Krüptovõtme haldamine

Kõik keskkonnad Microsoft Dataverse kasutavad SQL Serveri läbipaistvat andmete krüptimist (TDE), et teostada kettale kirjutamisel andmete reaalajas krüptimist. Seda nimetatakse ka krüptimiseks puhkeolekus.

Vaikimisi salvestab ja haldab Microsoft teie keskkondade andmebaasi krüptovõtit nii, et teie ei pea seda tegema. Halduskeskuse hallatavate võtmete funktsioon Microsoft Power Platform annab administraatoritele võimaluse rentnikuga seotud Dataverse andmebaasi krüptovõtit ise hallata.

Oluline

Alates 6. jaanuarist 2026 lõpetame oma võtme (BYOK) toe. Kliente julgustatakse üle minema kliendi hallatavatele võtmetele (CMK), täiustatud lahendusele, mis pakub paremaid funktsioone, andmeallikate laiemat tuge ja paremat jõudlust. Lisateavet leiate teemadest Kliendi hallatava krüptovõtme haldamine ja Oma võtme (BYOK) keskkondade migreerimine kliendi hallatavasse võtmesse.

Krüptovõtme haldamine on rakendatav ainult Azure SQL-i keskkonna andmebaasidele. Järgmised funktsioonid ja teenused kasutavad oma andmete krüptimiseks jätkuvalt Microsofti hallatavat krüptovõtit ja neid ei saa ise hallatava krüptovõtmega krüptida.

• Kaaspiloodid ja generatiivsed tehisintellekti funktsioonid Microsoft Power Platform ja Microsoft Dynamics 365
• Dataverse’i otsing
• Elastsed lauad
• Mobiilne võrguühenduseta
• Tegevuste logi (Microsoft 365 portaal)
• Exchange (serveripoolne sünkroonimine)

Märkus.

• Microsoft peab enne funktsiooni kasutamist rentniku jaoks sisse lülitama isehallatava andmebaasi krüptovõtme funktsiooni.
• Keskkonna andmete krüptimise haldusfunktsioonide kasutamiseks tuleb keskkond luua pärast seda, kui Microsoft on ise hallatava andmebaasi krüptovõtme funktsiooni sisse lülitanud.
• Pärast funktsiooni sisselülitamist rentnikus luuakse kõik uued keskkonnad ainult Azure SQL-i salvestusruumiga. Nendel keskkondadel, olenemata sellest, kas need on krüptitud oma võtmega (BYOK) või Microsofti hallatava võtmega, on faili üleslaadimise mahu piirangud, need ei saa kasutada Azure’i Cosmos DB ja Data Lake’i teenuseid ning Dataverse otsinguindeksid on krüptitud Microsofti hallatava võtmega. Nende teenuste kasutamiseks peate migreerima kliendi hallatavale võtmele.
• Faile ja pilte , mille maht on väiksem kui 128 MB, saab kasutada, kui teie keskkond on versioon 9.2.21052.00103 või uuem.
• Enamikul olemasolevatel keskkondadel on failid ja logid, mis on salvestatud mitte-Azure’i SQL-andmebaasidesse. Neid keskkondi ei saa ise hallatavat krüptovõtit lubada. Ainult uusi keskkondi (kui olete selle programmi kasutajaks registreerunud) saab ise hallatava krüptovõtmega lubada.

Sissejuhatus võtmehaldusesse

Võtmehaldusega saavad administraatorid esitada enda krüptovõtme või neil võib olla neile loodud krüptovõti, mida kasutatakse keskkonna andmebaasi kaitsmiseks.

Võtmehalduse funktsioon toetab nii PFX-i kui ka BYOK-i krüptovõtme faile (nt riistvara turbemudelisse (HSM) salvestatud failid). Üleslaadimise krüptovõtme valiku kasutamiseks vajate nii avalikku kui ka privaatset krüptovõtit.

Võtmehalduse funktsioon lihtsustab krüptovõtme haldust, kasutades krüptovõtmete turvaliseks talletamiseks Azure’i võtmehoidlat. Azure’i võtmehoidla aitab kaitsta pilverakenduste ja -teenuste kasutatavaid krüptovõtmeid ja saladusi. Võtmehalduse funktsioon ei nõua, et teil oleks Azure’i võtmehoidla tellimus ja enamikul juhtudel pole vaja varahoidlas kasutatavatele Dataverse krüptovõtmetele juurde pääseda.

Hallatavate võtmete funktsioon võimaldab teil teha järgmisi toiminguid.

• Lubage keskkondadega seotud andmebaasi krüpteerimisvõtmete isehaldamise võimalus.

