Freigeben über


Vom Kunden verwalteten Verschlüsselungsschlüssel verwalten

Kunden haben Datenschutz- und Compliance-Anforderungen, um ihre Daten durch Verschlüsselung ihrer ruhenden Daten zu sichern. Dies schützt die Daten vor Offenlegung für den Fall, dass eine Kopie der Datenbank gestohlen wird. Mit der Datenverschlüsselung im Ruhezustand sind die gestohlenen Datenbankdaten davor geschützt, ohne den Verschlüsselungsschlüssel auf einem anderen Server wiederhergestellt zu werden.

Alle in Power Platform gespeicherten Kundendaten werden standardmäßig im Ruhezustand mit starken, Microsoft verwalteten Verschlüsselungsschlüsseln verschlüsselt. Microsoft speichert und verwaltet den Datenbank-Verschlüsselungsschlüssel für alle Ihre Daten, sodass Sie dies nicht tun müssen. Power Platform stellt jedoch diesen vom Kunden verwalteten Verschlüsselungsschlüssel (CMK) für Ihre zusätzliche Datenschutzkontrolle bereit, bei der Sie den Datenbankschlüssel, der Ihrer Microsoft Dataverse Umgebung zugeordnet ist, selbst verwalten können. Auf diese Weise können Sie den Verschlüsselungsschlüssel nach Bedarf rotieren oder austauschen und außerdem den Zugriff von Microsoft auf Ihre Kundendaten verhindern, wenn Sie den Schlüsselzugriff auf unsere Dienste jederzeit widerrufen.

Sehen Sie sich das Video an, um mehr über kundenseitig verwaltete Schlüssel in Power Platform zu erfahren.

Diese Verschlüsselungsschlüsselvorgänge sind mit dem vom Kunden verwalteten Schlüssel (Customer-Managed Key, CMK) verfügbar:

  • Erstellen Sie einen RSA-Schlüssel (RSA-HSM) aus Ihrem Azure Key Vault.
  • Erstellen Sie eine Power Platform Unternehmensrichtlinie für Ihren Schlüssel.
  • Gewähren Sie der Power Platform Unternehmensrichtlinie die Berechtigung, auf Ihren Schlüsseltresor zuzugreifen.
  • Weisen Sie dem Power Platform Dienstadministrator die Berechtigung zu, die Unternehmensrichtlinie zu lesen.
  • Anwenden des Verschlüsselungsschlüssels auf Ihre Umgebung.
  • wiederherstellen/remove Umgebung's CMK-Verschlüsselung zu Microsoft-verwaltetem Schlüssel.
  • Ändern Sie den Schlüssel, indem Sie eine neue Unternehmensrichtlinie erstellen, die Umgebung aus CMK entfernen und CMK mit der neuen Unternehmensrichtlinie erneut anwenden.
  • Sperren Sie CMK-Umgebungen, indem Sie den CMK-Schlüsseltresor- und/oder die Schlüsselberechtigungen widerrufen.
  • Migrieren Sie Bring Your Own Key (BYOK) Umgebungen zu CMK, indem Sie den CMK-Schlüssel anwenden.

Derzeit können alle Ihre Kundendaten, die nur in den folgenden Apps und Diensten gespeichert sind, mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden:

  • Dataverse (Individuelle Lösungen und Microsoft Dienstleistungen)
  • Dataverse Copilot für modellgesteuerte Apps
  • Power Automate1
  • Power Apps
  • Chat für Dynamics 365
  • Dynamics 365 Sales
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Finance (Finanzen und Betrieb)
  • Dynamics 365 Intelligent Order Management (Finanzen und Betrieb)
  • Dynamics 365 Project Operations (Finanzen und Betrieb)
  • Dynamics 365 Supply Chain Management (Finanzen und Betrieb)
  • Dynamics 365 Fraud Protection (Finanzen und Betrieb)

1 Wenn Sie den vom Kunden verwalteten Schlüssel auf ein Umgebung anwenden, das über vorhandene Power Automate Flows verfügt, werden die Flow-Daten weiterhin mit dem Microsoft-verwalteten Schlüssel verschlüsselt. Weitere Informationen: Kundenseitig verwalteter Power Automate-Schlüssel.

Anmerkung

Die Unterhaltungs-ISA von Nuance und Willkommensinhalt für Erstellende sind von der kundenseitig verwalteten Schlüsselverschlüsselung ausgeschlossen.

Microsoft Copilot Studio speichert seine Daten im eigenen Speicher und in Microsoft Dataverse. Wenn Sie den kundenseitig verwalteten Schlüssel auf diese Umgebungen anwenden, werden nur die Datenspeicher in Microsoft Dataverse mit Ihrem Schlüssel verschlüsselt. Die Nicht-Microsoft Dataverse Daten werden weiterhin mit dem Microsoft-verwalteten Schlüssel verschlüsselt.

Anmerkung

Die Verbindungseinstellungen für Konnektoren werden weiterhin mit einem Microsoft-verwalteten Schlüssel verschlüsselt.

Wenden Sie sich an einen Vertreter für Services, die oben nicht aufgeführt sind, um Informationen zum kundenseitig verwalteten Schlüsselsupport zu erhalten.

Anmerkung

Power Apps Anzeigenamen, Beschreibungen und Verbindungsmetadaten werden weiterhin mit einem Microsoft-verwalteten Schlüssel verschlüsselt.

Anmerkung

Die Download-Ergebnisse verknüpfen und weitere durch die Lösungsprüfung erzeugte Daten während einer Lösungsprüfung werden weiterhin mit einem Microsoft-verwalteten Schlüssel verschlüsselt.

Umgebungen mit Finanz- und Betriebs-Apps, bei denen, bei denen Power Platform Integration aktiviert ist, können ebenfalls verschlüsselt werden. Finanz- und Betriebsumgebungen ohne Power Platform Integration verwenden weiterhin den standardmäßigen Microsoft verwalteten Schlüssel zum Verschlüsseln von Daten. Weitere Informationen: Verschlüsselung in Finanz- und Betriebs-Apps

Vom Kunden verwaltete Verschlüsselungsschlüsse in der Power Platform

Einführung zum kundenseitig verwalteten Schlüssel

Mit dem vom kundenseitig verwalteten Schlüssel können Administratoren ihren eigenen Verschlüsselungsschlüssel aus ihrem eigenen Azure Key Vault für die Power Platform Speicherdienste bereitstellen, um ihre Kundendaten zu verschlüsseln. Microsoft hat keinen direkten Zugriff auf Ihren Azure Key Vault. Damit Power Platform Dienste auf den Verschlüsselungsschlüssel aus Ihrem Azure Key Vault zugreifen können, erstellt der Administrator eine Power Platform Unternehmensrichtlinie, die auf den Verschlüsselungsschlüssel verweist und dieser Unternehmensrichtlinie Zugriff zum Lesen des Schlüssels gewährt aus Ihrem Azure Key Vault.

