Asiakkaan hallitsema ympäristön salausavain

Asiakkailla on tietosuoja- ja vaatimustenmukaisuusvaatimuksia tietojen suojaamiseksi salaamalla levossa säilytettävät tiedot. Tämä suojaa tiedot altistumiselta, jos tietokannasta varastetaan kopio. Kun tiedot salataan levossa, varastetun tietokannan tiedot on suojattu palauttamiselta eri palvelimelle ilman salausavainta.

Kaikki Power Platformiin tallennetut tiedot salataan oletusarvoisesti levossa vahvoilla Microsoftin hallitsemilla salausavaimilla. Microsoft tallentaa ja hallitsee kaikkien tietojesi tietokannan salausavaimia, joten sinun ei tarvitse huolehtia siitä. Power Platform kuitenkin tarjoaa tämän asiakkaan hallitseman salausavaimen (CMK) lisättyä tietosuojan hallintaa varten. Voit hallita itse tietokannan salausavainta, joka on liitetty Microsoft Dataverse -ympäristöösi. Tällöin voit kierrättää tai vaihtaa salausavainta tarvittaessa ja voit myös milloin tahansa estää Microsoftin pääsyn asiakastietoihisi perumalla pääsyn palveluihimme avaimella.

Saat lisätietoja asiakkaan hallitsemasta avaimesta Power Platformissa katsomalla asiakkaan hallitsemaa avainta koskevan videon.

Nämä salausavaintoiminnot ovat käytettävissä asiakkaan hallitsemassa avaimessa (CMK):

  • Luo RSA (RSA-HSM) -avain Azure-avainsäilössäsi.
  • Luo avaimelle Power Platform -yrityskäytäntö.
  • Anna Power Platformin yrityskäytännölle oikeudet käyttää avainsäilöäsi.
  • Anna Power Platformin palvelujärjestelmänvalvojalle oikeus lukea yrityskäytäntö.
  • Sovella salausavainta ympäristöösi.
  • Palauta/poista ympäristön CMK-salaus Microsoftin hallitsemalle avaimelle.
  • Muuta avainta luomalla uusi yrityskäytäntö poistaen ympäristön CMK:sta ja ota CMK sitten uudestaan käyttöön uudella yrityskäytännöllä.
  • Lukitse CMK-ympäristöjä perumalla CMK Key Vault ja/tai avaimen käyttöoikeuksia.
  • Siirrä omien avainten (BYOK) ympäristöjä CMK:hon käyttämällä CMK-avainta.

Tällä hetkellä kaikki asiakastietosi, jotka on tallennettu ainoastaan seuraaviin sovelluksiin ja palveluihin voidaan salata asiakkaan hallitsemalla avaimella:

  • Dataverse (mukautetut ratkaisut ja Microsoft-palvelut)
  • Power Automate1
  • Dynamics 365 -keskustelu
  • Dynamics 365 Sales
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Finance (Finance ja Operations)
  • Dynamics 365 Intelligent Order Management (Finance ja Operations)
  • Dynamics 365 Project Operations (Finance ja Operations)
  • Dynamics 365 Supply Chain Management (Finance ja Operations)
  • Dynamics 365 Fraud Protection (Finance ja Operations)

1 Kun käytät asiakkaan hallitsemaa avainta ympäristöön, jossa on jo Power Automate -työnkulkuja, työntekijöiden tietojen salaus jatkuu Microsoftin hallitsemalla avaimella. Lisätietoja: Power Automaten asiakkaan hallitsema avain.

Muistiinpano

Nuance Conversational IVR on jätetty asiakkaan hallinnoiman avaimen salauksen ulkopuolelle.

Power Apps ja Power Virtual Agent tallentavat tietonsa omiin säilöihinsä ja Microsoft Dataverseen. Kun käytät asiakkaan hallitsemaa avainta näissä ympäristöissä, vain Microsoft Dataversen tietosäilöt salataan avaimellasi. Muut kuin Microsoft Dataverse -tiedot, mukaan lukien Power Apps -lähdekoodi ja pohjaan perustuvien sovellusten kuvakkeet, salataan edelleen Microsoftin hallitsemalla avaimella.

Muistiinpano

Yhteysasetukset salataan edelleen Microsoftin hallitsemalla avaimella.

Pyydä edustajalta lisätietoja asiakkaan hallitsemien avainten tuesta sellaisten palvelujen osalta, joita ei mainita yllä.

Myös ympäristöt, joissa on talous- ja toimintasovelluksia ja joissa Power Platform -integrointi on käytössä, voidaan salata. Talous- ja toimintasovellukset, joissa ei ole Power Platform -integraatiota, jatkavat oletusarvoisen Microsoftin hallitseman avaimen käyttöä tietojen salaukseen. Lisätietoja: Salaus talous- ja toimintosovelluksissa

Asiakkaan hallitsema salausavain Power Platformissa

Johdanto asiakkaan hallitsemaan avaimeen

Asiakkaan hallitseman avaimen avulla järjestelmänvalvojat voivat tarjota oman salausavaimensa omasta Azure Key Vaultistaan Power Platform-tallennuspalveluihin salatakseen asiakastietonsa. Microsoftilla ei ole suoraa pääsyä sinun Azure Key Vaultiisi. Jotta Power Platform -palvelut voisivat käyttää salausavainta Azure Key Vaultista, järjestelmänvalvoja luo Power Platform -yrityskäytännön, joka viittaa salausavaimeen ja myöntää tämän yrityskäytäntöoikeuden lukea avaimen Azure Key Vaultista.

