Administrar la clau de xifratge gestionada pel client

Els clients tenen requisits de privadesa i compliment de dades per protegir les seves dades xifrant les seves dades en repòs. Això protegeix les dades de l'exposició en cas de robatori d'una còpia de la base de dades. Amb el xifratge de dades en repòs, les dades de la base de dades robades estan protegides de ser restaurades a un servidor diferent sense la clau de xifratge.

Totes les dades del client emmagatzemades es Power Platform xifren en repòs amb claus de xifratge segures gestionades per Microsoft per defecte. Microsoft emmagatzema i administra la clau de xifratge de la base de dades per a totes les vostres dades perquè no hàgiu de fer-ho. No obstant això, Power Platform proporciona aquesta clau de xifratge gestionada pel client (CMK) per al control de protecció de dades afegit on podeu autogestionar la clau de xifratge de la base de dades associada al vostre Microsoft Dataverse entorn. Això us permet girar o intercanviar la clau de xifratge sota demanda i també us permet impedir l'accés de Microsoft a les vostres dades de client quan revocau l'accés de la clau als nostres serveis en qualsevol moment.

Per obtenir més informació sobre l'entrada Power Platform de claus gestionades pel client, mireu el vídeo de claus gestionades pel client.

Aquestes operacions de clau de xifratge estan disponibles amb la clau gestionada pel client (CMK):

• Creeu una clau RSA (RSA-HSM) des del vostre dipòsit de claus de l'Azure.
• Creeu una Power Platform política d'empresa per a la clau.
• Concediu permís a la política d'empresa Power Platform per accedir al vostre dipòsit de claus.
• Concediu a l'administrador Power Platform del servei que llegeixi la política d'empresa.
• Apliqueu la clau de xifratge al vostre entorn.
• Revertir o suprimir el xifratge CMK de l'entorn a la clau administrada per Microsoft.
• Canvieu la clau creant una nova política d'empresa, eliminant l'entorn de CMK i tornant a aplicar CMK amb una nova política d'empresa.
• Bloquejar entorns CMK revocant els permisos de clau o de clau de la CMK.
• Migreu entorns BYOK a CMK aplicant la clau CMK.

Actualment, totes les dades dels clients emmagatzemades només a les aplicacions i serveis següents es poden xifrar amb clau gestionada pel client:

• Dataverse (Solucions personalitzades i serveis de Microsoft)
• Dataverse Copilot per a aplicacions basades en models
• Power Automate
• Xat per al Dynamics 365
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (finances i operacions)
• Dynamics 365 Intelligent Order Management (Finances i operacions)
• Dynamics 365 Project Operations (Finances i operacions)
• Dynamics 365 Supply Chain Management (Finances i operacions)
• Dynamics 365 Fraud Protection (Finances i operacions)

Nota

Nuance Conversational IVR i Maker Welcome Content s'exclouen del xifratge de claus gestionades pel client.

Microsoft Copilot Studio emmagatzema les seves dades en el seu propi emmagatzematge i en Microsoft Dataverse. Quan apliqueu la clau gestionada pel client a aquests entorns, només els magatzems de dades es Microsoft Dataverse xifren amb la vostra clau. Les dades que no sónMicrosoft Dataverse es continuen xifrant amb la clau administrada per Microsoft.

Nota

La configuració de connexió dels connectors es continuarà xifrant amb una clau administrada per Microsoft.

Poseu-vos en contacte amb un representant dels serveis que no figuren a la llista anterior per obtenir informació sobre el suport de claus gestionat pel client.

Nota

Power Apps els noms de visualització, les descripcions i les metadades de connexió es continuen xifrant amb una clau administrada per Microsoft.

Nota

L'enllaç de resultats de baixada i altres dades produïdes per l'aplicació del verificador de solucions durant una comprovació de solucions es continuen xifrant amb una clau administrada per Microsoft.

Els entorns amb aplicacions de finances i operacions on Power Platform la integració està habilitada també es poden xifrar. Els entorns de finances i operacions sense Power Platform integració continuaran utilitzant la clau administrada per defecte de Microsoft per xifrar les dades. Més informació: Xifratge a les aplicacions de finances i operacions

Introducció a la clau gestionada pel client

Amb la clau gestionada pel client, els administradors poden proporcionar la seva pròpia clau de xifratge des del seu propi Azure Key Vault als serveis d'emmagatzematge Power Platform per xifrar les dades dels clients. Microsoft no té accés directe al vostre Azure Key Vault. Per Power Platform als serveis per accedir a la clau de xifratge des de l'Azure Key Vault, l'administrador crea una Power Platform norma d'empresa, que fa referència a la clau de xifratge i concedeix a aquesta política d'empresa accés per llegir la clau de l'Azure Key Vault.