• Looge uued krüptovõtmed või laadige üles olemasolevad PFX- või BYOK-krüptovõtmefailid.

• Lukustada ja avada rentniku keskkondi.

  Hoiatus

  Kui rentnik on lukus, ei pääse keegi rentniku keskkondadele juurde. Lisateave: Rentniku lukustamine

Võtmete haldamisega seotud võimaliku ohu mõistmine

Nagu iga ärikriitilise rakenduse puhul, tuleb ka teie asutuse töötajaid, kellel on haldustaseme juurdepääs, usaldada. Enne võtmehalduse funktsiooni kasutamist peate mõistma andmebaasi krüptovõtmete haldamisega seotud ohtu. On mõeldav, et teie organisatsioonis töötav pahatahtlik administraator (isik, kellele on antud või kes on saanud administraatoritaseme juurdepääsu kavatsusega kahjustada organisatsiooni turbe- või äriprotsesse) võib kasutada hallatavate võtmete funktsiooni võtme loomiseks ja kasutada seda rentniku kõigi keskkondade lukustamiseks.

Kaaluge järgmist sündmuste jada.

Pahatahtlik administraator logib sisse Power Platformi halduskeskusesse, läheb lehele Keskkonnad ja valib Halda krüptovõtit. Pahatahtlik administraator loob seejärel uue võtme parooliga ja laadib krüptovõtme alla oma kohalikule kettale ning aktiveerib uue võtme. Nüüd on kõik keskkonna andmebaasid krüptitud uue võtmega. Seejärel lukustab pahatahtlik administraator rentniku äsja allalaaditud võtmega ja seejärel võtab või kustutab allalaaditud krüptovõtme.

Nende toimingute tulemuseks on kõigi rentniku keskkondade võrgujuurdepääsu keelamine ja kõigi andmebaasi varukoopiate taastamatuks muutmine.

Oluline

Selleks et takistada pahatahtlikul administraatoril äritegevuse segamist andmebaasi lukustamise teel, ei luba hallatud võtmete funktsioon 72 tunni jooksul pärast krüptovõtme muutmist või aktiveerimist rentniku keskkondi lukustada. See võimaldab teistel administraatoritel mis tahes volituseta võtmemuudatused kuni 72 tunni jooksul tagasi pöörata.

Krüptovõtme nõuded

Kui esitate oma krüpteerimisvõtme, peab teie võti vastama nendele Azure Key Vault'i aktsepteeritud nõuetele.

• Krüptovõtme faili vorming peab olema PFX või BYOK.
• 2048-bitine RSA.
• RSA-HSM-võtme tüüp (nõuab Microsofti tugiteenuse taotlust).
• PFX krüptovõtme failid peavad olema parooliga kaitstud.

Lisateavet HSM-kaitsega võtme loomise ja Interneti kaudu edastamise kohta leiate teemast HSM-kaitsega võtmete loomine ja edastamine Azure’i võtmehoidla jaoks. Toetatakse ainult nCipher Vendor HSM-i võtit. Enne HSM-võtme loomist minge Power Platform halduskeskusesse Krüptovõtmete>haldamise aken Uue võtme loomine, et hankida oma keskkonnapiirkonna kordustellimuse ID. Võtme loomiseks peate kopeerima ja kleepima selle kordustellimuse ID oma HSM-i. See tagab, et ainult meie Azure’i võtmehoidla saab teie faili avada.

Võtmehalduse ülesanded

Põhi haldusülesannete lihtsustamiseks on ülesanded jagatud kolme valdkonta.

• Rentniku krüptovõtme loomine või üleslaadimine
• Rentniku krüptovõtme aktiveerimine
• Keskkonna krüptimise haldamine

Administraatorid saavad kirjeldatud peamiste rentniku kaitse haldusülesannete tegemiseks kasutada Power Platform'i halduskeskust või Power Platform'i haldusmoodulit cmdlet-käske.

Rentniku krüptovõtme loomine või üleslaadimine

Kõiki krüptovõtmeid säilitatakse rakenduses Azure Key Vault ja korraga saab olla aktiivne ainult üks võti. Kuna aktiivset võtit kasutatakse kõigi rentniku keskkondade krüptimiseks, hallatakse krüptimist rentniku tasemel. Kui võti on aktiveeritud, saab seda kasutada iga individuaalse keskkonna krüptimiseks.

Selle protseduuri abil saate määrata hallatava võtme funktsiooni esimest korda keskkonna jaoks või muuta (või üle viia) juba ise hallatava rentniku krüptovõtit.