Power Platform -palvelun järjestelmänvalvoja voi sitten lisätä Dataverse-ympäristöjä yrityskäytäntöön aloittaakseen kaikkien asiakastietojen salauksen ympäristössä sinun salausavaimellasi. Järjestelmänvalvojat voivat vaihtaa ympäristön salausavainta luomalla uuden yrityskäytännön ja lisäämällä ympäristön (sen poistamisen jälkeen) uuteen yrityskäytäntöön. Jos ympäristöä ei enää tarvitse salata asiakkaan hallitsemalla avaimellasi, järjestelmänvalvoja voi poistaa Dataverse-ympäristön yrityskäytännöstä palauttaakseen tietojen salauksen toimimaan Microsoftin hallitsemalla avaimella.

Järjestelmänvalvoja voi lukita asiakkaan hallitsemien avainten ympäristöt perumalla avaimen käyttöoikeuden yrityskäytännöllä ja poistaa ympäristöjen lukitukset palauttamalla avaimen käyttöoikeuden. Lisätietoja: Lukitse ympäristöt kumoamalla avainsäilön ja/tai avaimen käyttöoikeudet

Voit yksinkertaistaa avainten hallintatehtäviä, kun tehtävät jaotellaan seuraaviin kolmeen pääalueeseen:

  1. Luo salausavain.
  2. Luo yrityskäytäntö ja myönnä käyttöoikeus.
  3. Hallitse ympäristön salausta.

Varoitus

Kun ympäristöt on lukittu, kukaan ei voi käyttää niitä, ei myöskään Microsoftin tukipalvelu. Lukitut ympäristöt poistetaan käytöstä ja tietoja voidaan menettää.

Asiakkaan hallitun avaimen käyttöoikeusvaatimukset

Asiakkaan hallittu avainkäytäntö pakotetaan vain ympäristöissä, jotka on aktivoitu hallituissa ympäristöissä. Hallitut ympäristöt sisältyvät itsenäisinä Power Apps-, Power Automate-, Power Virtual Agents-, Power Pages- ja Dynamics 365 -käyttöoikeuksina, jotka antavat premium-käyttöoikeudet. Lue lisää hallinnoidun ympäristön käyttöoikeuksistaMicrosoft Power Platformin lisensoinnin yleiskatsauksessa.

Lisäksi Microsoft Power Platformin asiakashallitun avaimen ja Dynamics 365:n käyttö edellyttää, että käyttäjät ovat ympäristössä, jossa salausavainkäytäntö on pakotettu käyttämään yhtä seuraavista tilauksista:

  • Microsoft 365 tai Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Compliance
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 A5/E5/F5/G5 Information Protection ja hallinto
  • Microsoft 365 A5/E5/F5/G5 – rajatun yleisön riskinhallinta

Lue lisätietoja näistä käyttöoikeuksista

Avaimen hallintaan liittyvien mahdollisten riskien tiedostaminen

Muiden liiketoiminnan kannalta keskeisten sovellusten tavoin henkilöiden, joilla on järjestelmänvalvojatason käyttöoikeudet, on oltava luotettavia. Sinun on tiedostettava ennen avainten hallintatoiminnon käyttöä, mitä riskejä tietokannan salausavaimien hallintaan liittyy. On mahdollista, että organisaatiossa työskentelevä pahantahtoinen järjestelmänvalvoja (henkilö, jolle on myönnetty tai joka on saanut järjestelmänvalvojatason oikeudet ja jonka aikomuksena on vahingoittaa organisaation tietoturvaa tai liiketoimintaprosesseja) voi luoda avainten hallintotoiminnolla avaimen ja lukita sillä vuokraajalla olevat ympäristösi.

Mieti seuraavaa tapahtumasarjaa.

Vilpillinen avainsäilön järjestelmänvalvoja luo avaimen ja yrityskäytännön Azure-portaalissa. Azure Key Vaultin järjestelmänvalvoja siirtyy Power Platformin hallintakeskukseen ja lisää ympäristöjä yrityskäytäntöön. Tämän jälkeen vilpillinen järjestelmänvalvoja palaa Azure-portaaliin ja peruu avaimen käyttöoikeudet yrityskäytäntöön ja lukitsee siten kaikki ympäristöt. Tämä aiheuttaa häiriöitä liiketoiminnalle, koska mitään ympäristöjä ei voida käyttää. Jos tätä tapahtumaa ei ratkaista eli avaimella pääsyä palauteta, ympäristötiedot saatetaan menettää.

Huomautus

  • Azure Key Vaultissa on sisäisiä suojatoimintoja, jotka auttavat avaimen palauttamisessa. Ne edellyttävät, että avainsäilön asetukset Pehmeä poisto ja Tyhjennyssuojaus ovat käytössä.
  • Toinen harkittava suojatoiminto on varmistaa, että sellaiset tehtävät, joissa Azure Key Vaultin järjestelmänvalvojalle ei myönnetä käyttöoikeuksia Power Platform -hallintakeskukseen, pidetään erillään.