L'administrador Power Platform del servei pot afegir Dataverse entorns a la política d'empresa per començar a xifrar totes les dades del client de l'entorn amb la vostra clau de xifratge. Els administradors poden canviar la clau de xifratge de l'entorn creant una altra política d'empresa i afegint l'entorn (després de suprimir-la) a la nova política d'empresa. Si l'entorn ja no s'ha de xifrar amb la clau administrada pel client, l'administrador pot suprimir l'entorn Dataverse de la norma d'empresa per revertir el xifratge de dades a la clau administrada per Microsoft.

L'administrador pot bloquejar els entorns de claus gestionats pel client revocant l'accés de clau de la política d'empresa i desbloquejar els entorns restaurant l'accés de clau. Més informació: Bloquejar entorns revocant l'accés al dipòsit de claus i/o als permisos de clau

Per simplificar les tasques clau de gestió, les tasques es divideixen en tres àrees principals:

1. Crea una clau de xifratge.
2. Creeu una política d'empresa i concediu accés.
3. Gestionar el xifratge de l'entorn.

Advertiment

Quan els entorns estan bloquejats, ningú hi pot accedir, inclòs el suport tècnic de Microsoft. Els entorns bloquejats es desactiven i es pot produir la pèrdua de dades.

Requisits de llicència per a la clau gestionada pel client

La norma de claus administrades pel client només s'aplica als entorns activats per als Entorns administrats. Els Entorns administrats s'inclouen com a dret a les llicències autònomes Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, i del Dynamics 365 que atorguen drets d'ús premium. Obteniu més informació sobre les llicències de l'entorn administrat, amb la informació general de les llicències per Microsoft Power Platform.

A més, l'accés a l'ús de la clau administrada pel client per al Microsoft Power Platform Dynamics 365 requereix que els usuaris dels entorns on s'aplica la norma de clau de xifratge tinguin una d'aquestes subscripcions:

• Microsoft 365 o Office 365 A5/E5/G5
• Compliment del Microsoft 365 A5/E5/F5/G5
• Seguretat i compliment del Microsoft 365 F5
• Microsoft 365 A5/E5/F5/G5 Protecció de la informació i govern
• Administració de riscos interns del Microsoft 365 A5/E5/F5/G5

Obteniu més informació sobre aquestes llicències.

Entendre el risc potencial quan gestioneu la clau

Com qualsevol altra aplicació de negocis fonamental, el personal de la vostra organització que té accés administratiu ha de ser de confiança. Abans d'utilitzar la funció d'administració de claus, heu de comprendre el risc d'administrar les claus de xifratge de base de dades. És concebible que un administrador maliciós (una persona a qui se li concedeix o ha obtingut accés de nivell d'administrador amb la intenció de danyar la seguretat o els processos empresarials d'una organització) que treballa dins de la vostra organització pugui utilitzar la característica d'administració de claus per crear una clau i utilitzar-la per bloquejar els vostres entorns a l'inquilí.

Tingueu en compte ka seqüència d'esdeveniments següent.

L'administrador del dipòsit de claus maliciós crea una clau i una norma d'empresa al portal de l'Azure. L'administrador de l'Azure Key Vault va al centre d'administració Power Platform i afegeix entorns a la norma d'empresa. L'administrador maliciós torna al portal de l'Azure i revoca l'accés amb clau a la política d'empresa, bloquejant així tots els entorns. Això provoca interrupcions empresarials a mesura que tots els entorns es tornen inaccessibles i, si aquest esdeveniment no es resol, és a dir, es restaura l'accés a claus, es poden perdre les dades de l'entorn.

Nota

• Azure Key Vault té mesures de seguretat integrades que ajuden a restaurar la clau, que requereixen habilitada la configuració del dipòsit de claus de protecció de supressió suau i purga.
• Una altra salvaguarda que cal tenir en compte és assegurar-se que hi ha separació de tasques on l'administrador de l'Azure Key Vault no té accés al Power Platform centre d'administració.

Separació de deures per mitigar el risc

En aquesta secció es descriuen les funcions de característiques clau gestionades pel client de les quals és responsable cada funció d'administrador. Separar aquestes tasques ajuda a mitigar el risc que comporten les claus gestionades pel client.

Tasques d'administració del servei Azure Key Vault i Power Platform/o Dynamics 365

Per habilitar les claus gestionades pel client, primer l'administrador del dipòsit de claus crea una clau al dipòsit de claus de l'Azure i crea una Power Platform norma empresarial. Quan es crea la norma d'empresa, es crea una identitat administrada d'ID especial Microsoft Entra . A continuació, l'administrador del dipòsit de claus torna al dipòsit de claus de l'Azure i concedeix accés a la política d'empresa/identitat administrada a la clau de xifratge.

L'administrador del dipòsit de claus concedeix a l'administrador del servei del Dynamics 365 accés Power Platform de lectura a la norma d'empresa. Un cop concedit el permís de lectura, l'administrador Power Platform del servei del Dynamics 365 pot anar al Centre d'administració Power Platform i afegir entorns a la norma d'empresa. Les dades del client de tots els entorns afegits es xifren amb la clau gestionada pel client enllaçada a aquesta política empresarial.

