Asiakkaan hallitsema ympäristön salausavain

Asiakkailla on tietosuoja- ja vaatimustenmukaisuusvaatimuksia tietojen suojaamiseksi salaamalla levossa säilytettävät tiedot. Tämä suojaa tiedot altistumiselta, jos tietokannasta varastetaan kopio. Kun tiedot salataan levossa, varastetun tietokannan tiedot on suojattu palauttamiselta eri palvelimelle ilman salausavainta.

Kaikki Power Platformiin tallennetut tiedot salataan oletusarvoisesti levossa vahvoilla Microsoftin hallitsemilla salausavaimilla. Microsoft tallentaa ja hallitsee kaikkien tietojesi tietokannan salausavaimia, joten sinun ei tarvitse huolehtia siitä. Power Platform kuitenkin tarjoaa tämän asiakkaan hallitseman salausavaimen (CMK) lisättyä tietosuojan hallintaa varten. Voit hallita itse tietokannan salausavainta, joka on liitetty Microsoft Dataverse -ympäristöösi. Tällöin voit kierrättää tai vaihtaa salausavainta tarvittaessa ja voit myös milloin tahansa estää Microsoftin pääsyn asiakastietoihisi perumalla pääsyn palveluihimme avaimella.

Saat lisätietoja asiakkaan hallitsemasta avaimesta Power Platformissa katsomalla asiakkaan hallitsemaa avainta koskevan videon.

Nämä salausavaintoiminnot ovat käytettävissä asiakkaan hallitsemassa avaimessa (CMK):

• Luo RSA (RSA-HSM) -avain Azure Key vaultista.
• Luo avaimelle Power Platform -yrityskäytäntö.
• Anna Power Platformin yrityskäytännölle oikeudet käyttää avainsäilöäsi.
• Anna Power Platformin palvelujärjestelmänvalvojalle oikeus lukea yrityskäytäntö.
• Sovella salausavainta ympäristöösi.
• Palauta/poista ympäristön CMK-salaus Microsoftin hallitsemalle avaimelle.
• Muuta avainta luomalla uusi yrityskäytäntö, poistamalla ympäristö CMK:stä ja käyttämällä CMK:tä uudelleen uuden yrityskäytännön avulla.
• Lukitse CMK-ympäristöjä perumalla CMK Key Vault ja/tai avaimen käyttöoikeuksia.
• Siirrä omien avainten (BYOK) ympäristöjä CMK:hon käyttämällä CMK-avainta.

Tällä hetkellä kaikki asiakastietosi, jotka on tallennettu ainoastaan seuraaviin sovelluksiin ja palveluihin voidaan salata asiakkaan hallitsemalla avaimella:

• Dataverse (mukautetut ratkaisut ja Microsoft-palvelut)
• Dataverse Mallipohjaisten sovellusten Copilot
• Power Automate¹
• Power Apps
• Dynamics 365 -keskustelu
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Finance ja Operations)
• Dynamics 365 Intelligent Order Management (Finance ja Operations)
• Dynamics 365 Project Operations (Finance ja Operations)
• Dynamics 365 Supply Chain Management (Finance ja Operations)
• Dynamics 365 Fraud Protection (Finance ja Operations)

¹ Kun käytät asiakkaan hallitsemaa avainta ympäristöön, jossa on jo Power Automate -työnkulkuja, työntekijöiden tietojen salaus jatkuu Microsoftin hallitsemalla avaimella. Lisätietoja: Power Automaten asiakkaan hallitsema avain.

Muistiinpano

Nuance Conversational IVR- ja Tekijän tervelulosisältö jätetään pois asiakkaan hallitsemasta avaimen salauksesta.

Microsoft Copilot Studio tallentaa tietonsa omaan tallennustilaansa Microsoft Dataversessa. Kun käytät asiakkaan hallitsemaa avainta näissä ympäristöissä, vain Microsoft Dataversen tietosäilöt salataan avaimellasi. Tiedot, jotka eivät kuulu Microsoft Dataverseen, salataan edelleen Microsoftin hallinnoimalla avaimella.

Muistiinpano

Yhteysasetukset salataan edelleen Microsoftin hallitsemalla avaimella.

Pyydä edustajalta lisätietoja asiakkaan hallitsemien avainten tuesta sellaisten palvelujen osalta, joita ei mainita yllä.

Muistiinpano

Power Appsin näyttönimet, kuvaukset ja yhteyden metatiedot salataan edelleen Microsoftin hallinnoimalla avaimella.

