Kliendi hallatava krüptovõtme haldamine

Klientidel on andmete privaatsuse ja nõuetele vastavuse nõuded, et kaitsta oma andmeid, krüpteerides oma andmed puhkeolekus. See kaitseb andmeid kokkupuute eest juhul, kui andmebaasi koopia varastatakse. Kui andmed on puhkeolekus krüpteeritud, on varastatud andmebaasiandmed kaitstud selle eest, et neid ei taastata teises serveris ilma krüptovõtmeta.

Kõik sinna Power Platform salvestatud kliendiandmed krüpteeritakse puhkeolekus tugevasti Microsoft hallatavate krüptovõtmetega. Microsoft Salvestab ja haldab andmebaasi krüptovõtit kõigi teie andmete jaoks, et te ei peaks seda tegema. Power Platform Siiski pakub see kliendi hallatav krüptovõti (CMK) teie lisatud andmekaitsekontrolli jaoks, kus saate ise hallata oma Microsoft Dataverse keskkonnaga seotud andmebaasi krüptovõtit. See võimaldab teil krüptovõtit nõudmisel pöörata või vahetada ning samuti võimaldab teil takistada Microsoft juurdepääsu oma kliendiandmetele, kui tühistate igal ajal võtme juurdepääsu meie teenustele.

Kliendi hallatava võtme kohta Power Platform lisateabe saamiseks vaadake kliendi hallatava võtme videot.

Need krüptovõtme toimingud on saadaval kliendi hallatava võtmega (CMK):

• Looge RSA (RSA-HSM) võti oma Azure Key hoidlast.
• Power Platform Looge oma võtme jaoks ettevõtte poliitika.
• Power Platform Andke ettevõttepoliitikale õigus juurdepääsuks oma võtmehoidlale.
• Andke teenuse administraatorile Power Platform võimalus lugeda ettevõtte poliitikat.
• Rakendage oma keskkonnale krüptovõti.
• ennistama/eemalda keskkonna CMK krüpteerimine hallatavaks võtmeks Microsoft.
• Muutke võtit, luues uue ettevõtte poliitika, eemaldades keskkonna CMK-st ja rakendades CMK-d uuesti uue ettevõtte poliitikaga.
• Lukustage CMK keskkonnad, tühistades CMK võtmehoidla ja/või võtmeõigused.
• Migreerige oma võtme toomise (BYOK) keskkonnad CMK-sse, rakendades CMK-võtit.

Praegu saab kliendi hallatava võtmega krüptida kõiki kliendiandmeid, mis on salvestatud ainult järgmistesse rakendustesse ja teenustesse.

• Dataverse (Erilahendused ja Microsoft -teenused)
• Dataverse Copilot mudelipõhiste rakenduste jaoks
• Power Automate¹
• Power Apps
• Dynamics 365 vestlusfunktsioon
• Dynamics 365 Müük
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Finance and operations)
• Dynamics 365 Intelligent Order Management (Finance and operations)
• Dynamics 365 Project Operations (Finance and operations)
• Dynamics 365 Supply Chain Management (Finance and operations)
• Dynamics 365 Fraud Protection (Finance and operations)

1 Kui rakendate kliendi hallatava võtme keskkonnale, kus on olemasolevad Power Automate vood, krüptitakse voogude andmed jätkuvalt hallatava võtmega Microsoft. Lisateave: Power Automate kliendi hallatav võti.

Märkus.

Nuance Conversational IVR ja Maker Welcome Content on kliendi hallatavast võtmekrüptimisest välistatud.

Microsoft Copilot Studio salvestab oma andmed oma salvestusruumi ja sisse Microsoft Dataverse. Kui rakendate nendele keskkondadele kliendi hallatava võtme, krüptitakse teie võtmega ainult salvestatud Microsoft Dataverse andmed. Microsoft Dataverse Mitteandmed krüpteeritakse jätkuvalt hallatava võtmega Microsoft.

Märkus.

Konnektorite ühendusseaded krüptitakse jätkuvalt hallatava Microsoft võtmega.

Võtke ühendust esindajaga teenuste puhul, mida pole eespool loetletud, et saada teavet kliendi hallatava võtmetoe kohta.

Märkus.

Power Apps Kuvatavad nimed, kirjeldused ja ühenduse metaandmed krüptitakse jätkuvalt hallatava Microsoft võtmega.

Märkus.

Allalaadimistulemuste link ja muud lahenduse kontrollija jõustamise käigus lahenduse kontrollimise käigus loodud andmed krüptitakse jätkuvalt hallatava Microsoft võtmega.

Samuti saab krüptida keskkondi, kus on finants- ja äritoimingute rakendused kus Power Platform integratsioon on lubatud . Integratsioonita Power Platform Finance and Operationsi keskkonnad kasutavad andmete krüptimiseks jätkuvalt hallatava vaikevõtme Microsoft kasutamist. Lisateave: Krüptimine finants- ja äritoimingute rakendused

Kliendi hallatava võtme tutvustus

Kliendi hallatava võtme abil saavad administraatorid kliendiandmete krüptimiseks anda talletusteenustele oma krüptovõtme oma Azure Key Vaultist Power Platform . Microsoft ei oma otsest juurdepääsu teie Azure Key Vaultile. Selleks Power Platform et teenused pääseksid krüptovõtmele juurde teie Azure Key Vaultist, loob Power Platform administraator ettevõttepoliitika, mis viitab krüptovõtmele ja annab sellele ettevõttepoliitikale juurdepääsu võtme lugemiseks teie Azure Key Vaultist.