Der Power Platform Dienstadministrator kann dann Dataverse Umgebungen zur Unternehmensrichtlinie hinzufügen, um mit der Verschlüsselung aller Kundendaten in der Umgebung mit Ihrem Verschlüsselungsschlüssel zu beginnen. Administratoren können den Verschlüsselungsschlüssel der Umgebung ändern, indem sie eine weitere Unternehmensrichtlinie erstellen und die Umgebung (nachdem sie entfernt wurde) der neuen Unternehmensrichtlinie hinzufügen. Wenn Umgebung nicht mehr mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt werden muss, kann Administrator das Dataverse Umgebung aus der Unternehmensrichtlinie entfernen, um die Datenverschlüsselung wieder auf den Microsoft-verwalteten Schlüssel wiederherstellen zurückzusetzen.

Der Administrator kann die kundenseitig verwalteten Schlüsselumgebungen sperren, indem er den Schlüsselzugriff aus der Unternehmensrichtlinie widerruft, und die Umgebungen entsperren, indem er den Schlüsselzugriff wiederherstellt. Weitere Informationen: Umgebungen sperren, indem Sie den Schlüsseltresor- und/oder Schlüsselberechtigungszugriff widerrufen

Um die Schlüsselverwaltung zu vereinfachen, werden die Aufgaben in drei Hauptbereiche aufgegliedert:

  1. Verschlüsselungsschlüsse erstellen.
  2. Unternehmensrichtlinie erstellen und Zugriff gewähren.
  3. Verwalten der Verschlüsselung für eine Umgebung.

Warnung

Wenn Umgebungen gesperrt sind, kann niemand darauf zugreifen, auch nicht der Microsoft Support. Umgebungen, die gesperrt sind, werden deaktiviert und es kann zu Datenverlust kommen.

Lizenzanforderungen für vom Kunden verwaltete Schlüssel

Die vom Kunden verwaltete Schlüsselrichtlinie wird nur in Umgebungen durchgesetzt, die für verwaltete Umgebungen aktiviert sind. Verwaltete Umgebungen sind als Berechtigung in eigenständigen Power Apps-, Power Automate-, Microsoft Copilot Studio-, Power Pages-Versionen sowie Dynamics 365-Lizenzen enthalten, die Premium-Nutzungsrechte gewähren. Weitere Informationen über die Lizenzierung für verwaltete Umgebungen, mit der Lizenzübersicht für Microsoft Power Platform.

Darüber hinaus erfordert der Zugriff auf die Verwendung eines vom Kunden verwalteten Schlüssels für Microsoft Power Platform und Dynamics 365, dass Benutzer in den Umgebungen, in denen die Verschlüsselungsschlüsselrichtlinie erzwungen wird, über eines dieser Abonnements verfügen:

  • Microsoft 365 oder Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Compliance
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 A5/E5/F5/G5 Informationsschutz und Governance
  • Microsoft 365 A5/E5/F5/G5 Insider-Risikomanagement

Erfahren Sie mehr über diese Lizenzen.

Potenziellen Risiken beim Verwalten Ihrer Schlüssel

Wie bei jeder wichtigen Anwendung des Unternehmens, muss Mitarbeiter innerhalb einer Organisation, die auf Administratorebene Zugriff haben, vertraut werden. Bevor Sie die Schlüsselverwaltungsfunktion verwenden, sollten Sie sich über das Risiko informieren. Es ist möglich, dass ein böswilliger Administrator (eine Person, die Zugriff auf Administratorebene hat und die Sicherheit der Geschäftsprozesse oder die Organisation schädigen will) in Ihrer Organisation die Verwaltung verwendet, um einen Schlüssel zu erstellen und anschließend die Umgebungen im Mandanten zu sperren.

Berücksichtigen Sie die folgenden Ereignisse.

Der böswillige Key Vault-Administrator erstellt einen Schlüssel und eine Unternehmensrichtlinie im Azure-Portal. Der Azure Key Vault-Administrator geht zum Power Platform Admin Center und fügt der Unternehmensrichtlinie Umgebungen hinzu. Der böswillige Administrator kehrt dann zum Azure-Portal zurück und widerruft den Schlüsselzugriff auf die Unternehmensrichtlinie, wodurch alle Umgebungen gesperrt werden. Dies führt zu Betriebsunterbrechungen, da auf alle Umgebungen nicht mehr zugegriffen werden kann, und wenn dieses Ereignis nicht behoben wird, d. h. der Schlüsselzugriff wiederhergestellt wird, können die Umgebungsdaten möglicherweise verloren gehen.

Anmerkung

  • Azure Key Vault verfügt über integrierte Sicherheitsvorkehrungen, die beim Wiederherstellen des Schlüssels helfen der ein Vorläufiges Löschen und Löschschutz Schlüsseltresoreinstellungen aktiviert erfordert.
  • Eine weitere zu berücksichtigende Schutzmaßnahme besteht darin, sicherzustellen, dass Aufgaben getrennt werden, wenn dem Azure Key Vault Administrator kein Zugriff auf das Power Platform Admin Center gewährt wird.

Pflichtentrennung zur Risikominderung

In diesem Abschnitt werden die kundenseitig verwalteten Schlüsselfunktionsaufgaben beschrieben, für die jede Administratorrolle verantwortlich ist. Die Trennung dieser Aufgaben trägt dazu bei, das mit kundenseitig verwalteten Schlüsseln verbundene Risiko zu mindern.

Azure Key Vault und Power Platform/Dynamics 365-Dienstverwaltungsaufgaben

Um kundenseitig verwaltete Schlüssel zu aktivieren, erstellt zunächst der Schlüsseltresor-Administrator einen Schlüssel im Azure-Schlüsseltresor und erstellt dann eine Power Platform Unternehmensrichtlinie. Wenn die Unternehmensrichtlinie erstellt wird, wird eine spezielle Microsoft Entra ID-verwaltete Identität erstellt. Als Nächstes kehrt der Schlüsseltresor-Administrator zum Azure-Schlüsseltresor zurück und gewährt der Unternehmensrichtlinie/verwalteten Identität Zugriff auf den Verschlüsselungsschlüssel.