Myös ympäristöt, joissa on talous- ja toimintasovelluksia ja joissa Power Platform -integrointi on käytössä, voidaan salata. Talous- ja toimintasovellukset, joissa ei ole Power Platform -integraatiota, jatkavat oletusarvoisen Microsoftin hallitseman avaimen käyttöä tietojen salaukseen. Lisätietoja: Salaus talous- ja toimintosovelluksissa

Johdanto asiakkaan hallitsemaan avaimeen

Asiakkaan hallitseman avaimen avulla järjestelmänvalvojat voivat tarjota oman salausavaimensa omasta Azure Key Vaultistaan Power Platform-tallennuspalveluihin salatakseen asiakastietonsa. Microsoftilla ei ole suoraa pääsyä sinun Azure Key Vaultiisi. Jotta Power Platform -palvelut voisivat käyttää salausavainta Azure Key Vaultista, järjestelmänvalvoja luo Power Platform -yrityskäytännön, joka viittaa salausavaimeen ja myöntää tämän yrityskäytäntöoikeuden lukea avaimen Azure Key Vaultista.

Power Platform -palvelun järjestelmänvalvoja voi sitten lisätä Dataverse-ympäristöjä yrityskäytäntöön aloittaakseen kaikkien asiakastietojen salauksen ympäristössä sinun salausavaimellasi. Järjestelmänvalvojat voivat vaihtaa ympäristön salausavainta luomalla uuden yrityskäytännön ja lisäämällä ympäristön (sen poistamisen jälkeen) uuteen yrityskäytäntöön. Jos ympäristöä ei enää tarvitse salata käyttäen asiakaan hallitsemaa avainta, järjestelmänvalvoja voi poistaa Dataverse-ympäristön yrityskäytännössä palauttaakseen tietojen salauksen takaisin käyttämään Microsoftin hallitsemaa avainta.

Järjestelmänvalvoja voi lukita asiakkaan hallitsemien avainten ympäristöt perumalla avaimen käyttöoikeuden yrityskäytännöllä ja poistaa ympäristöjen lukitukset palauttamalla avaimen käyttöoikeuden. Lisätietoja: Lukitse ympäristöt kumoamalla avainsäilön ja/tai avaimen käyttöoikeudet

Voit yksinkertaistaa avainten hallintatehtäviä, kun tehtävät jaotellaan seuraaviin kolmeen pääalueeseen:

1. Luo salausavain.
2. Luo yrityskäytäntö ja myönnä käyttöoikeus.
3. Hallitse ympäristön salausta.

Varoitus

Kun ympäristöt on lukittu, kukaan ei voi käyttää niitä, ei myöskään Microsoftin tukipalvelu. Lukitut ympäristöt poistetaan käytöstä ja tietoja voidaan menettää.

Asiakkaan hallitun avaimen käyttöoikeusvaatimukset

Asiakkaan hallittu avainkäytäntö pakotetaan vain ympäristöissä, jotka on aktivoitu hallituissa ympäristöissä. Hallitut ympäristöt sisältyvät itsenäisinä Power Apps-, Power Automate-, Power Virtual Agents-, Power Pages- ja Dynamics 365 -käyttöoikeuksina, jotka antavat premium-käyttöoikeudet. Lue lisää hallinnoidun ympäristön käyttöoikeuksistaMicrosoft Power Platformin lisensoinnin yleiskatsauksessa.

Lisäksi Microsoft Power Platformin asiakashallitun avaimen ja Dynamics 365:n käyttö edellyttää, että käyttäjät ovat ympäristössä, jossa salausavainkäytäntö on pakotettu käyttämään yhtä seuraavista tilauksista:

• Microsoft 365 tai Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 Compliance
• Microsoft 365 F5 Security & Compliance
• Microsoft 365 A5/E5/F5/G5 Information Protection ja hallinto
• Microsoft 365 A5/E5/F5/G5 – rajatun yleisön riskinhallinta

Lue lisätietoja näistä käyttöoikeuksista.

Avaimen hallintaan liittyvien mahdollisten riskien tiedostaminen

Muiden liiketoiminnan kannalta keskeisten sovellusten tavoin henkilöiden, joilla on järjestelmänvalvojatason käyttöoikeudet, on oltava luotettavia. Sinun on tiedostettava ennen avainten hallintatoiminnon käyttöä, mitä riskejä tietokannan salausavaimien hallintaan liittyy. On mahdollista, että organisaatiossa työskentelevä pahantahtoinen järjestelmänvalvoja (henkilö, jolle on myönnetty tai joka on saanut järjestelmänvalvojatason oikeudet ja jonka aikomuksena on vahingoittaa organisaation tietoturvaa tai liiketoimintaprosesseja) voi luoda avainten hallintotoiminnolla avaimen ja lukita sillä vuokraajalla olevat ympäristösi.

Mieti seuraavaa tapahtumasarjaa.

Vilpillinen avainsäilön järjestelmänvalvoja luo avaimen ja yrityskäytännön Azure-portaalissa. Azure Key Vaultin järjestelmänvalvoja siirtyy Power Platformin hallintakeskukseen ja lisää ympäristöjä yrityskäytäntöön. Tämän jälkeen vilpillinen järjestelmänvalvoja palaa Azure-portaaliin ja peruu avaimen käyttöoikeudet yrityskäytäntöön ja lukitsee siten kaikki ympäristöt. Tämä aiheuttaa häiriöitä liiketoiminnalle, koska mitään ympäristöjä ei voida käyttää. Jos tätä tapahtumaa ei ratkaista eli avaimella pääsyä palauteta, ympäristötiedot saatetaan menettää.