Seejärel Power Platform saab teenuse administraator lisada Dataverse ettevõtte poliitikale keskkondi, et alustada kõigi keskkonnas olevate kliendiandmete krüptimist teie krüptovõtmega. Administraatorid saavad muuta keskkonna krüptovõtit, luues teise ettevõttepoliitika, ja lisada keskkonna (pärast selle eemaldamist) uude ettevõttepoliitikasse. Kui keskkonda ei pea enam kliendi hallatava võtme abil krüptima, saab administraator keskkonna ettevõtte poliitikast eemaldada Dataverse , et ennistama andmete krüptimine tagasi hallatavaks võtmeks Microsoft.

Administraator saab lukustada kliendi hallatavad võtmekeskkonnad, tühistades ettevõtte poliitikast võtmejuurdepääsu, ja avada keskkonnad, taastades võtme juurdepääsu. Lisateave: Keskkondade lukustamine võtmehoidla ja/või võtmeõiguste juurdepääsu tühistamisega

Peamiste haldusülesannete lihtsustamiseks on ülesanded jagatud kolme põhivaldkonda:

1. Looge krüptovõti.
2. Looge ettevõttepoliitika ja andke juurdepääs.
3. Hallake keskkonna krüptimist.

Hoiatus

Kui keskkonnad on lukustatud, ei pääse neile keegi, sealhulgas Microsoft tugi, juurde. Lukustatud keskkonnad keelatakse ja andmed võivad kaduda.

Kliendi hallatava võtme litsentsimisnõuded

Kliendi hallatava võtme poliitika jõustatakse ainult keskkondades, mis on aktiveeritud hallatavad keskkonnad jaoks. Hallatavad keskkonnad sisalduvad õigusena eraldiseisvates Power Apps, Dynamics 365 Power Automate Microsoft Copilot Studio, ja litsentsides, Power Pages mis annavad lisatasu kasutusõigused. Lugege lisateavet hallatud keskkonna litsentsimise kohtalitsentsimise ülevaates Microsoft Power Platform.

Lisaks nõuab juurdepääs kliendi hallatava võtme Microsoft Power Platform kasutamisele Dynamics 365, et kasutajatel keskkondades, kus krüptovõtmepoliitika on jõustatud, oleks üks järgmistest tellimustest.

• Microsoft 365 või Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 vastavus
• Microsoft 365 F5 turve ja vastavus
• Microsoft 365 A5/E5/F5/G5 teabekaitse ja -korraldus
• Microsoft 365 A5/E5/F5/G5 siseriskihaldus

Lisateave nende litsentside kohta.

Võtme haldamisega seotud võimalike riskide mõistmine

Nagu mis tahes äriliselt kriitilise tähtsusega rakenduse puhul peab organisatsioonisisene personal, kellel on administraatoritasemel juurdepääs, olema usaldusväärne. Enne võtmehalduse funktsiooni kasutamist peate mõistma andmebaasi krüptovõtmete haldamisega seotud ohtu. On mõeldav, et teie organisatsioonis töötav pahatahtlik administraator (isik, kellele on antud või kes on saanud administraatoritasemel juurdepääsu kavatsusega kahjustada organisatsiooni turbe- või äriprotsesse) võib kasutada võtmete haldamise funktsiooni võtme loomiseks ja kasutada seda teie keskkondade lukustamiseks rentnikus.

Kaaluge järgmist sündmuste jada.

Pahatahtlik võtmehoidla administraator loob Azure’i portaalis võtme ja ettevõttepoliitika. Azure Key Vaulti administraator läheb halduskeskusesse Power Platform ja lisab ettevõttepoliitikale keskkondi. Seejärel naaseb pahatahtlik administraator Azure’i portaali ja tühistab võtmejuurdepääsu ettevõttepoliitikale, lukustades seega kõik keskkonnad. See põhjustab ärikatkestusi, kuna kõik keskkonnad muutuvad ligipääsmatuks ja kui seda sündmust ei lahendata, st võtmejuurdepääs taastatakse, võivad keskkonnaandmed potentsiaalselt kaduma minna.

Märkus.

• Azure Key Vaultil on sisseehitatud kaitsemeetmed, mis aitavad võtit taastada, mis nõuavad pehme kustutamise ja puhastamise võtmehoidla sätete lubamist.
• Veel üks kaitsemeede, mida tuleb arvesse võtta, on tagada, et ülesanded, mille puhul Azure Key Vaulti administraatorile ei anta juurdepääsu halduskeskusele Power Platform , oleksid eraldatud.

Kohustuse lahusus riski maandamiseks

Selles jaotises kirjeldatakse kliendi hallatavate põhifunktsioonide ülesandeid, mille eest iga administraatoriroll vastutab. Nende ülesannete eraldamine aitab leevendada kliendi hallatavate võtmetega kaasnevaid riske.

Azure Key Vault ja Power Platform/Dynamics 365 teenuse administraatori ülesanded

Kliendi hallatavate võtmete lubamiseks loob esmalt võtmehoidla administraator Azure’i võtmehoidlas võtme ja ettevõtte Power Platform poliitika. Ettevõtte poliitika loomisel luuakse spetsiaalne Microsoft Entra ID hallatav identiteet. Järgmisena naaseb võtmehoidla administraator Azure’i võtmehoidlasse ja annab ettevõtte poliitikale / hallatavale identiteedile juurdepääsu krüptovõtmele.