Der Schlüsseltresor-Administrator gewährt dann die jeweilige Power Platform/Dynamics 365-Dienstadministrator-Lesezugriff auf die Unternehmensrichtlinie. Sobald die Leseberechtigung erteilt wurde, kann der Power Platform/Dynamics 365-Dienstadministrator zum Power Platform Admin Center gehen und der Unternehmensrichtlinie Umgebungen hinzufügen. Alle hinzugefügten Umgebungskundendaten werden dann mit dem kundenseitig verwalteten Schlüssel verschlüsselt, der mit dieser Unternehmensrichtlinie verknüpft ist.

Anforderungen
  • Ein Azure-Abonnement, das Azure Key Vault oder von Azure Key Vault verwaltete Hardwaresicherheitsmodule umfasst.
  • Eine Microsoft Entra ID mit:
    • Mitwirkender-Berechtigung für ein Microsoft Entra-Abonnement.
    • Berechtigung zum Erstellen eines Azure Key Vault und Schlüssels.
    • Zugriff zum Erstellen einer Ressourcengruppe. Dies ist erforderlich, um den Schlüsseltresor einzurichten.
Den Schlüssel erstellen und Zugriff mithilfe von Azure Key Vault gewähren

Der Azure Key Vault Administrator führt diese Aufgaben in Azure aus.

  1. Ein bezahltes Azure-Abonnement und einen Key Vault erstellen. Ignorieren Sie diesen Schritt, wenn Sie bereits über ein Abonnement verfügen, das Azure Key Vault enthält.
  2. Wechseln Sie zum Azure Key Vault-Dienst, und erstellen Sie einen Schlüssel. Mehr Informationen: Erstellen Sie einen Schlüssel im Schlüsseltresor
  3. Aktivieren Sie den Power Platform Unternehmensrichtliniendienst für Ihr Azure-Abonnement. Tun Sie dies nur einmal. Mehr Informationen: Aktivieren Sie den Power Platform Unternehmensrichtliniendienst für Ihr Azure-Abonnement
  4. Erstellen einer Power Platform Unternehmensrichtlinie. Weitere Informationen: Erstellen einer Unternehmens-Richtlinie
  5. Gewähren Sie der Unternehmensrichtlinie die Berechtigung, auf Ihren Schlüsseltresor zuzugreifen. Mehr Informationen: Gewähren Sie der Unternehmensrichtlinie die Berechtigung, auf Ihren Schlüsseltresor zuzugreifen
  6. Gewähren Sie Power Platform und Dynamics 365-Dienstadministratoren die Berechtigung zum Lesen der Unternehmensrichtlinie. Mehr Informationen: Gewähren Sie die Power Platform Administratorberechtigung zum Lesen der Unternehmensrichtlinie

Power Platform/Dynamics 365 Dienstadministrator Power Platform Admin Center-Aufgaben

Voraussetzung
  • Power Platform Administrator muss entweder die Power Platform oder Dynamics 365-Dienstadministrator Microsoft Entra Rolle zugewiesen werden.
Umgebungsverschlüsselung in Power Platform Admin Center verwalten

Der Power Platform Administrator verwaltet kundenseitig verwaltete Schlüsselaufgaben im Zusammenhang mit der Umgebung im Power Platform Admin Center.

  1. Fügen Sie die Power Platform Umgebungen zur Unternehmensrichtlinie hinzu, um Daten mit dem kundenseitig verwalteten Schlüssel zu verschlüsseln. Weitere Informationen: Fügen Sie der Unternehmensrichtlinie eine Umgebung hinzu, um Daten zu verschlüsseln
  2. Entfernen Sie Umgebungen aus der Unternehmensrichtlinie, um die Verschlüsselung auf den Microsoft verwalteten Schlüssel zurückzusetzen. Weitere Informationen: Umgebungen aus der Richtlinie entfernen, um zum Microsoft verwalteten Schlüssel zurückzukehren
  3. Ändern Sie den Schlüssel, indem Sie Umgebungen aus der alten Unternehmensrichtlinie entfernen und einer neuen Unternehmensrichtlinie Umgebungen hinzufügen. Weitere Informationen: Verschlüsselungsschlüssel erstellen und Zugriff gewähren
  4. Von BYOK migrieren. Wenn Sie die frühere Funktion für selbstverwaltete Verschlüsselungsschlüssel verwenden, können Sie Ihren Schlüssel in einen kundenseitig verwalteten Schlüssel migrieren. Weitere Informationen: Bring Your Own Key-Umgebungen auf vom Kunden verwaltete Schlüssel migrieren

Erstellen Sie die Verschlüsselungsschlüssel- und Zuweisungsübersicht

Ein bezahltes Azure-Abonnement und einen Key Vault erstellen

Führen Sie die folgenden Schritte in Azure aus:

  1. Erstellen Sie ein vorausbezahltes oder entsprechendes Azure-Abonnement. Dieser Schritt ist nicht erforderlich, wenn der Mandant bereits über ein Abonnement verfügt.

  2. Ressourcengruppe erstellen. Weitere Informationen: Ressourcengruppen erstellen

    Anmerkung

    Erstellen oder verwenden Sie eine Ressourcengruppe mit einem Standort (z. B. „USA, Mitte“), der der Region der Power Platform-Umgebung entspricht, beispielsweise den Vereinigten Staaten.

  3. Erstellen Sie einen Schlüsseltresor mit dem kostenpflichtigen Abonnement, das Schutz vor vorläufigem Löschen und Löschen mit der Ressourcengruppe enthält, die Sie im vorherigen Schritt erstellt haben.

    Wichtig

Erstellen Sie einen Schlüssel im Schlüsseltresor

  1. Stellen Sie sicher, dass diese Voraussetzungen erfüllt sind.
  2. Gehen Sie zum Azure-Portal>Key Vault und suchen Sie den Schlüsseltresor, in dem Sie einen Verschlüsselungsschlüssel generieren möchten.
  3. Überprüfen Sie die Azure Key Vault-Einstellungen:
    1. Wählen Sie unter Eigenschaften die Option Einstellungen aus.
    2. Stellen Sie unter Vorläufiges Löschen die Option Vorläufiges Löschen wurde für diesen Schlüsseltresor aktiviert ein oder vergewissern Sie sich, dass sie festgelegt ist.
    3. Unter Löschschutz bestätigen Sie oder legen fest, dass Löschschutz aktivieren (erzwingen Sie einen obligatorischen Aufbewahrungszeitraum für gelöschte Tresore und Tresorobjekte) aktiviert ist.
    4. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.
RSA-Schlüssel erstellen
  1. Erstellen oder importieren Sie einen Schlüssel mit diesen Eigenschaften:

    1. Wählen Sie auf den Eigenschaftenseiten Key Vault und Schlüssel aus.
    2. Wählen Sie Erstellen / Import.
    3. Geben Sie auf der Anzeige einen Schlüssel erstellen die folgenden Werte ein, und wählen Sie dann Erstellen aus.
      • Optionen: Generieren
      • Name: Geben Sie einen Namen für den Schlüssel ein
      • Schlüsseltyp: RSA
      • RSA-Schlüsselgröße: 2048

    Wichtig

    Wenn Sie in Ihrem Schlüssel ein Ablaufdatum festlegen und der Schlüssel abgelaufen ist, fallen alle mit diesem Schlüssel verschlüsselten Umgebungen aus. Richten Sie eine Warnung zur Überwachung ablaufender Zertifikate ein mit E-Mail-Benachrichtigungen für Ihren lokalen Power Platform Administrator und den Azure Key Vault-Administrator als Erinnerung zur Erneuerung des Ablaufdatums. Dies ist wichtig, um ungeplante Systemausfälle zu vermeiden.