Hoiatus

Kui teete siin kirjeldatud toimingud esimest korda, lubate oma krüptovõtmeid ise hallata. Lisateave: Võtmete haldamisel tekkivate võimalike riskide mõistmine

1. Logige Power Platform halduskeskusesse sisse administraatorina (Dynamics 365 administraator või Microsoft Power Platform administraator).

2. Valige navigeerimispaanil Halda.

3. Valige paanil Haldamine Keskkonnad . Kuvatakse leht Keskkonnad .

4. Valige tööriistaribal Halda krüptovõtmeid .

5. Hallatud võtmeriski kinnitamiseks valige Kinnita .

6. Valige tööriistaribal suvand Uus võti

7. Võtme loomiseks või üleslaadimiseks täitke üksikasjad vasakpoolsel paanil.

   • Valige Piirkond. Seda suvandit kuvatakse ainult juhul, kui rentnikul on mitu piirkonda.
   • Sisestage Võtme nimi.
   • Valige järgmiste suvandite seast.
     • Uue võtme loomiseks valige suvand Loo uus (.pfx). Lisateave: Uue võtme (.pfx) genereerimine
     • Oma loodud võtme kasutamiseks valige suvand Laadi üles (.pfx või .byok). Lisateave: Laadige üles võti (.pfx või .byok)

8. Tehke valik Edasi.

Uue võtme loomine (.pfx)

1. Sisestage parool ja seejärel sisestage see kinnitamiseks uuesti.
2. Valige Loo ja seejärel valige brauseris loodud faili teatis.
3. Krüpteerimisvõtme .pfx-fail laaditakse alla teie veebibrauseri vaikekausta allalaadimisteks. Salvestage fail turvalisse asukohta (soovitame seda võtit koos selle parooliga varundada).

Võtme üleslaadimine (.pfx või .byok)

1. Valige suvand Laadi võti üles, valige .pfx- või .byok¹- file ja seejärel valige käsk Ava.
2. Sisestage võtme parool ja seejärel valige Loo.

¹ .byok-vormingus krüptovõtmete puhul veenduge, et kasutaksite tellimuse ID-d kuval näidatud viisil, kui ekspordite krüptovõtit oma kohalikust HSM-ist. Lisateave: Kuidas luua ja edastada HSM-kaitstud võtmeid Azure’i võtmehoidla jaoks

Märkus.

Administraatori jaoks võtmeprotsessi haldamiseks vajalike sammude arvu vähendamiseks aktiveeritakse võti esmakordsel üleslaadimisel automaatselt. Kõik järgnevad võtme üleslaadimised nõuavad võtme aktiveerimiseks lisatoimingut.

Rentniku krüptovõtme aktiveerimine

Kui krüptovõti on rentnikku loodud või üles laaditud, saab seda aktiveerida.

1. Logige Power Platform halduskeskusesse sisse administraatorina (Dynamics 365 administraator või Microsoft Power Platform administraator).
2. Valige navigeerimispaanil Halda.
3. Valige paanil Haldamine Keskkonnad . Kuvatakse leht Keskkonnad .
4. Valige tööriistaribal Halda krüptovõtmeid .
5. Hallatud võtmeriski kinnitamiseks valige Kinnita .
6. Valige võti, mille olek on Saadaval ja seejärel valige tööriistaribalt käsk Aktiveeri võti.
7. Võtme muudatuse kinnitamiseks valige Kinnita .

Kui aktiveerite rentniku jaoks võtme, kulub võtme haldusteenusel võtme aktiveerimiseks veidi aega. Suvandi Võtme olek olek kuvab võtit olekus Installimisel, kui uut või üleslaaditud võti aktiveeritakse.

Kui võti on aktiveeritud, juhtub järgmine.

• Kõik krüpteeritud keskkonnad krüpteeritakse automaatselt aktiivse võtmega (selle toiminguga ei kaasne seisakuid).
• Aktiveerimisel rakendatakse krüptovõtit kõikidele keskkondadele, mis muudetakse Microsofti pakutavast krüptovõtmest isehallatavaks võtmeks.

Oluline

Kui soovite, et sama võti haldaks kõiki keskkondi, ei saa aktiivset võtit värskendada, kui osa keskkondi on lukustatud. Enne uue võtme aktiveerimist tuleb kõik keskkonnad lukust vabastada. Kui on keskkondi, mida pole vaja lukust vabastada, tuleb need kustutada.

Märkus.

Pärast krüptovõtme aktiveerimist ei saa 24 tunni jooksul uut võtit aktiveerida.

