Krüptovõtme haldamine
Kõik Microsoft Dataverse'i keskkonnad kasutavad reaalajas andmete krüptimiseks SQL serveri läbipaistvat andmete krüptimist (TDE), kui andmed on kirjutatud kettale (tuntud ka puhkava krüptimisena).
Vaikimisi salvestab ja haldab andmebaasi krüptovõtit teie keskkondade jaoks, Microsoft nii et te ei pea seda tegema. Võtmete haldamise funktsioon Microsoft Power Platform'i halduskeskuses annab administraatoritele võimaluse rentniku Dataverse'i andmebaasi krüptovõtmeid ise hallata.
Oluline
- Alates 2. juunist 2023 täiendatakse see teenus kliendi hallatavaks krüptovõtmeks. Uued kliendid, kellel on vaja oma krüptovõtit ise hallata, kasutavad täiendatud teenust, kuna seda teenust enam ei pakuta.
- Isehallatavad andmebaasi krüpteerimisvõtmed on saadaval ainult klientidele, kellel on ühes rentnikus rohkem kui 1000 Power Apps'i litsentsi või üle 1000 Dynamics 365 Enterprise litsentsi või üle 1000 litsentsi mõlema kombinatsioonist. Selle programmi valimiseks esitage tugiteenusetaotlus.
Krüptovõtme haldamine on rakendatav ainult Azure SQL-i keskkonna andmebaasidele. Järgmised funktsioonid ja teenused kasutavad Microsoft oma andmete krüptimiseks jätkuvalt hallatavat krüptovõtit ja neid ei saa krüptida isehallatava krüptovõtmega.
- Kopiloodid ja generatiivse tehisintellekti funktsioonid ja Microsoft Power Platform Microsoft Dynamics 365
- Dataverse’i otsing
- Elastsed lauad
- Mobile Offline
- Tegevuste logi (Microsoft 365 portaal)
- Exchange (serveripoolne sünkroonimine)
Märkus.
- Isehallatava andmebaasi krüptovõtme funktsioon peab olema rentniku jaoks sisse lülitatud Microsoft , enne kui saate funktsiooni kasutada.
- Andmete krüptimise haldamise funktsioonide kasutamiseks keskkonnas tuleb keskkond luua pärast andmebaasi krüptovõtme funktsiooni isehaldamise sisselülitamist Microsoft.
- Kui funktsioon on rentnikus sisse lülitatud, luuakse kõik uued keskkonnad ainult Azure'i SQL-i salvestusruumiga. Nendel keskkondadel, olenemata sellest, kas need on krüptitud oma võtme toomise (BYOK) või hallatava Microsoft võtmega, on faili üleslaadimise suuruse piirangud, nad ei saa kasutada Cosmose ja Datalake'i teenuseid ning Dataverse otsinguregistrid on krüptitud hallatava Microsoft võtmega. Nende teenuste kasutamiseks peate üle minema kliendi hallatavale võtmele.
- Faile ja pilte , mille suurus on väiksem kui 128 MB, saab kasutada, kui teie keskkond on versioon 9.2.21052.00103 või uuem.
- Enamikul olemasolevatest keskkondades on fail ja logi salvestatud mitte-Azure SQL-i andmebaasidesse. Neid keskkondi ei saa isehallatava krüptovõtmega liita. Isehallatava krüptovõtmega saab lubada ainult uusi keskkondi (pärast sellesse programmi registreerumist).
Sissejuhatus võtmehaldusesse
Võtmehaldusega saavad administraatorid esitada enda krüptovõtme või neil võib olla neile loodud krüptovõti, mida kasutatakse keskkonna andmebaasi kaitsmiseks.
Võtmehalduse funktsioon toetab nii PFX-i kui ka BYOK-i krüptovõtme faile (nt riistvara turbemudelisse (HSM) salvestatud failid). Krüptovõtme üleslaadimise valiku kasutamiseks vajate nii avalikku kui ka privaatset krüptovõtit.
Võtmehalduse funktsioon lihtsustab krüptovõtme haldust, kasutades krüptovõtmete turvaliseks talletamiseks Azure’i võtmehoidlat. Azure’i võtmehoidla aitab kaitsta pilverakenduste ja -teenuste kasutatavaid krüptovõtmeid ja saladusi. Võtmehalduse funktsiooni jaoks pole vaja Azure Key Vault'i tellimust ja enamikes olukordades pole vaja Dataverse'i jaoks kasutatavatele krüptovõtmetele hoidla kaudu juurde pääseda.
