Del via

Styre kundeadministreret krypteringsnøgle

  • Artikel

Kunderne har krav til beskyttelse af personlige oplysninger og overholdelse af regler og standarder for at sikre deres data ved at kryptere deres inaktive data. Derved sikres dataene mod, at der opstår en hændelse, hvor der stjæles en kopi af databasen. Hvis datakryptering er inaktiv, er databasedataene beskyttet mod at blive gendannet på en anden server uden krypteringsnøglen.

Alle kundedata, der er gemt i Power Platform , krypteres som standard med stærkt Microsoft administrerede krypteringsnøgler. Microsoft gemmer og administrerer databasekrypteringsnøglen for alle dine data, så du ikke behøver at gøre det. Men Power Platform leverer denne kundebaserede krypteringsnøgle (CMK) til det tilføjede databeskyttelseskontrolelement, hvor du selv kan administrere den databasekrypteringsnøgle, der er knyttet til dit Microsoft Dataverse-miljø. Dette giver dig mulighed for at rotere eller udskifte krypteringsnøglen efter behov, og giver dig også mulighed for at forhindre Microsoft adgang til dine kundedata, når du tilbagekalder nøgleadgangen til vores tjenester til enhver tid.

Se denne brugerdefineret styrede vigtige video for at få mere at vide om kundeadministreret nøgle i Power Platform.

Disse krypteringsnøglehandlinger findes sammen med kundeadministreret nøgle (CMK - Customer-Managed Key):

  • Opret en RSA-nøgle (RSA-HSM) ud fra dit Azure Key Vault.
  • Opret en Power Platform-virksomhedspolitik for nøglen.
  • Giv Power Platform-virksomhedspolitikken tilladelse til at få adgang til key vault.
  • Tilkend Power Platform-tjenesteadministratoren til at læse virksomhedspolitikken.
  • Anvend krypteringsnøgle til dit miljø.
  • Genindlæs/fjern miljøets CMK-kryptering til Microsoft administreret nøgle.
  • Skift nøglen ved at oprette en ny virksomhedspolitik, fjerne miljøet fra CMK og indlæse CMK igen med en ny virksomhedspolitik.
  • Lås CMK-miljøer ved at tilbagekalde CMK key vault og/eller nøgletilladelser.
  • Overfør BYOK (bring-your-own-key)-miljøer til CMK ved at anvende CMK-nøgle.

I øjeblikket kan alle dine kundedata, der er gemt, kun i følgende apps og tjenester, krypteres med en nøgle, der administreres af kunden:

  • Dataverse (Brugerdefinerede løsninger og Microsoft tjenester)
  • Dataverse Copilot til modelbaserede apps
  • Power Automate1
  • Power Apps
  • Chat til Dynamics 365
  • Dynamics 365 Sales
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Finance (Finans og drift)
  • Dynamics 365 Intelligent Order Management (Finans og drift)
  • Dynamics 365 Project Operations (Finans og drift)
  • Dynamics 365 Supply Chain Management (Finans og drift)
  • Dynamics 365 Fraud Protection (Finans og drift)

1 Når du anvender den kundeadministrerede nøgle på et miljø, der har eksisterende Power Automate flows, krypteres flowdataene fortsat med Microsoft administreret nøgle. Flere oplysninger: Power Automate-kundeadministreret nøgle.

Bemærk

IVR-samtaler og Maker Velkomstindhold er ikke inkluderet i nøglekryptering, der administreres af kunden.

Microsoft Copilot Studio gemmer sine data i deres eget lager og i Microsoft Dataverse. Når du anvender den kundebaserede nøgle i disse miljøer, er det kun datalagrene, Microsoft Dataverse der krypteres med din nøgle. Ikke-dataMicrosoft Dataverse fortsætter med at blive krypteret med den Microsoft administrerede nøgle.

Bemærk

Forbindelsesindstillingerne for connectorer vil fortsat være krypteret med en administreret Microsoft nøgle.

Kontakt en repræsentant for tjenester, der ikke er nævnt ovenfor, for at få oplysninger om kundebaseret nøglesupport.

Bemærk

Power Apps Visningsnavne, beskrivelser og forbindelsesmetadata krypteres fortsat med A-administreret Microsoft nøgle.

Bemærk

Downloadresultaterne sammenkæde og andre data, der genereres af håndhævelse af løsningskontrol under en løsningskontrol, krypteres fortsat med en administreret Microsoft nøgle.

Miljøer med programmer til finans og drift, hvor Power Platform-integration er aktiveret, kan også krypteres. Økonomi- og driftsmiljøer uden Power Platform integration vil fortsat bruge den administrerede standardnøgle Microsoft til at kryptere data. Flere oplysninger: Kryptering i programmer til finans og drift

Kundeadministreret krypteringsnøgle i Power Platform

Introduktion til kundeadministreret nøgle

Med en kundebaseret nøgle kan administratorer levere deres egen krypteringsnøgle fra deres egen Azure Key Vault til Power Platform-lagertjenester for at kryptere deres kundedata. Microsoft ikke direkte adgang til din Azure Key Vault. For Power Platform-tjenester, der har adgang til krypteringsnøglen fra din Azure Key Vault, opretter administrator en Power Platform-virksomhedspolitik, der henviser til krypteringsnøglen og giver denne virksomhedspolitik adgang til at læse nøglen fra din Azure Key Vault.