Velvollisuuksien erottelu riskin vähentämiseksi

Tässä osassa kuvataan asiakkaan hallitseman avaimen ominaisuuden velvollisuudet, joista kukin järjestelmänvalvojan rooli vastaa. Näiden tehtävien erotteleminen auttaa pienentämään asiakkaan hallitsemiin avaimiin liittyviä riskejä.

Azure Key Vaultin ja Power Platformin / Dynamics 365:n palvelujärjestelmänvalvojien tehtävät

Ottaakseen asiakkaan hallitsemat avaimet käyttöön avainsäilön järjestelmänvalvoja luo ensin avaimen Azure Key Vaultissa ja luo Power Platform -yrityskäytännön. Kun yrityskäytäntö luodaan, luodaan erityinen Microsoft Entra ID:n hallitsema identiteetti. Seuraavaksi avainsäilön järjestelmänvalvoja palaa Azure Key Vaultiin ja myöntää yrityskäytännölle / hallituille tunnistetiedoille käyttöoikeudet salausavaimeen.

Tämän jälkeen avainsäilön järjestelmänvalvoja myöntää kulloisellekin Power Platformin / Dynamics 365:n palvelujärjestelmänvalvojalle lukuoikeuden yrityskäytäntöön. Kun lukuoikeus on myönnetty, Power Platformin / Dynamics 365:n palvelujärjestelmänvalvoja voi siirtyä Power Platform -hallintakeskukseen ja lisätä ympäristöjä yrityskäytäntöön. Kaikkien lisättyjen ympäristöjen asiakastiedot salataan sitten tähän yrityskäytäntöön yhdistetyllä asiakkaan hallitsemalla avaimella.

edellytykset
  • Azure-tilaus, joka sisältää Azure Key Vaultin tai hallitun Azure Key Vault -laitteistosuojausmoduulit (esiversio).
  • Yleinen vuokraajajärjestelmänvalvoja tai Microsoft Entra ID, jossa on osallistujakäyttöoikeus Microsoft Entra -tilaukseen ja oikeudet luoda Azure Key Vault ja avain. Tämä vaaditaan avainsäilön määrittämistä varten.
Avaimen luominen ja käyttöoikeuden myöntäminen Azure Key Vaultin avulla

Azure Key Vaultin järjestelmänvalvoja suorittaa nämä tehtävät Azuressa.

  1. Luo maksettu Azure-tilaus ja Key Vault. Ohita tämä vaihe, jos sinulla on jo tilaus, joka sisältää Azure Key Vaultin.
  2. Siirry Azure Key Vault -palveluun ja luo avain. Lisäteitoja: Luo avain Key Vaultissa
  3. Ota Power Platformin yrityskäytäntöpalvelu käyttöön Azure-tilauksellesi. Tee tämä vain kerran. Lisätietoja: Ota Power Platformin yrityskäytäntöpalvelu käyttöön Azure-tilauksellesi
  4. Luo Power Platformin yrityskäytäntö. Lisätietoja: Luo yrityskäytäntö
  5. Myönnä yrityskäytännön käyttöoikeudet avainsäilön käyttöä varten. Lisätietoja: Myönnä yrityskäytännön käyttöoikeudet avainsäilön käyttöä varten
  6. Myönnä Power Platformin ja Dynamics 365:n järjestelmänvalvojan käyttöoikeudet yrityskäytännön lukemista varten. Lisätietoja: Myönnä Power Platformin järjestelmänvalvojan oikeus yrityskäytännön lukemista varten

Power Platformin / Dynamics 365:n palvelujärjestelmänvalvojan Power Platform -hallintakeskustehtävät

Edellytys
  • Power Platformin järjestelmänvalvojalle on määritettävä joko Power Platformin tai Dynamics 365:n palvelujärjestelmänvalvojan Microsoft Entra -rooli.
Ympäristön salauksen hallinta Power Platformin hallintakeskuksessa

Power Platformin järjestelmänvalvoja hallitsee ympäristöön liittyviä asiakkaan hallitsemien avainten tehtäviä Power Platformin hallintakeskuksessa.

  1. Lisää Power Platform -ympäristöt yrityskäytäntöön salataksesi tietoja asiakkaan hallitsemalla avaimella. Lisätietoja: Ympäristön lisääminen yrityskäytäntöön tietojen salausta varten
  2. Poista ympäristöjä yrityskäytännöstä palauttaaksesi salauksen Microsoftin hallitsemalle avaimelle. Lisätietoja: Poista ympäristöjä käytännöstä palataksesi Microsoftin hallitsemaan avaimeen
  3. Vaihda avainta poistamalla ympäristöjä vanhasta yrityskäytännöstä ja lisäämällä niitä uuteen yrityskäytäntöön. Lisätietoja: Salausavaimen luominen ja käyttöoikeuden myöntäminen
  4. Siirtyminen BYOK:sta. Jos käytätä aiempaa itsehallitun salausavaimen ominaisuutta, voit siirtää avaimesi asiakkaan hallitsemaan avaimeen. Lisätietoja: Oman avainympäristön siirtäminen asiakkaiden hallitsemaan avaimeen

Salausavaimen luominen ja käyttöoikeuden myöntäminen

Luo maksettu Azure-tilaus ja avainsäilö

Suorita Azuressa seuraavat toimet:

  1. Luo käytön mukaan laskutettava tai sitä vastaava Azure-tilaus. Tätä vaihetta ei tarvita, jos vuokraajalla on jo tilaus.
  2. Luo resurssiryhmä. Lisätietoja: Resurssiryhmien luominen
  3. Luo avainsäilö käyttämällä maksullista tilausta, joka sisältää pehmeän poiston ja tyhjennyssuojauksen, resurssiryhmällä, jonka loit edellisessä vaiheessa.