Võtme haldamise funktsioon võimaldab teha järgmisi ülesandeid.
Lubage keskkondadega seotud andmebaasi krüpteerimisvõtmete isehaldamise võimalus.
Luua uusi krüptovõtmeid või laadida üles olemasolevaid PFX- või BYOK-vormingus krüptovõtme faile.
Lukustada ja avada rentniku keskkondi.
Hoiatus
Kui rentnik on lukustatud, ei pääse keegi ligi rentniku keskkondadele. Lisateave: rentniku lukustamine.
Võtmete haldamisega seotud võimaliku ohu mõistmine
Nagu mis tahes äriliselt kriitilise tähtsusega rakenduse puhul peab organisatsioonisisene personal, kellel on administraatoritasemel juurdepääs, olema usaldusväärne. Enne võtmehalduse funktsiooni kasutamist peate mõistma andmebaasi krüptovõtmete haldamisega seotud ohtu. On mõeldav, et teie organisatsioonis töötav pahatahtlik administraator (isik, kellele antakse või kes on saanud administraatoritasemel juurdepääsu kavatsusega kahjustada organisatsiooni turbe- ja äriprotsesse) võib kasutada võtmete haldamise funktsiooni, et luua võti ja kasutada seda kõigi rentniku keskkondade lukustamiseks.
Kaaluge järgmist sündmuste jada.
Pahatahtlik administraator logib sisse Power Platform'i halduskeskusesse, avab vahekaardi Keskkonnad ja valib Halda krüptovõtit. Pahatahtlik administraator loob seejärel uue võtme parooliga ja laadib krüptovõtme alla oma kohalikule kettale ning aktiveerib uue võtme. Nüüd on kõik keskkonna andmebaasid krüptitud uue võtmega. Seejärel lukustab pahatahtlik administraator rentniku äsja allalaaditud võtmega ja seejärel võtab või kustutab allalaaditud krüptovõtme.
Nende tegevuste tulemusel keelatakse kõigi rentniku keskkondade veebijuurdepääs ja ühtki andmebaasi varukoopiat ei saa taastada.
Oluline
Selleks et takistada pahatahtlikul administraatoril äritegevuse segamist andmebaasi lukustamise teel, ei luba hallatud võtmete funktsioon 72 tunni jooksul pärast krüptovõtme muutmist või aktiveerimist rentniku keskkondi lukustada. See võimaldab teistel administraatoritel mis tahes volituseta võtmemuudatused kuni 72 tunni jooksul tagasi pöörata.
Krüptovõtme nõuded
Kui esitate oma krüpteerimisvõtme, peab teie võti vastama nendele Azure Key Vault'i aktsepteeritud nõuetele.
- Krüptovõtme faili vorming peab olema PFX või BYOK.
- 2048-bitine RSA.
- RSA-HSM-võtme tüüp (nõuab toetaotlust Microsoft ).
- PFX krüptovõtme failid peavad olema parooliga kaitstud.
HSM-i kaitsega võtme Interneti kaudu loomise ja üleviimise kohta leiate lisateavet teemast Kuidas Azure Key Vaulti puhul luua ja viia üle HSM-i kaitsega võtmeid. Toetatakse ainult nCipher Vendor HSM-i võtit. Enne oma HSM-võtme genereerimist minge Power Platform'i halduskeskusesse Krüptovõtmete haldamine/Loo uus võtmeaken, et saada oma keskkonna piirkonna kordustellimuse ID. Võtme loomiseks peate kopeerima ja kleepima selle kordustellimuse ID oma HSM-i. See tagab, et teie faili saab avada ainult meie Azure'i võtmehoidla.
Võtmehalduse ülesanded
Põhi haldusülesannete lihtsustamiseks on ülesanded jagatud kolme valdkonta.
- Rentniku krüptovõtme loomine või üleslaadimine
- Rentniku krüptovõtme aktiveerimine
- Keskkonna krüptimise haldamine
Administraatorid saavad kirjeldatud peamiste rentniku kaitse haldusülesannete tegemiseks kasutada Power Platform'i halduskeskust või Power Platform'i haldusmoodulit cmdlet-käske.
