Vom Kunden verwalteten Verschlüsselungsschlüssel verwalten

Kunden haben Datenschutz- und Compliance-Anforderungen, um ihre Daten durch Verschlüsselung ihrer ruhenden Daten zu sichern. Dies schützt die Daten vor Offenlegung für den Fall, dass eine Kopie der Datenbank gestohlen wird. Mit der Datenverschlüsselung im Ruhezustand sind die gestohlenen Datenbankdaten davor geschützt, ohne den Verschlüsselungsschlüssel auf einem anderen Server wiederhergestellt zu werden.

Alle in Power Platform gespeicherten Kundendaten werden standardmäßig mit starken, von Microsoft verwalteten Schlüsseln verschlüsselt. Microsoft Stores verwaltet und speichert den Datenbankschlüssel für all Ihre Daten, sodass Sie sich nicht darum kümmern müssen. Power Platform stellt jedoch diesen vom Kunden verwalteten Verschlüsselungsschlüssel (CMK) für Ihre zusätzliche Datenschutzkontrolle bereit, bei der Sie den Datenbankschlüssel, der Ihrer Microsoft Dataverse Umgebung zugeordnet ist, selbst verwalten können. Dies ermöglicht es Ihnen, den Schlüssel bei Bedarf zu rotieren oder auszutauschen, und ermöglicht es Ihnen auch, den Zugriff von Microsoft auf Ihre Kundendaten zu verhindern, wenn Sie den Zugriff des Schlüssels auf unsere Dienste jederzeit widerrufen.

Sehen Sie sich das Video an, um mehr über kundenseitig verwaltete Schlüssel in Power Platform zu erfahren.

Diese Verschlüsselungsschlüsselvorgänge sind mit dem vom Kunden verwalteten Schlüssel (Customer-Managed Key, CMK) verfügbar:

• Erstellen Sie einen RSA-Schlüssel (RSA-HSM) aus Ihrem Azure Key Vault.
• Erstellen Sie eine Power Platform Unternehmensrichtlinie für Ihren Schlüssel.
• Gewähren Sie der Power Platform Unternehmensrichtlinie die Berechtigung, auf Ihren Schlüsseltresor zuzugreifen.
• Weisen Sie dem Power Platform Dienstadministrator die Berechtigung zu, die Unternehmensrichtlinie zu lesen.
• Anwenden des Verschlüsselungsschlüssels auf Ihre Umgebung.
• Umgebung der CMK-Verschlüsselung für von Microsoft verwalten Schlüssel wieder herstellen/entfernen.
• Ändern Sie den Schlüssel, indem Sie eine neue Unternehmensrichtlinie erstellen, die Umgebung aus CMK entfernen und CMK mit der neuen Unternehmensrichtlinie erneut anwenden.
• Sperren Sie CMK-Umgebungen, indem Sie den CMK-Schlüsseltresor- und/oder die Schlüsselberechtigungen widerrufen.
• Migrieren Sie Bring Your Own Key (BYOK) Umgebungen zu CMK, indem Sie den CMK-Schlüssel anwenden.

Derzeit können alle Ihre Kundendaten, die nur in den folgenden Apps und Diensten gespeichert sind, mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden:

• Dataverse (Kundenspezifische Lösungen und Microsoft-Dienste)
• Power Automate¹
• Chat für Dynamics 365
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Finanzen und Betrieb)
• Dynamics 365 Intelligent Order Management (Finanzen und Betrieb)
• Dynamics 365 Project Operations (Finanzen und Betrieb)
• Dynamics 365 Supply Chain Management (Finanzen und Betrieb)
• Dynamics 365 Fraud Protection (Finanzen und Betrieb)

¹ Wenn Sie den vom Kunden verwalteten Schlüssel auf eine Umgebung mit vorhandenen Power Automate Flows anwenden, werden die Flow-Daten weiterhin mit dem von Microsoft verwalteten Schlüssel verschlüsselt. Weitere Informationen: Kundenseitig verwalteter Power Automate-Schlüssel.

Anmerkung

Die Unterhaltungs-ISA von Nuance und Willkommensinhalt für Erstellende sind von der kundenseitig verwalteten Schlüsselverschlüsselung ausgeschlossen.

Power Apps und Power Virtual Agent speichern ihre Daten in einem eigenen Speicher und in Microsoft Dataverse. Wenn Sie den kundenseitig verwalteten Schlüssel auf diese Umgebungen anwenden, werden nur die Datenspeicher in Microsoft Dataverse mit Ihrem Schlüssel verschlüsselt. Die Nicht-Microsoft Dataverse-Daten, einschließlich Power Apps-Quellcode und Canvas-App-Symbolen, werden weiterhin mit dem von Microsoft verwalteten Schlüssel verschlüsselt.

Anmerkung

Die Verbindungseinstellungen für Konnektoren werden weiterhin mit einem von Microsoft verwalteten Schlüssel verschlüsselt.

Wenden Sie sich an einen Vertreter für Services, die oben nicht aufgeführt sind, um Informationen zum kundenseitig verwalteten Schlüsselsupport zu erhalten.

Umgebungen mit Finanz- und Betriebs-Apps, bei denen, bei denen Power Platform Integration aktiviert ist, können ebenfalls verschlüsselt werden. Finanz- und Betriebsumgebungen ohne Power Platform Integration verwenden weiterhin den von Microsoft verwalteten Standardschlüssel zum Verschlüsseln von Daten. Weitere Informationen: Verschlüsselung in Finanz- und Betriebs-Apps

Einführung zum kundenseitig verwalteten Schlüssel

Mit dem vom kundenseitig verwalteten Schlüssel können Administratoren ihren eigenen Verschlüsselungsschlüssel aus ihrem eigenen Azure Key Vault für die Power Platform Speicherdienste bereitstellen, um ihre Kundendaten zu verschlüsseln. Microsoft hat keinen direkten Zugriff auf Ihren Azure Key Vault. Damit Power Platform Dienste auf den Verschlüsselungsschlüssel aus Ihrem Azure Key Vault zugreifen können, erstellt der Administrator eine Power Platform Unternehmensrichtlinie, die auf den Verschlüsselungsschlüssel verweist und dieser Unternehmensrichtlinie Zugriff zum Lesen des Schlüssels gewährt aus Ihrem Azure Key Vault.