    Tärkeää

Avaimen luominen avainsäilössä

  1. Varmista, että edellytykset täyttyvät.

  2. Siirry Azure-portaaliin>Key Vaultiin ja etsi avainsäilö, johon haluat luoda salausavaimen.

  3. Tarkista Azure Key Vault -asetukset:

    1. Valitse Ominaisuudet kohdassa Asetukset.
    2. Määritä tai varmista Pehmeä poisto -kohdassa, että sen arvona on Pehmeä poisto on otettu käyttöön tälle Key Vaultille.
    3. Määritä tai varmista Tyhjennyssuojaus -kohdassa, että Ota tyhjennyssuojaus käyttöön (sovella pakollista säilytysaikaa poistetuille Vaulteille ja Vault-kohteille) on käytössä.
    4. Jos olet tehnyt muutoksia, valitse Tallenna.

    Tyhjennyssuojauksen käyttöönotto avainsäilössä

RSA-avainten luominen
  1. Luo tai tuo avain, jolla on seuraavat ominaisuudet:
    1. Valitse Key Vault -ominaisuussivuilla Avaimet.
    2. Valitse Muodosta/Tuo.
    3. Määritä Luo avain -ruudussa seuraavat arvot ja valitse sitten Luo.
      • Asetukset: Luo
      • Nimi: Anna avaimelle nimi
      • Avaintyyppi: RSA
      • RSA-avaimen koko: 2048

Tuo suojatut avaimet laitteiston suojausmoduuleita (HSM) varten

Voit salata Power Platform Dataverse -ympäristösi käyttämällä suojattuja avaimia laitteiston suojausmoduuleille (HSM). HSM-suojatut avaimet on tuotava avainsäilöön, jotta Enterprise-käytäntö voidaan luoda. Lisätietoja on ohjeaiheessa Tuetut HSM-moduulitTUo HSM-suojatut avaimet avainsäilöön (BYOK).

Luo avain Azure Key Vaultin hallitussa laitteiston suojausmoduulissa (esiversio)

Voit salata ympäristön tiedot salausavaimella, joka on luotu Azure Key Vaultin hallitussa laitteiston suojausmoduulissa. Näin saat FIPS 140-2 Level 3 -tuen.

RSA-HSM-avainten luominen
  1. Varmista, että edellytykset täyttyvät.

  2. Siirry Azure-portaaliin.

  3. Luo Hallittu laitteiston suojausmoduuli:

    1. Valmistele hallittu laitteiston suojausmoduuli.
    2. Aktivoi hallittu laitteiston suojausmoduuli.
  4. Ota Puhdistamisen suojaus käyttöön hallitussa laitteiston suojausmoduulissa.

  5. Myönnä Hallitun laitteiston suojausmoduulin salauksen käyttäjä -rooli henkilölle, joka loi hallitun laitteiston suojausmoduulin avainsäilön.

    1. Käytä hallittua laitteiston suojausmoduulin avainsäilöä Azure-portaalissa.
    2. Siirry kohtaan Paikallinen RBAC ja valitse + Lisää.
    3. Valitse avattavasta Rooli-luettelosta Hallitun laitteiston suojausmoduulin salauksen käyttäjä -rooli Roolien määritys -sivulla.
    4. Valitse Vaikutusalue-kohdasta Kaikki avaimet.
    5. Valitse Valitse suojausobjekti ja valitse sitten järjestelmänvalvoja Lisää pääobjekti -sivulla.
    6. Valitse Luo.
  6. Luo RSA-HSM-avain:

    • Asetukset: Luo
    • Nimi: Anna avaimelle nimi
    • Avaintyyppi: RSA-HSM
    • RSA-avaimen koko: 2048

    Muistiinpano

    Tuetut RSA-HSM-avainten koot: 2048-bittinen, 3072-bittinen, 4096-bittinen.

Voit päivittää Azure Key Vaultin verkkopalveluja ottamalla käyttöön yksityisen päätepisteen ja käyttää Key Vaultin avainta Power Platform -ympäristöjen salaamiseen.

Voit luoda joko uuden Key Vaultin ja luoda yksityisen linkin yhteyden tai luoda yksityisen linkin yhteyden olemassa olevaan Key Vaultiin ja luoda avaimen tästä Key Vaultista käytettäväksi ympäristön salaamiseen. Voit myös luoda yksityisen linkin yhteyden olemassa olevaan Key Vaultiin, kun olet jo luonut avaimen, ja käyttää sitä ympäristösi salaamiseen.

  1. Luo Azure Key Vault näillä asetuksilla:

    • Ota Tyhjennyssuoja käyttöön
    • Avaintyyppi: RSA
    • Avainkoko: 2048
  2. Kopioi Key Vaultin URL-osoite ja salausavaimen URL-osoite, jota käytetään yrityskäytännön luomiseen.

    Muistiinpano

    Kun olet lisännyt Key Vaultiisi yksityisen päätepisteen tai poistanut yleisessä käytössä olevan verkon käytöstä, et näe avainta, ellei sinulla ole asianmukaisia oikeuksia.