Seejärel annab võtmehoidla administraator vastavale Power Platform/Dynamics 365 teenuse administraatorile lugemisõiguse ettevõtte poliitikale. Kui lugemisõigus on antud Dynamics 365, Power Platform saab teenuse administraator minna Power Platform halduskeskusesse ja lisada ettevõtte poliitikale keskkondi. Kõik lisatud keskkondade kliendiandmed krüptitakse seejärel selle ettevõtte poliitikaga lingitud kliendi hallatava võtmega.

eeltingimused

• Azure’i tellimus, mis sisaldab Azure Key Vaulti või Azure Key Vaulti hallatavaid riistvara turbemooduleid.
• ID Microsoft Entra , millel on:
  • Kaasautori luba tellimusele Microsoft Entra .
  • Luba Azure’i võtmehoidla ja võtme loomiseks.
  • Juurdepääs ressursirühma loomiseks. See on vajalik võtmehoidla seadistamiseks.

Võtme loomine ja juurdepääsu andmine Azure Key Vaulti abil

Azure Key Vaulti administraator teeb neid toiminguid Azure’is.

1. Looge Azure’i tasuline tellimus ja Key Vault. Ignoreerige seda samm, kui teil on juba tellimus, mis sisaldab Azure Key Vaulti.
2. Avage teenus Azure Key Vault ja looge võti. Lisateave: võtme loomine võtmehoidlas
3. Lubage Power Platform oma Azure’i tellimuse jaoks ettevõttepoliitika teenus. Tehke seda ainult üks kord. Lisateave: Ettevõttepoliitika teenuse lubamine Power Platform oma Azure’i tellimuse jaoks
4. Power Platform Looge ettevõtte poliitika. Lisateave: Ettevõttepoliitika loomine
5. Andke ettevõttepoliitika õigused võtmehoidlale juurdepääsuks. Lisateave: Ettevõttepoliitika õiguste andmine võtmehoidlale juurdepääsuks
6. Andke Power Platform ja Dynamics 365 administraatoritele õigus lugeda ettevõtte poliitikat. Lisateave: Administraatorile Power Platform ettevõttepoliitika lugemise õiguse andmine

Power Platform/Dynamics 365 teenusehalduse Power Platform halduskeskuse ülesanded

Eeltingimus

• Power Platform administraator peab olema määratud teenuseadministraatori Power Platform Microsoft Entra rollile OR Dynamics 365.

Keskkonna krüptimise Power Platform haldamine halduskeskuses

Administraator Power Platform haldab kliendi hallatavaid keskkonnaga Power Platform seotud võtmetoiminguid halduskeskuses.

1. Power Platform Lisage keskkonnad ettevõtte poliitikasse, et krüptida andmeid kliendi hallatava võtmega. Lisateave: Andmete krüptimiseks ettevõtte poliitikale keskkonna lisamine
2. Eemaldage keskkonnad ettevõttepoliitikast, et tagastada krüptimine hallatavale võtmele Microsoft . Lisateave: Keskkondade eemaldamine poliitikast, et naasta hallatava võtme juurde Microsoft
3. Muutke võtit, eemaldades keskkonnad vanast ettevõttepoliitikast ja lisades keskkondi uuele ettevõttepoliitikale. Lisateave: Krüptovõtme loomine ja juurdepääsu andmine
4. Migreerige BYOK-ist. Kui kasutate varasemat isehallatava krüptovõtme funktsiooni, saate võtme migreerida kliendi hallatavasse võtmesse. Lisateave: Isikliku võtme toomise keskkondade migreerimine kliendi hallatavasse võtmesse

Krüptovõtme loomine ja juurdepääsu andmine

Azure’i tasulise tellimuse ja võtmehoidla loomine

Tehke Azure’is järgmist.

1. Looge Pay-as-you-go või selle samaväärne Azure’i tellimus. Seda samm pole vaja, kui rentnikul on juba tellimus.

2. Ressursirühma loomine. Lisateave: ressursirühmade loomine

   Märkus.

   Looge või kasutage ressursigruppi, mille asukoht (nt Kesk-USA) Power Platform vastab keskkonna piirkonnale (nt Ameerika Ühendriigid).

3. Looge tasulise tellimuse abil võtmehoidla, mis sisaldab pehme kustutamise ja puhastamise kaitset eelmises samm loodud ressursirühmaga.

   Oluline

   • Tagamaks, et teie keskkond on kaitstud krüptovõtme juhusliku kustutamise eest, peab võtmehoidlal olema lubatud pehme kustutamise ja puhastamise kaitse. Te ei saa oma keskkonda oma võtmega krüptida ilma neid seadeid lubamata. Lisateave: Azure’i võtmehoidla pehme kustutamise ülevaade Lisateave: Võtmehoidla loomine Azure’i portaali abil

Võtme loomine võtmehoidlas

1. Veenduge, et eeltingimused oleksid täidetud.
2. Minge Azure’i portaali>võtmehoidlasse ja leidke võtmehoidla, kus soovite krüptovõtme luua.
3. Kontrollige Azure’i võtmehoidla sätteid.
   1. Valige jaotises Sätted suvand Atribuudid.
   2. Seadke või kontrollige jaotises Pehme kustutamine, et selle väärtuseks on seatud Pehme kustutamine on sellel võtmehoidla suvandil lubatud.
   3. Seadke või kontrollige jaotises Puhastuskaitse, et suvand Luba puhastuskaitse (jõustage kustutatud võlvidele ja võlvobjektidele kohustuslik säilitusperiood) on lubatud.
   4. Kui tegite muudatusi, valige Salvesta.