Huomautus

• Azure Key Vaultissa on sisäisiä suojatoimintoja, jotka auttavat avaimen palauttamisessa. Ne edellyttävät, että avainsäilön asetukset Pehmeä poisto ja Tyhjennyssuojaus ovat käytössä.
• Toinen harkittava suojatoiminto on varmistaa, että sellaiset tehtävät, joissa Azure Key Vaultin järjestelmänvalvojalle ei myönnetä käyttöoikeuksia Power Platform -hallintakeskukseen, pidetään erillään.

Velvollisuuksien erottelu riskin vähentämiseksi

Tässä osassa kuvataan asiakkaan hallitseman avaimen ominaisuuden velvollisuudet, joista kukin järjestelmänvalvojan rooli vastaa. Näiden tehtävien erotteleminen auttaa pienentämään asiakkaan hallitsemiin avaimiin liittyviä riskejä.

Azure Key Vaultin ja Power Platformin / Dynamics 365:n palvelujärjestelmänvalvojien tehtävät

Ottaakseen asiakkaan hallitsemat avaimet käyttöön avainsäilön järjestelmänvalvoja luo ensin avaimen Azure Key Vaultissa ja luo Power Platform -yrityskäytännön. Kun yrityskäytäntö luodaan, luodaan erityinen Microsoft Entra ID:n hallitsema identiteetti. Seuraavaksi avainsäilön järjestelmänvalvoja palaa Azure Key Vaultiin ja myöntää yrityskäytännölle / hallituille tunnistetiedoille käyttöoikeudet salausavaimeen.

Tämän jälkeen avainsäilön järjestelmänvalvoja myöntää kulloisellekin Power Platformin / Dynamics 365:n palvelujärjestelmänvalvojalle lukuoikeuden yrityskäytäntöön. Kun lukuoikeus on myönnetty, Power Platformin / Dynamics 365:n palvelujärjestelmänvalvoja voi siirtyä Power Platform -hallintakeskukseen ja lisätä ympäristöjä yrityskäytäntöön. Kaikkien lisättyjen ympäristöjen asiakastiedot salataan sitten tähän yrityskäytäntöön yhdistetyllä asiakkaan hallitsemalla avaimella.

edellytykset

• Azure-tilaus, joka sisältää Azure Key Vaultin tai Azure Key Vaultin hallitut laitteiston suojausmoduulit.
• Yleinen vuokraajan järjestelmänvalvoja tai Microsoft Entra ID, jossa on:
  • Osallistujaoikeudet Microsoft Entra -tilaukseen.
  • Azure Key Vaultin ja avaimen luontioikeus.
  • Käyttöoikeus resurssiryhmän luomiseksi. Tämä vaaditaan avainsäilön määrittämistä varten.

Avaimen luominen ja käyttöoikeuden myöntäminen Azure Key Vaultin avulla

Azure Key Vaultin järjestelmänvalvoja suorittaa nämä tehtävät Azuressa.

1. Luo maksettu Azure-tilaus ja Key Vault. Ohita tämä vaihe, jos sinulla on jo tilaus, joka sisältää Azure Key Vaultin.
2. Siirry Azure Key Vault -palveluun ja luo avain. Lisäteitoja: Luo avain Key Vaultissa
3. Ota Power Platformin yrityskäytäntöpalvelu käyttöön Azure-tilauksellesi. Tee tämä vain kerran. Lisätietoja: Ota Power Platformin yrityskäytäntöpalvelu käyttöön Azure-tilauksellesi
4. Luo Power Platformin yrityskäytäntö. Lisätietoja: Luo yrityskäytäntö
5. Myönnä yrityskäytännön käyttöoikeudet avainsäilön käyttöä varten. Lisätietoja: Myönnä yrityskäytännön käyttöoikeudet avainsäilön käyttöä varten
6. Myönnä Power Platformin ja Dynamics 365:n järjestelmänvalvojan käyttöoikeudet yrityskäytännön lukemista varten. Lisätietoja: Myönnä Power Platformin järjestelmänvalvojan oikeus yrityskäytännön lukemista varten

Power Platformin / Dynamics 365:n palvelujärjestelmänvalvojan Power Platform -hallintakeskustehtävät

Edellytys

• Power Platformin järjestelmänvalvojalle on määritettävä joko Power Platformin tai Dynamics 365:n palvelujärjestelmänvalvojan Microsoft Entra -rooli.

Ympäristön salauksen hallinta Power Platformin hallintakeskuksessa

Power Platformin järjestelmänvalvoja hallitsee ympäristöön liittyviä asiakkaan hallitsemien avainten tehtäviä Power Platformin hallintakeskuksessa.