Tjenesten Power Platform-administrator kan derefter tilføje Dataverse-miljøer til virksomhedspolitikken for at begynde at kryptere alle kundedata i miljøet med krypteringsnøglen. Administratorer kan ændre miljøets krypteringsnøgle ved at oprette en anden virksomhedspolitik og tilføje miljøet (når det er fjernet) til den nye virksomhedspolitik. Hvis miljøet ikke længere skal krypteres ved hjælp af din kundeadministrerede nøgle, kan administratoren fjerne Dataverse miljøet fra virksomhedspolitikken for at genindlæse datakrypteringen tilbage til Microsoft den administrerede nøgle.

Administratoren kan låse de kundebaserede nøglemiljøer ved at ophæve adgangsnøglen fra virksomhedspolitikken og låse miljøerne op ved at gendanne nøgleadgangen. Flere oplysninger: Låse miljøer ved at tilbagekalde Key Vault- og/eller nøgletilladelsesadgang

For at forenkle nøgleadministrationsopgaverne opdeles opgaverne i tre hovedområder:

  1. Opret krypteringsnøgle.
  2. Opret virksomhedspolitik, og giv adgang.
  3. Administrer kryptering for et miljø.

Advarsel!

Når miljøer er låst, kan de ikke tilgås af nogen, herunder Microsoft support. Miljøer, der er låst, deaktiveres, og der kan opstå tab af data.

Licenskrav for nøgle, der er administreret af kunden

En kundeadministreret nøglepolitik håndhæves kun i miljøer, der er aktiveret for administrerede miljøer. Administrerede miljøer er inkluderet som en rettighed i enkeltstående licenser til Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages og Dynamics 365-licenser, der giver premium brugsrettigheder. Få mere at vide om licenser til administreret miljø med oversigten over licenser til Microsoft Power Platform.

Derudover kræver adgang til at bruge kundeadministreret nøgle til Microsoft Power Platform og Dynamics 365 brugere i de miljøer, hvor krypteringsnøglepolitik håndhæves, for at få et af disse abonnementer:

  • Microsoft 365 eller Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 overholdelse af angivne standarder
  • Sikkerhed og overholdelse af angivne standarder for Microsoft 365 F5
  • Microsoft 365 A5/E5/F5/G5 informationsbeskyttelse og -styring
  • Microsoft 365 A5/E5/F5/G5 Styring af Insider-risiko

Få mere at vide om disse licenser.

Forstå den potentielle risiko, når du administrerer din nøgle

Som med alle vigtige forretningsprogrammer skal der være tillid til de medarbejderne i organisationen, der har adgang til administrative niveauer. Før du bruger nøgleadministrationsfunktionen, skal du forstå risikoen, når du administrerer dine databasekrypteringsnøgler. Det er tænkeligt, en administrator med onde hensigter (en person, der har fået administratoradgang og har til hensigt at skade en organisations sikkerhed eller forretningsprocesser), der arbejder i din organisation, kan bruge nøgleadministrationsfunktionen til at oprette en nøgle og bruge den til at låse alle miljøer i lejeren.

Overvej følgende sekvens af hændelser.

Den ondsindede key vault-administrator opretter en nøgle og en virksomhedspolitik på Azure-portalen. Azure Key Vault-administratoren går til Power Platform Administration og føjer miljøer til virksomhedspolitikken. De ondsindede administrator vender derefter tilbage til Azure-portalen og ophæver nøgleadgang til virksomhedspolitikken og låser derfor alle miljøer. Dette medfører afbrydelser i virksomheden, efterhånden som der ikke er adgang til alle miljøer, og hvis denne hændelse ikke løses, dvs. at nøgleadgangen er gendannet, kan miljødataene gå tabt.

Bemærk

  • Azure Key Vault har indbyggede sikkerhedsforanstaltninger, der kan hjælpe dig med at gendanne nøglen, som kræver, at indstillingerne Blød sletning og Købsbeskyttelse er aktiveret.
  • En anden beskyttelse, du skal tage i betragtning, er at sikre, at opgaver, hvor Azure Key Vault-administrator ikke tildeles adgang til Power Platform-administration, er adskilt.

Separation af pligt til at afhjælpe risikoen

I dette afsnit beskrives de funktioner for kundebaserede nøglefunktionen, som de enkelte administratorer er ansvarlige for. Ved at adskille disse opgaver kan du afhjælpe den risiko, der er forbundet med kundebaserede nøgler.

Serviceadministratoropgaver i Azure Key Vault og Power Platform/Dynamics 365

Hvis du vil aktivere nøgler, der er administreret af kunderne, skal du først oprette en nøgle i Azure key vault og oprette en Power Platform-virksomhedspolitik. Når virksomhedspolitikken oprettes, oprettes en speciel Microsoft Entra ID-administreret identitet. Derefter vender key vault-administratoren tilbage til Azure key vault og giver adgang til krypteringsnøglen for virksomhedspolitik/administreret identitet.