Keskkonna krüptimise haldamine

Iga keskkonda krüptitakse vaikimisi Microsofti krüptovõtmega. Kui krüptovõti on rentniku jaoks aktiveeritud, saavad administraatorid valida, kas lasta vaikekrüptimisel kasutada aktiveeritud krüptovõtit. Aktiveeritud võtme kasutamiseks tehke järgmist.

Rakendage krüptovõti keskkonnale.

1. Logige Power Platform halduskeskusesse sisse administraatorina (Dynamics 365 administraator või Microsoft Power Platform administraator).
2. Valige navigeerimispaanil Halda.
3. Valige paanil Haldamine Keskkonnad . Kuvatakse leht Keskkonnad .
4. Avage Microsofti krüptitud keskkond.
5. Valige suvand Kuva kõik.
6. Valige jaotisest Keskkonna krüptimine käsk Halda.
7. Hallatud võtmeriski kinnitamiseks valige Kinnita .
8. Et muuta krüptimist kasutama aktiveeritud võtit, valige suvand Rakenda seda võtit.
9. Kinnitage, et haldate võtit otse ja et selle toimingu jaoks on seisakuaeg, klõpsates nupul Kinnita .

Hallatud krüptovõtme uuesti Microsoft krüptovõtme vastu vahetamine

Microsofti krüptovõtme juurde tagasiminekul konfigureeritakse keskkond tagasi vaikekäitumisele, kus Microsoft haldab krüptovõtit teie eest.

1. Logige Power Platform halduskeskusesse sisse administraatorina (Dynamics 365 administraator või Microsoft Power Platform administraator).
2. Valige navigeerimispaanil Halda.
3. Valige paanil Haldamine Keskkonnad . Kuvatakse leht Keskkonnad .
4. Valige keskkond, mis on krüptitud isehallatava võtmega.
5. Valige suvand Kuva kõik.
6. Jaotises Keskkonna krüptimine valige Haldamine ja seejärel valige Kinnita.
7. Valige jaotisest Tagasi standardse krüptimishalduse juurde käsk Tagasi.
8. Tootmiskeskkondade puhul kinnitage keskkond, sisestades keskkonna nime.
9. Standardse krüptovõtmega haldamise juurde naasmiseks valige käsk Kinnita.

Rentniku lukustamine

Kuna rentniku kohta on ainult üks aktiivne võti, siis rentniku krüptimise lukustamine keelab kõik rentnikus olevad keskkonnad . Kõik lukustatud keskkonnad jäävad kõigile juurdepääsmatuks (sh Microsoft), kuni Power Platform'i teenuse administraator avab selle lukust võtme abil, mida kasutati selle lukustamiseks.

Hoiatus

Rentniku keskkondade lukustamine ei tohiks kunagi olla tavapärase äriprotsessi osa. Üürniku lukustamisel võetakse kõik keskkonnad võrguühenduseta režiimi ja keegi, sealhulgas Microsoft, ei pääse neile juurde. Dataverse Lisaks seisatatakse kõik teenused, nagu sünkroonimine ja hooldus. Kui otsustate teenusest lahkuda, võite rentniku lukustamisega kindlustada, et võrgus olevatele andmetele ei pääse keegi kunagi ligi.

Võtke arvesse järgmist rentniku keskkondade lukustamise kohta.

• Lukustatud keskkondi ei saa varundusest taastada.
• Lukustatud keskkonnad kustutatakse, kui neid ei vabastata lukustusest 28 päeva jooksul.
• Keskkondi ei saa lukustada 72 tunni jooksul pärast krüptovõtme muutmist.
• Rentniku lukustamine lukustab kõik aktiivsed keskkonnad rentnikus.

Oluline

• Pärast aktiivse keskkonna lukustamist peate ootama vähemalt ühe tunni, enne kui saate seda lukust vabastada.
• Kui lukustusprotsess algab, kustutatakse kõik krüptovõtmed kas olekuga aktiivne või saadaval. Lukustusprotsess võib võtta kuni tunni ja selle aja jooksul pole lukustatud keskkondade avamine lubatud.

1. Logige Power Platform halduskeskusesse sisse administraatorina (Dynamics 365 administraator või Microsoft Power Platform administraator).
2. Valige navigeerimispaanil Halda.
3. Valige paanil Haldamine Keskkonnad . Kuvatakse leht Keskkonnad .
4. Valige tööriistaribal Halda krüptovõtmeid .
5. Valige võti olekuga Aktiivne ja seejärel valige suvand Lukusta aktiivsed keskkonnad.
6. Valige parempoolselt paanilt suvand Aktiivse võtme üleslaadimine, otsige ja valige võti, sisestage parool ja seejärel valige käsk Lukusta.
7. Kui kuvatakse viip, sisestage tekst, mida kuvatakse kuvaril, et kinnitada, et soovite lukustada kõik piirkonna keskkonnad, ja seejärel valige käsk Kinnita.