1. Lisää Power Platform -ympäristöt yrityskäytäntöön salataksesi tietoja asiakkaan hallitsemalla avaimella. Lisätietoja: Ympäristön lisääminen yrityskäytäntöön tietojen salausta varten
2. Poista ympäristöjä yrityskäytännöstä palauttaaksesi salauksen Microsoftin hallitsemalle avaimelle. Lisätietoja: Poista ympäristöjä käytännöstä palataksesi Microsoftin hallitsemaan avaimeen
3. Vaihda avainta poistamalla ympäristöjä vanhasta yrityskäytännöstä ja lisäämällä niitä uuteen yrityskäytäntöön. Lisätietoja: Salausavaimen luominen ja käyttöoikeuden myöntäminen
4. Siirtyminen BYOK:sta. Jos käytät aiempaa itse hallittua salausavainominaisuutta, voit siirtää avaimen asiakkaan hallitsemaan avaimeen. Lisätietoja: Oman avainympäristön siirtäminen asiakkaiden hallitsemaan avaimeen

Salausavaimen luominen ja käyttöoikeuden myöntäminen

Luo maksettu Azure-tilaus ja avainsäilö

Suorita Azuressa seuraavat toimet:

1. Luo käytön mukaan laskutettava tai sitä vastaava Azure-tilaus. Tätä vaihetta ei tarvita, jos vuokraajalla on jo tilaus.

2. Luo resurssiryhmä. Lisätietoja: Resurssiryhmien luominen

   Muistiinpano

   Voit luoda tai käyttää resurssiryhmää, jonka sijainti on esimerkiksi Keskinen Yhdysvallat, ja joka vastaa Power Platform -ympäristön aluetta (esimerkiksi Yhdysvallat).

3. Luo avainsäilö käyttämällä maksullista tilausta, joka sisältää pehmeän poiston ja tyhjennyssuojauksen, resurssiryhmällä, jonka loit edellisessä vaiheessa.

   Tärkeää

   • Jos avainsäilössä ovat käytössä pehmeä poisto ja tyhjennyssuojaus, ympäristösi on suojattu salausavaimen tahattomalta poistolta. Et voi salata ympäristöäsi omalla avaimella ottamatta käyttöön näitä asetuksia. Lisätietoja: Azure Key Vaultin pehmeän poiston yleiskatsaus Lisätietoja: Luo avainsäilö käyttämällä Azure-portaalia

Avaimen luominen avainsäilössä

1. Varmista, että edellytykset täyttyvät.

2. Siirry Azure-portaaliin>Key Vaultiin ja etsi avainsäilö, johon haluat luoda salausavaimen.

3. Tarkista Azure Key Vault -asetukset:

   1. Valitse Ominaisuudet kohdassa Asetukset.
   2. Määritä tai varmista Pehmeä poisto -kohdassa, että sen arvona on Pehmeä poisto on otettu käyttöön tälle Key Vaultille.
   3. Määritä tai varmista Tyhjennyssuojaus -kohdassa, että Ota tyhjennyssuojaus käyttöön (sovella pakollista säilytysaikaa poistetuille Vaulteille ja Vault-kohteille) on käytössä.
   4. Jos olet tehnyt muutoksia, valitse Tallenna.

   

RSA-avainten luominen

1. Luo tai tuo avain, jolla on seuraavat ominaisuudet:
   1. Valitse Key Vault -ominaisuussivuilla Avaimet.
   2. Valitse Muodosta/Tuo.
   3. Määritä Luo avain -ruudussa seuraavat arvot ja valitse sitten Luo.
      • Asetukset: Luo
      • Nimi: Anna avaimelle nimi
      • Avaintyyppi: RSA
      • RSA-avaimen koko: 2048

Tuo suojatut avaimet laitteiston suojausmoduuleita (HSM) varten

Voit salata Power Platform Dataverse -ympäristösi käyttämällä suojattuja avaimia laitteiston suojausmoduuleille (HSM). HSM-suojatut avaimet on tuotava avainsäilöön, jotta Enterprise-käytäntö voidaan luoda. Lisätietoja on ohjeaiheessa Tuetut HSM-moduulitTUo HSM-suojatut avaimet avainsäilöön (BYOK).

Avaimen luominen Azure Key Vaultin hallitussa laitteen suojausmoduulissa (HSM)

Voit salata ympäristön tiedot salausavaimella, joka on luotu Azure Key Vaultin hallitussa laitteiston suojausmoduulissa. Näin saat FIPS 140-2 Level 3 -tuen.

RSA-HSM-avainten luominen

1. Varmista, että edellytykset täyttyvät.

2. Siirry Azure-portaaliin.

3. Luo Hallittu laitteiston suojausmoduuli:

   1. Valmistele hallittu laitteiston suojausmoduuli.
   2. Aktivoi hallittu laitteiston suojausmoduuli.

4. Ota Puhdistamisen suojaus käyttöön hallitussa laitteiston suojausmoduulissa.

5. Myönnä Hallitun laitteiston suojausmoduulin salauksen käyttäjä -rooli henkilölle, joka loi hallitun laitteiston suojausmoduulin avainsäilön.