Key vault-administrator tildeler derefter den pågældende Power Platform/Dynamics 365-tjenesteadministrator læseadgang til virksomhedspolitikken. Når læsetilladelsen er tildelt, kan Power Platform/Dynamics 365-tjenesteadministratoren gå til Power Platform Administration og føje miljøer til virksomhedspolitikken. Alle tilføjede miljøers kundedata krypteres derefter med den kundebaserede nøgle, der er knyttet til denne virksomhedspolitik.

Forudsætninger
  • Et Azure-abonnement, der omfatter Azure Key Vault eller Azure Key Vault-administrerede hardwaresikkerhedsmoduler.
  • Et Microsoft Entra ID med:
    • Bidragydertilladelse til Microsoft Entra-abonnementet.
    • Tilladelse til at oprette et Azure Key Vault og en nøgle.
    • Adgang til en ressourcegruppe. Dette er nødvendigt for at kunne konfigurere key vault.
Oprette nøglen og tildele adgang ved hjælp af Azure Key Vault

Azure Key Vault-administrator udfører disse opgaver i Azure.

  1. Opret et Azure-betalt abonnement og Key Vault. Ignorer dette trin, hvis du allerede har et abonnement, der inkluderer Azure Key Vault.
  2. Gå til Azure Key Vault-tjenesten, og opret en nøgle. Flere oplysninger: Oprettelse af en nøgle i key vault
  3. Aktivér Power Platform-tjenesten Enterprise Policies for dit Azure-abonnement. Det skal du kun gøre én gang. Flere oplysninger: Aktivér Power Platform-tjenesten Enterprise Policies for dit Azure-abonnement
  4. Opret en Power Platform-virksomhedspolitik. Flere oplysninger: Opret en virksomhedspolitik
  5. Giv virksomhedspolitikken tilladelse til at få adgang til key vault. Flere oplysninger: Giv virksomhedspolitikken tilladelse til at få adgang til key vault
  6. Giv Power Platform og Dynamics 365-administratorer tilladelse til at læse virksomhedspolitikken. Flere oplysninger: Tildel Power Platform-administratorrettigheder til at læse virksomhedspolitik

Power Platform/Dynamics 365-serviceadministrator Power Platform Administrator-opgaver

Forudsætning
  • Power Platform-administrator skal tildeles enten servicerollen Power Platform eller Dynamics 365-administrator Microsoft Entra-rollen.
Administrer miljøets kryptering i Power Platform Administration

I Power Platform Administrator administreres de kundebaserede nøgleopgaver, der er relateret til miljøet i Power Platform Administration.

  1. Tilføj miljøerne Power Platform til virksomhedspolitikken for at kryptere data med den kundebaserede nøgle. Flere oplysninger: Tilføj et miljø til virksomhedspolitikken for at kryptere data
  2. Fjern miljøer fra virksomhedspolitikken for at returnere kryptering til Microsoft den administrerede nøgle. Flere oplysninger: Fjerne miljøer fra politikken for at vende tilbage til Microsoft den administrerede nøgle
  3. Skift nøglen ved at fjerne miljøer fra den gamle virksomhedspolitik og føje miljøer til en ny virksomhedspolitik. Flere oplysninger: Oprette krypteringsnøgle og tildele adgang
  4. Overførsel fra BYOK. Hvis du bruger den tidligere funktion til selvadministreret krypteringsnøgle, kan du overføre nøglen til en kundeadministreret nøgle. Flere oplysninger: Overføre miljøer med dine egne nøgler til kundeadministrerede nøgler

Oprette krypteringsnøgle og give adgang

Opret et Azure-betalt abonnement og Key Vault

Udfør følgende trin i Azure:

  1. Opret et Pay-as-you-go eller det tilsvarende Azure-abonnement. Dette trin er ikke nødvendigt, hvis lejeren allerede har et abonnement.

  2. Opret en ressourcegruppe. Flere oplysninger: Opret en ressourcegruppe

    Bemærk

    Opret eller brug en ressourcegruppe, der har en placering, f.eks. Det centrale USA, der svarer til Power Platform-miljøets område, f.eks. USA.

  3. Opret en key vault ved hjælp af det betalte abonnement, der omfatter beskyttelse mod sletning og sletning sammen med den ressourcegruppe, du oprettede i forrige trin.