Geschützte Schlüssel für Hardwaresicherheitsmodule (HSM) importieren

Sie können Ihre geschützten Schlüssel für Hardwaresicherheitsmodule (HSM) verwenden, um Ihre Power Platform Dataverse Umgebungen zu verschlüsseln. Ihre HSM-geschützten Schlüssel müssen in den Key Vault importiert werden, damit eine Unternehmensrichtlinie erstellt werden kann. Weitere Informationen finden Sie unter Unterstützte HSMsHSM-geschützte Schlüssel in Key Vault importieren (BYOK).

Einen Schlüssel im verwalteten HSM von Azure Key Vault erstellen

Sie können einen vom verwalteten HSM von Azure Key Vault erstellten Schlüssel verwenden, um Ihre Umgebungsdaten zu verschlüsseln. Dadurch erhalten Sie FIPS-140-2-Level-3-Unterstützung.

RSA-HSM-Schlüssel erstellen
  1. Stellen Sie sicher, dass diese Voraussetzungen erfüllt sind.

  2. Wechseln Sie zum Azure-Portal.

  3. Erstellen Sie ein Verwaltetes HSM:

    1. Rückstellung das verwaltete HSM.
    2. Aktivieren Sie das verwaltete HSM.
  4. Aktivieren Sie Löschschutz in Ihrem verwalteten HSM.

  5. Gewähren Sie der Person, die den verwalteten HSM-Schlüsseltresor erstellt hat, die Rolle Verschlüsselungsbenutzender verwaltetes HSM.

    1. Greifen Sie auf den verwalteten HSM-Schlüsseltresor im Azure-Portal zu.
    2. Navigieren Sie zur Lokalen RBAC und wählen Sie + Hinzufügen aus.
    3. Wählen Sie in der Dropdownliste Rolle die Rolle Verschlüsselungsbenutzender verwaltetes HSM auf der Seite Rollenzuweisung aus.
    4. Wählen Sie Alle Schlüssel unter Bereich aus.
    5. Wählen Sie Sicherheitsprinzipal auswählen und dann den Administrierenden auf der Seite Prinzipal hinzufügen aus.
    6. Wählen Sie Erstellen aus.
  6. Einen RSA-HSM-Schlüssel erstellen:

    • Optionen: Generieren
    • Name: Geben Sie einen Namen für den Schlüssel ein
    • Schlüsseltyp: RSA-HSM
    • RSA-Schlüsselgröße: 2048

    Anmerkung

    Unterstützte RSA-HSM-Schlüsselgrößen: 2048 Bit und 3072 Bit.

Sie können das Netzwerk Ihres Azure Key Vault aktualisieren, indem Sie einen privaten Endpunkt aktivieren und den Schlüssel im Schlüsseltresor verwenden, um Ihre Power Platform Umgebungen zu verschlüsseln.

Sie können entweder einen neuen Schlüsseltresor erstellen und eine private Verbindung herstellen oder eine private Verbindung zu einem vorhandenen Schlüsseltresor herstellen und einen Schlüssel aus diesem Schlüsseltresor erstellen und ihn zum Verschlüsseln Ihrer Umgebung verwenden. Sie können auch eine private Verbindung zu einem vorhandenen Schlüsseltresor herstellen, nachdem Sie bereits einen Schlüssel erstellt haben und ihn zum Verschlüsseln Ihrer Umgebung verwenden.

  1. Erstellen Sie einen Azure Key Vault mit diesen Optionen:

    • Aktivieren Sie den Löschschutz
    • Schlüsseltyp: RSA
    • Schlüsselgröße: 2048
  2. Kopieren Sie die Schlüsseltresor-URL sowie die URL des Verschlüsselungsschlüssels, die zum Erstellen der Unternehmensrichtlinie verwendet werden sollen.

    Anmerkung

    Sobald Sie Ihrem Schlüsseltresor einen privaten Endpunkt hinzugefügt oder das öffentliche Zugriffsnetzwerk deaktiviert haben, können Sie den Schlüssel nur dann sehen, wenn Sie über die entsprechende Berechtigung verfügen.

  3. Erstellen Sie ein virtuelles Netzwerk.

  4. Kehren Sie zu Ihrem Schlüsseltresor zurück und fügen Sie eine private Endpunktverbindungen zu Ihrem Azure Key Vault hinzu.

    Anmerkung

    Sie müssen die Netzwerkoption Öffentlichen Zugriff deaktivieren Auswählen aktivieren und die Ausnahme vertrauenswürdigen Microsoft Diensten erlauben, diese Firewall zu umgehen aktivieren.

  5. Erstellen einer Power Platform Unternehmensrichtlinie. Weitere Informationen: Erstellen einer Unternehmens-Richtlinie

  6. Gewähren Sie der Unternehmensrichtlinie die Berechtigung, auf Ihren Schlüsseltresor zuzugreifen. Mehr Informationen: Gewähren Sie der Unternehmensrichtlinie die Berechtigung, auf Ihren Schlüsseltresor zuzugreifen

  7. Gewähren Sie Power Platform und Dynamics 365-Dienstadministratoren die Berechtigung zum Lesen der Unternehmensrichtlinie. Mehr Informationen: Gewähren Sie die Power Platform Administratorberechtigung zum Lesen der Unternehmensrichtlinie

  8. Der Administrierende des Power Platform Admin Centers wählt die Umgebung zum Verschlüsseln und Aktivieren der verwalteten Umgebung aus. Weitere Informationen: Aktivieren Sie die verwaltete Umgebung, die der Unternehmensrichtlinie hinzugefügt werden soll

  9. Der Administrierende des Power Platform Admin Centers fügt die verwaltete Umgebung zur Unternehmensrichtlinie hinzu. Weitere Informationen: Fügen Sie der Unternehmensrichtlinie eine Umgebung hinzu, um Daten zu verschlüsseln

Aktivieren Sie den Power Platform Unternehmensrichtliniendienst für Ihr Azure-Abonnement

Registrieren von Power Platform als Ressourcenanbieter. Sie müssen diese Aufgabe nur einmal für jedes Azure-Abonnement ausführen, in dem sich Ihr Azure Key Vault befindet. Um den Ressourcenanbieter zu registrieren, benötigen Sie Zugriffsrechte auf das Abonnement.