  3. Luo näennäisverkko.

  4. Palaa Key Vaultiisi ja lisää yksityisen päätepisteen yhteyksiä Azure Key Vaultiisi.

    Muistiinpano

    Sinun on valittava Poista julkinen käyttö käytöstä -verkkopalveluasetus ja otettava käyttöön poikkeus Salli luotettujen Microsoft-palvelujen ohittaa tämä palomuuri.

  5. Luo Power Platformin yrityskäytäntö. Lisätietoja: Luo yrityskäytäntö

  6. Myönnä yrityskäytännön käyttöoikeudet avainsäilön käyttöä varten. Lisätietoja: Myönnä yrityskäytännön käyttöoikeudet avainsäilön käyttöä varten

  7. Myönnä Power Platformin ja Dynamics 365:n järjestelmänvalvojan käyttöoikeudet yrityskäytännön lukemista varten. Lisätietoja: Myönnä Power Platformin järjestelmänvalvojan oikeus yrityskäytännön lukemista varten

  8. Power Platformin hallintakeskuksen järjestelmänvalvoja valitse salattavan ympäristön ja ottaa hallitun ympäristön käyttöön. Lisätietoja: Yrityskäytäntöön lisättävän hallitun ympäristön käyttöönotto

  9. Power Platformin hallintakeskuksen järjestelmänvalvoja lisää hallitun ympäristön yrityskäytäntöön. Lisätietoja: Ympäristön lisääminen yrityskäytäntöön tietojen salausta varten

Ota Power Platformin yrityskäytäntöpalvelu käyttöön Azure-tilauksellesi

Rekisteröi Power Platform resurssin tarjoajaksi. Tämä tehtävä tarvitsee tehdä vain kerran kullekin Azure-tilaukselle, jossa Azure-avainsäilösi sijaitsee. Tarvitset tilauksen käyttöoikeudet, jotta voit rekisteröidä resurssin palveluntarjoajan.

  1. Kirjaudu Azure-portaaliin ja siirry kohtaan Tilaus>Resurssien tarjoajat.
  2. Resurssien tarjoajat -luettelossa tee haku Microsoft.PowerPlatform ja Rekisteröi se.

Luo yrityskäytäntö

  1. Asenna PowerShell MSI. Lisätietoja: PowerShellin asentaminen Windows-, Linux- tai macOS-järjestelmään
  2. Kun PowerShell MSI on asennettu, palaa Azuressa kohtaan Ota käyttöön mukautettu malli.
  3. Valitse Luo oma malli editorissa -linkki.
  4. Kopioi JSON-malli tekstieditoriin, kuten Muistioon. Lisätietoja: Yrityskäytännön JSON-malli
  5. Korvaa JSON-mallin arvot seuraaville: EnterprisePolicyName, sijainti, jossa EnterprisePolicy on luotava, keyVaultId ja keyName. Lisätietoja: JSON-mallin kenttämääritykset
  6. Kopioi päivitetty malli tekstieditorista ja liitä se Azuren Mukautetun käyttöönotonMuokkausmalliin ja valitse Tallenna. Azure Key Vault -malli
  7. Valitse Tilaus ja Resurssiryhmä, jossa yrityskäytäntö luodaan.
  8. Valitse Tarkista + luo ja sitten Luo.

Käyttöönotto käynnistetään. Kun se on valmis, yrityskäytäntö on luotu.

Yrityskäytännön JSON-malli

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON-mallin kenttämääritykset

  • nimi. Yrityskäytännön nimi. Tämä on käytännön nimi, joka tulee näkyviin Power Platformin hallintakeskuksessa.

  • sijainti. Jokin seuraavista. Tämä on yrityskäytännön sijainti, ja sen on vastattava Dataverse-ympäristön aluetta:

    • "unitedstates"
    • "southafrica"
    • "switzerland”
    • "germany"
    • "unitedarabemirates"
    • "france"
    • "uk”
    • "japan"
    • "india"
    • "canada"
    • "southamerica"
    • "europe"
    • "asia"
    • "australia"
    • "korea"
    • "norway"
    • "singapore"
  • Kopioi nämä arvot avainsäilösi ominaisuuksista Azure-portalissa:

    • keyVaultId: Siirry kohtaan Avainsäilöt>valitse avainsäilösi >Yleiskatsaus. Valitse Essentials-kohdan vierestä JSON-näkymä. Kopioi Resurssitunnus leikepöydälle ja liitä koko sisältö JSON-malliisi.
    • keyName: Siirry kohtaan Avainsäilöt>valitse avainsäilösi >Avaimet. Paina mieleen avaimen Nimi ja kirjoita se JSON-malliisi.

Myönnä yrityskäytännön käyttöoikeudet avainsäilön käyttöä varten

Kun yrityskäytäntö on luotu, avainsäilön järjestelmänvalvoja myöntää yrityskäytännön hallituille tunnistetiedoille käyttöoikeudet salausavaimeen.