Lukustatud keskkondade lukust vabastamine

Keskkondade avamiseks peate esmalt üles laadima ja seejärel aktiveerima rentniku krüptovõtme sama võtmega, mida kasutati rentniku lukustamiseks. Lukustatud keskkondi ei avata pärast võtme aktiveerimist automaatselt. Iga lukustatud keskkond tuleb eraldi lukustusest vabastada.

Oluline

• Pärast aktiivse keskkonna lukustamist peate ootama vähemalt ühe tunni, enne kui saate seda lukust vabastada.
• Lukustusest vabastamise protsess võib kesta kuni tund aega. Kui võti on lukust vabastatud, saate seda kasutada keskkonna krüptimise haldamiseks.
• Te ei saa luua uut ega üles laadida olemasolevat võtit, kuni kõik keskkonnad on lukust vabastatud.

Krüptovõtme lukustusest vabastamine

1. Logige Power Platform halduskeskusesse sisse administraatorina (Dynamics 365 administraator või Microsoft Power Platform administraator).

2. Valige navigeerimispaanil Halda.

3. Valige paanil Haldamine Keskkonnad . Kuvatakse leht Keskkonnad .

4. Valige tööriistaribal Halda krüptovõtmeid .

5. Valige võti, mille olek on Lukus ja seejärel valige käsuribalt käsk Vabasta võti lukustusest.

6. Valige suvand Laadi üles lukustatud võti, leidke ja valige võti, mida kasutati rentniku lukustamiseks, sisestage parool ja seejärel valige käsk Vabasta lukustusest.

   Võti läheb olekusse Installimine. Peate ootama, kuni võti on olekus Aktiivne, enne kui saate lukustatud keskkondi lukustusest vabastada.

7. Keskkonna lukustusest vabastamise kohta vaadake järgmisest jaotisest.

Keskkondade lukustusest vabastamine

1. Minge lehele Keskkonnad ja seejärel valige lukustatud keskkonna nimi.

   Jootraha

   Ärge valige rida. Valige keskkonna nimi.

2. Valige jaotisest Üksikasjad käsk Kuva kõik, et kuvada paremal pool paneeli Üksikasjad.

3. Valige paanil Üksikasjad jaotises Keskkond krüptimine käsk Haldamine.

4. Lehel Keskkonna krüptimine valige Ava.

5. Valige käsk Kinnita, et kinnitada, et soovite keskkonda lukustusest vabastada.

6. Teiste keskkondade avamiseks korrake eelnevaid samme.

Keskkonna andmebaasi toimingud

Kliendi rentnikul võib olla keskkondi, mis on krüptitud Microsofti hallatava võtmega ja keskkondi, mis on krüptitud kliendi hallatava võtmega. Andmete terviklikkuse ja andmekaitse tagamiseks on keskkonna andmebaasi toimingute haldamisel saadaval järgmised juhtelemendid.

1. Taasta

   Ülekirjutatav keskkond (taastatud keskkond) on piiratud sama keskkonnaga, kust varukoopia tehti, või teise keskkonnaga, mis on krüptitud sama kliendi hallatava võtmega. Lisaks ei saa Microsofti hallatava võtmega keskkonna krüptimisel tehtud varasemat varukoopiat taastada keskkonda, mis on praegu kliendi hallatava võtmega krüpteeritud. Teisisõnu on varukoopia taastamine keskkonda lubatud, kui praegune keskkonna krüptimisolek (kas Microsofti hallatav võti või kliendi hallatav võti) vastab keskkonna krüptimisolekule varukoopia tegemise ajal.

2. Kopeeri

   Ülekirjutatav keskkond (kopeeritud keskkond) on piiratud teise keskkonnaga, mis on krüptitud sama kliendi hallatava võtmega.

   Märkus.

   Kui kliendi hallatavas keskkonnas loodi tugiprobleemi lahendamiseks tugiteenuse uurimise keskkond, tuleb tugiteenuse uurimise keskkonna krüptovõti enne keskkonna kopeerimise toimingu teostamist muuta kliendi hallatavaks võtmeks.

3. Lähtesta

   Keskkonna krüptitud andmed kustutatakse, sealhulgas varukoopiad. Pärast keskkonna lähtestamist naaseb keskkonna krüptimine Microsofti hallatava võtme juurde.

Seotud sisu

SQL Server: läbipaistev andmete krüptimine (TDE)