Der Power Platform Dienstadministrator kann dann Dataverse Umgebungen zur Unternehmensrichtlinie hinzufügen, um mit der Verschlüsselung aller Kundendaten in der Umgebung mit Ihrem Verschlüsselungsschlüssel zu beginnen. Administratoren können den Verschlüsselungsschlüssel der Umgebung ändern, indem sie eine weitere Unternehmensrichtlinie erstellen und die Umgebung (nachdem sie entfernt wurde) der neuen Unternehmensrichtlinie hinzufügen. Für den Fall, dass die Umgebung nicht mehr mit Ihrem kundenseitig verwalteten Schlüssel verschlüsselt werden muss, kann der Administrator die Dataverse Umgebung aus der Unternehmensrichtlinie entfernen, um die Datenverschlüsselung wieder auf den von Microsoft verwalteten Schlüssel zurückzusetzen.

Der Administrator kann die kundenseitig verwalteten Schlüsselumgebungen sperren, indem er den Schlüsselzugriff aus der Unternehmensrichtlinie widerruft, und die Umgebungen entsperren, indem er den Schlüsselzugriff wiederherstellt. Weitere Informationen: Umgebungen sperren, indem Sie den Schlüsseltresor- und/oder Schlüsselberechtigungszugriff widerrufen

Um die Schlüsselverwaltung zu vereinfachen, werden die Aufgaben in drei Hauptbereiche aufgegliedert:

1. Verschlüsselungsschlüsse erstellen.
2. Unternehmensrichtlinie erstellen und Zugriff gewähren.
3. Verwalten der Verschlüsselung für eine Umgebung.

Warnung

Wenn Umgebungen gesperrt sind, kann niemand darauf zugreifen, einschließlich des Microsoft-Supports. Umgebungen, die gesperrt sind, werden deaktiviert und es kann zu Datenverlust kommen.

Lizenzanforderungen für vom Kunden verwaltete Schlüssel

Die vom Kunden verwaltete Schlüsselrichtlinie wird nur in Umgebungen durchgesetzt, die für verwaltete Umgebungen aktiviert sind. Verwaltete Umgebungen sind als Berechtigung in eigenständigen Power Apps-, Power Automate-, Power Virtual Agents-, Power Pages-Versionen sowie Dynamics 365-Lizenzen enthalten, die Premium-Nutzungsrechte gewähren. Weitere Informationen über die Lizenzierung für verwaltete Umgebungen, mit der Lizenzübersicht für Microsoft Power Platform.

Darüber hinaus erfordert der Zugriff auf die Verwendung eines vom Kunden verwalteten Schlüssels für Microsoft Power Platform und Dynamics 365, dass Benutzer in den Umgebungen, in denen die Verschlüsselungsschlüsselrichtlinie erzwungen wird, über eines dieser Abonnements verfügen:

• Microsoft 365 oder Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 Compliance
• Microsoft 365 F5 Security & Compliance
• Microsoft 365 A5/E5/F5/G5 Informationsschutz und Governance
• Microsoft 365 A5/E5/F5/G5 Insider-Risikomanagement

Weitere Informationen zu diesen Lizenzen

Potenziellen Risiken beim Verwalten Ihrer Schlüssel

Wie bei jeder wichtigen Anwendung des Unternehmens, muss Mitarbeiter innerhalb einer Organisation, die auf Administratorebene Zugriff haben, vertraut werden. Bevor Sie die Schlüsselverwaltungsfunktion verwenden, sollten Sie sich über das Risiko informieren. Es ist möglich, dass ein böswilliger Administrator (eine Person, die Zugriff auf Administratorebene hat und die Sicherheit der Geschäftsprozesse oder die Organisation schädigen will) in Ihrer Organisation die Verwaltung verwendet, um einen Schlüssel zu erstellen und anschließend die Umgebungen im Mandanten zu sperren.

Berücksichtigen Sie die folgenden Ereignisse.

Der böswillige Key Vault-Administrator erstellt einen Schlüssel und eine Unternehmensrichtlinie im Azure-Portal. Der Azure Key Vault Administrator wechselt zum Power Platform Admin Center und fügt der Unternehmensrichtlinie Umgebungen hinzu. Der böswillige Administrator kehrt dann zum Azure-Portal zurück und widerruft den Schlüsselzugriff auf die Unternehmensrichtlinie, wodurch alle Umgebungen gesperrt werden. Dies führt zu Betriebsunterbrechungen, da auf alle Umgebungen nicht mehr zugegriffen werden kann, und wenn dieses Ereignis nicht behoben wird, d. h. der Schlüsselzugriff wiederhergestellt wird, können die Umgebungsdaten möglicherweise verloren gehen.

Anmerkung

• Azure Key Vault verfügt über integrierte Sicherheitsvorkehrungen, die beim Wiederherstellen des Schlüssels helfen der ein Vorläufiges Löschen und Löschschutz Schlüsseltresoreinstellungen aktiviert erfordert.
• Eine weitere zu berücksichtigende Schutzmaßnahme besteht darin, sicherzustellen, dass Aufgaben getrennt werden, wenn dem Azure Key Vault Administrator kein Zugriff auf das Power Platform Admin Center gewährt wird.

Pflichtentrennung zur Risikominderung

In diesem Abschnitt werden die kundenseitig verwalteten Schlüsselfunktionsaufgaben beschrieben, für die jede Administratorrolle verantwortlich ist. Die Trennung dieser Aufgaben trägt dazu bei, das mit kundenseitig verwalteten Schlüsseln verbundene Risiko zu mindern.