Requisits previs

• Una subscripció a l'Azure que inclou mòduls de seguretat de maquinari administrats per Azure Key Vault o Azure Key Vault.
• Un Microsoft Entra document d'identitat amb:
  • Permís de col·laborador a la Microsoft Entra subscripció.
  • Permís per crear una clau i un Azure Key Vault.
  • Accés per crear un grup de recursos. Això és necessari per configurar la volta de claus.

Crear la clau i concedir accés mitjançant Azure Key Vault

L'administrador de l'Azure Key Vault realitza aquestes tasques a l'Azure.

1. Creeu una subscripció de pagament de l'Azure i Key Vault. Ignoreu aquest pas si ja teniu una subscripció que inclogui Azure Key Vault.
2. Aneu al servei Azure Key Vault i creeu una clau. Més informació: Crear una clau al dipòsit de claus
3. Habiliteu el servei de polítiques d'empresa per a la vostra subscripció de l'Azure Power Platform . Fes-ho només una vegada. Més informació: Habilitar el servei de polítiques d'empresa per a la subscripció de l'Azure Power Platform
4. Creeu una Power Platform política d'empresa. Més informació: Crear una política d'empresa
5. Concediu permisos de política d'empresa per accedir al dipòsit de claus. Més informació: Concedir permisos de política d'empresa per accedir al dipòsit de claus
6. Concediu Power Platform permís als administradors del Dynamics 365 per llegir la norma d'empresa. Més informació: Concedir privilegis d'administrador per llegir la Power Platform política d'empresa

Power Platform/Tasques del Centre d'administració del Power Platform servei del Dynamics 365

Requisit previ

• Power Platform administrador ha d'estar assignat a la funció d'administrador Power Platform del Microsoft Entra servei del Dynamics 365.

Administrar el xifratge de l'entorn al Power Platform centre d'administració

L'administrador Power Platform administra les tasques clau administrades pel client relacionades amb l'entorn al Power Platform centre d'administració.

1. Afegiu els Power Platform entorns a la política d'empresa per xifrar les dades amb la clau gestionada pel client. Més informació: Afegir un entorn a la norma d'empresa per xifrar dades
2. Suprimiu els entorns de la política empresarial per retornar el xifratge a la clau administrada de Microsoft. Més informació: Suprimir entorns de la norma per tornar a la clau administrada de Microsoft
3. Canvieu la clau eliminant entorns de l'antiga política d'empresa i afegint entorns a una nova política d'empresa. Més informació: Crear una clau d'encriptació i concedir accés
4. Migrar des de BYOK. Si utilitzeu la característica anterior de clau de xifratge autoadministrada, podeu migrar la clau a la clau administrada pel client. Més informació: Migrar entorns de porteu la vostra pròpia clau a clau gestionada pel client

Crear una clau de xifratge i concedir accés

Crear una subscripció de pagament de l'Azure i un dipòsit de claus

A Azure, realitzeu els passos següents:

1. Creeu una subscripció de pagament per consum o la seva equivalent a l'Azure. Aquest pas no és necessari si l'inquilí ja té una subscripció.

2. Creeu un grup de recursos. Més informació: Crear grups de recursos

   Nota

   Creeu o utilitzeu un grup de recursos que tingui una ubicació, per exemple, Centre dels EUA, que coincideixi amb la regió de l'entorn Power Platform , com ara Estats Units.

3. Creeu un dipòsit de claus amb la subscripció de pagament que inclogui la protecció contra supressió parcial i purga amb el grup de recursos que heu creat al pas anterior.

   Important

   • Per garantir que l'entorn estigui protegit de la supressió accidental de la clau de xifratge, la caixa de voltes de claus ha de tenir habilitada la protecció contra supressió i purga. No podreu xifrar el vostre entorn amb la vostra pròpia clau sense habilitar aquesta configuració. Més informació: Informació general sobre la supressió suau de l'Azure Key Vault Més informació: Crear un dipòsit de claus mitjançant el portal de l'Azure

Crear una clau al dipòsit de claus

1. Assegureu-vos que heu complert els requisits previs.
2. Aneu al Key Vault del portal>de l'Azure i localitzeu el dipòsit de claus on voleu generar una clau de xifratge.
3. Verifiqueu la configuració del voltant de claus de l'Azure:
   1. Seleccioneu Propietats a Configuració.
   2. A Supressió parcial, definiu o verifiqueu que estigui definit com a S'ha habilitat la supressió suau en aquesta opció de volta de claus.
   3. A Protecció de purga, definiu o verifiqueu que Habilita la protecció de purga (aplicar un període de retenció obligatori per a les voltes suprimides i els objectes de la caixa).
   4. Si heu fet canvis, seleccioneu Desa.