  1. Melden Sie sich beim Azure-Portal an und gehen Sie zu Abonnement>Ressourcenanbieter.
  2. Suchen Sie in der Liste der Ressourcenanbieter nach Microsoft.PowerPlatform und Registrieren Sie es.

Erstellen einer Unternehmensrichtlinie

  1. PowerShell MSI installieren. Weitere Informationen: Installieren von PowerShell auf Windows, Linux und macOS
  2. Gehen Sie nach der Installation von PowerShell MSI in Azure zurück zu Eine benutzerdefinierte Vorlage bereitstellen.
  3. Wählen Sie den Link Eigene Vorlage im Editor erstellen aus.
  4. Kopieren Sie diese JSON-Vorlage in einen Texteditor wie beispielsweise Notepad. Weitere Informationen: Erstellen einer Unternehmens-Richtlinienvorlage
  5. Ersetzen Sie die Werte in der JSON-Vorlage für: EnterprisePolicyName, Speicherort, an dem EnterprisePolicy erstellt werden muss, keyVaultId und keyName. Weitere Informationen: Felddefinitionen für JSON-Vorlage
  6. Kopieren Sie die aktualisierte Vorlage aus Ihrem Texteditor und fügen Sie sie dann in die Vorlage bearbeiten der benutzerdefinierten Bereitstellung in Azure ein. Wählen Sie dann Speichern.
  7. Wählen Sie ein Abonnement und eine Ressourcengruppe aus, in der die Unternehmensrichtlinie erstellt werden soll.
  8. Wählen Sie überprüfen und erstellen und dann erstellen aus.

Eine Bereitstellung wird gestartet. Anschließend wird die Unternehmensrichtlinie erstellt.

JSON-Vorlage für Unternehmensrichtlinien

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Felddefinitionen für die JSON-Vorlage

  • Name. Name der Unternehmensrichtlinie. Dies ist der Name der Richtlinie, die im Power Platform Admin Center angezeigt wird.

  • Standort. Eine der folgenden Komponenten. Dies ist der Speicherort der Unternehmensrichtlinie und muss mit der Dataverse Region der Umgebung übereinstimmen:

    • ‚"unitedstates"‘
    • ‚"southafrica"‘
    • ‚"uk"‘
    • ‚"japan"‘
    • ‚"india"‘
    • ‚"france"‘
    • ‚"europe"‘
    • ‚"germany"‘
    • ‚"switzerland"‘
    • ‚"canada"‘
    • ‚"brazil"‘
    • ‚"australia"‘
    • ‚"asia"‘
    • ‚"uae"‘
    • ‚"korea"‘
    • ‚"norway"‘
    • ‚"singapore"‘
    • ‚"sweden"‘
  • Kopieren Sie diese Werte aus Ihren Schlüsseltresoreigenschaften im Azure-Portal:

    • keyVaultId: Gehen Sie zu Schlüsseltresoren> Auswählen Ihrem Schlüsseltresor >Übersicht. Neben Essentials wählen Sie JSON-Ansicht. Kopieren Sie die Ressourcen-ID in die Zwischenablage und fügen Sie den gesamten Inhalt in Ihre JSON-Vorlage ein.
    • keyName: Gehen Sie zu Schlüsseltresoren> Auswählen Ihrem Schlüsseltresor >Schlüssel. Beachten Sie den Schlüssel Name und geben Sie den Namen in Ihre JSON-Vorlage ein.

Gewähren Sie der Unternehmensrichtlinie die Berechtigung, auf Ihren Schlüsseltresor zuzugreifen

Sobald die Unternehensrichtlinie erstellt ist, gewährt der Schlüsseltresor-Administrator der verwalteten Identität der Unternehmensrichtlinie Zugriff auf den Verschlüsselungsschlüssel.

  1. Melden Sie sich beim Azure-Portal an und gehen Sie zu Key Vaults.
  2. Wählen Sie den Schlüsseltresor aus, in dem der Schlüssel der Unternehmensrichtlinie zugewiesen wurde.
  3. Wählen Sie die Registerkarte Zugriffssteuerung (IAM) und dann + Hinzufügen.
  4. Wählen Sie aus der Dropdownliste Rollenzuweisung hinzufügen.
  5. Suchen Sie nach Verschlüsselungsbenutzender des Verschlüsselungsdienstes des Schlüsseltresors und wählen Sie ihn aus.
  6. Wählen Sie Weiter.
  7. Wählen Sie + Mitglieder auswählen aus.
  8. Suchen Sie nach der von Ihnen erstellten Unternehmensrichtlinie.
  9. Wählen Sie die Unternehmensrichtlinie aus und wählen Sie dann Auswählen.
  10. Wählen Sie Überprüfen + zuweisen.

Anmerkung

Die obige Berechtigungseinstellung basiert auf dem Berechtigungsmodell der rollenbasierten Zugriffssteuerung von Azure Ihres Key Vaults. Wenn Ihr Key Vault auf die Vault-Zugriffsrichtlinie eingestellt ist, wird die Migration zum rollenbasierten Modell empfohlen. Um Ihrer Unternehmensrichtlinie mithilfe der Vault-Zugriffsrichtlinie Zugriff auf den Key Vault zu gewähren, erstellen Sie eine Zugriffsrichtlinie und wählen Sie Abrufen über Schlüsselverwaltungsvorgänge und Schlüssel entpacken und Schlüssel packen über Kryptografische Vorgänge aus.

Anmerkung

Um ungeplante Systemausfälle zu verhindern, ist es wichtig, dass die Unternehmensrichtlinie Zugriff auf den Schlüssel hat. Stellen Sie Folgendes sicher:

  • Der Schlüsseltresor ist aktiv.
  • Der Schlüssel ist aktiv und nicht abgelaufen.
  • Der Schlüssel wird nicht gelöscht.
  • Die oben genannten Schlüsselberechtigungen werden nicht widerrufen.

Die Umgebungen, die diesen Schlüssel verwenden, werden deaktiviert, wenn auf den Verschlüsselungsschlüssel nicht zugegriffen werden kann.