    Vigtigt

Oprette en nøgle i key vault

  1. Sørg for, at du imødekommer forudsætningerne.
  2. Gå til Azure-portalen>Key Vault, og find key vault, hvor du vil oprette en krypteringsnøgle.
  3. Kontrollér indstillingerne for Azure Key Vault:
    1. Under Indstillinger vælges Egenskaber.
    2. Under Blød sletning skal du angive eller kontrollere, at den er angivet til Blød sletning er aktiveret på denne key vault-indstilling.
    3. Under Købsbeskyttelse skal du angive Aktivér beskyttelse af købsbeskyttelse (gennemtving en obligatorisk opbevaringsperiode for slettede vaults og vault-objekter) er aktiveret.
    4. Vælg Gem for at gemme dine ændringer.
Opret RSA-nøgler

  1. Opret eller importér en nøgle med følgende egenskaber:

    1. Vælg Nøgler på siden med egenskaber Key vault.
    2. Vælg Generér/Importér.
    3. Angiv følgende værdier, og vælg Opret på skærmen Opret en nøgle:
      • Indstillinger: Generere
      • Navn: Angiv et navn til nøglen
      • Nøgletype: RSA
      • RSA nøgle størrelse: 2048

    Vigtigt!

    Hvis du angiver en udløbsdato i nøglen, og nøglen er udløbet, vil alle de miljøer, der er krypteret med denne nøgle, være nede. Angiv en besked for at overvåge udløbscertifikater med mailmeddelelser til din lokale Power Platform administrator og Azure Key Vault-administrator som en påmindelse om at forny udløbsdatoen. Dette er vigtigt for at forhindre uplanlagte systemafbrydelser.

Importere beskyttede nøgler for HSM (Hardware Security Modules)

Du kan bruge de beskyttede nøgler til HSM (Hardware Security Modules) til at kryptere din Power Platform Dataverse-miljøer. De HSM-beskyttede nøgler skal importeres til key vault, så der kan oprettes en virksomhedspolitik. Du kan finde flere oplysninger under Understøttede HSM'erImport af HSM-beskyttede nøgler til KEY Vault (BYOK).

Opret en nøgle i Azure Key Vault-administreret HSM

Du kan bruge en krypteringsnøgle, der er oprettet fra Azure Key Vault-administreret HSM, til at kryptere dine miljødata. Det giver dig understøttelse af FIPS 140-2 Niveau 3.

Oprette RSA-HSM-nøgler

  1. Sørg for, at du imødekommer forudsætningerne.

  2. Gå til Azure-portalen.

  3. Oprette en administreret HSM:

    1. Klargøring af den administrerede HSM.
    2. Aktiver den administrerede HSM.

  4. Aktivér beskyttelse mod tømning i din administrerede HSM.

  5. Tildel rollen Administreret HSM-krypteringsbruger til den person, der oprettede den administrerede HSM key vault.

    1. Få adgang til den administrerede HSM key vault på Azure-portalen.
    2. Naviger til Lokal RBAC, og vælg + Tilføj.
    3. På rullelisten Rolle skal du vælge rollen Administreret HSM Crypto-bruger på siden Rolletildeling.
    4. Vælg Alle nøgler under Omfang.
    5. Vælg Vælg sikkerhedskonto, og vælg derefter administratoren på siden Tilføj tjenesteprincip.
    6. Vælg Opret.

  6. Opret en RSA-HSM-nøgle:

    • Indstillinger: Generere
    • Navn: Angiv et navn til nøglen
    • Nøgle type: RSA-HSM
    • RSA nøgle størrelse: 2048

    Bemærk

    Understøttede RSA-HSM-nøglestørrelser: 2048-bit og 3072-bit.

Du kan opdatere dit Azure Key vault-netværk ved at aktivere et privat slutpunkt og bruge nøglen i nøgleboksen til at kryptere dine Power Platform-miljøer.

Du kan enten oprette en ny key vault og oprette en privat linkforbindelse eller oprette en privat linkforbindelse til et eksisterende key vault og oprette en nøgle ud fra dette key vault og bruge den til kryptering af miljøet. Du kan også oprette en privat linkforbindelse til et eksisterende key vault, når du allerede har oprettet en nøgle og bruger den til at kryptere miljøet.

  1. Opret et Azure Key vault med disse muligheder:

    • Aktivér Tøm beskyttelse
    • Nøgletype: RSA
    • Nøglestørrelse: 2048

  2. Kopiér URL-adressen til Key Vault og krypteringsnøglen, der skal bruges til at oprette virksomhedspolitikken.

    Bemærk

    Når du har føjet en privat slutpunkt til nøgleboksen eller deaktiveret det offentlige adgangsnetværk, kan du ikke se nøglen, medmindre du har de relevante tilladelser.

  3. Oprette et virtuelt netværk.

  4. Vend tilbage til dit key vault, og tilføj private slutpunktsforbindelser til dit Azure Key vault.

    Bemærk

    Du skal vælge indstillingen Deaktiver netværk med offentlig adgang og aktivere Tillad, at tjenester, der er tillid Microsoft til, omgår denne firewallundtagelse .