Crear claus RSA

1. Creeu o importeu una clau que tingui aquestes propietats:

   1. A les pàgines de propietats del Key Vault , seleccioneu Claus.
   2. Seleccioneu Genera/Importa.
   3. A la pantalla Crea una clau , definiu els valors següents i, a continuació, seleccioneu Crea.
      • Opcions: Genera
      • Nom: proporcioneu un nom per a la clau
      • Tipus de clau: RSA
      • Mida de la clau RSA: 2048

   Important

   Si definiu una data de caducitat a la clau i la clau ha caducat, tots els entorns xifrats amb aquesta clau estaran inactius. Definiu una alerta per supervisar els certificats de caducitat amb notificacions per correu electrònic per a l'administrador local Power Platform i l'administrador del voltat de claus de l'Azure com a recordatori per renovar la data de caducitat. Això és important per evitar interrupcions no planificades del sistema.

Importar claus protegides per als mòduls de seguretat de maquinari (HSM)

Podeu utilitzar les claus protegides per als mòduls de seguretat de maquinari (HSM) per xifrar els entorns Power Platform Dataverse . Les claus protegides per HSM s'han d'importar al dipòsit de claus perquè es pugui crear una norma d'empresa. Per obtenir més informació, vegeu HSM admesos Importar clausprotegides per HSM al Key Vault (BYOK).

Crear una clau a l'HSM administrat de l'Azure Key Vault

Podeu utilitzar una clau de xifratge creada a partir de l'HSM administrat de l'Azure Key Vault per xifrar les dades de l'entorn. Això us ofereix suport FIPS 140-2 Nivell 3.

Crear claus RSA-HSM

1. Assegureu-vos que heu complert els requisits previs.

2. Aneu al portal de l'Azure.

3. Crear un HSM administrat:

   1. Proveïu l'HSM administrat.
   2. Activeu l'HSM administrat.

4. Habiliteu la protecció de purga al vostre HSM administrat.

5. Concediu la funció d'usuari criptogràfic de l'HSM gestionat a la persona que ha creat la caixa de claus de l'HSM administrat.

   1. Accediu al dipòsit de claus de l'HSM gestionat al portal de l'Azure.
   2. Aneu a RBAC local i seleccioneu + Afegeix.
   3. A la llista desplegable Funció , seleccioneu la funció Usuari criptogràfic de l'HSM administrat a la pàgina Assignació de funcions.
   4. Seleccioneu Totes les claus a Àmbit.
   5. Seleccioneu Seleccioneu l'entitat de seguretat i, a continuació, seleccioneu l'administrador a la pàgina Afegeix una entitat principal .
   6. Seleccioneu Crea.

6. Creeu una clau RSA-HSM:

   • Opcions: Genera
   • Nom: proporcioneu un nom per a la clau
   • Tipus de clau: RSA-HSM
   • Mida de la clau RSA: 2048

   Nota

   Mides de clau RSA-HSM compatibles : 2048 bits i 3072 bits.

Xifrar el vostre entorn amb la clau de l'Azure Key Vault amb enllaç privat

Podeu actualitzar la xarxa del vostre dipòsit de claus de l'Azure habilitant un punt final privat i utilitzar la clau del dipòsit de claus per xifrar els vostres Power Platform entorns.

Podeu crear un nou dipòsit de claus i establir una connexió d'enllaç privat o establir una connexió d'enllaç privat a un dipòsit de claus existent i crear una clau a partir d'aquest dipòsit de claus i utilitzar-lo per xifrar el vostre entorn. També podeu establir una connexió d'enllaç privat a un dipòsit de claus existent després d'haver creat una clau i utilitzar-la per xifrar el vostre entorn.

Xifrar dades amb clau des de la caixa de voltes de claus amb enllaç privat

1. Creeu un dipòsit de claus de l'Azure amb aquestes opcions:

   • Habilita la protecció de purga
   • Tipus de clau: RSA
   • Mida de la clau: 2048

2. Copieu l'adreça URL del dipòsit de claus i l'adreça URL de la clau de xifratge que s'utilitzarà per crear la norma d'empresa.

   Nota

   Un cop hàgiu afegit un punt final privat al vostre dipòsit de claus o inhabilitat la xarxa d'accés públic, no podreu veure la clau tret que tingueu el permís adequat.

3. Creeu una xarxa virtual.

4. Torneu al vostre dipòsit de claus i afegiu connexions de punt final privat al vostre dipòsit de claus de l'Azure.

   Nota

   Heu de seleccionar l'opció Inhabilita la xarxa d'accés públic i habilitar Permet que els serveis de Microsoft de confiança evitin aquesta excepció de tallafoc .

5. Creeu una Power Platform política d'empresa. Més informació: Crear una política d'empresa

6. Concediu permisos de política d'empresa per accedir al dipòsit de claus. Més informació: Concedir permisos de política d'empresa per accedir al dipòsit de claus

7. Concediu Power Platform permís als administradors del Dynamics 365 per llegir la norma d'empresa. Més informació: Concedir privilegis d'administrador per llegir la Power Platform política d'empresa

8. Power Platform L'administrador del centre d'administració selecciona l'entorn per xifrar i habilitar l'entorn administrat. Més informació: Habilita l'entorn administrat per afegir a la norma d'empresa

9. Power Platform L'administrador del centre d'administració afegeix l'entorn administrat a la norma d'empresa. Més informació: Afegir un entorn a la norma d'empresa per xifrar dades

Habilitar el servei de polítiques d'empresa per a la vostra subscripció a l'Azure Power Platform

Registreu-vos Power Platform com a proveïdor de recursos. Només heu de fer aquesta tasca una vegada per a cada subscripció de l'Azure on resideix el vostre dipòsit de claus de l'Azure. Heu de tenir drets d'accés a la subscripció per registrar el proveïdor de recursos.