  1. Kirjaudu Azure-portaaliin ja siirry kohtaan Avainsäilöt.
  2. Valitse avainsäilö, jossa avain on määritetty yrityskäytännölle.
  3. Valitse Käyttöoikeuksien hallinta (IAM)-välilehdessä + Lisää.
  4. Valitse avattavasta luettelosta Lisää roolimääritys.
  5. Etsi Key Vaultin salauspalvelun salauskäyttäjä ja valitse se.
  6. Valitse Seuraava.
  7. Valitse + Valitse jäseniä.
  8. Hae luomaasi yrityskäytäntöä.
  9. Valitse yrityskäytäntö ja valitse sitten Valitse.
  10. Valitse Tarkista + määritä.

Muistiinpano

Yllä oleva käyttöoikeusasetus perustuu avainsäilön Azuren roolipohjaisen käyttöoikeushallinnanoikeusmalliin. Jos avainsäilöön on määritetty Säilön käyttöoikeuskäytäntö, on suositeltavaa siirtyä roolipohjaiseen malliin. Jos haluat myöntää avainsäilölle yrityskäytännön käyttöoikeudet Säilön käyttöoikeuskäytännön avulla, luo käyttöoikeuskäytäntö, valitse Hae kohdassa Avaimen hallintatoiminnot sekä Avaa avain ja Paketoi avain kohdassa Salaustoiminnot.

Myönnä Power Platformin järjestelmänvalvojan oikeus yrityskäytännön lukemista varten

Järjestelmänvalvojat, joilla on Azuren yleiset, Dynamics 365:n ja Power Platformin järjestelmänvalvojan roolit, voivat käyttää Power Platformin hallintakeskusta lisätäkseen ympäristöjä yrityskäytäntöön. Käyttääkseen yrityskäytäntöjä yleisen järjestelmänvalvojan, jolla on Azure Key Vault -käyttöoikeudet, on myönnettävä Lukija-rooli Power Platform -järjestelmänvalvojalle. Kun Lukija-rooli on myönnetty, Power Platform -järjestelmänvalvoja voi tarkastella yrityskäytäntöjä Power Platformin hallintakeskuksessa.

Huomautus

Vain Power Platformin ja Dynamics 365:n järjestelmänvalvojat, joille on myönnetty yrityskäytännön lukijarooli, voivat lisätä ympäristön käytäntöön. Muuta Power Platformin tai Dynamics 365:n järjestelmänvalvojat saattava kyetä näkemään ympäristökäytännön, mutta heillä näyttöön tulee virhe, kun he yrittävät Lisätä ympäristön käytäntöön.

Lukijaroolin myöntäminen Power Platformin järjestelmänvalvojalle

  1. Kirjaudu Azure-portaaliin.
  2. Kopioi Power Platformin tai Dynamics 365:n järjestelmänvalvojan objektitunnus. Toimi seuraavasti:
    1. Siirry Azuren Käyttäjät-alueelle.
    2. Etsi Kaikki käyttäjät -luettelosta käyttäjä, jolla on Power Platformin tai Dynamics 365:n järjestelmänvalvojan oikeudet käyttämällä hakua Hae käyttäjiä.
    3. Avaa käyttäjätietue, kopioi Yleiskatsaus-välilehdellä käyttäjän Objektitunnus. Liitä se tekstieditoriin, kuten Muistioon, myöhempää käyttöä varten.
  3. Kopioi yrityskäytännön resurssitunnus. Toimi seuraavasti:
    1. Siirry Azuressa Resource Graphin hallintaan.
    2. Syötä microsoft.powerplatform/enterprisepoliciesHaku-ruutuun ja valitse sitten resurssi microsoft.powerplatform/enterprisepolicies.
    3. Valitse komentopalkissa Suorita kysely. Näkyviin tulee luettelo kaikista Power Platform -yrityskäytännöistä.
    4. Etsi yrityskäytäntö, johon haluat myöntää käyttöoikeudet.
    5. Vieritä yrityskäytännön oikealle puolelle ja valitse Näytä tiedot.
    6. Kopioi tunnusTiedot-sivulta.
  4. Käynnistä Azure Cloud Shell ja suorita seuraava komento vaihtaen objId-arvon käyttäjän objektitunnukseen ja EP-resurssin tunnus edellisissä vaiheissa kopioituun enterprisepolicies-tunnukseen: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Hallitse ympäristön salausta

Ympäristön salauksen hallinta edellyttää seuraavaa oikeutta:

  • Aktiivinen Microsoft Entra -käyttäjä, jolla on Power Platformin tai Dynamics 365:n järjestelmänvalvojan käyttöoikeusrooli.
  • Microsoft Entra -käyttäjä, jolla on joko vuokraajan yleisen järjestelmänvalvojan tai Power Platformin tai Dynamics 365:n järjestelmänvalvojan käyttöoikeusrooli.

Avainsäilön järjestelmänvalvoja ilmoittaa Power Platformin järjestelmänvalvojalle, että salausavain ja yrityskäytäntö on luotu ja antaa yrityskäytännön Power Platformin järjestelmänvalvojalle. Power Platformin järjestelmänvalvoja lisää ympäristönsä yrityskäytäntöön asiakkaan hallitseman avaimen käyttöönottoa varten. Kun ympäristö on lisätty ja tallennettu, Dataverse käynnistää salausprosessin kaikkien ympäristötietojen määrittämistä varten ja niiden salaamiseksi asiakkaan hallitsemalla avaimella.

Yrityskäytäntöön lisättävän hallitun ympäristön käyttöönotto

  1. Kirjaudu Power Platform -hallintakeskukseen ja etsi ympäristö.
  2. Valitse ympäristö ja tarkista se ympäristöluettelosta.
  3. Valitse toimintopalkissa Ota hallitut ympäristöt käyttöön -kuvake.
  4. Valitse Ota käyttöön.