Rentniku krüptovõtme loomine või üleslaadimine
Kõiki krüptovõtmeid säilitatakse rakenduses Azure Key Vault ja korraga saab olla aktiivne ainult üks võti. Kuna aktiivset võtit kasutatakse kõigi rentniku keskkondade krüptimiseks, hallatakse krüptimist rentniku tasemel. Kui võti on aktiveeritud, saab seda kasutada iga individuaalse keskkonna krüptimiseks.
Kasutage seda toimingut, et seadistada haldusvõti esimest korda keskkonna jaoks või muuta (ülekirjutada) krüptovõtit juba isehallatavas rentnikus.
Hoiatus
Kui teete siinkirjeldatud tegevusi esimest korda, liitute krüptovõtmete isehaldamisega. Lisateave: võtmete isehaldamisega seotud võimaliku ohu mõistmine.
Logige halduskeskusesse Power Platform sisseadministraatorina (Dynamics 365 administraatorina või Microsoft Power Platform administraatorina).
Valige vahekaart Keskkonnad ja seejärel valige tööriistaribalt suvand Krüptovõtmete haldamine.
Võtme haldamise ohu kinnitamiseks valige suvand Kinnita.
Valige tööriistaribal suvand Uus võti
Võtme loomiseks või üleslaadimiseks täitke üksikasjad vasakpoolsel paanil.
- Valige Piirkond. Seda suvandit kuvatakse ainult juhul, kui rentnikul on mitu piirkonda.
- Sisestage Võtme nimi.
- Valige järgmiste suvandite seast.
- Uue võtme loomiseks valige suvand Loo uus (.pfx). Lisateave: loo uus võti (. pfx).
- Oma loodud võtme kasutamiseks valige suvand Laadi üles (.pfx või .byok). Lisateave: laadi üles võti (. pfx või .byok).
Tehke valik Edasi.
Uue võtme loomine (.pfx)
- Sisestage parool ja seejärel sisestage kinnitamiseks parool uuesti.
- Valige käsk Loo ja seejärel valige brauserist loodud faili teatis.
- Krüptovõtme .pfx-fail laaditakse alla teie veebibrauseri allalaadimiste vaikekausta. Salvestage fail turvalisse asukohta (soovitame seda võtit koos selle parooliga varundada).
Võtme üleslaadimine (.pfx või .byok)
- Valige suvand Laadi võti üles, valige .pfx- või .byok1- file ja seejärel valige käsk Ava.
- Sisestage võtme parool ja seejärel valige käsk Loo.
1 .byok-vormingus krüptovõtmete puhul veenduge, et kasutaksite tellimuse ID-d kuval näidatud viisil, kui ekspordite krüptovõtit oma kohalikust HSM-ist. Lisateave: kuidas luua ja edastada HSM-kaitsutud võtmed rakendusse Azure Key Vault.
Märkus.
Selleks, et vähendada administraatori jaoks läbitavate etappide arvu võtmeprotsessi haldamisel, aktiveeritakse võti automaatselt esmakordsel üleslaadimisel. Kõik järgnevad võtmete üleslaadimised nõuavad võtme aktiveerimiseks lisaetapi läbimist.
Rentniku krüptovõtme aktiveerimine
Kui krüptovõti on rentnikku loodud või üles laaditud, saab seda aktiveerida.
- Logige halduskeskusesse Power Platform sisseadministraatorina (Dynamics 365 administraatorina või Microsoft Power Platform administraatorina).
- Valige vahekaart Keskkonnad ja seejärel valige tööriistaribalt suvand Krüptovõtmete haldamine.
- Võtme haldamise ohu kinnitamiseks valige suvand Kinnita.
- Valige võti, mille olek on Saadaval ja seejärel valige tööriistaribalt käsk Aktiveeri võti.
- Valige Kinnita, et tunnistada võtmemuudatust.
Kui aktiveerite rentniku jaoks võtme, kulub võtme haldusteenusel võtme aktiveerimiseks veidi aega. Suvandi Võtme olek olek kuvab võtit olekus Installimisel, kui uut või üleslaaditud võti aktiveeritakse. Kui võti on aktiveeritud, juhtub järgmine.
- Kõik krüptitud keskkonnad krüptitakse automaatselt aktiivse võtmega (selle toiminguga pole seisakuid).
- Kui see on aktiveeritud, rakendatakse krüptovõtit kõigile keskkondadele, mis on muudetud pakutavast Microsoft isehallatavaks krüptovõtmeks.