Gewähren Sie die Power Platform Administratorberechtigung zum Lesen der Unternehmensrichtlinie

Administratoren mit Dynamics 365- oder Power Platform Administratorrollen können auf Power Platform Admin Center zugreifen, um der Unternehmensrichtlinie Umgebungen zuzuweisen. Um auf die Unternehmensrichtlinien zuzugreifen, muss der Administrator mit Azure Key Vault-Zugriff dem Administrator die Rolle Leser erteilen. Sobald die Rolle Power Platform Leser erteilt wurde, kann der Administrator die Unternehmensrichtlinien auf dem Administrator Admin Center anzeigen. Power Platform Power Platform

Anmerkung

Nur Power Platform und Dynamics 365-Administratoren, denen die Leser-Rolle für die Unternehmensrichtlinie gewährt wurde, können der Richtlinie eine Umgebung hinzufügen. Andere Power Platform oder Dynamics 365-Administratoren können die Unternehmensrichtlinie möglicherweise anzeigen, aber sie erhalten eine Fehlermeldung, wenn sie versuchen, der Richtlinie eine Umgebung hinzuzufügen

Gewähren Sie einem Power Platform Administrator die Rolle Leser

  1. Melden Sie sich beim Azure-Portal an.
  2. Kopieren Sie die Objekt-ID des Power Platform oder Dynamics 365-Administrators. Gehen Sie hierzu wie folgt vor:
    1. Wechseln Sie in Azure zum Bereich Benutzer.
    2. Suchen Sie in der Liste Alle Benutzer den Benutzer mit Power Platform oder Dynamics 365-Administratorberechtigungen mithilfe von Benutzer suchen.
    3. Öffnen Sie den Benutzerdatensatz und kopieren Sie auf der Registerkarte Übersicht die Objekt-ID des Benutzers. Fügen Sie dies für später in einen Text-Editor wie Notepad.
  3. Kopieren Sie die Ressourcen-ID der Unternehmensrichtlinie. Gehen Sie hierzu wie folgt vor:
    1. Wechseln Sie in Azure zum Ressource Graph Explorer .
    2. Geben Sie microsoft.powerplatform/enterprisepolicies in das Kästchen Suchen ein und wählen Sie dann microsoft.powerplatform/enterprisepolicies Ressource aus.
    3. Wählen Sie Abfrage ausführen in der Befehlsleiste aus. Eine Liste mit allen Power Platform Unternehmensrichtlinien wird angezeigt.
    4. Suchen Sie die Unternehmensrichtlinie, der Sie Zugriff gewähren möchten.
    5. Scrollen Sie nach rechts neben der Unternehmensrichtlinie und wählen Sie Details anzeigen aus.
    6. Auf der Seite Details kopieren Sie die ID.
  4. Starten Sie Azure Cloud Shell und führen Sie den folgenden Befehl aus, um objId mit der Objekt-ID des Benutzers und der EP-Ressourcen-ID mit der enterprisepolicies ID zu ersetzen, die im vorherigen Schritt kopiert wurde: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Verwalten der Verschlüsselung für eine Umgebung

Um die Verschlüsselung der Umgebung zu verwalten, benötigen Sie die folgende Berechtigung:

  • Microsoft Entra aktiver Benutzer, der eine Power Platform und/oder Dynamics 365-Administrator Sicherheitsrolle hat.
  • Microsoft Entra Benutzer, der entweder die Rolle eines Power Platform - oder Dynamics 365-Dienstadministrators hat.

Der Schlüsseltresoradministrator benachrichtigt den Power Platform Administrator, dass ein Verschlüsselungsschlüssel und eine Unternehmensrichtlinie erstellt wurden und stellt die Unternehmensrichtlinie dem Power Platform Administrator bereit. Um den vom Kunden verwalteten Schlüssel zu aktivieren, weist der Power Platform Administrator seine Umgebungen der Unternehmensrichtlinie zu. Nachdem die Umgebung zugewiesen und gespeichert wurde, leitet Dataverse den Verschlüsselungsprozess ein, um alle Umgebungsdaten festzulegen und mit dem vom Kunden verwalteten Schlüssel zu verschlüsseln.

Aktivieren Sie die verwaltete Umgebung, die der Unternehmensrichtlinie hinzugefügt werden soll

  1. Melden Sie sich im Power Platform Admin Center an und suchen Sie nach der Umgebung.
  2. Wählen Sie die Umgebung aus der Umgebungsliste aus und überprüfen Sie sie.
  3. Wählen Sie das Symbol Verwaltete Umgebungen aktivieren in der Aktionsleiste aus.
  4. Wählen Sie Aktivieren.

Fügen Sie der Unternehmensrichtlinie eine Umgebung hinzu, um Daten zu verschlüsseln

Wichtig

Die Umgebung wird deaktiviert, wenn sie der Unternehmensrichtlinie für die Datenverschlüsselung hinzugefügt wird.

  1. Melden Sie sich beim Power Platform Admin Center an und gehen Sie zu Richtlinien>Unternehmensrichtlinien.
  2. Wählen Sie eine Richtlinien und wählen Sie dann auf der Befehlsleiste Bearbeiten aus.
  3. Wählen Sie Umgebungen hinzufügen und wählen Sie dann die gewünschte Umgebung aus. Wählen Sie dann Weiter aus. Umgebung im Power Platform Admin Center der Unternehmensrichtlinie hinzufügen
  4. Wählen Sie Speichern und dann Bestätigen aus.

Wichtig

  • In der Liste Umgebungen hinzufügen werden nur Umgebungen angezeigt, die sich in derselben Region wie die Unternehmensrichtlinie befinden.
  • Der Abschluss der Verschlüsselung kann bis zu vier Tage dauern, die Umgebung wird jedoch möglicherweise aktiviert, bevor der Vorgang Umgebungen hinzufügen abgeschlossen ist.
  • Der Vorgang wird möglicherweise nicht abgeschlossen. Wenn er fehlschlägt, bleiben Ihre Daten weiterhin mit dem Microsoft verwalteten Schlüssel verschlüsselt. Sie können den Vorgang Umgebungen hinzufügen erneut ausführen.

Anmerkung

Sie können nur Umgebungen hinzufügen, die als verwaltete Umgebungen aktiviert sind. Test- und Teams-Umgebungstypen können der Unternehmensrichtlinie nicht hinzugefügt werden.

Umgebungen aus der Richtlinie entfernen, um zum Microsoft verwalteten Schlüssel zurückzukehren

Folgen diese Schritte, wenn Sie zu einem Microsoft verwalteten Verschlüsselungsschlüssel zurückkehren möchten.

Wichtig

Umgebung wird deaktiviert, wenn es aus der Unternehmensrichtlinie entfernt wird, um die Datenverschlüsselung mit dem Microsoft verwalteten Schlüssel zurückzugeben.