   1. Käytä hallittua laitteiston suojausmoduulin avainsäilöä Azure-portaalissa.
   2. Siirry kohtaan Paikallinen RBAC ja valitse + Lisää.
   3. Valitse avattavasta Rooli-luettelosta Hallitun laitteiston suojausmoduulin salauksen käyttäjä -rooli Roolien määritys -sivulla.
   4. Valitse Vaikutusalue-kohdasta Kaikki avaimet.
   5. Valitse Valitse suojausobjekti ja valitse sitten järjestelmänvalvoja Lisää pääobjekti -sivulla.
   6. Valitse Luo.

6. RSA-HSM-avaimen luominen:

   • Asetukset: Luo
   • Nimi: Anna avaimelle nimi
   • Avaintyyppi: RSA-HSM
   • RSA-avaimen koko: 2048

   Muistiinpano

   Tuetut RSA-HSM-avainten koot: 2048-bittinen, 3072-bittinen, 4096-bittinen.

Ympäristön salaaminen Azure Key Vaultista peräisin olevalla avaimella yksityisen linkin kautta

Voit päivittää Azure Key Vaultin verkkopalveluja ottamalla käyttöön yksityisen päätepisteen ja käyttää Key Vaultin avainta Power Platform -ympäristöjen salaamiseen.

Voit luoda joko uuden Key Vaultin ja luoda yksityisen linkin yhteyden tai luoda yksityisen linkin yhteyden olemassa olevaan Key Vaultiin ja luoda avaimen tästä Key Vaultista käytettäväksi ympäristön salaamiseen. Voit myös luoda yksityisen linkin yhteyden olemassa olevaan Key Vaultiin, kun olet jo luonut avaimen, ja käyttää sitä ympäristösi salaamiseen.

Tietojen salaaminen yksityisellä linkillä käyttäen Key Vaultista peräisin olevaa avainta

1. Luo Azure Key Vault näillä asetuksilla:

   • Ota Tyhjennyssuoja käyttöön
   • Avaintyyppi: RSA
   • Avainkoko: 2048

2. Kopioi Key Vaultin URL-osoite ja salausavaimen URL-osoite, jota käytetään yrityskäytännön luomiseen.

   Muistiinpano

   Kun olet lisännyt Key Vaultiisi yksityisen päätepisteen tai poistanut yleisessä käytössä olevan verkon käytöstä, et näe avainta, ellei sinulla ole asianmukaisia oikeuksia.

3. Luo näennäisverkko.

4. Palaa Key Vaultiisi ja lisää yksityisen päätepisteen yhteyksiä Azure Key Vaultiisi.

   Muistiinpano

   Sinun on valittava Poista julkinen käyttö käytöstä -verkkopalveluasetus ja otettava käyttöön poikkeus Salli luotettujen Microsoft-palvelujen ohittaa tämä palomuuri.

5. Luo Power Platformin yrityskäytäntö. Lisätietoja: Luo yrityskäytäntö

6. Myönnä yrityskäytännön käyttöoikeudet avainsäilön käyttöä varten. Lisätietoja: Myönnä yrityskäytännön käyttöoikeudet avainsäilön käyttöä varten

7. Myönnä Power Platformin ja Dynamics 365:n järjestelmänvalvojan käyttöoikeudet yrityskäytännön lukemista varten. Lisätietoja: Myönnä Power Platformin järjestelmänvalvojan oikeus yrityskäytännön lukemista varten

8. Power Platformin hallintakeskuksen järjestelmänvalvoja valitse salattavan ympäristön ja ottaa hallitun ympäristön käyttöön. Lisätietoja: Yrityskäytäntöön lisättävän hallitun ympäristön käyttöönotto

9. Power Platformin hallintakeskuksen järjestelmänvalvoja lisää hallitun ympäristön yrityskäytäntöön. Lisätietoja: Ympäristön lisääminen yrityskäytäntöön tietojen salausta varten

Ota Power Platformin yrityskäytäntöpalvelu käyttöön Azure-tilauksellesi

Rekisteröi Power Platform resurssin tarjoajaksi. Tämä tehtävä tarvitsee tehdä vain kerran kullekin Azure-tilaukselle, jossa Azure-avainsäilösi sijaitsee. Tarvitset tilauksen käyttöoikeudet, jotta voit rekisteröidä resurssin palveluntarjoajan.

1. Kirjaudu Azure-portaaliin ja siirry kohtaan Tilaus>Resurssien tarjoajat.
2. Resurssien tarjoajat -luettelossa tee haku Microsoft.PowerPlatform ja Rekisteröi se.

Luo yrityskäytäntö

1. Asenna PowerShell MSI. Lisätietoja: PowerShellin asentaminen Windows-, Linux- tai macOS-järjestelmään
2. Kun PowerShell MSI on asennettu, palaa Azuressa kohtaan Ota käyttöön mukautettu malli.
3. Valitse Luo oma malli editorissa -linkki.
4. Kopioi JSON-malli tekstieditoriin, kuten Muistioon. Lisätietoja: Yrityskäytännön JSON-malli
5. Korvaa JSON-mallin arvot seuraaville: EnterprisePolicyName, sijainti, jossa EnterprisePolicy on luotava, keyVaultId ja keyName. Lisätietoja: JSON-mallin kenttämääritykset
6. Kopioi päivitetty malli tekstieditorista ja liitä se Azuren Mukautetun käyttöönotonMuokkausmalliin ja valitse Tallenna.
7. Valitse Tilaus ja Resurssiryhmä, jossa yrityskäytäntö luodaan.
8. Valitse Tarkista + luo ja sitten Luo.