Ympäristön lisääminen yrityskäytäntöön tietojen salausta varten

Tärkeää

Ympäristö poistetaan käytöstä, kun se lisätään yrityskäytäntöön tietojen salausta varten.

  1. Kirjaudu Power Platformin hallintakeskukseen ja siirry kohtaan Käytännöt>Yrityskäytännöt.
  2. Valitse käytäntö ja valitse sitten komentopalkista Muokkaa.
  3. Valitse Lisää ympäristöjä, valitse haluamasi ympäristöt ja valitse sitten Jatka. Ympäristön lisääminen yrityskäytäntöön Power Platformin hallintakeskuksessa
  4. Valitse ensin Tallenna ja sitten Vahvista.

Tärkeää

  • Vain ympäristöt, jotka ovat samalla alueella kuin yrityskäytäntö, näytetään Lisää ympäristöjä -luettelossa.
  • Salauksen valmistuminen voi kestää enintään neljä päivää, mutta ympäristö voidaan ottaa käyttöön, ennen kuin Lisää ympäristöt -toiminto on valmis.
  • Toiminto ei ehkä ole valmis, ja jos se epäonnistuu, tiedot salataan edelleen Microsoftin hallitun avaimen avulla. Voit suorittaa Lisää ympäristöt -toiminnon uudelleen.

Muistiinpano

Voit lisätä vain ympäristöjä, jotka on otettu käyttöön hallittuina ympäristöinä. Kokeilu- ja Teams-ympäristötyyppejä ei voi lisätä yrityskäytäntöön.

Poista ympäristöjä käytännöstä palataksesi Microsoftin hallitsemaan avaimeen

Noudata seuraavia ohjeita, jos haluat palata Microsoftin hallitsemaan salausavaimeen.

Tärkeää

Ympäristö poistetaan käytöstä, kun se poistetaan yrityskäytännöstä Microsoftin hallitsemaa avainta käyttävään tietojen salaukseen palaamista varten.

  1. Kirjaudu Power Platformin hallintakeskukseen ja siirry kohtaan Käytännöt>Yrityskäytännöt.
  2. Valitse Ympäristö ja käytännöt -välilehti ja etsi ympäristö, jonka haluat poistaa asiakkaan hallitsemalta avaimelta.
  3. Valitse Kaikki käytännöt -välilehti, valitse vaiheessa 2 vahvistamasi ympäristö ja valitse sitten komentopalkista Muokkaa käytäntöä. Ympäristön poistaminen asiakkaan hallitsemalta avaimelta
  4. Valitse komentopalkista Poista ympäristö, valitse poistettava ympäristö ja valitse sitten Jatka.
  5. Valitse Tallenna.

Tärkeää

Ympäristö poistetaan käytöstä, kun se poistetaan yrityskäytännöstä, jotta tietojen salaus voidaan palauttaa Microsoftin hallitsemaan avaimeen. Älä poista avainta tai poista sitä käytöstä, poista avainsäilöä tai poista sitä käytöstä tai poista yrityskäytännön käyttöoikeuksia avainsäilöön. Avaimen ja avainsäilön käyttöoikeus on välttämätöntä tietokantapalautuksen tukemista varten. Voit poistaa yrityskäytännön oikeudet 30 päivän jälkeen.

Ympäristön salausavaimen muuttaminen uuden yrityskäytännön ja avaimen avulla

Jos haluat kierrättää salausavaintasi, luo uusi avain ja uusi yrityskäytäntö. Sitten voit muuttaa yrityskäytäntöä poistamalla ympäristöt ja lisäämällä ne sitten uuteen yrityskäytäntöön.

Muistiinpano

Uuden avainversion käyttämistä ja kiertokäytännön asettamista salausavaimen kiertämiseen tuetaan nyt.

  1. Luo Azure-portaalissa uusi avain ja uusi yrityskäytäntö. Lisätietoja: Salausvaimen luominen ja käyttöoikeuksien myöntäminen ja Yrityskäytännön luominen
  2. Kun uusi avain ja uusi yrityskäytäntö on luotu, siirry kohtaan Käytännöt>Yrityskäytännöt.
  3. Valitse Ympäristö ja käytännöt -välilehti ja etsi ympäristö, jonka haluat poistaa asiakkaan hallitsemalta avaimelta.
  4. Valitse Kaikki käytännöt -välilehti, valitse vaiheessa 2 vahvistamasi ympäristö ja valitse sitten komentopalkista Muokkaa käytäntöä. Ympäristön poistaminen asiakkaan hallitsemalta avaimelta
  5. Valitse komentopalkista Poista ympäristö, valitse poistettava ympäristö ja valitse sitten Jatka.
  6. Valitse Tallenna.
  7. Toista vaiheet 2–6, kunnes kaikki yrityskäytännön ympäristöt on poistettu.

Tärkeää

Ympäristö poistetaan käytöstä, kun se poistetaan yrityskäytännöstä, jotta tietojen salaus voidaan palauttaa Microsoftin hallitsemaan avaimeen. Älä poista avainta tai poista sitä käytöstä, poista avainsäilöä tai poista sitä käytöstä tai poista yrityskäytännön käyttöoikeuksia avainsäilöön. Avaimen ja avainsäilön käyttöoikeus on välttämätöntä tietokantapalautuksen tukemista varten. Voit poistaa yrityskäytännön oikeudet 30 päivän jälkeen.