  1. Melden Sie sich beim Power Platform Admin Center an und gehen Sie zu Richtlinien>Unternehmensrichtlinien.
  2. Wählen Sie die Registerkarte Umgebung mit Richtlinien und suchen Sie dann die Umgebung, die Sie aus dem kundenseitig verwalteten Schlüssel entfernen möchten.
  3. Wählen Sie die Registerkarte Alle Richtlinien, wählen Sie die Umgebung aus, die Sie in Schritt 2 überprüft haben, und wählen Sie dann Richtlinie bearbeiten auf der aus Befehlsleiste aus. Entfernen Sie eine Umgebung aus dem kundenseitig verwalteten Schlüssel
  4. Wählen Sie auf der Befehlsleiste Umgebung entfernen und wählen Sie die Umgebung aus, die Sie entfernen möchten. Wählen Sie dann Weiter aus.
  5. Wählen Sie Speichern.

Wichtig

Umgebung wird deaktiviert, wenn es aus der Unternehmensrichtlinie entfernt wird, um die Datenverschlüsselung mit dem Microsoft-verwalteten Schlüssel mit wiederherstellen durchzuführen. Löschen oder deaktivieren Sie den Schlüssel oder den Key Vault nicht und entfernen Sie nicht die Berechtigungen der Unternehmensrichtlinie für den Key Vault. Der Zugriff auf den Schlüssel und den Key Vault ist zur Unterstützung der Datenbankwiederherstellung erforderlich. Sie können die Berechtigungen der Unternehmensrichtlinie nach 30 Tagen löschen und entfernen.

Verschlüsselungsstatus der Umgebung überprüfen

Verschlüsselungsstatus anhand der Unternehmensrichtlinien überprüfen

  1. Melden Sie sich beim Power Platform Admin Center an.

  2. Wählen Sie Richtlinien>Unternehmensrichtlinien aus.

  3. Wählen Sie eine Richtlinien und wählen Sie dann auf der Befehlsleiste Bearbeiten aus.

  4. Überprüfen Sie den Verschlüsselungsstatus der Umgebung im Abschnitt Umgebungen mit dieser Richtlinie.

    Anmerkung

    Der Verschlüsselungsstatus der Umgebung kann wie folgt sein:

    • Verschlüsselt – der Verschlüsselungsschlüssel der Unternehmensrichtlinie ist aktiv und Umgebung ist mit Ihrem Schlüssel verschlüsselt.
    • Fehlgeschlagen – der Verschlüsselungsschlüssel der Unternehmensrichtlinie wird nicht von allen Dataverse Speicherdiensten verwendet. Ihre Verarbeitung erfordert mehr Zeit und Sie können den Vorgang Umgebung hinzufügen erneut ausführen. Wenden Sie sich an den Support, wenn die erneute Ausführung fehlschlägt.
    • Warnung – der Verschlüsselungsschlüssel der Unternehmensrichtlinie ist aktiv und eines der Daten des Dienstes wird weiterhin mit dem Microsoftverwalteten Schlüssel verschlüsselt. Weitere Informationen: Warnmeldungen für die Power Automate-CMK-Anwendung

    Sie können die Option Umgebung hinzufügen für die Umgebung erneut ausführen, die einen Verschlüsselungsstatus von Fehlgeschlagen hat.

Verschlüsselungsstatus auf der Seite „Umgebungsverlauf“ überprüfen

Sie können den Umgebungsverlauf anzeigen.

  1. Melden Sie sich beim Power Platform Admin Center an.

  2. Wählen Sie Umgebungen im Navigationsbereich aus und wählen Sie dann eine Umgebung aus der Liste aus.

  3. Wählen Sie auf der Befehlsleiste Verlauf aus.

  4. Suchen Sie nach dem Verlauf für Kundenseitig verwalteten Schlüssel aktualisieren.

    Anmerkung

    Der Status zeigt Wird ausgeführt an, wenn die Verschlüsselung ausgeführt wird. Wenn die Verschlüsselung abgeschlossen ist, wird Erfolgreich angezeigt. Der Status zeigt Fehlgeschlagen an, wenn ein Problem mit einem der Dienste vorliegt, der den Verschlüsselungsschlüssel nicht anwenden kann.

    Der Status Fehlgeschlagen kann eine Warnung sein und Sie müssen die Option Umgebung hinzufügen nicht erneut ausführen. Sie können bestätigen, ob es sich um eine Warnung handelt.

Ändern Sie den Schlüssel der Umgebung mit einer neuen Unternehmensrichtlinie und einem neuen Schlüssel

Um Ihren Verschlüsselungsschlüssel zu ändern, erstellen Sie einen neuen Schlüssel und eine neue Unternehmensrichtlinie. Sie können dann die Unternehmensrichtlinie ändern, indem Sie Umgebungen aus der alten Unternehmensrichtlinie entfernen und einer neuen Unternehmensrichtlinie Umgebungen hinzufügen. Beim Wechsel zu einer neuen Unternehmensrichtlinie fällt das System zweimal aus: 1) um die Verschlüsselung auf einen Microsoft verwalteten Schlüssel zu wiederherstellen und 2) um die neue Unternehmensrichtlinie anzuwenden.

Trinkgeld

Zum Rotieren des Verschlüsselungsschlüssels empfehlen wir, die neue Version des Schlüsseltresors zu verwenden oder eine Rotationsrichtlinie festzulegen.

  1. Im Azure-Portal erstellen Sie einen neuen Schlüssel und eine neue Unternehmensrichtlinie. Weitere Informationen: Schlüssel erstellen und Zugriff gewähren und Eine Unternehmensrichtlinie erstellen
  2. Sobald der neue Schlüssel und die Unternehmensrichtlinie erstellt sind, gehen Sie zu Richtlinien>Unternehmensrichtlinien.
  3. Wählen Sie die Registerkarte Umgebung mit Richtlinien und suchen Sie dann die Umgebung, die Sie aus dem kundenseitig verwalteten Schlüssel entfernen möchten.
  4. Wählen Sie die Registerkarte Alle Richtlinien, wählen Sie die Umgebung aus, die Sie in Schritt 2 überprüft haben, und wählen Sie dann Richtlinie bearbeiten auf der aus Befehlsleiste aus. Entfernen Sie eine Umgebung aus dem kundenseitig verwalteten Schlüssel
  5. Wählen Sie auf der Befehlsleiste Umgebung entfernen und wählen Sie die Umgebung aus, die Sie entfernen möchten. Wählen Sie dann Weiter aus.
  6. Wählen Sie Speichern.
  7. Wiederholen Sie die Schritte 2-6, bis alle Umgebungen in der Unternehmensrichtlinie entfernt wurden.