Käyttöönotto käynnistetään. Kun se on valmis, yrityskäytäntö on luotu.

Yrityskäytännön JSON-malli

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON-mallin kenttämääritykset

• nimi. Yrityskäytännön nimi. Tämä on käytännön nimi, joka tulee näkyviin Power Platformin hallintakeskuksessa.

• sijainti. Jokin seuraavista. Tämä on yrityskäytännön sijainti, ja sen on vastattava Dataverse-ympäristön aluetta:

  • '"unitedstates"'
  • '"southafrica"'
  • '"uk"'
  • '"japan"'
  • '"india"'
  • '"france"'
  • '"europe"'
  • '"germany"'
  • '"switzerland"'
  • '"canada"'
  • '"brazil"'
  • '"australia"'
  • '"asia"'
  • '"uae"'
  • '"korea"'
  • '"norway"'
  • '"singapore"'
  • '"sweden"'

• Kopioi nämä arvot avainsäilösi ominaisuuksista Azure-portalissa:

  • keyVaultId: Siirry kohtaan Avainsäilöt>valitse avainsäilösi >Yleiskatsaus. Valitse Essentials-kohdan vierestä JSON-näkymä. Kopioi Resurssitunnus leikepöydälle ja liitä koko sisältö JSON-malliisi.
  • keyName: Siirry kohtaan Avainsäilöt>valitse avainsäilösi >Avaimet. Paina mieleen avaimen Nimi ja kirjoita se JSON-malliisi.

Myönnä yrityskäytännön käyttöoikeudet avainsäilön käyttöä varten

Kun yrityskäytäntö on luotu, avainsäilön järjestelmänvalvoja myöntää yrityskäytännön hallituille tunnistetiedoille käyttöoikeudet salausavaimeen.

1. Kirjaudu Azure-portaaliin ja siirry kohtaan Avainsäilöt.
2. Valitse avainsäilö, jossa avain on määritetty yrityskäytännölle.
3. Valitse Käyttöoikeuksien hallinta (IAM)-välilehdessä + Lisää.
4. Valitse avattavasta luettelosta Lisää roolimääritys.
5. Etsi Key Vaultin salauspalvelun salauskäyttäjä ja valitse se.
6. Valitse Seuraava.
7. Valitse + Valitse jäseniä.
8. Hae luomaasi yrityskäytäntöä.
9. Valitse yrityskäytäntö ja valitse sitten Valitse.
10. Valitse Tarkista + määritä.

Muistiinpano

Yllä oleva käyttöoikeusasetus perustuu avainsäilön Azuren roolipohjaisen käyttöoikeushallinnanoikeusmalliin. Jos avainsäilöön on määritetty Säilön käyttöoikeuskäytäntö, on suositeltavaa siirtyä roolipohjaiseen malliin. Jos haluat myöntää avainsäilölle yrityskäytännön käyttöoikeudet Säilön käyttöoikeuskäytännön avulla, luo käyttöoikeuskäytäntö, valitse Hae kohdassa Avaimen hallintatoiminnot sekä Avaa avain ja Paketoi avain kohdassa Salaustoiminnot.

Myönnä Power Platformin järjestelmänvalvojan oikeus yrityskäytännön lukemista varten

Järjestelmänvalvojat, joilla on Azuren yleiset, Dynamics 365:n ja Power Platformin järjestelmänvalvojan roolit, voivat käyttää Power Platformin hallintakeskusta lisätäkseen ympäristöjä yrityskäytäntöön. Jotta yrityskäytäntöjä voidaan käyttää, Azure key vaultin käyttöoikeudet omaavan yleisen järjestelmänvalvojan on myönnettävä Lukija-rooli Power Platform -järjestelmänvalvojalle. Kun Lukija-rooli on myönnetty, Power Platform -järjestelmänvalvoja voi tarkastella yrityskäytäntöjä Power Platform -hallintakeskuksessa.

Muistiinpano

Vain Power Platformin ja Dynamics 365:n järjestelmänvalvojat, joille on myönnetty yrityskäytännön lukijarooli, voivat lisätä ympäristön käytäntöön. Muuta Power Platformin tai Dynamics 365:n järjestelmänvalvojat saattava kyetä näkemään ympäristökäytännön, mutta heillä näyttöön tulee virhe, kun he yrittävät Lisätä ympäristön käytäntöön.