  5. Opret en Power Platform-virksomhedspolitik. Flere oplysninger: Opret en virksomhedspolitik

  6. Giv virksomhedspolitikken tilladelse til at få adgang til key vault. Flere oplysninger: Giv virksomhedspolitikken tilladelse til at få adgang til key vault

  7. Giv Power Platform og Dynamics 365-administratorer tilladelse til at læse virksomhedspolitikken. Flere oplysninger: Tildel Power Platform-administratorrettigheder til at læse virksomhedspolitik

  8. Power Platform Administration vælger miljøet for at kryptere og aktivere administreret miljø. Flere oplysninger: Aktivere administreret miljø, hvor miljøet kan føjes til virksomhedspolitikken

  9. Power Platform Administration føjer det administrerede miljø til virksomhedspolitikken. Flere oplysninger: Tilføj et miljø til virksomhedspolitikken for at kryptere data

Aktivér Power Platform-tjenesten Enterprise Policies for dit Azure-abonnement

Registrere Power Platform som en ressourceleverandør. Du behøver kun at udføre denne opgave én gang for hvert Azure-abonnement, hvor dit Azure Key Vault findes. Du skal have adgangsrettigheder til abonnementet for at kunne registrere ressourceudbyderen.

  1. Log på Azure-portal og gå til Abonnement>Ressourceudbydere.
  2. Søg efter på listen overressourceudbydere Microsoft. PowerPlatform, og registrer den.

Opret en virksomhedspolitik

  1. Installer PowerShell MSI. Flere oplysninger: Installere PowerShell på Windows, Linux og macOS
  2. Når PowerShell MSI er installeret, skal du gå tilbage til Installation af en brugerdefineret skabelon i Azure.
  3. Vælg Opret din egen skabelon i editorlinket.
  4. Kopiér denne JSON-skabelon til en teksteditor, f.eks. Notesblok. Flere oplysninger: Virksomhedspolitik json-skabelon
  5. Erstat værdierne i JSON-skabelonen med: EnterprisePolicyName, placering, hvor EnterprisePolicy skal oprettes, keyVaultId og keyName. Flere oplysninger: Feltdefinitioner for json-skabelon
  6. Kopiér den opdaterede skabelon fra teksteditoren, og indsæt den derefter i Rediger skabelon for Brugerdefinerede installation i Azure, og vælg Gem.
  7. Vælg en Abonnement- og Ressourcegruppe, hvor virksomhedspolitikken skal oprettes.
  8. Vælg Gennemse + opret, og vælg derefter Opret.

En installation er startet. Når virksomhedspolitikken er færdig, oprettes den.

JSON-skabelon til virksomhedspolitik

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Feltdefinitioner for JSON-skabelon

  • navn. Navnet på virksomhedspolitikken. Dette er navnet på den politik, der vises i Power Platform Administration.

  • beliggenhed. En af følgende. Dette er placeringen af virksomhedspolitikken, og den skal stemme overens med Dataverse-miljøets område:

    • '"unitedstates"'
    • '"southafrica"'
    • '"uk"'
    • '"japan"'
    • '"india"'
    • '"france"'
    • '"europe"'
    • '"germany"'
    • '"switzerland"'
    • '"canada"'
    • '"brazil"'
    • '"australia"'
    • '"asia"'
    • '"uae"'
    • '"korea"'
    • '"norway"'
    • '"singapore"'
    • '"sweden"'

  • Kopiér disse værdier fra dine key vault-egenskaber i Azure-portalen:

    • keyVaultId: Gå til Key vaults> og vælg din Key Vault >Overview. Ud for Essential skal du vælge JSON-visning. Kopiér Ressource-id til Udklipsholder, og indsæt hele indholdet i JSON-skabelonen.
    • keyName: Gå til Key vaults> og vælg dine Key Vault-nøgler >. Bemærk, at nøglen Navn, og skriv navnet i JSON-skabelonen.

Giv virksomhedspolitikken tilladelse til at få adgang til key vault

Når virksomhedspolitikken er oprettet, giver key vault-administratoren adgang for virksomhedspolitikkens administrerede identitet til krypteringsnøglen.

  1. Log på Azure-portalen, og gå til Key vaults.
  2. Vælg den key vault, hvor nøglen blev tildelt til virksomhedspolitikken.
  3. Vælg fanen Adgangskontrol (IAM), og vælg derefter + Tilføj.
  4. Vælg Tilføj tildeling af rolle på rullelisten,
  5. Søg efter Bruger af Key Vault-krypteringstjenesten, og vælg den.
  6. Vælg Næste.
  7. Vælg + Vælg medlemmer.
  8. Søg efter den virksomhedspolitik, du har oprettet.
  9. Vælg virksomhedspolitik, og vælg derefter Vælg.
  10. Vælg Gennemgå + tildel.

Bemærk

Indstillingen for ovennævnte tilladelser er baseret på key vaults tilladelsesmodel for Rollebaseret Azure-adgangskontrol. Hvis key vault er angivet til Vault-adgangspolitik , anbefales det, at du overfører den rollebaserede model. Hvis du vil give virksomhedens politik adgang til key vault ved hjælp af Vault-adgangspolitikken, skal du oprette en adgangspolitik, vælge Hent til Nøglestyringshandlinger og Unwrap key og Wrap key i Kryptografiske handlinger.

Bemærk

For at forhindre uplanlagte systemafbrydelser er det vigtigt, at virksomhedspolitikken har adgang til nøglen. Kontrollér følgende:

  • Key vault er aktiv.
  • Nøglen er aktiv og ikke udløbet.
  • Nøglen slettes ikke.
  • Ovenstående nøgletilladelser tilbagekaldes ikke.