Wichtig

Umgebung wird deaktiviert, wenn es aus der Unternehmensrichtlinie entfernt wird, um die Datenverschlüsselung mit dem Microsoft-verwalteten Schlüssel mit wiederherstellen durchzuführen. Löschen oder deaktivieren Sie nicht den Schlüssel, löschen oder deaktivieren Sie nicht den Schlüsseltresor und entfernen Sie nicht die Berechtigungen der Unternehmensrichtlinie für den Schlüsseltresor. Der Zugriff auf den Schlüssel und den Key Vault ist zur Unterstützung der Datenbankwiederherstellung erforderlich. Sie können die Berechtigungen der Unternehmensrichtlinie nach 30 Tagen löschen und entfernen.

  1. Nachdem alle Umgebungen entfernt wurden, gehen Sie im Power Platform Admin Center zu Unternehmensrichtlinien.
  2. Wählen Sie die neue Unternehmensrichtlinie und wählen Sie dann Richtlinie bearbeiten aus.
  3. Wählen Sie Umgebung hinzufügen und wählen Sie dann die Umgebung aus, die Sie dann hinzufügen möchten und wählen Sie Weiter aus.

Wichtig

Die Umgebung wird deaktiviert, wenn sie der neuen Unternehmensrichtlinie hinzugefügt wird.

Den Verschlüsselungsschlüssel der Umgebung mit einer neuen Schlüsselversion rotieren

Sie können den Schlüssel der Umgebung ändern, indem Sie eine neue Schlüsselversion erstellen. Wenn Sie eine neue Schlüsselversion erstellen, wird die neue Schlüsselversion automatisch aktiviert. Alle Speicherressourcen erkennen die neue Schlüsselversion und beginnen, sie zur Verschlüsselung Ihrer Daten anzuwenden.

Wenn Sie den Schlüssel oder die Schlüsselversion ändern, ändert sich der Schutz des Stammschlüssels, aber die Daten im Speicher bleiben immer mit Ihrem Schlüssel verschlüsselt. Sie müssen nichts weiter unternehmen, um den Schutz Ihrer Daten zu gewährleisten. Das Rotieren der Schlüsselversion hat keine Auswirkungen auf die Leistung. Durch die Rotation der Schlüsselversion entstehen keine Ausfallzeiten. Es kann 24 Stunden dauern, bis alle Ressourcenanbieter die neue Schlüsselversion im Hintergrund anwenden. Die vorherige Schlüsselversion darf nicht deaktiviert werden, da sie für den Dienst erforderlich ist, um sie für die Neuverschlüsselung und die Unterstützung der Datenbankwiederherstellung zu verwenden.

Gehen Sie wie folgt vor, um den Schlüssel durch Erstellen einer neuen Schlüsselversion zu rotieren.

  1. Gehen Sie zum Azure-Portal>Key Vaults und suchen Sie den Schlüsseltresor, in dem Sie eine neue Schlüsselversion erstellen möchten.
  2. Gehen Sie zu Schlüssel.
  3. Wählen Sie den aktuellen, aktivierten Schlüssel aus.
  4. Wählen Sie + Neue Version aus.
  5. Die Einstellung Aktiviert ist standardmäßig auf Ja eingestellt, was bedeutet, dass die neue Schlüsselversion bei der Erstellung automatisch aktiviert wird.
  6. Wählen Sie Erstellen aus.

Trinkgeld

Um Ihre Schlüsselrotationsrichtlinie einzuhalten, können Sie den Verschlüsselungsschlüssel mithilfe der Rotationsrichtlinie rotieren. Sie können entweder eine Rotationsrichtlinie konfigurieren oder bei Bedarf rotieren, indem Sie Jetzt rotieren aufrufen.

Wichtig

Die neue Schlüsselversion wird automatisch im Hintergrund rotiert und Power Platform Administrierende müssen nichts unternehmen. Es ist wichtig, dass die vorherige Schlüsselversion mindestens 28 Tage lang nicht deaktiviert oder gelöscht wird, um die Datenbankwiederherstellung zu unterstützen. Wenn Sie die vorherige Schlüsselversion zu früh deaktivieren oder löschen, kann Ihre Umgebung offline gehen.

Zeigen Sie die Liste der verschlüsselten Umgebungen an

  1. Melden Sie sich beim Power Platform Admin Center an und gehen Sie zu Richtlinien>Unternehmensrichtlinien.
  2. Wählen Sie auf der Seite Unternehmensrichtlinien die Registerkarte Umgebungen mit Richtlinien aus. Die Liste der Umgebungen, die zu Unternehmensrichtlinien hinzugefügt wurden, wird angezeigt.

Anmerkung

Es kann Situationen geben, in denen der Umgebungsstatus oder der Verschlüsselungsstatus einen Status Fehlgeschlagen anzeigen. Wenn dies geschieht, können Sie versuchen, den Vorgang Umgebung hinzufügen erneut auszuführen oder eine Microsoft Supportanfrage für Hilfe zu senden.

Umgebungs-Datenbankvorgänge

Ein Kundenmandant kann über Umgebungen verfügen, die mit dem Microsoft verwalteten Schlüssel verschlüsselt sind, sowie über Umgebungen, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt sind. Um die Datenintegrität und den Datenschutz zu gewährleisten, stehen beim Verwalten von Umgebungsdatenbankvorgängen die folgenden Steuerelemente zur Verfügung.

  • Wiederherstellen Das zu überschreibende wiederherstellen (das auf wiederherstellen wiederhergestellte) ist auf dasselbe wiederherstellen beschränkt, von dem das Backup erstellt wurde, oder auf ein anderes wiederherstellen, das mit demselben vom Kunden verwalteten Schlüssel verschlüsselt ist.

    Backup wiederherstellen.

  • Kopieren Das zu überschreibende Umgebung (das nach Umgebung kopierte) ist auf ein anderes Umgebung beschränkt, das mit demselben vom Kunden verwalteten Schlüssel verschlüsselt ist.

    Umgebung kopieren.

    Anmerkung

    Wenn eine Support-Untersuchungs-Umgebung erstellt wurde, um Supportprobleme in einer vom Kunden verwalteten Umgebung zu beheben, muss der Verschlüsselungsschlüssel für die Support-Untersuchungs-Umgebung in einen vom Kunden verwalteten Schlüssel geändert werden, bevor der Vorgang zum Kopieren der Umgebung ausgeführt werden kann.

  • Zurücksetzen Die verschlüsselten Daten von Umgebung werden inklusive Backups gelöscht. Nachdem Umgebung zurückgesetzt wurde, wird die Umgebung-Verschlüsselung auf den Microsoft verwalteten Schlüssel zurückgesetzt.

Nächste Schritte,

Informationen zu Azure Key Vault