Azure Key Vault und Power Platform/Dynamics 365-Dienstverwaltungsaufgaben

Um kundenseitig verwaltete Schlüssel zu aktivieren, erstellt zunächst der Schlüsseltresor-Administrator einen Schlüssel im Azure-Schlüsseltresor und erstellt dann eine Power Platform Unternehmensrichtlinie. Wenn die Unternehmensrichtlinie erstellt wird, wird eine spezielle Microsoft Entra ID-verwaltete Identität erstellt. Als Nächstes kehrt der Schlüsseltresor-Administrator zum Azure-Schlüsseltresor zurück und gewährt der Unternehmensrichtlinie/verwalteten Identität Zugriff auf den Verschlüsselungsschlüssel.

Der Schlüsseltresor-Administrator gewährt dann die jeweilige Power Platform/Dynamics 365-Dienstadministrator-Lesezugriff auf die Unternehmensrichtlinie. Sobald die Leseberechtigung erteilt wurde, kann der Power Platform/Dynamics 365-Dienstadministrator zum Power Platform Admin Center gehen und der Unternehmensrichtlinie Umgebungen hinzufügen. Alle hinzugefügten Umgebungskundendaten werden dann mit dem kundenseitig verwalteten Schlüssel verschlüsselt, der mit dieser Unternehmensrichtlinie verknüpft ist.

Anforderungen

• Ein Azure-Abonnement, das Azure Key Vault oder mit Azure Key Vault verwaltete Hardware-Sicherheitsmodule (Vorschauversion) umfasst.
• Globaler Mandantenadministrator oder eine Microsoft Entra ID mit Teilnehmer-Berechtigung für das Microsoft Entra Abonnement und der Berechtigung zum Erstellen eines Azure Key Vault und Schlüssels. Dies ist erforderlich, um den Schlüsseltresor einzurichten.

Den Schlüssel erstellen und Zugriff mithilfe von Azure Key Vault gewähren

Der Azure Key Vault Administrator führt diese Aufgaben in Azure aus.

1. Ein bezahltes Azure-Abonnement und einen Key Vault erstellen. Ignorieren Sie diesen Schritt, wenn Sie bereits über ein Abonnement verfügen, das Azure Key Vault enthält.
2. Wechseln Sie zum Azure Key Vault-Dienst, und erstellen Sie einen Schlüssel. Mehr Informationen: Erstellen Sie einen Schlüssel im Schlüsseltresor
3. Aktivieren Sie den Power Platform Unternehmensrichtliniendienst für Ihr Azure-Abonnement. Tun Sie dies nur einmal. Mehr Informationen: Aktivieren Sie den Power Platform Unternehmensrichtliniendienst für Ihr Azure-Abonnement
4. Erstellen einer Power Platform Unternehmensrichtlinie. Weitere Informationen: Erstellen einer Unternehmens-Richtlinie
5. Gewähren Sie der Unternehmensrichtlinie die Berechtigung, auf Ihren Schlüsseltresor zuzugreifen. Mehr Informationen: Gewähren Sie der Unternehmensrichtlinie die Berechtigung, auf Ihren Schlüsseltresor zuzugreifen
6. Gewähren Sie Power Platform und Dynamics 365-Dienstadministratoren die Berechtigung zum Lesen der Unternehmensrichtlinie. Mehr Informationen: Gewähren Sie die Power Platform Administratorberechtigung zum Lesen der Unternehmensrichtlinie

Power Platform/Dynamics 365 Dienstadministrator Power Platform Admin Center-Aufgaben

Voraussetzung

• Power Platform Administrator muss entweder die Power Platform oder Dynamics 365-Dienstadministrator Microsoft Entra Rolle zugewiesen werden.

Umgebungsverschlüsselung in Power Platform Admin Center verwalten

Der Power Platform Administrator verwaltet kundenseitig verwaltete Schlüsselaufgaben im Zusammenhang mit der Umgebung im Power Platform Admin Center.

1. Fügen Sie die Power Platform Umgebungen zur Unternehmensrichtlinie hinzu, um Daten mit dem kundenseitig verwalteten Schlüssel zu verschlüsseln. Weitere Informationen: Fügen Sie der Unternehmensrichtlinie eine Umgebung hinzu, um Daten zu verschlüsseln
2. Entfernen Sie Umgebungen aus der Unternehmensrichtlinie, um die Verschlüsselung an den von Microsoft verwalteten Schlüssel zurückzugeben. Mehr Informationen: Entfernen Sie Umgebungen aus der Unternehmensrichtlinie, um die Verschlüsselung an den von Microsoft verwalteten Schlüssel zurückzugeben
3. Ändern Sie den Schlüssel, indem Sie Umgebungen aus der alten Unternehmensrichtlinie entfernen und einer neuen Unternehmensrichtlinie Umgebungen hinzufügen. Weitere Informationen: Verschlüsselungsschlüssel erstellen und Zugriff gewähren
4. Von BYOK migrieren. Wenn Sie die frühere Funktion für kundenseitig verwaltete Verschlüsselungsschlüssel verwenden, können Sie Ihren Schlüssel zu einem kundenseitig verwalteten Schlüssel migrieren. Weitere Informationen: Bring Your Own Key-Umgebungen auf vom Kunden verwaltete Schlüssel migrieren

Erstellen Sie die Verschlüsselungsschlüssel- und Zuweisungsübersicht

Ein bezahltes Azure-Abonnement und einen Key Vault erstellen

Führen Sie die folgenden Schritte in Azure aus:

1. Erstellen Sie ein vorausbezahltes oder entsprechendes Azure-Abonnement. Dieser Schritt ist nicht erforderlich, wenn der Mandant bereits über ein Abonnement verfügt.
2. Ressourcengruppe erstellen. Weitere Informationen: Ressourcengruppen erstellen
3. Erstellen Sie einen Schlüsseltresor mit dem kostenpflichtigen Abonnement, das Schutz vor vorläufigem Löschen und Löschen mit der Ressourcengruppe enthält, die Sie im vorherigen Schritt erstellt haben.