Oluline
Kui soovite, et sama võti haldaks kõiki keskkondi, ei saa aktiivset võtit värskendada, kui osa keskkondi on lukustatud. Enne uue võtme aktiveerimist tuleb kõik keskkonnad lukust vabastada. Kui on keskkondi, mida pole vaja lukust vabastada, tuleb need kustutada.
Märkus.
Pärast krüptovõtme aktiveerimist ei saa 24 tunni jooksul uut võtit aktiveerida.
Keskkonna krüptimise haldamine
Vaikimisi on iga keskkond krüptitud kaasasoleva krüptovõtmega Microsoft. Kui krüptovõti on rentniku jaoks aktiveeritud, saavad administraatorid valida, kas lasta vaikekrüptimisel kasutada aktiveeritud krüptovõtit. Aktiveeritud võtme kasutamiseks tehke järgmist.
Rakendage krüptovõti keskkonnale.
- Logige Power Platform halduskeskusesse sisse, kasutades keskkonnaadministraatori või süsteemiadministraatori rolli mandaati.
- Valige vahekaart Keskkonnad.
- Avage a-pakutav Microsoft krüpteeritud keskkond.
- Valige suvand Kuva kõik.
- Valige jaotisest Keskkonna krüptimine käsk Halda.
- Võtme haldamise ohu kinnitamiseks valige suvand Kinnita.
- Et muuta krüptimist kasutama aktiveeritud võtit, valige suvand Rakenda seda võtit.
- Valige Kinnita, et kinnitada, et haldate võtit ise ja teate, et selle tegevusega kaasneb seisak.
Hallatava krüptovõtme tagastamine tagasi antud krüptovõtme juurde Microsoft
Naasmine esitatud krüptovõtme juurde Microsoft konfigureerib keskkonna tagasi vaikekäitumisele, kus Microsoft haldab krüptovõtit teie eest.
- Logige Power Platform halduskeskusesse sisse, kasutades keskkonnaadministraatori või süsteemiadministraatori rolli mandaati.
- Valige vahekaart Keskkonnad ja seejärel valige keskkond, mida krüptitakse isehallatava võtmega.
- Valige suvand Kuva kõik.
- Valige jaotises Keskkonna krüptimine käsk Halda ja seejärel valige käsk Kinnita.
- Valige suvandis Naase standardse krüptimise haldamise juurde käsk Naase.
- Tootmiskeskkondade puhul kinnitage keskkond, sisestades keskkonna nime.
- Standardse krüptovõtmega haldamise juurde naasmiseks valige käsk Kinnita.
Rentniku lukustamine
Kuna rentniku kohta on ainult üks aktiivne võti, keelab rentniku krüptimise lukustamine kõik selle rentniku keskkonad. Kõik lukustatud keskkonnad jäävad kõigile kättesaamatuks, sh Microsoft seni, kuni Power Platform teie asutuse administraator avab need lukustuse võtmega, mida kasutati selle lukustamiseks.
Hoiatus
Rentniku keskkondade lukustamine ei tohiks kunagi olla tavapärase äriprotsessi osa. Rentniku Dataverse lukustamisel võetakse kõik keskkonnad täielikult võrguühenduseta ja neile ei pääse keegi juurde, sealhulgas Microsoft. Lisaks seisatatakse kõik teenused, nagu sünkroonimine ja hooldus. Kui otsustate teenusest lahkuda, võite rentniku lukustamisega kindlustada, et võrgus olevatele andmetele ei pääse keegi kunagi ligi.
Võtke arvesse järgmist rentniku keskkondade lukustamise kohta.
- Lukustatud keskkondi ei saa varundusest taastada.
- Lukustatud keskkonnad kustutatakse, kui neid ei vabastata lukustusest 28 päeva jooksul.
- Keskkondi ei saa lukustada 72 tunni jooksul pärast krüptovõtme muutmist.
- Rentniku lukustamine lukustab kõik aktiivsed keskkonnad rentnikus.
Oluline
- Pärast aktiivse keskkonna lukustamist peate ootama vähemalt ühe tunni, enne kui saate seda lukust vabastada.
- Kui lukustusprotsess algab, kustutatakse kõik krüptovõtmed kas olekuga aktiivne või saadaval. Lukustusprotsessiks võib kuluda kuni tund aega ja sellel ajal ei lubata lukustatud keskkondade lukust vabastamist.
- Logige halduskeskusesse Power Platform sisseadministraatorina (Dynamics 365 administraatorina või Microsoft Power Platform administraatorina).