RSA-klahvide loomine

1. Looge või importige võti, millel on järgmised atribuudid.

   1. Valige võtmehoidla atribuutide lehtedel Võtmed .
   2. Valige Loo/impordi.
   3. Määrake kuval Loo klahv järgmised väärtused ja seejärel valige Loo.
      • Suvandid: Loo
      • Nimi: sisestage võtmele nimi
      • Võtme tüüp: RSA
      • RSA võtme suurus: 2048

   Oluline

   Kui määrate võtmes aegumiskuupäeva ja võti on aegunud, on kõik selle võtmega krüptitud keskkonnad maas. Määrake aegumissertide jälgimiseks hoiatus koos Power Platform kohaliku administraatori ja Azure’i võtmehoidla administraatori meiliteatistega meeldetuletuseks aegumiskuupäeva pikendamiseks. See on oluline, et vältida planeerimata süsteemikatkestusi.

Riistvara turbemoodulite (HSM) kaitstud võtmete importimine

Keskkondade krüptimiseks Power Platform Dataverse saate riistvaraliste turbemoodulite (HSM) kaitstud võtmeid kasutada. HSM-kaitsega võtmed tuleb importida võtmehoidlasse , et saaksite luua ettevõtte poliitika. Lisateavet vaadake jaotisest Toetatud HSM-ideabil kaitstud võtmete importimine võtmehoidlasse (BYOK).

Võtme loomine Azure Key Vaulti hallatavas HSM-is

Keskkonnaandmete krüptimiseks saate kasutada Azure Key Vaulti hallatavast HSM-ist loodud krüptovõtit. See annab teile FIPS 140-2 3. taseme toe.

RSA-HSM-võtmete loomine

1. Veenduge, et eeltingimused oleksid täidetud.

2. Avage Azure’i portaal.

3. Looge hallatud HSM:

   1. reserv hallatavat riistvara turvamoodulit.
   2. Aktiveerige hallatud HSM.

4. Lubage oma hallatavas HSM-is puhastuskaitse .

5. Andke hallatava HSM-i krüptokasutaja roll isikule, kes lõi hallatava HSM-i võtmehoidla.

   1. Juurdepääs hallatavale HSM-võtmehoidlale Azure’i portaalis.
   2. Liikuge jaotisse Local RBAC ja valige + Lisa.
   3. Valige ripploendist Roll lehel Rolli määramine roll hallatud HSM-i krüptokasutaja roll .
   4. Valige jaotises Ulatus kõik klahvid.
   5. Valige Turbeprintsipaali valimine ja seejärel valige lehel Printsipaali lisamine administraator .
   6. Valige käsk Loo.

6. Looge RSA-HSM-võti:

   • Suvandid: Loo
   • Nimi: sisestage võtmele nimi
   • Võtme tüüp: RSA-HSM
   • RSA võtme suurus: 2048

   Märkus.

   Toetatud RSA-HSM-võtme suurused: 2048-bitine ja 3072-bitine.

Keskkonna krüptimine Azure Key Vaulti võtmega privaatse lingiga

Saate värskendada oma Azure Key hoidla võrku, lubades privaatse lõpp-punkti ja kasutades võtmehoidla võtit oma Power Platform keskkondade krüptimiseks.

Saate luua uue võtmehoidla ja luua privaatse lingi ühenduse või luua privaatse lingi ühenduse olemasoleva võtmehoidlaga ning luua sellest võtmehoidlast võtme ja kasutada seda oma keskkonna krüptimiseks. Samuti saate luua privaatse lingi ühenduse olemasoleva võtmehoidlaga pärast seda, kui olete võtme juba loonud, ja kasutada seda oma keskkonna krüptimiseks.

Krüpteerige andmed võtmehoidla võtmega privaatse lingiga

1. Looge Azure’i võtmehoidla järgmiste suvanditega.

   • Puhastuskaitse lubamine
   • Võtme tüüp: RSA
   • Võtme suurus: 2048

2. Kopeerige võtmehoidla URL ja krüptovõtme URL, mida kasutatakse ettevõtte poliitika loomiseks.

   Märkus.

   Kui olete lisanud oma võtmehoidlasse privaatse lõpp-punkti või keelanud avaliku juurdepääsuvõrgu, ei näe te võtit, kui teil pole selleks vastavat luba.

3. Looge virtuaalne võrk.

4. Naaske oma võtmehoidlasse ja lisage oma Azure Key hoidlasse privaatsed lõpp-punkti ühendused.

   Märkus.

   Peate valima suvandi Keela avaliku juurdepääsu võrguühendus ja lubama Luba usaldusväärsetel Microsoft teenustel sellest tulemüüri erandist mööda hiilida.