   Wichtig

   • Um sicherzustellen, dass Ihre Umgebung vor versehentlichem Löschen des Verschlüsselungsschlüssels geschützt ist, muss für den Schlüsseltresor der Schutz vor vorläufigem Löschen und Löschen aktiviert sein. Sie können Ihre Umgebung nicht mit Ihrem eigenen Schlüssel verschlüsseln, ohne diese Einstellungen zu aktivieren. Weitere Informationen: Überblick über das vorläufige Löschen von Azure Key Vault Weitere Informationen: Erstellen eines Schlüsseltresors mithilfe des Azure-Portals

Erstellen Sie einen Schlüssel im Schlüsseltresor

1. Stellen Sie sicher, dass diese Voraussetzungen erfüllt sind.

2. Gehen Sie zum Azure-Portal>Key Vault und suchen Sie den Schlüsseltresor, in dem Sie einen Verschlüsselungsschlüssel generieren möchten.

3. Überprüfen Sie die Azure Key Vault-Einstellungen:

   1. Wählen Sie unter Eigenschaften die Option Einstellungen aus.
   2. Stellen Sie unter Vorläufiges Löschen die Option Vorläufiges Löschen wurde für diesen Schlüsseltresor aktiviert ein oder vergewissern Sie sich, dass sie festgelegt ist.
   3. Unter Löschschutz bestätigen Sie oder legen fest, dass Löschschutz aktivieren (erzwingen Sie einen obligatorischen Aufbewahrungszeitraum für gelöschte Tresore und Tresorobjekte) aktiviert ist.
   4. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

   

RSA-Schlüssel erstellen

1. Erstellen oder importieren Sie einen Schlüssel mit diesen Eigenschaften:
   1. Wählen Sie auf den Eigenschaftenseiten Key Vault und Schlüssel aus.
   2. Wählen Sie Erstellen / Import.
   3. Geben Sie auf der Anzeige einen Schlüssel erstellen die folgenden Werte ein, und wählen Sie dann Erstellen aus.
      • Optionen: Erstellen
      • Name: Geben Sie einen Namen für den Schlüssel ein
      • Schlüsseltyp: RSA
      • RSS-Schlüsselgröße: 2048

Geschützte Schlüssel für Hardwaresicherheitsmodule (HSM) importieren

Sie können Ihre geschützten Schlüssel für Hardwaresicherheitsmodule (HSM) verwenden, um Ihre Power Platform Dataverse Umgebungen zu verschlüsseln. Ihre HSM-geschützten Schlüssel müssen in den Key Vault importiert werden, damit eine Unternehmensrichtlinie erstellt werden kann. Weitere Informationen finden Sie unter Unterstützte HSMsHSM-geschützte Schlüssel in Key Vault importieren (BYOK).

Einen Schlüssel im verwalteten Modul von Azure Key Vault (Vorschauversion)

Sie können einen vom verwalteten HSM von Azure Key Vault erstellten Schlüssel verwenden, um Ihre Umgebungsdaten zu verschlüsseln. Dadurch erhalten Sie FIPS-140-2-Level-3-Unterstützung.

RSA-HSM-Schlüssel erstellen

1. Stellen Sie sicher, dass diese Voraussetzungen erfüllt sind.

2. Wechseln Sie zum Azure-Portal.

3. Erstellen Sie ein Verwaltetes HSM:

   1. Stellen Sie das verwaltete HSM bereit.
   2. Aktivieren Sie das verwaltete HSM.

4. Aktivieren Sie Löschschutz in Ihrem verwalteten HSM.

5. Gewähren Sie der Person, die den verwalteten HSM-Schlüsseltresor erstellt hat, die Rolle Verschlüsselungsbenutzender verwaltetes HSM.

   1. Greifen Sie auf den verwalteten HSM-Schlüsseltresor im Azure-Portal zu.
   2. Navigieren Sie zur Lokalen RBAC und wählen Sie + Hinzufügen aus.
   3. Wählen Sie in der Dropdownliste Rolle die Rolle Verschlüsselungsbenutzender verwaltetes HSM auf der Seite Rollenzuweisung aus.
   4. Wählen Sie Alle Schlüssel unter Bereich aus.
   5. Wählen Sie Sicherheitsprinzipal auswählen und dann den Administrierenden auf der Seite Prinzipal hinzufügen aus.
   6. Wählen Sie Erstellen aus.

6. Erstellen Sie einen RSA-HSM-Schlüssel:

   • Optionen: Erstellen
   • Name: Geben Sie einen Namen für den Schlüssel ein
   • Schlüsseltyp: RSA-HSM
   • RSS-Schlüsselgröße: 2048

   Anmerkung

   Unterstützte RSA-HSM-Schlüsselgrößen: 2048-Bit, 3072-Bit, 4096-Bit.

Ihre Umgebung mit Schlüssel aus Azure Key Vault mit privatem Link verschlüsseln

Sie können das Netzwerk Ihres Azure Key Vault aktualisieren, indem Sie einen privaten Endpunkt aktivieren und den Schlüssel im Schlüsseltresor verwenden, um Ihre Power Platform Umgebungen zu verschlüsseln.

Sie können entweder einen neuen Schlüsseltresor erstellen und eine private Verbindung herstellen oder eine private Verbindung zu einem vorhandenen Schlüsseltresor herstellen und einen Schlüssel aus diesem Schlüsseltresor erstellen und ihn zum Verschlüsseln Ihrer Umgebung verwenden. Sie können auch eine private Verbindung zu einem vorhandenen Schlüsseltresor herstellen, nachdem Sie bereits einen Schlüssel erstellt haben und ihn zum Verschlüsseln Ihrer Umgebung verwenden.

Daten mit einem Schlüssel aus dem Schlüsseltresor mit privater Verbindung verschlüsseln

1. Erstellen Sie einen Azure Key Vault mit diesen Optionen:

   • Aktivieren Sie den Löschschutz
   • Schlüsseltyp: RSA
   • Schlüsselgröße: 2048

2. Kopieren Sie die Schlüsseltresor-URL sowie die URL des Verschlüsselungsschlüssels, die zum Erstellen der Unternehmensrichtlinie verwendet werden sollen.