De miljøer, der bruger denne nøgle, deaktiveres, når krypteringsnøglen ikke er tilgængelig.

Tildel Power Platform-administratorrettigheder til at læse virksomhedspolitik

Administratorer, der har Dynamics 365- eller Power Platform administrationsroller, Power Platform kan få adgang til Administration for at tildele miljøer til virksomhedspolitikken. For at få adgang til virksomhedspolitikkerne skal administratoren med Azure Key Vault-adgang tildele Læser-rollen til administratoren Power Platform . Når Læser-rollen er tildelt, Power Platform kan administratoren se virksomhedspolitikkerne i Power Platform Administration.

Bemærk

Kun Power Platform- og Dynamics 365-administratorer, der er tildelt rollen Læser til virksomhedspolitikken, kan føje et miljø til politikken. Andre Power Platform- eller Dynamics 365-administratorer kan muligvis se virksomhedspolitikken, men de får en fejlmeddelelse, når de forsøger at Tilføje miljø til politikken.

Tildele læserrollen til en Power Platform-administrator

  1. Log på Azure-portalen.
  2. Kopiér Power Platform- eller Dynamics 365-administratorens objekt-id. Dette gør du på denne måde:
    1. Gå til området Brugere i Azure.
    2. På listen Alle brugere skal du finde den bruger med Power Platform- eller Dynamics 365-administratortilladelser ved hjælp af Søg brugere.
    3. Åbn brugerposten på fanen Oversigt, kopiér brugerens Objekt-id. Indsæt dette i et tekstredigeringsprogram, f.eks. NotePad, til senere brug.
  3. Kopiér ressource-id'et for virksomhedspolitik. Dette gør du på denne måde:
    1. Gå til Ressourcediagramoversigt i Azure.
    2. Angiv microsoft.powerplatform/enterprisepolicies i feltet Søg , og vælg derefter ressourcen microsoft.powerplatform/enterprisepolicies.
    3. Vælg Kør forespørgsel på kommandolinjen. Listen over alle de Power Platform-virksomhedspolitikker vises.
    4. Find den virksomhedspolitik, hvor du vil give adgang.
    5. Rul til højre for virksomhedspolitikken, og vælg Se detaljer.
    6. Kopiér id på siden Detaljer.
  4. Start Azure Cloud Shell, og kør følgende kommando, der erstatter objId med brugerens objekt-id og EP-ressource-id med det enterprisepolicies-id, der blev kopieret i de forrige trin: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Administrere kryptering for et miljø

Hvis du vil administrere miljøets kryptering, skal du have følgende tilladelse:

  • Microsoft Entra-aktiv bruger, der har en Power Platform- og/eller Dynamics 365-administratorsikkerhedsrolle.
  • Microsoft Entra bruger, der har enten en Power Platform eller Dynamics 365-tjenesteadministratorrolle.

Key vault-administratoren giver Power Platform-administratoren besked om, at der er oprettet en krypteringsnøgle og en virksomhedspolitik og giver Power Platform-administratoren virksomhedspolitik. Hvis den kundebaserede nøgle skal aktiveres, tildeler Power Platform-administratoren miljøerne til virksomhedspolitikken. Når miljøet er tildelt og gemt, starter Dataverse krypteringsprocessen for at angive alle miljødata og kryptere dem med den kundebaserede nøgle.

Aktivere administreret miljø, hvor miljøet kan føjes til virksomhedspolitikken

  1. Log på Power Platform Administration, og find miljøet.
  2. På listen over miljøer skal du vælge og kontrollere miljøet.
  3. Vælg ikonet Aktivér administrerede miljøer på handlingslinjen.
  4. Vælg Aktivér.

Tilføj et miljø til virksomhedspolitikken for at kryptere data

Vigtigt

Miljøet deaktiveres, når det føjes til virksomhedspolitikken for datakryptering.

  1. Log på Power Platform Administration, og gå til Politikker>Virksomhedspolitikker.
  2. Vælg en politik, og vælg derefter Rediger på kommandolinjen.
  3. Vælg Tilføj miljøer, og vælg derefter det miljø, du ønsker, og vælg Fortsæt. Føje miljø til virksomhedspolitik i Power Platform Administration
  4. Vælg Gem, og vælg derefter Bekræft.

Vigtigt

  • Det er kun miljøer, der er i samme område som virksomhedspolitikken, der vises på listen Tilføj miljøer.
  • Krypteringen kan tage op til fire dage at fuldføre, men miljøet kan aktiveres, før handlingen Tilføj miljøer fuldføres.
  • Handlingen fuldføres muligvis ikke, og hvis den mislykkes, krypteres dine data fortsat med Microsoft en administreret nøgle. Du kan køre handlingen Tilføj miljøer igen.

Bemærk

Du kan kun tilføje miljøer, der er aktiveret som administrerede miljøer. Prøveversions- og teams-miljøtyper kan ikke føjes til virksomhedspolitikken.