1. Inicieu sessió al portal de l'Azure i aneu a Proveïdors de recursos de subscripció>.
2. A la llista de proveïdors derecursos, cerqueu Microsoft.PowerPlatform i registreu-lo .

Crear una política d'empresa

1. Instal·leu el PowerShell MSI. Més informació: Instal·lar PowerShell a Windows, Linux i macOS
2. Després d'instal·lar l'MSI del PowerShell, torneu a Implementa una plantilla personalitzada a l'Azure.
3. Seleccioneu l'enllaç Crea la teva pròpia plantilla a l'editor .
4. Copieu aquesta plantilla JSON en un editor de text com ara el Bloc de notes. Més informació: Plantilla json de política d'empresa
5. Substituïu els valors de la plantilla JSON per: EnterprisePolicyName,location on s'ha de crear EnterprisePolicy,keyVaultId i keyName. Més informació: Definicions de camp per a la plantilla json
6. Copieu la plantilla actualitzada de l'editor de text i, a continuació, enganxeu-la a la plantilla Edita de la implementació personalitzada a l'Azure i seleccioneu Desa.
7. Seleccioneu una subscripció i un grup de recursos on s'ha de crear la norma d'empresa.
8. Seleccioneu Revisa + crea i, a continuació, seleccioneu Crea.

S'inicia una implementació. Quan s'acaba, es crea la política d'empresa.

Plantilla json de política d'empresa

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definicions de camp per a la plantilla JSON

• nom. Nom de la norma d'empresa. Aquest és el nom de la norma que apareix al Power Platform centre d'administració.

• ubicació. Un dels següents. Aquesta és la ubicació de la política d'empresa i ha de correspondre a la regió de l'entorn Dataverse :

  • ''Estats Units''
  • 'Sud-àfrica''
  • ''Regne Unit''
  • ''Japó''
  • '"Índia"
  • ''França''
  • ''Europa''
  • ''Alemanya''
  • ''Suïssa''
  • ''Canadà''
  • ''Brasil''
  • ''Austràlia''
  • ''Àsia''
  • '"Emirats Àrabs Units"
  • ''Corea''
  • ''Noruega''
  • ''Singapur''
  • ''Suècia''

• Copieu aquests valors de les propietats del dipòsit de claus al portal de l'Azure:

  • keyVaultId: aneu a Voltes de claus> , seleccioneu la vostra > visió general del dipòsitde claus. Al costat de Essentials , seleccioneu Visualització JSON. Copieu l'identificador del recurs al porta-retalls i enganxeu tot el contingut a la plantilla JSON.
  • keyName: aneu a Voltes de claus> , seleccioneu el vostre dipòsit >de claus. Fixeu-vos en la clau Name i escriviu el nom a la plantilla JSON.

Concedir permisos de política d'empresa per accedir al dipòsit de claus

Un cop creada la norma d'empresa, l'administrador del dipòsit de claus concedeix accés a la identitat administrada de la norma d'empresa a la clau de xifratge.

1. Inicieu sessió al portal de l'Azure i aneu a Key Vaults .
2. Seleccioneu el dipòsit de claus on s'ha assignat la clau a la norma d'empresa.
3. Seleccioneu la pestanya Control d'accés (IAM) i, a continuació, seleccioneu + Afegeix.
4. Seleccioneu Afegeix assignació de funcions a la llista desplegable,
5. Cerqueu l'usuari de xifratge del servei criptogràfic de Key Vault i seleccioneu-lo.
6. Seleccioneu Següent.
7. Selecciona + Selecciona membres.
8. Cerqueu la política d'empresa que heu creat.
9. Seleccioneu la norma d'empresa i, a continuació, trieu Selecciona.
10. Seleccioneu Revisa + assigna.

Nota

La configuració de permisos anterior es basa en el model de permisos del vostre volten de claus del control d'accés basat en funcions de l'Azure. Si el vostre dipòsit de claus està definit com a norma d'accés del dipòsit, us recomanem que migreu al model basat en funcions. Per concedir a la vostra política d'empresa accés al dipòsit de claus mitjançant la norma d'accés al caix, creeu una norma d'accés, seleccioneu Obteniu a les operacions d'administració de claus i Desembolica la clau i Empaqueta la clau a les operacions criptogràfiques.

Nota

Per evitar interrupcions no planificades del sistema, és important que la política d'empresa tingui accés a la clau. Assegureu-vos que:

• La volta de claus està activa.
• La clau està activa i no ha caducat.
• La clau no se suprimeix.
• Els permisos de clau anteriors no es revocan.