5. Power Platform Looge ettevõtte poliitika. Lisateave: Ettevõttepoliitika loomine

6. Andke ettevõttepoliitika õigused võtmehoidlale juurdepääsuks. Lisateave: Ettevõttepoliitika õiguste andmine võtmehoidlale juurdepääsuks

7. Andke Power Platform ja Dynamics 365 administraatoritele õigus lugeda ettevõtte poliitikat. Lisateave: Administraatorile Power Platform ettevõttepoliitika lugemise õiguse andmine

8. Power Platform Halduskeskuse administraator valib keskkonna krüptimiseks ja hallatava keskkonna lubamiseks. Lisateave: Hallatava keskkonna lisamise lubamine ettevõtte poliitikasse

9. Power Platform Halduskeskuse administraator lisab hallatava keskkonna ettevõtte poliitikasse. Lisateave: Andmete krüptimiseks ettevõtte poliitikale keskkonna lisamine

Ettevõtte poliitika teenuse lubamine Power Platform oma Azure’i tellimuse jaoks

Registreeruge Power Platform ressursside pakkujaks. Seda toimingut peate tegema ainult üks kord iga Azure’i tellimuse puhul, kus teie Azure Key hoidla asub. Ressursipakkuja registreerimiseks peavad teil olema tellimuse juurdepääsuõigused.

1. Logige sisse Azure’i portaali ja minge tellimisressursside pakkujate> juurde.
2. Ressursipakkujate loendis otsige Microsoft. PowerPlatform, ja registreerige see.

Ettevõtte poliitika loomine

1. Installige PowerShell MSI. Lisateave: PowerShelli installimine Windowsi, Linuxi ja macOS-i
2. Pärast PowerShelli MSI installimist minge tagasi jaotisse Kohandatud malli juurutamine Azure’is.
3. Valige redaktori lingil Oma malli koostamine.
4. Kopeerige see JSON-mall tekstiredaktorisse, näiteks Notepadi. Lisateave: Ettevõttepoliitika JSON-mall
5. Asendage JSON-malli väärtused: EnterprisePolicyName,asukoht, kus EnterprisePolicy tuleb luua, keyVaultId ja keyName. Lisateave: JSON-malli väljamääratlused
6. Kopeerige värskendatud mall tekstiredaktorist, seejärel kleepige see Azure’i kohandatud juurutuse redigeerimismalli ja valige Salvesta.
7. Valige kordustellimus ja ressursirühm , kus ettevõttepoliitika luuakse.
8. Valige Läbivaatus + Loo ja seejärel valige Loo.

Käivitatakse juurutamine. Kui see on tehtud, luuakse ettevõtte poliitika.

Ettevõttepoliitika JSON-mall

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON-malli väljamääratlused

• nimi. Ettevõtte poliitika nimi. See on halduskeskuses kuvatava poliitika Power Platform nimi.

• asukoht. Üks järgmistest. See on ettevõtluspoliitika asukoht ja see peab vastama keskkonna piirkonnale Dataverse :

  • ""Ameerika Ühendriigid""
  • ""Lõuna-Aafrika""
  • ""UK""
  • ""Jaapan""
  • ""India""
  • ""Prantsusmaa""
  • ""Euroopa""
  • ""Saksamaa""
  • ""Šveits""
  • ""Kanada""
  • ""Brasiilia""
  • ""Austraalia""
  • ""Aasia""
  • ""AÜE""
  • ""Korea""
  • ""Norra""
  • ""Singapur""
  • ""Rootsi""

• Kopeerige need väärtused Azure’i portaali võtmehoidla atribuutidest.

  • keyVaultId: minge jaotisse Võtmehoidlad> valige oma võtmehoidla >ülevaade. Essentialsi kõrval valige JSON-vaade. Kopeerige ressursi ID lõikelauale ja kleepige kogu sisu JSON-malli.
  • keyName: minge jaotisse Võtmehoidlad> valige oma võtmehoidla >võtmed. Pange tähele võtit Nimi ja tippige nimi oma JSON-malli.

Ettevõttepoliitika õiguste andmine võtmehoidlale juurdepääsuks

Kui ettevõtte poliitika on loodud, annab võtmehoidla administraator ettevõttepoliitika hallatavale identiteedile juurdepääsu krüptovõtmele.

1. Logige sisse Azure’i portaali ja minge võtmehoidlatesse .
2. Valige võtmehoidla, kus võti ettevõtte poliitikale määrati.
3. Valige vahekaart Juurdepääsu juhtimine (IAM) ja seejärel valige + Lisa.
4. Valige ripploendist Lisa rollimäärang ,
5. Otsige Key Vault krüptoteenuse krüptimise kasutajalt ja valige see.
6. Tehke valik Edasi.
7. Select + Vali liikmed.
8. Otsige enda loodud ettevõttepoliitikat.
9. Valige ettevõtte poliitika ja seejärel valige Vali.
10. Valige Läbivaatus + määra.

Märkus.

Ülaltoodud õigusesäte põhineb teie Azure’i rollipõhise juurdepääsukontrolli võtmehoidla õigusemudelil . Kui teie võtmehoidlaks on seatud Vaulti juurdepääsupoliitika, on soovitatav minna üle rollipõhisele mudelile. Kui soovite anda oma ettevõtte poliitikale juurdepääsu võtmehoidlale, kasutades Vaulti juurdepääsupoliitikat, looge Accessi poliitika, valige käsk Get on Key management operations ja Unwrap key ja Pakendamine key on Cryptographic Operations .