Fjern miljøer fra politikken for at vende tilbage til Microsoft administreret nøgle

Følg disse trin, hvis du vil vende tilbage til en administreret Microsoft krypteringsnøgle.

Vigtigt!

Miljøet deaktiveres, når det fjernes fra virksomhedspolitikken for at returnere datakryptering ved hjælp af den Microsoft administrerede nøgle.

  1. Log på Power Platform Administration, og gå til Politikker>Virksomhedspolitikker.
  2. Vælg fanen Miljø med politikker, og find derefter det miljø, du vil fjerne fra den kundebaserede nøgle.
  3. Vælg fanen Alle politikker, vælg det miljø, du godkendte i trin 2, og vælg derefter Rediger politik på kommandolinjen. Fjerne et miljø fra kundeadministreret nøgle
  4. Vælg Fjern miljø på kommandolinjen, vælg det miljø, du vil fjerne, og vælg Fortsæt.
  5. Vælg Gem.

Vigtigt

Miljøet deaktiveres, når det fjernes fra virksomhedspolitikken for at genindlæse datakrypteringen til den Microsoft administrerede nøgle. Du skal ikke slette eller deaktivere nøglen, slette eller deaktivere key vault, eller fjerne virksomhedspolitikens tilladelser til key vault. Nøgle- og key vault-adgang er nødvendig for at understøtte gendannelse af databaser. Du kan slette og fjerne virksomhedspolitikkens tilladelser efter 30 dage.

Gennemgå miljøets krypteringsstatus

Gennemgå krypteringsstatus fra virksomhedspolitikker

  1. Log på Power Platform Administration.

  2. Vælg Politikker>Virksomhedspolitikker.

  3. Vælg en politik, og vælg derefter Rediger på kommandolinjen.

  4. Gennemgå miljøets Krypteringsstatus i sektionen Miljøer med denne politik.

    Bemærk

    Miljøets krypteringsstatus kan være:

    • Krypteret – krypteringsnøglen til virksomhedspolitikken er aktiv, og miljøet er krypteret med din nøgle.
    • Mislykkedes – krypteringsnøglen til virksomhedspolitikken bruges ikke af alle Dataverse lagertjenester. De kræver mere tid at behandle, og du kan køre handlingen Tilføj miljø igen. Kontakt support, hvis genkørslen mislykkes.
    • Advarsel – krypteringsnøglen til virksomhedspolitikken er aktiv, og en af tjenestens data bliver fortsat krypteret med den Microsoft administrerede nøgle. Flere oplysninger: Power Automate CMK-programadvarsler

    Du kan køre indstillingen Tilføj miljø igen for det miljø , der har krypteringsstatussen Mislykket.

Gennemgå krypteringsstatus fra siden Miljøhistorik

Du kan se miljøhistorikken.

  1. Log på Power Platform Administration.

  2. Vælg Miljøer i navigationsruden, og vælg derefter et miljø på listen.

  3. Vælg Historik på kommandolinjen.

  4. Find historikken for Opdater kundeadministreret nøgle.

    Bemærk

    Status viser Kører, når krypteringen er i gang. Der står Fuldført, når krypteringen er fuldført. Statussen viser Mislykkedes, når der er problemer med, at krypteringsnøglen ikke kan anvendes på en af tjenesterne.

    En Mislykket tilstand kan være en advarsel, og du behøver ikke at køre indstillingen Tilføj miljø igen. Du kan bekræfte, om det er en advarsel.

Ændring af miljøets krypteringsnøgle med en ny virksomhedspolitik og nøgle

Hvis du vil ændre krypteringsnøglen, skal du oprette en ny nøgle og en ny virksomhedspolitik. Derefter kan du ændre virksomhedspolitikken ved at fjerne miljøer og derefter tilføje miljøer til en ny virksomhedspolitik. Systemet er nede to gange, når der skiftes til en ny virksomhedspolitik - 1) for at genindlæse krypteringen til Microsoft administreret nøgle og 2) for at anvende den nye virksomhedspolitik.

Tip

Hvis du vil rotere krypteringsnøglen, anbefaler vi, at du bruger Key Vaults'Ny version eller angiver en rotationspolitik.

  1. I Azure-portal skal du oprette en ny nøgle og en ny virksomhedspolitik. Flere oplysninger: Oprette krypteringsnøgle og give adgang og Oprette en virksomhedspolitik
  2. Når den nye nøgle og virksomhedspolitikken er oprettet, skal du gå til Politikker>Virksomhedspolitikker.
  3. Vælg fanen Miljø med politikker, og find derefter det miljø, du vil fjerne fra den kundebaserede nøgle.
  4. Vælg fanen Alle politikker, vælg det miljø, du godkendte i trin 2, og vælg derefter Rediger politik på kommandolinjen. Fjerne et miljø fra kundeadministreret nøgle
  5. Vælg Fjern miljø på kommandolinjen, vælg det miljø, du vil fjerne, og vælg Fortsæt.
  6. Vælg Gem.
  7. Gentag trin 2-6, indtil alle miljøer i virksomhedspolitikken er fjernet.