Els entorns que utilitzen aquesta clau es desactivaran quan la clau de xifratge no sigui accessible.

Concedir el privilegi d'administrador per llegir la Power Platform política d'empresa

Els administradors que tenen funcions del Dynamics 365 o Power Platform d'administració poden accedir al centre d'administració Power Platform per assignar entorns a la norma d'empresa. Per accedir a les normes d'empresa, cal que l'administrador amb accés al dipòsit de claus de l'Azure concedeixi la funció de lector a l'administrador Power Platform . Un cop concedida la funció de lector , l'administrador Power Platform pot visualitzar les polítiques d'empresa al centre d'administració Power Platform .

Nota

Només Power Platform els administradors del Dynamics 365 als quals se'ls concedeix la funció de lector a la norma d'empresa poden afegir un entorn a la norma. És possible que altres Power Platform administradors del Dynamics 365 puguin visualitzar la norma d'empresa, però rebran un error quan intentin afegir entorn a la norma .

Atorgar la funció de lector a un Power Platform administrador

1. Inicieu la sessió al portal de l'Azure.
2. Copieu l'identificador d'objecte de l'administrador Power Platform del Dynamics 365. Per fer-ho:
   1. Aneu a l'àrea d'usuaris d'Azure .
   2. A la llista Tots els usuaris , cerqueu l'usuari amb Power Platform permisos d'administrador del Dynamics 365 mitjançant Cerca usuaris.
   3. Obriu el registre d'usuari i, a la pestanya Visió general , copieu l'ID d'objectede l'usuari. Enganxeu-ho en un editor de text com el Bloc de notes per a més endavant.
3. Copieu l'identificador de recurs de la política d'empresa. Per fer-ho:
   1. Aneu a l'Explorador de gràfics de recursos a l'Azure.
   2. Introduïu microsoft.powerplatform/enterprisepolicies al quadre Cerca i, a continuació, seleccioneu el recurs Microsoft.powerplatform/enterprisepolicies .
   3. Seleccioneu Executa la consulta a la barra d'ordres. Es mostra una llista de totes les polítiques d'empresa Power Platform .
   4. Cerqueu la norma d'empresa on voleu concedir accés.
   5. Desplaceu-vos cap a la dreta de la norma d'empresa i seleccioneu Mostra els detalls.
   6. A la pàgina Detalls , copieu l'identificador .
4. Inicieu l'Azure Cloud Shell i executeu l'ordre següent substituint objId per l'ID d'objecte de l'usuari i l'ID de recurs EP per l'ID enterprisepolicies copiat en els passos anteriors: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Gestionar l'encriptació de l'entorn

Per administrar el xifratge de l'entorn, necessiteu el permís següent:

• Microsoft Entra usuari actiu que té una Power Platform funció de seguretat d'administrador del Dynamics 365.
• Microsoft Entra usuari que té una funció d'administrador Power Platform de servei o del Dynamics 365.

L'administrador del dipòsit de claus notifica a l'administrador que s'han Power Platform creat una clau de xifratge i una norma d'empresa i proporciona la política d'empresa a l'administrador Power Platform . Per habilitar la clau gestionada pel client, l'administrador Power Platform assigna els seus entorns a la norma d'empresa. Un cop assignat i desat l'entorn, Dataverse inicia el procés de xifratge per establir totes les dades de l'entorn i xifrar-les amb la clau gestionada pel client.

Habilita l'entorn gestionat per afegir a la norma d'empresa

1. Inicieu sessió al Centre Power Platform d'administraciói localitzeu l'entorn.
2. Seleccioneu i comproveu l'entorn a la llista d'entorns.
3. Seleccioneu la icona Habilita Entorns administrats a la barra d'accions.
4. Seleccioneu Habilita.

Afegir un entorn a la política d'empresa per xifrar dades

Important

L'entorn es desactivarà quan s'afegeixi a la política d'empresa per al xifratge de dades.

1. Inicieu la sessió al Centre Power Platform d'administració i aneu aPolítiques d'empresa>.
2. Seleccioneu una norma i, a continuació, a la barra d'ordres, seleccioneu Edita.
3. Seleccioneu Afegeix entorns, seleccioneu l'entorn que vulgueu i, a continuació, seleccioneu Continua.
4. Seleccioneu Desa i, a continuació, seleccioneu Confirma.

Important

• Només es mostren els entorns que es troben a la mateixa regió que la norma d'empresa a la llista Afegeix entorns .
• El xifratge pot trigar fins a quatre dies a completar-se, però l'entorn es pot habilitar abans que finalitzi l'operació Afegeix entorns .
• Pot ser que l'operació no s'hagi completat i, si falla, les dades es continuen xifrant amb la clau administrada de Microsoft. Podeu tornar a executar l'operació Afegeix entorns .

Nota

Només podeu afegir entorns que estiguin habilitats com a Entorns administrats. Els tipus d'entorn de prova i del Teams no es poden afegir a la norma d'empresa.