Märkus.

Planeerimata süsteemikatkestuste vältimiseks on oluline, et ettevõtte poliitikal oleks võtmele juurdepääs. Veenduge, et:

• Võtmehoidla on aktiivne.
• Võti on aktiivne ja pole aegunud.
• Võtit ei kustutata.
• Ülaltoodud võtmeõigusi ei tühistata.

Seda võtit kasutavad keskkonnad keelatakse, kui krüptovõti pole juurdepääsetav.

Administraatorile Power Platform ettevõttepoliitika lugemiseks õiguse andmine

Administraatorid, kellel on Dynamics 365- või Power Platform haldusrollid, pääsevad juurde halduskeskusele Power Platform , et määrata ettevõttepoliitikale keskkondi. Ettevõtte poliitikatele juurdepääsemiseks on vaja Azure’i võtmehoidla juurdepääsuga administraatorit, et anda administraatorile roll Reader Power Platform . Kui lugejaroll on antud, Power Platform saab administraator vaadata ettevõtte poliitikaid Power Platform halduskeskuses.

Märkus.

Ainult Power Platform Dynamics 365 administraatorid, kellele on antud ettevõtte poliitika lugejaroll, saavad poliitikale keskkonda lisada. Teised Power Platform või Dynamics 365 administraatorid võivad saada ettevõtte poliitikat vaadata, kuid nad saavad tõrketeate, kui proovivad poliitikale keskkonda lisada.

Lugejarolli andmine administraatorile Power Platform

1. Logige sisse Azure’i portaali.
2. Kopeerige Power Platform administraatori objekti ID või Dynamics 365. Selleks toimige järgmiselt.
   1. Minge Azure’is alale Kasutajad .
   2. Otsige loendist Kõik kasutajad otsingukasutajate abil Power Platform üles administraatoriõigustega kasutaja või Dynamics 365.
   3. Avage kasutajakirje ja kopeerige vahekaardil Ülevaade kasutaja objekti ID. Kleepige see tekstiredaktorisse, näiteks NotePadi, et seda hiljem kasutada.
3. Kopeerige ettevõtte poliitika ressursi ID. Selleks toimige järgmiselt.
   1. Avage Azure’is Resource Graph Explorer .
   2. Sisestage otsinguväljale microsoft.powerplatform/enterprisepolicies tekst ja valige ressurss Microsoft.powerplatform/enterprisepolicies .
   3. Valige käsuribal käsk Käivita päring . Kuvatakse kõigi ettevõtte poliitikate Power Platform loend.
   4. Otsige üles ettevõtte poliitika, kus soovite juurdepääsu anda.
   5. Liikuge kerides ettevõttepoliitikast paremale ja valige Kuva üksikasjad.
   6. Kopeerige lehel Üksikasjad id.
4. Käivitage Azure Cloud Shell ja käivitage järgmine käsk, mis asendab objId kasutaja objekti ID-ga ja EP Resource Id eelmistes juhistes kopeeritud enterprisepolicies ID-ga: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Keskkonna krüptimise haldamine

Keskkonna krüptimise haldamiseks on teil vaja järgmist luba.

• Microsoft Entra Aktiivne kasutaja, kellel on Dynamics 365 Power Platform administraatori turberoll.
• Microsoft Entra kasutaja, kellel on teenuse Power Platform administraatori või Dynamics 365 roll.

Võtmehoidla administraator teavitab administraatorit Power Platform krüptovõtme ja ettevõttepoliitika loomisest ning edastab administraatorile Power Platform ettevõtte poliitika. Kliendi hallatava võtme Power Platform lubamiseks määrab administraator nende keskkonnad ettevõtte poliitikale. Kui keskkond on määratud ja salvestatud, Dataverse käivitab krüptimisprotsessi, et määrata kõik keskkonnaandmed ja krüptida need kliendi hallatava võtmega.

Luba hallatava keskkonna lisamine ettevõtte poliitikasse

1. Logige sisse Power Platform halduskeskusesse ja leidke keskkond.
2. Valige ja kontrollige keskkonda keskkondade loendis.
3. Valige toiminguribal ikoon Luba hallatavad keskkonnad .
4. Valige Luba.

Andmete krüptimiseks ettevõtte poliitikale keskkonna lisamine

Oluline

Keskkond keelatakse, kui see lisatakse andmete krüptimise ettevõttepoliitikasse.

1. Logige sisse Power Platform halduskeskusesse ja minge jaotisse Poliitikad>Ettevõtte poliitikad.
2. Valige reegel ja seejärel valige käsuribal käsk Redigeeri.
3. Valige Lisa keskkondi, valige soovitud keskkond ja seejärel valige Jätka.
4. Valige Salvesta ja seejärel valige Kinnita.

Oluline

• Loendis Keskkondade lisamine kuvatakse ainult need keskkonnad, mis asuvad ettevõtte poliitikaga samas piirkonnas.
• Krüptimise lõpuleviimiseks võib kuluda kuni neli päeva, kuid keskkond võidakse lubada enne, kui toiming Keskkondade lisamine lõpule viiakse.
• Toimingut ei pruugita lõpule viia ja kui see nurjub, krüptitakse teie andmed jätkuvalt hallatava võtmega Microsoft . Saate toimingu Keskkondade lisamine uuesti käivitada.