   Anmerkung

   Sobald Sie Ihrem Schlüsseltresor einen privaten Endpunkt hinzugefügt oder das öffentliche Zugriffsnetzwerk deaktiviert haben, können Sie den Schlüssel nur dann sehen, wenn Sie über die entsprechende Berechtigung verfügen.

3. Erstellen Sie ein virtuelles Netzwerk.

4. Kehren Sie zu Ihrem Schlüsseltresor zurück und fügen Sie eine private Endpunktverbindungen zu Ihrem Azure Key Vault hinzu.

   Anmerkung

   Sie müssen die Netzwerkoption Öffentlichen Zugriff deaktivieren auswählen und die Ausnahme Vertrauenswürdigen Microsoft-Diensten erlauben, diese Firewall zu umgehen aktivieren.

5. Erstellen einer Power Platform Unternehmensrichtlinie. Weitere Informationen: Erstellen einer Unternehmens-Richtlinie

6. Gewähren Sie der Unternehmensrichtlinie die Berechtigung, auf Ihren Schlüsseltresor zuzugreifen. Mehr Informationen: Gewähren Sie der Unternehmensrichtlinie die Berechtigung, auf Ihren Schlüsseltresor zuzugreifen

7. Gewähren Sie Power Platform und Dynamics 365-Dienstadministratoren die Berechtigung zum Lesen der Unternehmensrichtlinie. Mehr Informationen: Gewähren Sie die Power Platform Administratorberechtigung zum Lesen der Unternehmensrichtlinie

8. Der Administrierende des Power Platform Admin Centers wählt die Umgebung zum Verschlüsseln und Aktivieren der verwalteten Umgebung aus. Weitere Informationen: Aktivieren Sie die verwaltete Umgebung, die der Unternehmensrichtlinie hinzugefügt werden soll

9. Der Administrierende des Power Platform Admin Centers fügt die verwaltete Umgebung zur Unternehmensrichtlinie hinzu. Weitere Informationen: Fügen Sie der Unternehmensrichtlinie eine Umgebung hinzu, um Daten zu verschlüsseln

Aktivieren Sie den Power Platform Unternehmensrichtliniendienst für Ihr Azure-Abonnement

Registrieren von Power Platform als Ressourcenanbieter. Sie müssen diese Aufgabe nur einmal für jedes Azure-Abonnement ausführen, in dem sich Ihr Azure Key Vault befindet. Um den Ressourcenanbieter zu registrieren, benötigen Sie Zugriffsrechte auf das Abonnement.

1. Melden Sie sich beim Azure-Portal an und gehen Sie zu Abonnement>Ressourcenanbieter.
2. Suchen Sie in der Liste der Ressourcenanbieter nach Microsoft.PowerPlatform und melden Sie es an.

Erstellen einer Unternehmensrichtlinie

1. PowerShell MSI installieren. Weitere Informationen: Installieren von PowerShell auf Windows, Linux und macOS
2. Gehen Sie nach der Installation von PowerShell MSI in Azure zurück zu Eine benutzerdefinierte Vorlage bereitstellen.
3. Wählen Sie den Link Eigene Vorlage im Editor erstellen aus.
4. Kopieren Sie die JSON-Vorlage in einen Text-Editor wie Notepad. Weitere Informationen: Erstellen einer Unternehmens-Richtlinienvorlage
5. Ersetzen Sie die Werte in der JSON-Vorlage für: EnterprisePolicyName, Speicherort, an dem EnterprisePolicy erstellt werden muss, keyVaultId und keyName. Weitere Informationen: Felddefinitionen für JSON-Vorlage
6. Kopieren Sie die aktualisierte Vorlage aus Ihrem Texteditor und fügen Sie sie dann in die Vorlage bearbeiten der benutzerdefinierten Bereitstellung in Azure ein. Wählen Sie dann Speichern.
7. Wählen Sie ein Abonnement und eine Ressourcengruppe aus, in der die Unternehmensrichtlinie erstellt werden soll.
8. Wählen Sie überprüfen und erstellen und dann erstellen aus.

Eine Bereitstellung wird gestartet. Anschließend wird die Unternehmensrichtlinie erstellt.

JSON-Vorlage für Unternehmensrichtlinien

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Felddefinitionen für die JSON-Vorlage

• Name. Name der Unternehmensrichtlinie. Dies ist der Name der Richtlinie, die im Power Platform Admin Center angezeigt wird.

• Standort. Eine der folgenden Komponenten. Dies ist der Speicherort der Unternehmensrichtlinie und muss mit der Dataverse Region der Umgebung übereinstimmen:

  • "unitedstates"
  • "southafrica"
  • "switzerland”
  • "germany"
  • "unitedarabemirates"
  • "france"
  • "uk”
  • "japan"
  • "india"
  • "canada"
  • "southamerica"
  • "europe"
  • "asia"
  • "australia"
  • "korea"
  • "norway"
  • "singapore"

• Kopieren Sie diese Werte aus Ihren Schlüsseltresoreigenschaften im Azure-Portal:

  • keyVaultId: Gehen Sie zu Schlüsseltresore> Wählen Sie Ihren Schlüsseltresor aus >Überblick. Neben Essentials wählen Sie JSON-Ansicht. Kopieren Sie die Ressourcen-ID in die Zwischenablage und fügen Sie den gesamten Inhalt in Ihre JSON-Vorlage ein.
  • keyName: Gehen Sie zu Schlüsseltresore> wählen Sie Ihren Schlüsseltresor aus >Schlüssel. Beachten Sie den Schlüssel Name und geben Sie den Namen in Ihre JSON-Vorlage ein.

Gewähren Sie der Unternehmensrichtlinie die Berechtigung, auf Ihren Schlüsseltresor zuzugreifen

Sobald die Unternehensrichtlinie erstellt ist, gewährt der Schlüsseltresor-Administrator der verwalteten Identität der Unternehmensrichtlinie Zugriff auf den Verschlüsselungsschlüssel.