Suprimir entorns de la norma per tornar a la clau administrada de Microsoft

Seguiu aquests passos si voleu tornar a una clau de xifratge administrada per Microsoft.

Important

L'entorn es desactivarà quan se suprimeixi de la norma d'empresa per retornar el xifratge de dades mitjançant la clau administrada de Microsoft.

1. Inicieu la sessió al Centre Power Platform d'administració i aneu aPolítiques d'empresa>.
2. Seleccioneu la pestanya Entorn amb normes i, a continuació, cerqueu l'entorn que voleu suprimir de la clau administrada pel client.
3. Seleccioneu la pestanya Totes les normes , seleccioneu l'entorn que heu verificat al pas 2 i, a continuació, seleccioneu Edita la norma a la barra d'ordres.
4. Seleccioneu Suprimeix l'entorn a la barra d'ordres, seleccioneu l'entorn que voleu suprimir i, a continuació, seleccioneu Continua.
5. Seleccioneu Desa.

Important

L'entorn es desactivarà quan s'elimini de la norma d'empresa per revertir el xifratge de dades a la clau administrada per Microsoft. No suprimiu ni inhabiliteu la clau, suprimiu ni inhabiliteu el dipòsit de claus ni suprimiu els permisos de la norma d'empresa al dipòsit de claus. L'accés a la clau i al dipòsit de claus és necessari per donar suport a la restauració de la base de dades. Podeu suprimir i suprimir els permisos de la norma d'empresa al cap de 30 dies.

Revisar l'estat de xifratge de l'entorn

Revisar l'estat de xifratge des de les polítiques d'empresa

1. Inicieu la sessió al Centre d'administració del Power Platform.

2. Seleccioneu Polítiques>d'empresa.

3. Seleccioneu una norma i, a continuació, a la barra d'ordres, seleccioneu Edita.

4. Reviseu l'estat de xifratge de l'entorn a la secció Entorns amb aquesta política .

   Nota

   L'estat de xifratge de l'entorn pot ser:

   • Xifrat : la clau de xifratge de la política d'empresa està activa i l'entorn està xifrat amb la vostra clau.
   • Error: tots els Dataverse serveis d'emmagatzematge no utilitzen la clau de xifratge de la política empresarial. Requereixen més temps per processar-se i podeu tornar a executar l'operació Afegeix entorn . Poseu-vos en contacte amb el servei d'assistència si falla la repetició.
   • Advertiment : la clau de xifratge de la política d'empresa està activa i una de les dades del servei es continua xifrant amb la clau administrada per Microsoft. Més informació: Power Automate Missatges d'advertiment de l'aplicació CMK

   Podeu tornar a executar l'opció Afegeix un entorn per a l'entorn que té un estat de xifratge fallit .

Revisar l'estat del xifratge des de la pàgina Historial de l'entorn

Podeu veure l'historial de l'entorn.

1. Inicieu la sessió al Centre d'administració del Power Platform.

2. Seleccioneu Entorns a la subfinestra de navegació i, a continuació, seleccioneu un entorn de la llista.

3. A la barra d'ordres, seleccioneu Historial.

4. Localitzeu l'historial d'Actualitza la clau gestionada pel client.

   Nota

   L'estat mostra En execució quan l'encriptació està en curs. Mostra Correcte quan s'ha completat l'encriptació. L'estat mostra Failed quan hi ha algun problema amb un dels serveis que no pot aplicar la clau de xifratge.

   Un estat Failed pot ser un advertiment i no cal que torneu a executar l'opció Afegeix entorn . Pots confirmar si es tracta d'un avís.

Canviar la clau de xifratge de l'entorn amb una nova política i clau d'empresa

Per canviar la clau de xifratge, creeu una clau nova i una nova política d'empresa. A continuació, podeu canviar la política d'empresa eliminant els entorns i afegint els entorns a la nova política d'empresa. El sistema està inactiu dues vegades quan es canvia a una nova política empresarial: 1) per revertir el xifratge a la clau administrada de Microsoft i 2) per aplicar la nova política empresarial.

Propina

Per girar la clau de xifratge, us recomanem que utilitzeu la versió nova dels voltes de claus o definiu una norma de rotació.

1. Al portal de l'Azure, creeu una clau nova i una nova norma empresarial. Més informació: Crear una clau d'encriptació i concedir accés i Crear una norma d'empresa
2. Un cop creada la nova clau i la nova política d'empresa, aneu a Polítiques>d'empresa.
3. Seleccioneu la pestanya Entorn amb normes i, a continuació, cerqueu l'entorn que voleu suprimir de la clau administrada pel client.
4. Seleccioneu la pestanya Totes les normes , seleccioneu l'entorn que heu verificat al pas 2 i, a continuació, seleccioneu Edita la norma a la barra d'ordres.
5. Seleccioneu Suprimeix l'entorn a la barra d'ordres, seleccioneu l'entorn que voleu suprimir i, a continuació, seleccioneu Continua.
6. Seleccioneu Desa.
7. Repetiu els passos 2-6 fins que s'hagin suprimit tots els entorns de la norma d'empresa.