Märkus.

Saate lisada ainult keskkondi, mis on lubatud hallatavad keskkonnad. Proovikeskkonna ja Teamsi keskkonnatüüpe ei saa ettevõtte poliitikasse lisada.

Keskkondade eemaldamine poliitikast, et naasta hallatava võtme juurde Microsoft

Kui soovite naasta hallatava krüptovõtme juurde Microsoft , tehke järgmist.

Oluline

Keskkond keelatakse, kui see eemaldatakse ettevõtte poliitikast andmete krüptimise tagastamiseks hallatava võtme abil Microsoft .

1. Logige sisse Power Platform halduskeskusesse ja minge jaotisse Poliitikad>Ettevõtte poliitikad.
2. Valige vahekaart Keskkond poliitikatega ja seejärel leidke keskkond, mille soovite kliendi hallatavast võtmest eemaldada.
3. Valige vahekaart Kõik poliitikad , valige samm 2-s kinnitatud keskkond ja seejärel valige käsuribal käsk Redigeeri poliitikat .
4. Valige käsuribalt Eemalda keskkond , valige eemaldatav keskkond ja seejärel valige Jätka.
5. Valige käsk Salvesta.

Oluline

Keskkond keelatakse, kui see eemaldatakse ettevõtte poliitikast, et ennistama andmete krüptimine hallatavale Microsoft võtmele. Ärge kustutage ega keelake võtit, kustutage või keelake võtmehoidlat ega eemaldage ettevõtte poliitika õigusi võtmehoidlale. Võtme ja võtmehoidla juurdepääs on vajalik andmebaasi taastamise toetamiseks. Võite ettevõttepoliitika õigused kustutada ja eemaldada 30 päeva pärast.

Keskkonna krüptimise oleku ülevaatamine

Krüptimise oleku ülevaatamine ettevõtte poliitikate kaudu

1. Logige sisse Power Platformi halduskeskusesse.

2. Valige Poliitikad>Ettevõtte poliitikad.

3. Valige reegel ja seejärel valige käsuribal käsk Redigeeri.

4. Vaadake selle poliitika jaotisega üle keskkonna krüptimise olek keskkondades.

   Märkus.

   Keskkonna krüptimise olek võib olla:

   • Krüptitud – ettevõttepoliitika krüptovõti on aktiivne ja keskkond krüptitakse teie võtmega.
   • Nurjus – ettevõttepoliitika krüptovõtit ei kasuta kõik Dataverse salvestusteenused. Nende töötlemiseks kulub rohkem aega ja saate toimingu Keskkonna lisamine uuesti käivitada . Kui uuesti käivitamine nurjub, võtke ühendust toega.
   • Hoiatus – ettevõttepoliitika krüptovõti on aktiivne ja üks teenuse andmetest on jätkuvalt krüptitud hallatava võtmega Microsoft. Lisateave: Power Automate CMK rakenduse hoiatusteated

   Saate uuesti käivitada suvandi Lisa keskkond keskkonna jaoks, mille krüptimine nurjus.

Vaadake krüptimise olekut lehelt Keskkonnaajalugu

Näete keskkonna ajalugu.

1. Logige sisse Power Platformi halduskeskusesse.

2. Valige navigeerimispaanil Keskkonnad ja seejärel valige loendist keskkond.

3. Valige käsuribal Ajalugu.

4. Otsige üles jaotise Kliendi hallatava võtme värskendamise ajalugu.

   Märkus.

   Olek näitab Töötab , kui krüptimine on pooleli. See näitab õnnestunud , kui krüptimine on lõpule viidud. Olek kuvab nurjunud , kui on probleeme mõne teenusega, mis ei saa krüptovõtit rakendada.

   Nurjunud olek võib olla hoiatus ja te ei pea suvandit Lisa keskkond uuesti käivitama. Saate kinnitada, kas see on hoiatus .

Keskkonna krüptovõtme muutmine uue ettevõttepoliitika ja võtme abil

Krüptovõtme muutmiseks looge uus võti ja uus ettevõttepoliitika. Seejärel saate muuta ettevõtte poliitikat, eemaldades keskkonnad ja lisades seejärel keskkonnad uude ettevõttepoliitikasse. Uuele ettevõtte poliitikale üleminekul on süsteem kaks korda maas - 1) krüptimise ennistama hallatavale võtmele Microsoft ja 2) uue ettevõtte poliitika rakendamiseks.

Jootraha

Krüptovõtme pööramiseks soovitame kasutada võtmehoidlate uut versiooni või seada pööramispoliitika.

1. Looge Azure’i portaalis uus võti ja uus ettevõttepoliitika. Lisateave: Krüptovõtme loomine ja juurdepääsu andmine ning ettevõttepoliitika loomine
2. Kui uus võti ja ettevõtte poliitika on loodud, minge jaotisse Poliitikad>Ettevõtte poliitikad.
3. Valige vahekaart Keskkond poliitikatega ja seejärel leidke keskkond, mille soovite kliendi hallatavast võtmest eemaldada.
4. Valige vahekaart Kõik poliitikad , valige samm 2-s kinnitatud keskkond ja seejärel valige käsuribal käsk Redigeeri poliitikat .
5. Valige käsuribalt Eemalda keskkond , valige eemaldatav keskkond ja seejärel valige Jätka.
6. Valige käsk Salvesta.
7. Korrake juhiseid 2–6, kuni kõik ettevõttepoliitika keskkonnad on eemaldatud.