Lukijaroolin myöntäminen Power Platformin järjestelmänvalvojalle

1. Kirjaudu Azure-portaaliin.
2. Kopioi Power Platformin tai Dynamics 365:n järjestelmänvalvojan objektitunnus. Toimi seuraavasti:
   1. Siirry Azuren Käyttäjät-alueelle.
   2. Etsi Kaikki käyttäjät -luettelosta käyttäjä, jolla on Power Platformin tai Dynamics 365:n järjestelmänvalvojan oikeudet käyttämällä hakua Hae käyttäjiä.
   3. Avaa käyttäjätietue, kopioi Yleiskatsaus-välilehdellä käyttäjän Objektitunnus. Liitä se tekstieditoriin, kuten Muistioon, myöhempää käyttöä varten.
3. Kopioi yrityskäytännön resurssitunnus. Toimi seuraavasti:
   1. Siirry Azuressa Resource Graphin hallintaan.
   2. Syötä microsoft.powerplatform/enterprisepoliciesHaku-ruutuun ja valitse sitten resurssi microsoft.powerplatform/enterprisepolicies.
   3. Valitse komentopalkissa Suorita kysely. Näkyviin tulee luettelo kaikista Power Platform -yrityskäytännöistä.
   4. Etsi yrityskäytäntö, johon haluat myöntää käyttöoikeudet.
   5. Vieritä yrityskäytännön oikealle puolelle ja valitse Näytä tiedot.
   6. Kopioi tunnusTiedot-sivulta.
4. Käynnistä Azure Cloud Shell ja suorita seuraava komento vaihtaen objId-arvon käyttäjän objektitunnukseen ja EP-resurssin tunnus edellisissä vaiheissa kopioituun enterprisepolicies-tunnukseen: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Hallitse ympäristön salausta

Ympäristön salauksen hallinta edellyttää seuraavaa oikeutta:

• Aktiivinen Microsoft Entra -käyttäjä, jolla on Power Platformin tai Dynamics 365:n järjestelmänvalvojan käyttöoikeusrooli.
• Microsoft Entra -käyttäjä, jolla on joko vuokraajan yleisen järjestelmänvalvojan tai Power Platformin tai Dynamics 365:n järjestelmänvalvojan käyttöoikeusrooli.

Avainsäilön järjestelmänvalvoja ilmoittaa Power Platformin järjestelmänvalvojalle, että salausavain ja yrityskäytäntö on luotu ja antaa yrityskäytännön Power Platformin järjestelmänvalvojalle. Power Platformin järjestelmänvalvoja lisää ympäristönsä yrityskäytäntöön asiakkaan hallitseman avaimen käyttöönottoa varten. Kun ympäristö on lisätty ja tallennettu, Dataverse käynnistää salausprosessin kaikkien ympäristötietojen määrittämistä varten ja niiden salaamiseksi asiakkaan hallitsemalla avaimella.

Yrityskäytäntöön lisättävän hallitun ympäristön käyttöönotto

1. Kirjaudu Power Platform -hallintakeskukseen ja etsi ympäristö.
2. Valitse ympäristö ja tarkista se ympäristöluettelosta.
3. Valitse toimintopalkissa Ota hallitut ympäristöt käyttöön -kuvake.
4. Valitse Ota käyttöön.

Ympäristön lisääminen yrityskäytäntöön tietojen salausta varten

Tärkeää

Ympäristö poistetaan käytöstä, kun se lisätään yrityskäytäntöön tietojen salausta varten.

1. Kirjaudu Power Platformin hallintakeskukseen ja siirry kohtaan Käytännöt>Yrityskäytännöt.
2. Valitse käytäntö ja valitse sitten komentopalkista Muokkaa.
3. Valitse Lisää ympäristöjä, valitse haluamasi ympäristöt ja valitse sitten Jatka.
4. Valitse ensin Tallenna ja sitten Vahvista.

Tärkeää

• Vain ympäristöt, jotka ovat samalla alueella kuin yrityskäytäntö, näytetään Lisää ympäristöjä -luettelossa.
• Salauksen valmistuminen voi kestää enintään neljä päivää, mutta ympäristö voidaan ottaa käyttöön, ennen kuin Lisää ympäristöt -toiminto on valmis.
• Toiminto ei ehkä ole valmis, ja jos se epäonnistuu, tiedot salataan edelleen Microsoftin hallitun avaimen avulla. Voit suorittaa Lisää ympäristöt -toiminnon uudelleen.

Muistiinpano

Voit lisätä vain ympäristöjä, jotka on otettu käyttöön hallittuina ympäristöinä. Kokeilu- ja Teams-ympäristötyyppejä ei voi lisätä yrityskäytäntöön.

Poista ympäristöjä käytännöstä palataksesi Microsoftin hallitsemaan avaimeen

Noudata seuraavia ohjeita, jos haluat palata Microsoftin hallitsemaan salausavaimeen.

Tärkeää

Ympäristö poistetaan käytöstä, kun se poistetaan yrityskäytännöstä Microsoftin hallitsemaa avainta käyttävään tietojen salaukseen palaamista varten.

