. В навигационния екран изберете Защита.
3. В екрана Защита изберете Данни и поверителност под Настройки.
4. Изберете Управляван от клиента шифроващ ключ , за да отидете на страницата Корпоративни правила.
5. На страницата Корпоративни правила изберете раздела Среди с правила . Показва се списъкът със среди, които са добавени към корпоративните правила.

Бележка

Може да има ситуации, при които състоянието на средата или състоянието на шифроване показва състояние Неуспешно . Когато това се случи, можете да опитате да престартирате операцията Add среда или да подадете Microsoft Support заявка за помощ.

Операции на база данни на среда

Клиентският клиент може да има среди, които са шифровани с помощта на управлявания от Microsoft ключ и среди, които са шифровани с управлявания от клиента ключ. За да се поддържа целостта на данните и защитата на данните, са налични следните контроли при управление на операции с база данни на среда.

• Възстановяване Средата за презаписване (възстановената в среда) е ограничена до същата среда, от която е взето архивното копие, или до друга среда, която е шифрована със същия ключ, управляван от клиента.

  

• Копирам

  Средата за презаписване (копираната в среда) е ограничена до друга среда, която е шифрована със същия ключ, управляван от клиента.

  

  Бележка

  Ако е създадена среда за разследване на поддръжка, за да разреши проблем с поддръжката в среда, управлявана от клиента, ключът за шифроване за средата за разследване на поддръжката трябва да бъде променен на управляван от клиента ключ, преди да може да се извърши операцията на среда за копиране.

• Нулиране Криптираните данни на средата се изтриват, включително резервните копия. След като средата бъде нулирана, шифроването на средата ще се върне обратно към ключа, управляван от Microsoft.

Следващи стъпки

Около Azure Key Vault