- Valige vahekaart Keskkonnad ja seejärel valige käsuribalt suvand Krüptovõtmete haldamine.
- Valige võti olekuga Aktiivne ja seejärel valige suvand Lukusta aktiivsed keskkonnad.
- Valige parempoolselt paanilt suvand Aktiivse võtme üleslaadimine, otsige ja valige võti, sisestage parool ja seejärel valige käsk Lukusta.
- Kui kuvatakse viip, sisestage tekst, mida kuvatakse kuvaril, et kinnitada, et soovite lukustada kõik piirkonna keskkonnad, ja seejärel valige käsk Kinnita.
Lukustatud keskkondade lukust vabastamine
Keskkondade lukust vabastamiseks peate esmalt üles laadima ja seejärel aktiveerima rentniku krüptovõtme sama võtmega, mida kasutati rentniku lukustamiseks. Pange tähele, et lukustatud keskkondade lukustust ei vabastata automaatselt, kui võti aktiveeritakse. Iga lukustatud keskkond tuleb eraldi lukustusest vabastada.
Oluline
- Pärast aktiivse keskkonna lukustamist peate ootama vähemalt ühe tunni, enne kui saate seda lukust vabastada.
- Lukustusest vabastamise protsess võib kesta kuni tund aega. Kui võti on lukust vabastatud, saate seda kasutada keskkonna krüptimise haldamiseks.
- Te ei saa luua uut ega üles laadida olemasolevat võtit, kuni kõik keskkonnad on lukust vabastatud.
Krüptovõtme lukustusest vabastamine
- Logige halduskeskusesse Power Platform sisseadministraatorina (Dynamics 365 administraatorina või Microsoft Power Platform administraatorina).
- Valige vahekaart Keskkonnad ja seejärel valige suvand Krüptovõtmete haldamine.
- Valige võti, mille olek on Lukus ja seejärel valige käsuribalt käsk Vabasta võti lukustusest.
- Valige suvand Laadi üles lukustatud võti, leidke ja valige võti, mida kasutati rentniku lukustamiseks, sisestage parool ja seejärel valige käsk Vabasta lukustusest. Võti läheb olekusse Installimine. Peate ootama, kuni võti on olekus Aktiivne, enne kui saate lukustatud keskkondi lukustusest vabastada.
- Keskkonna lukustusest vabastamise kohta vaadake järgmisest jaotisest.
Keskkondade lukustusest vabastamine
Valige vahekaart Keskkonnad ja seejärel valige lukustatud keskkonna nimi.
Jootraha
Ärge valige rida. Valige keskkonna nimi.
Valige jaotisest Üksikasjad käsk Kuva kõik, et kuvada paremal pool paneeli Üksikasjad.
Valige paani Üksikasjad jaotises Keskkonna krüptimine käsk Halda.
Valige lehelt Keskkonna krüptimine käsk Vabasta lukustusest.
Valige käsk Kinnita, et kinnitada, et soovite keskkonda lukustusest vabastada.
Teiste keskkondade lukustusest vabastamiseks korrake eelnevaid etappe.
Keskkonna andmebaasi toimingud
Kliendi rentnikul võivad olla keskkonnad, mis on krüptitud hallatava võtme abil Microsoft , ja keskkonnad, mis on krüptitud kliendi hallatava võtmega. Andmete terviklikkuse ja andmekaitse tagamiseks on keskkonna andmebaasi toimingute haldamisel saadaval järgmised juhtelemendid.
Taasta ülekirjutatav keskkond (taastatud keskkonda) on piiratud sama keskkonnaga, kust varukoopia võeti, või teise keskkonda, mis on krüptitud sama kliendi hallatava võtmega.
Kopeeri Ülekirjutatav keskkond (kopeeritud keskkonda) on piiratud teise keskkonnaga, mis on krüptitud sama kliendi hallatava võtmega.
Märkus.
Kui kliendi hallatava keskkonna tugiteenuse probleemi lahendamiseks loodi toeuuringu keskkond, tuleb toeuuringu keskkonna krüptovõti muuta kliendi hallatavaks enne, kui keskkonna kopeerimise toimingut võib sooritada.
Lähtesta Keskkonna krüptitud andmed kustutatakse koos varukoopiatega. Pärast keskkonna lähtestamist ennistama keskkonna krüptimine tagasi hallatavale Microsoft võtmele.