Vigtigt

Miljøet deaktiveres, når det fjernes fra virksomhedspolitikken for at genindlæse datakrypteringen til den Microsoft administrerede nøgle. Du må ikke slette eller deaktivere nøglen, slette eller deaktivere nøgleboksen eller fjerne virksomhedspolitikkens tilladelser til nøgleboksen. Nøgle- og key vault-adgang er nødvendig for at understøtte gendannelse af databaser. Du kan slette og fjerne virksomhedspolitikkens tilladelser efter 30 dage.

  1. Når alle miljøerne er fjernet, skal du fra Power Platform Administration gå til Virksomhedspolitikker.
  2. Vælg den nye virksomhedspolitik, og vælg derefter Rediger politik.
  3. Vælg Tilføj miljø, vælg de miljøer, du vil tilføje, og vælg Fortsæt.

Vigtigt

Miljøet deaktiveres, når det føjes til den nye virksomhedspolitik.

Rotér miljøets krypteringsnøgle med en ny nøgleversion

Du kan ændre miljøets krypteringsnøgle ved at oprette en ny nøgleversion. Når du opretter en ny nøgleversion, aktiveres den nye nøgleversion automatisk. Alle lagerressourcer registrerer den nye nøgleversion og begynder at anvende den til kryptering af dataene.

Når du ændrer nøglen eller nøgleversionen, ændres beskyttelsen af rodkrypteringsnøglen, men dataene i lageret forbliver altid krypteret med din nøgle. Du skal ikke foretage dig mere for at sikre, at dine data er beskyttet. Rotation af nøgleversionen påvirker ikke ydeevnen. Der er ingen nedetid i forbindelse med rotering af nøgleversionen. Det kan tage 24 timer for alle ressourceudbyderne at anvende den nye nøgleversion i baggrunden. Den tidligere nøgleversion må ikke deaktiveres, da den kræves, for at tjenesten kan bruge den til genkryptering og til at understøtte gendannelse af databaser.

Benyt følgende fremgangsmåde for at anvende krypteringsnøglen til at oprette en ny nøgleversion.

  1. Gå til Azure-portalen>Key Vaults, og find den key vault, hvor du vil oprette en ny nøgleversion.
  2. Naviger til Nøgler.
  3. Vælg den aktuelt aktiverede nøgle.
  4. Vælg + Ny version.
  5. Indstillingen Aktiveret er som standard Ja, hvilket betyder, at den nye nøgleversion automatisk aktiveres, når den oprettes.
  6. Vælg Opret.

Tip

Hvis du vil overholde din nøglerotationspolitik, kan du rotere krypteringsnøglen ved hjælp af rotationspolitikken. Du kan enten konfigurere en rotationspolitik eller rotere efter behov ved at aktivere Rotér nu.

Vigtigt

Den nye nøgleversion roteres automatisk i baggrunden, og der kræves ingen handling af Power Platform-administratoren. Det er vigtigt, at den tidligere nøgleversion ikke deaktiveres eller slettes i mindst 28 dage for at understøtte gendannelse af databaser. Hvis du deaktiverer eller sletter den tidligere nøgleversion for tidligt, kan miljøet tvinges offline.

Få vist listen over krypterede miljøer

  1. Log på Power Platform Administration, og gå til Politikker>Virksomhedspolitikker.
  2. Vælg fanen Miljøer med politikker på siden Virksomhedspolitikker. Listen over miljøer, der er føjet til virksomhedspolitikker, vises.

Bemærk

Der kan være situationer, hvor Miljøstatus eller Krypteringsstatus viser en Mislykket status. Når dette sker, kan du prøve at køre handlingen Tilføj miljø igen eller sende en Microsoft supportanmodning om hjælp.

Handlinger for miljødatabaser

En kundelejer kan have miljøer, der er krypteret ved hjælp af den administrerede nøgle, Microsoft og miljøer, der er krypteret med den kundeadministrerede nøgle. For at bevare dataintegritet og databeskyttelse er følgende kontrolelementer tilgængelige i forbindelse med administration af miljødatabasehandlinger.

  • Gendan Det miljø, der skal overskrives (gendannet til miljøet), er begrænset til det samme miljø, som sikkerhedskopien blev taget fra, eller til et andet miljø, der er krypteret med den samme kundeadministrerede nøgle.

    Gendan sikkerhedskopi.

  • Kopiér Det miljø, der skal overskrives (det kopierede til miljøet), er begrænset til et andet miljø, der er krypteret med den samme kundeadministrerede nøgle.

    Kopiér miljø.

    Bemærk

    Hvis der blev oprettet et supportundersøgelsesmiljø for at løse supportproblemet i et kundestyret miljø, skal krypteringsnøglen til supportundersøgelsesmiljøet ændres til den kundestyrede nøgle, før miljøkopieringshandlingen kan udføres.

  • Nulstil Miljøets krypterede data slettes inklusive sikkerhedskopier. Når miljøet er nulstillet, genindlæser miljøkrypteringen tilbage til den Microsoft administrerede nøgle.

Næste trin

Om Azure Key Vault