Important

L'entorn es desactivarà quan s'elimini de la norma d'empresa per revertir el xifratge de dades a la clau administrada per Microsoft. No suprimiu ni inhabiliteu la clau, suprimiu ni inhabiliteu el dipòsit de claus ni suprimiu els permisos de la norma d'empresa al dipòsit de claus. L'accés a la clau i al dipòsit de claus és necessari per donar suport a la restauració de la base de dades. Podeu suprimir i suprimir els permisos de la norma d'empresa al cap de 30 dies.

1. Un cop suprimits tots els entorns, des del centre d'administració aneu a Power Platform Polítiques d'empresa.
2. Seleccioneu la nova norma d'empresa i, a continuació, seleccioneu Edita la norma.
3. Seleccioneu Afegeix entorn, seleccioneu els entorns que voleu afegir i, a continuació, seleccioneu Continua.

Important

L'entorn es desactivarà quan s'afegeixi a la nova política d'empresa.

Girar la clau de xifratge de l'entorn amb una nova versió de la clau

Podeu canviar la clau de xifratge de l'entorn creant una nova versió de la clau. Quan creeu una nova versió de clau, la nova versió de clau s'habilita automàticament. Tots els recursos d'emmagatzematge detecten la nova versió de la clau i comencen a aplicar-la per xifrar les teves dades.

Quan modifiqueu la clau o la versió de la clau, la protecció de la clau de xifratge arrel canvia, però les dades de l'emmagatzematge sempre romanen xifrades amb la vostra clau. No cal més acció per part vostra per assegurar-vos que les vostres dades estiguin protegides. Girar la versió de la clau no afecta el rendiment. No hi ha temps d'inactivitat associat a la rotació de la versió de la clau. Tots els proveïdors de recursos poden trigar 24 hores a aplicar la nova versió de la clau en segon pla. La versió anterior de la clau no s'ha d'inhabilitar , ja que és necessària perquè el servei l'utilitzi per al rexifratge i per al suport de la restauració de bases de dades.

Per girar la clau de xifratge creant una versió de clau nova, seguiu els passos següents.

1. Aneu als voltes de claus del portal>de l'Azure i localitzeu el dipòsit de claus on voleu crear una nova versió de claus.
2. Aneu a Tecles.
3. Seleccioneu la tecla actual habilitada.
4. Seleccioneu + Nova versió.
5. La configuració Habilitat per defecte és Sí, la qual cosa significa que la nova versió de la clau s'habilita automàticament en crear-la.
6. Seleccioneu Crea.

Propina

Per complir la norma de rotació de claus, podeu girar la clau de xifratge mitjançant la norma de rotació. Podeu configurar una política de rotació o girar, sota demanda, invocant Gira ara.

Important

La nova versió de la clau es gira automàticament en segon pla i l'administrador Power Platform no requereix cap acció. És important que la versió anterior de la clau no s'hagi de desactivar o suprimir durant almenys 28 dies per donar suport a la restauració de la base de dades. Desactivar o suprimir la versió de la clau anterior massa aviat pot desconnectar l'entorn.

Veure la llista d'entorns xifrats

1. Inicieu la sessió al Centre Power Platform d'administració i aneu aPolítiques d'empresa>.
2. A la pàgina Polítiques d'empresa , seleccioneu la pestanya Entorns amb polítiques . Es mostra la llista d'entorns que s'han afegit a les polítiques d'empresa.

Nota

Pot haver-hi situacions en què l'estat de l'entorn o l'estat de xifratge mostrin un estat fallit . Quan això passa, podeu provar de tornar a executar l'operació Afegeix entorn o enviar una sol·licitud d'ajuda de suport tècnic de Microsoft.

Operacions de la base de dades de l'entorn

Un inquilí de client pot tenir entorns xifrats mitjançant la clau gestionada per Microsoft i entorns xifrats amb la clau administrada pel client. Per mantenir la integritat de les dades i protegir les dades, els controls següents estan disponibles per administrar les operacions de la base de dades de l'entorn.

• Restaura L'entorn que s'ha de sobreescriure (l'entorn restaurat) està restringit al mateix entorn des del qual es va fer la còpia de seguretat o a un altre entorn xifrat amb la mateixa clau administrada pel client.

  

• Copia L'entorn que s'ha de sobreescriure (l'entorn copiat a l'entorn) està restringit a un altre entorn xifrat amb la mateixa clau gestionada pel client.

  

  Nota

  Si es va crear un entorn d'investigació de suport per resoldre problemes de suport en un entorn gestionat pel client, la clau de xifratge de l'entorn d'investigació de suport s'ha de canviar a la clau administrada pel client abans que l'operació Copia l'entorn es pugui executar.

• Restableix: les dades xifrades de l'entorn se suprimeixen, incloses les còpies de seguretat. Un cop s'hagi restablert l'entorn, el xifratge de l'entorn tornarà a la clau administrada per Microsoft.

Passos següents

Sobre l'Azure Key Vault