1. Melden Sie sich beim Azure-Portal an und gehen Sie zu Key Vaults.
2. Wählen Sie den Schlüsseltresor aus, in dem der Schlüssel der Unternehmensrichtlinie zugewiesen wurde.
3. Wählen Sie die Registerkarte Zugriffssteuerung (IAM) und dann + Hinzufügen.
4. Wählen Sie aus der Dropdownliste Rollenzuweisung hinzufügen.
5. Suchen Sie nach Verschlüsselungsbenutzender des Verschlüsselungsdienstes des Schlüsseltresors und wählen Sie ihn aus.
6. Wählen Sie Weiter.
7. Wählen Sie + Mitglieder auswählen aus.
8. Suchen Sie nach der von Ihnen erstellten Unternehmensrichtlinie.
9. Wählen Sie die Unternehmensrichtlinie aus und wählen Sie dann Auswählen.
10. Wählen Sie Überprüfen + zuweisen.

Anmerkung

Die obige Berechtigungseinstellung basiert auf dem Berechtigungsmodell der rollenbasierten Zugriffssteuerung von Azure Ihres Key Vaults. Wenn Ihr Key Vault auf die Vault-Zugriffsrichtlinie eingestellt ist, wird die Migration zum rollenbasierten Modell empfohlen. Um Ihrer Unternehmensrichtlinie mithilfe der Vault-Zugriffsrichtlinie Zugriff auf den Key Vault zu gewähren, erstellen Sie eine Zugriffsrichtlinie und wählen Sie Abrufen über Schlüsselverwaltungsvorgänge und Schlüssel entpacken und Schlüssel packen über Kryptografische Vorgänge aus.

Gewähren Sie die Power Platform Administratorberechtigung zum Lesen der Unternehmensrichtlinie

Administratoren mit globalen Azure-, Dynamics 365- und Power Platform -Administratorrollen können auf das Power Platform Admin Center zugreifen, um der Unternehmensrichtlinie Umgebungen zuzuweisen. Um auf die Unternehmensrichtlinien zugreifen zu können, muss der globale Administrator mit Azure Key Vault-Zugriff dem Leser die Power Platform-Rolle zuweisen. Sobald die Leser-Rolle gewährt wurde, kann der Power Platform-Administrator die Unternehmensrichtlinien im Power Platform Admin Center anhzeigen.

Anmerkung

Nur Power Platform und Dynamics 365-Administratoren, denen die Leser-Rolle für die Unternehmensrichtlinie gewährt wurde, können der Richtlinie eine Umgebung hinzufügen. Andere Power Platform oder Dynamics 365-Administratoren können die Unternehmensrichtlinie möglicherweise anzeigen, aber sie erhalten eine Fehlermeldung, wenn sie versuchen, der Richtlinie eine Umgebung hinzuzufügen

Gewähren Sie einem Power Platform Administrator die Rolle Leser

1. Melden Sie sich beim Azure-Portal an.
2. Kopieren Sie die Objekt-ID des Power Platform oder Dynamics 365-Administrators. Gehen Sie hierzu wie folgt vor:
   1. Wechseln Sie in Azure zum Bereich Benutzer.
   2. Suchen Sie in der Liste Alle Benutzer den Benutzer mit Power Platform oder Dynamics 365-Administratorberechtigungen mithilfe von Benutzer suchen.
   3. Öffnen Sie den Benutzerdatensatz und kopieren Sie auf der Registerkarte Übersicht die Objekt-ID des Benutzers. Fügen Sie dies für später in einen Text-Editor wie Notepad.
3. Kopieren Sie die Ressourcen-ID der Unternehmensrichtlinie. Gehen Sie hierzu wie folgt vor:
   1. Wechseln Sie in Azure zum Ressource Graph Explorer .
   2. Geben Sie microsoft.powerplatform/enterprisepolicies in das Kästchen Suchen ein und wählen Sie dann microsoft.powerplatform/enterprisepolicies Ressource aus.
   3. Wählen Sie Abfrage ausführen in der Befehlsleiste aus. Eine Liste mit allen Power Platform Unternehmensrichtlinien wird angezeigt.
   4. Suchen Sie die Unternehmensrichtlinie, der Sie Zugriff gewähren möchten.
   5. Scrollen Sie nach rechts neben der Unternehmensrichtlinie und wählen Sie Details anzeigen aus.
   6. Auf der Seite Details kopieren Sie die ID.
4. Starten Sie Azure Cloud Shell und führen Sie den folgenden Befehl aus, um objId mit der Objekt-ID des Benutzers und der EP-Ressourcen-ID mit der enterprisepolicies ID zu ersetzen, die im vorherigen Schritt kopiert wurde: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Verwalten der Verschlüsselung für eine Umgebung

Um die Verschlüsselung der Umgebung zu verwalten, benötigen Sie die folgende Berechtigung:

• Microsoft Entra aktiver Benutzer, der eine Power Platform und/oder Dynamics 365-Administrator Sicherheitsrolle hat.
• Microsoft Entra Benutzer, der entweder eine Rolle als globaler Mandant-Administrator, Power Platform oder Dynamics 365 Dienstadministrator hat.

Der Schlüsseltresoradministrator benachrichtigt den Power Platform Administrator, dass ein Verschlüsselungsschlüssel und eine Unternehmensrichtlinie erstellt wurden und stellt die Unternehmensrichtlinie dem Power Platform Administrator bereit. Um den vom Kunden verwalteten Schlüssel zu aktivieren, weist der Power Platform Administrator seine Umgebungen der Unternehmensrichtlinie zu. Nachdem die Umgebung zugewiesen und gespeichert wurde, leitet Dataverse den Verschlüsselungsprozess ein, um alle Umgebungsdaten festzulegen und mit dem vom Kunden verwalteten Schlüssel zu verschlüsseln.

Aktivieren Sie die verwaltete Umgebung, die der Unternehmensrichtlinie hinzugefügt werden soll

1. Melden Sie sich im Power Platform Admin Center an und suchen Sie nach der Umgebung.
2. Wählen Sie die Umgebung aus der Umgebungsliste aus und überprüfen Sie sie.
3. Wählen Sie das Symbol Verwaltete Umgebungen aktivieren in der Aktionsleiste aus.
4. Wählen Sie Aktivieren.