Oluline

Keskkond keelatakse, kui see eemaldatakse ettevõtte poliitikast, et ennistama andmete krüptimine hallatavale Microsoft võtmele. Ärge kustutage ega keelake võtit, kustutage või keelake võtmehoidlat ega eemaldage ettevõtte poliitika õigusi võtmehoidlale. Võtme ja võtmehoidla juurdepääs on vajalik andmebaasi taastamise toetamiseks. Võite ettevõttepoliitika õigused kustutada ja eemaldada 30 päeva pärast.

1. Kui kõik keskkonnad on eemaldatud, Power Platform minge halduskeskuses jaotisse Ettevõtte poliitikad.
2. Valige uus ettevõttepoliitika ja seejärel valige Redigeeri poliitikat.
3. Valige Lisa keskkond, valige keskkonnad, mida soovite lisada, ja seejärel valige Jätka.

Oluline

Keskkond keelatakse, kui see lisatakse uude ettevõttepoliitikasse.

Keskkonna krüptovõtme pööramine uue võtmeversiooniga

Keskkonna krüptovõtit saate muuta, luues uue võtmeversiooni. Uue võtmeversiooni loomisel lubatakse uus võtmeversioon automaatselt. Kõik salvestusressursid tuvastavad uue võtmeversiooni ja hakkavad seda oma andmete krüptimiseks rakendama.

Kui muudate võtit või võtmeversiooni, muutub juurkrüptovõtme kaitse, kuid salvestusruumis olevad andmed jäävad alati võtmega krüptituks. Teie andmete kaitse tagamiseks pole vaja rohkem midagi teha. Võtmeversiooni pööramine ei mõjuta jõudlust. Võtmeversiooni pööramisega ei kaasne seisakuid. Kõigil ressursside pakkujatel võib uue võtmeversiooni taustal rakendamiseks kuluda 24 tundi. Eelmist võtmeversiooni ei tohi keelata , kuna see on vajalik selleks, et teenus saaks seda uuesti krüptimiseks ja andmebaasi taastamise toetamiseks kasutada.

Krüptovõtme pööramiseks uue võtmeversiooni loomisega toimige järgmiselt.

1. Minge Azure’i portaali>võtmehoidlatesse ja leidke võtmehoidla, kus soovite uue võtmeversiooni luua.
2. Liikuge jaotisse Klahvid.
3. Valige praegune lubatud klahv.
4. Vali + uus versioon.
5. Sätte Lubatud vaikeväärtuseks on Jah, mis tähendab, et uus võtmeversioon lubatakse loomisel automaatselt.
6. Valige käsk Loo.

Jootraha

Võtme pööramispoliitika järgimiseks saate krüptovõtit pöörata, kasutades pööramispoliitikat. Saate konfigureerida pööramispoliitika või pöörata nõudmisel, kasutades funktsiooni Pööra kohe.

Oluline

Uus võtmeversioon pööratakse automaatselt taustal ja administraator ei vaja Power Platform mingeid toiminguid. Andmebaasi taastamise toetamiseks on oluline, et eelmist võtmeversiooni ei tohi keelata ega kustutada vähemalt 28 päeva jooksul. Eelmise võtmeversiooni liiga varajane keelamine või kustutamine võib viia teie keskkonna võrguühenduseta.

Vaadake krüptitud keskkondade loendit

1. Logige sisse Power Platform halduskeskusesse ja minge jaotisse Poliitikad>Ettevõtte poliitikad.
2. Valige lehel Ettevõtte poliitikad vahekaart Poliitikatega keskkonnad. Kuvatakse ettevõtte poliitikatele lisatud keskkondade loend.

Märkus.

Võib esineda olukordi, kus olek Keskkond või Krüptimine näitab olekut Nurjus. Kui see juhtub, võite proovida toimingu Lisa keskkond uuesti käivitada või esitada abitaotluse. Microsoft

Keskkonna andmebaasi toimingud

Kliendi rentnikul võivad olla keskkonnad, mis on krüptitud hallatava võtme abil Microsoft , ja keskkonnad, mis on krüptitud kliendi hallatava võtmega. Andmete terviklikkuse ja andmekaitse tagamiseks on keskkonna andmebaasi toimingute haldamisel saadaval järgmised juhtelemendid.

• Taasta ülekirjutatav keskkond (taastatud keskkonda) on piiratud sama keskkonnaga, kust varukoopia võeti, või teise keskkonda, mis on krüptitud sama kliendi hallatava võtmega.

  

• Kopeeri Ülekirjutatav keskkond (kopeeritud keskkonda) on piiratud teise keskkonnaga, mis on krüptitud sama kliendi hallatava võtmega.

  

  Märkus.

  Kui kliendi hallatava keskkonna tugiteenuse probleemi lahendamiseks loodi toeuuringu keskkond, tuleb toeuuringu keskkonna krüptovõti muuta kliendi hallatavaks enne, kui keskkonna kopeerimise toimingut võib sooritada.

• Lähtesta – keskkonna krüptitud andmed kustutatakse koos varukoopiatega. Pärast keskkonna lähtestamist ennistama keskkonna krüptimine tagasi hallatavale Microsoft võtmele.

Järgmised toimingud

Teave Azure Key Vaulti kohta