  1. Kun kaikki ympäristöt on poistettu, siirry Power Platformin hallintakeskuksessa kohtaan Yrityskäytännöt
  2. Valitse uusi yrityskäytäntö ja valitse sitten komentopalkista Muokkaa käytäntöä.
  3. Valitse Lisää ympäristö, valitse lisättävät ympäristöt ja valitse sitten Jatka.

Tärkeää

Ympäristö poistetaan käytöstä, kun se lisätään uuteen yrityskäytäntöön.

Ympäristön salausavaimen muuttaminen uuden avainversion avulla

Voit muuttaa ympäristön salausavainta luomalla uuden avainversion. Kun luot uuden avainversion, uusi avainversio otetaan automaattisesti käyttöön. Kaikki tallennusresurssit havaitsevat uuden avainversion ja aloittavat sen käytön tietojen salaamiseen.

Kun muokkaat avainta tai avainversiota, juurisalausavaimen suojaus muuttuu, mutta tallennustilan tiedot säilyvät aina salattuna avaimella. Tietojen suojaamisen varmistaminen ei edellytä sinulta lisätoimia. Avainversion kierrättäminen ei vaikuta suorituskykyyn. Avainversion kierrättämiseen ei liity käyttökatkoa. Voi kestää 24 tuntia, ennen kuin kaikki resurssitoimittajat käyttävät uutta avainversiota taustalla. Edellistä avainversiota ei saa poistaa käytöstä, koska se on pakollinen, jotta palvelu voi käyttää sitä uudelleensalausta varten ja tietokannan palautukseen.

Jos haluat kierrättää salausavaimen luomalla uuden avainversion, toimi seuraavasti.

  1. Siirry kohtaan Azure-portaali>Avainsäilöt ja etsi avainsäilö, johon haluat luoda uuden avainversion.
  2. Siirry kohtaan Avaimet.
  3. Valitse nykyinen, käytössä oleva avain.
  4. Valitse + Uusi versio.
  5. Huomaa, että Käytössä-asetuksen oletusarvo on Kyllä, mikä tarkoittaa sitä, että uusi avainversio otetaan automaattisesti käyttöön luonnin yhteydessä.
  6. Valitse Luo.

Voit myös kierrättää salausavaimen käyttäen kierrätyskäytäntöä joko määrittämällä kierrätyskäytännön tai kierrättämällä tarpeen mukaan valitsemalla Kierrätä nyt.

Tärkeää

Uusi avainversio kierrätetään automaattisesti taustalla, eikä Power Platform -järjestelmänvalvojan tarvitse tehdä mitään toimia. On tärkeää, että edellistä avainversiota ei poisteta käytöstä tai poisteta ainakaan 28 päivän aikana, jotta tietokannan palautusta voidaan tukea. Aiemman avainversion poistaminen käytöstä tai poistaminen liian aikaisin voi siirtää ympäristösi offline-tilaan.

Salattujen ympäristöjen luettelon tarkasteleminen

  1. Kirjaudu Power Platformin hallintakeskukseen ja siirry kohtaan Käytännöt>Yrityskäytännöt.
  2. Valitse Yrityskäytännöt-sivulla Ympäristöt ja käytännöt -välilehti. Näkyviin tulee luettelo ympäristöistä, jotka on lisätty yrityskäytäntöihin.

Muistiinpano

Ympäristön tilan tai salauksen tilan tilana voi olla epäonnistunut. Lähetä tällöin tukipyyntö Microsoft Supportille.

Ympäristön tietokannan toiminnot

Asiakasvuokraajalla voi olla Microsoftin hallinnoimalla avaimella salattuja ympäristöjä ja ympäristöjä, jotka on salattu asiakkaan hallinnoimalla avaimella. Tietojen eheyden ja niiden suojaaminen edellyttää, että seuraavat ohjausobjektit ovat käytössä ympäristöjen tietokantatoimintoja hallittaessa.

  • Palauta Ympäristön korvaaminen (palauttaminen ympäristöön) on rajoitettu siihen ympäristöön, josta varmuuskopio tehtiin, tai toiseen ympäristöön, joka on salattu samalla asiakkaan hallinnoimalla avaimella.

    Varmuuskopion palauttaminen

  • Kopioi Ympäristö korvaaminen (kopiointiympäristö) on rajoitettu toiseen ympäristöön, joka on salattu samalla asiakkaan hallinnoimalla avaimella.

    Ympäristön kopioiminen

    Huomautus

    Jos tuen selvitysympäristö luotiin ratkaisemaan tukiongelmia asiakkaan hallinnoimassa ympäristössä, tuen selvitysympäristön salausavain on vaihdettava asiakkaan hallinnoimaksi avaimeksi, ennen kuin Kopioi ympäristö -toiminto voidaan suorittaa.

  • Palauta alkutilaan Ympäristön salatut tiedot poistetaan varmuuskopiot mukaan lukien. Kun ympäristö on palautettu alkutilaan, ympäristön salaus palautuu takaisin Microsoftin hallinnoimaan avaimeen.

Seuraavat vaiheet

Tietoja Azure Key Vaultista