Fügen Sie der Unternehmensrichtlinie eine Umgebung hinzu, um Daten zu verschlüsseln

Wichtig

Die Umgebung wird deaktiviert, wenn sie der Unternehmensrichtlinie für die Datenverschlüsselung hinzugefügt wird.

1. Melden Sie sich beim Power Platform Admin Center an und gehen Sie zu Richtlinien>Unternehmensrichtlinien.
2. Wählen Sie eine Richtlinien und wählen Sie dann auf der Befehlsleiste Bearbeiten aus.
3. Wählen Sie Umgebungen hinzufügen und wählen Sie dann die gewünschte Umgebung aus. Wählen Sie dann Weiter aus.
4. Wählen Sie Speichern und dann Bestätigen aus.

Wichtig

• In der Liste Umgebungen hinzufügen werden nur Umgebungen angezeigt, die sich in derselben Region wie die Unternehmensrichtlinie befinden.
• Der Abschluss der Verschlüsselung kann bis zu vier Tage dauern, die Umgebung wird jedoch möglicherweise aktiviert, bevor der Vorgang Umgebungen hinzufügen abgeschlossen ist.
• Womöglich wird der Vorgang nicht abgeschlossen. Wenn er fehlschlägt, werden Ihre Daten weiterhin mit dem von Microsoft verwalteten Schlüssel verschlüsselt. Sie können den Vorgang Umgebungen hinzufügen erneut ausführen.

Anmerkung

Sie können nur Umgebungen hinzufügen, die als verwaltete Umgebungen aktiviert sind. Test- und Teams-Umgebungstypen können der Unternehmensrichtlinie nicht hinzugefügt werden.

Entfernen Sie Umgebungen aus der Unternehmensrichtlinie, um die Verschlüsselung an den von Microsoft verwalteten Schlüssel zurückzugeben

Führen Sie diese Schritte aus, wenn Sie zu einem von Microsoft verwalteten Verschlüsselungsschlüssel zurückkehren möchten.

Wichtig

Die Umgebung wird deaktiviert, wenn sie aus der Unternehmensrichtlinie entfernt wird, um die Datenverschlüsselung mithilfe des von Microsoft verwalteten Schlüssels zurückzugeben.

1. Melden Sie sich beim Power Platform Admin Center an und gehen Sie zu Richtlinien>Unternehmensrichtlinien.
2. Wählen Sie die Registerkarte Umgebung mit Richtlinien und suchen Sie dann die Umgebung, die Sie aus dem kundenseitig verwalteten Schlüssel entfernen möchten.
3. Wählen Sie die Registerkarte Alle Richtlinien, wählen Sie die Umgebung aus, die Sie in Schritt 2 überprüft haben, und wählen Sie dann Richtlinie bearbeiten auf der aus Befehlsleiste aus.
4. Wählen Sie auf der Befehlsleiste Umgebung entfernen und wählen Sie die Umgebung aus, die Sie entfernen möchten. Wählen Sie dann Weiter aus.
5. Wählen Sie Speichern.

Wichtig

Die Umgebung wird deaktiviert, wenn sie aus der Unternehmensrichtlinie entfernt wird, um die Datenverschlüsselung auf den von Microsoft verwalteten Schlüssel zurückzusetzen. Löschen oder deaktivieren Sie den Schlüssel nicht, löschen oder deaktivieren Sie den Key Vault nicht und entfernen Sie die Berechtigungen der Unternehmensrichtlinie für den Key Vault nicht. Der Zugriff auf den Schlüssel und den Key Vault ist zur Unterstützung der Datenbankwiederherstellung erforderlich. Sie können die Berechtigungen der Unternehmensrichtlinie nach 30 Tagen löschen und entfernen.

Ändern Sie den Schlüssel der Umgebung mit einer neuen Unternehmensrichtlinie und einem neuen Schlüssel

Um Ihren Verschlüsselungsschlüssel zu rotieren, erstellen Sie einen neuen Schlüssel und eine neue Unternehmensrichtlinie. Sie können dann die Unternehmensrichtlinie ändern, indem Sie Umgebungen aus der alten Unternehmensrichtlinie entfernen und einer neuen Unternehmensrichtlinie Umgebungen hinzufügen.

Anmerkung

Die Verwendung von Neue Schlüsselversion und die Einstellung der Rotationsrichtlinie für das Rotieren Ihres Verschlüsselungsschlüssels wird jetzt unterstützt.

1. Im Azure-Portal erstellen Sie einen neuen Schlüssel und eine neue Unternehmensrichtlinie. Weitere Informationen: Schlüssel erstellen und Zugriff gewähren und Eine Unternehmensrichtlinie erstellen
2. Sobald der neue Schlüssel und die Unternehmensrichtlinie erstellt sind, gehen Sie zu Richtlinien>Unternehmensrichtlinien.
3. Wählen Sie die Registerkarte Umgebung mit Richtlinien und suchen Sie dann die Umgebung, die Sie aus dem kundenseitig verwalteten Schlüssel entfernen möchten.
4. Wählen Sie die Registerkarte Alle Richtlinien, wählen Sie die Umgebung aus, die Sie in Schritt 2 überprüft haben, und wählen Sie dann Richtlinie bearbeiten auf der aus Befehlsleiste aus.
5. Wählen Sie auf der Befehlsleiste Umgebung entfernen und wählen Sie die Umgebung aus, die Sie entfernen möchten. Wählen Sie dann Weiter aus.
6. Wählen Sie Speichern.
7. Wiederholen Sie die Schritte 2-6, bis alle Umgebungen in der Unternehmensrichtlinie entfernt wurden.

Wichtig

Die Umgebung wird deaktiviert, wenn sie aus der Unternehmensrichtlinie entfernt wird, um die Datenverschlüsselung auf den von Microsoft verwalteten Schlüssel zurückzusetzen. Löschen oder deaktivieren Sie den Schlüssel nicht, löschen oder deaktivieren Sie den Key Vault nicht und entfernen Sie die Berechtigungen der Unternehmensrichtlinie für den Key Vault nicht. Der Zugriff auf den Schlüssel und den Key Vault ist zur Unterstützung der Datenbankwiederherstellung erforderlich. Sie können die Berechtigungen der Unternehmensrichtlinie nach 30 Tagen löschen und entfernen.

1. Nachdem alle Umgebungen entfernt wurden, gehen Sie im Power Platform Admin Center zu Unternehmensrichtlinien.
2. Wählen Sie die neue Unternehmensrichtlinie und wählen Sie dann Richtlinie bearbeiten aus.
3. Wählen Sie Umgebung hinzufügen und wählen Sie dann die Umgebung aus, die Sie dann hinzufügen möchten und wählen Sie Weiter aus.

Wichtig

Die Umgebung wird deaktiviert, wenn sie der neuen Unternehmensrichtlinie hinzugefügt wird.

Ändern Sie den Schlüssel der Umgebung mit einer neuen Schlüsselversion

Sie können den Schlüssel der Umgebung ändern, indem Sie eine neue Schlüsselversion erstellen. Wenn Sie eine neue Schlüsselversion erstellen, wird die neue Schlüsselversion automatisch aktiviert. Alle Speicherressourcen erkennen die neue Schlüsselversion und beginnen, sie zur Verschlüsselung Ihrer Daten anzuwenden.

Wenn Sie den Schlüssel oder die Schlüsselversion ändern, ändert sich der Schutz des Stammschlüssels, aber die Daten im Speicher bleiben immer mit Ihrem Schlüssel verschlüsselt. Es sind keine weiteren Maßnahmen Ihrerseits erforderlich, um den Schutz Ihrer Daten zu gewährleisten. Das Rotieren der Schlüsselversion hat keine Auswirkungen auf die Leistung. Mit der Rotation der Schlüsselversion ist keine Ausfallzeit verbunden. Es kann 24 Stunden dauern, bis alle Ressourcenanbieter die neue Schlüsselversion im Hintergrund anwenden. Die vorherige Schlüsselversion darf nicht deaktiviert werden, da sie für den Dienst erforderlich ist, um sie für die Neuverschlüsselung und die Unterstützung der Datenbankwiederherstellung zu verwenden.

Gehen Sie wie folgt vor, um den Schlüssel durch Erstellen einer neuen Schlüsselversion zu rotieren.

1. Gehen Sie zum Azure-Portal>Key Vaults und suchen Sie den Schlüsseltresor, in dem Sie eine neue Schlüsselversion erstellen möchten.
2. Gehen Sie zu Schlüssel.
3. Wählen Sie den aktuellen, aktivierten Schlüssel aus.
4. Wählen Sie + Neue Version aus.
5. Beachten Sie, dass die Einstellung Aktiviert standardmäßig auf Ja eingestellt ist, was bedeutet, dass die neue Schlüsselversion bei der Erstellung automatisch aktiviert wird.
6. Wählen Sie Erstellen aus.

Sie können den Schlüssel auch mithilfe der Rotationsrichtlinie rotieren, indem Sie entweder eine Rotationsrichtlinie konfigurieren oder über Jetzt rotieren bei Bedarf rotieren.

Wichtig

Die neue Schlüsselversion wird automatisch im Hintergrund rotiert und Power Platform Administrierende müssen nichts unternehmen. Es ist wichtig, dass die vorherige Schlüsselversion mindestens 28 Tage lang nicht deaktiviert oder gelöscht wird, um die Datenbankwiederherstellung zu unterstützen. Wenn Sie die vorherige Schlüsselversion zu früh deaktivieren oder löschen, kann Ihre Umgebung offline gehen.

Zeigen Sie die Liste der verschlüsselten Umgebungen an

1. Melden Sie sich beim Power Platform Admin Center an und gehen Sie zu Richtlinien>Unternehmensrichtlinien.
2. Wählen Sie auf der Seite Unternehmensrichtlinien die Registerkarte Umgebungen mit Richtlinien aus. Die Liste der Umgebungen, die zu Unternehmensrichtlinien hinzugefügt wurden, wird angezeigt.

Anmerkung

Es kann Situationen geben, in denen der Umgebungsstatus oder der Verschlüsselungsstatus einen Status Fehlgeschlagen anzeigen. Senden Sie in diesem Fall eine Microsoft Support-Anfrage, um Hilfe anzufordern.

Umgebungs-Datenbankvorgänge

Ein Kundenmandant kann Umgebungen haben, die mit dem von Microsoft verwalteten Schlüssel verschlüsselt werden, und Umgebungen, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt werden. Um die Datenintegrität und den Datenschutz zu gewährleisten, stehen beim Verwalten von Umgebungsdatenbankvorgängen die folgenden Steuerelemente zur Verfügung.

• Wiederherstellen Die zu überschreibende Umgebung (die wiederherzustellende Umgebung) ist auf dieselbe Umgebung beschränkt, in der die Sicherung erstellt wurde, oder auf eine andere Umgebung, die mit demselben vom Kunden verwalteten Schlüssel verschlüsselt ist.

  

• Kopieren Die zu überschreibende Umgebung (die zu kopierende Umgebung) ist auf eine andere Umgebung beschränkt, die mit demselben vom Kunden verwalteten Schlüssel verschlüsselt ist.

  

  Anmerkung

  Wenn eine Support-Untersuchungs-Umgebung erstellt wurde, um Supportprobleme in einer vom Kunden verwalteten Umgebung zu beheben, muss der Verschlüsselungsschlüssel für die Support-Untersuchungs-Umgebung in einen vom Kunden verwalteten Schlüssel geändert werden, bevor der Vorgang zum Kopieren der Umgebung ausgeführt werden kann.

• Zurücksetzen Die verschlüsselten Daten der Umgebung werden einschließlich Sicherungen gelöscht. Nach dem Zurücksetzen der Umgebung wird die Umgebungsverschlüsselung auf den von Microsoft verwalteten Schlüssel zurückgesetzt.

Nächste Schritte,

Über den Azure Key Vault