1. Kirjaudu Power Platformin hallintakeskukseen ja siirry kohtaan Käytännöt>Yrityskäytännöt.
2. Valitse Ympäristö ja käytännöt -välilehti ja etsi ympäristö, jonka haluat poistaa asiakkaan hallitsemalta avaimelta.
3. Valitse Kaikki käytännöt -välilehti, valitse vaiheessa 2 vahvistamasi ympäristö ja valitse sitten komentopalkista Muokkaa käytäntöä.
4. Valitse komentopalkista Poista ympäristö, valitse poistettava ympäristö ja valitse sitten Jatka.
5. Valitse Tallenna.

Tärkeää

Ympäristö poistetaan käytöstä, kun se poistetaan yrityskäytännöstä, jotta tietojen salaus voidaan palauttaa Microsoftin hallitsemaan avaimeen. Älä poista avainta tai poista sitä käytöstä, poista avainsäilöä tai poista sitä käytöstä tai poista yrityskäytännön käyttöoikeuksia avainsäilöön. Avaimen ja avainsäilön käyttöoikeus on välttämätöntä tietokantapalautuksen tukemista varten. Voit poistaa yrityskäytännön oikeudet 30 päivän jälkeen.

Ympäristön salaustilan tarkastaminen

Salaustilan tarkastaminen yrityskäytännöistä

1. Kirjaudu Power Platform -hallintakeskukseen.

2. Valitse Käytännöt>Yrityskäytännöt.

3. Valitse käytäntö ja valitse sitten komentopalkista Muokkaa.

4. Tarkasta ympäristön Salaustila osassa Ympäristöt, joilla on tämä käytäntö.

   Muistiinpano

   Ympäristön salaustilan voi olla:

   • Salattu – yrityskäytännön salausavain on aktiivinen, ja ympäristö on salattu avaimellasi.
   • Epäonnistunut – yrityskäytännön salausavainta ei käytetä, ja ympäristö pysyy salattuna Microsoftin hallitsemalla avaimella.
   • Varoitus – yrityskäytännön salausavain on aktiivinen, ja yksi palvelun tiedoista pysyy salattuna Microsoftin hallitsemalla avaimella. Lisätietoja: Power Automaten CMK-sovelluksen varoitussanomat

   Voit suorittaa uudelleen sellaisen ympäristön Lisää ympäristö -vaihtoehdon, jolla on salaustila Epäonnistunut.

Salaustilan tarkastaminen Ympäristön historia -sivulta

Näet ympäristön historian.

1. Kirjaudu Power Platform -hallintakeskukseen.

2. Valitse siirtymisruudussa Ympäristöt ja valitse sitten ympäristö luettelosta.

3. Valitse komentopalkissa Historia.

4. Etsi Päivitä asiakkaan hallitsema avain -historia.

   Muistiinpano

   Tilana näkyy Käynnissä, kun salaus on käynnissä. Tilana näkyy Onnistui, kun salaus on valmis. Tilana näkyy Epäonnistui, kun jokin palveluista ei pysty soveltamaan salausavainta.

   Epäonnistui-tila voi olla varoitus, jolloin Lisää ympäristö -vaihtoehtoa ei tarvitse suorittaa uudelleen. Voit tarkastaa, onko kyseessä varoitus.

Ympäristön salausavaimen muuttaminen uuden yrityskäytännön ja avaimen avulla

Jos haluat muuttaa salausavainta, luo uusi avain ja uusi yrityskäytäntö. Sitten voit muuttaa yrityskäytäntöä poistamalla ympäristöt ja lisäämällä ne sitten uuteen yrityskäytäntöön. Järjestelmä on poissa käytöstä 2 kertaa, kun vaihtoa uuteen yrityskäytäntöön tehdään – 1) kun salaus palautetaan Microsoftin hallitsemaan avaimeen ja 2) kun uusi yrityskäytäntö otetaan käyttöön.

[!Suositus] Salausavaimen kierrossa on suositeltavaa käyttää Key vaultin Uutta versiota tai asetusta Kiertokäytäntö.

1. Luo Azure-portaalissa uusi avain ja uusi yrityskäytäntö. Lisätietoja: Salausvaimen luominen ja käyttöoikeuksien myöntäminen ja Yrityskäytännön luominen
2. Kun uusi avain ja uusi yrityskäytäntö on luotu, siirry kohtaan Käytännöt>Yrityskäytännöt.
3. Valitse Ympäristö ja käytännöt -välilehti ja etsi ympäristö, jonka haluat poistaa asiakkaan hallitsemalta avaimelta.
4. Valitse Kaikki käytännöt -välilehti, valitse vaiheessa 2 vahvistamasi ympäristö ja valitse sitten komentopalkista Muokkaa käytäntöä.
5. Valitse komentopalkista Poista ympäristö, valitse poistettava ympäristö ja valitse sitten Jatka.
6. Valitse Tallenna.
7. Toista vaiheet 2–6, kunnes kaikki yrityskäytännön ympäristöt on poistettu.

Tärkeää

Ympäristö poistetaan käytöstä, kun se poistetaan yrityskäytännöstä, jotta tietojen salaus voidaan palauttaa Microsoftin hallitsemaan avaimeen. Älä poista avainta tai poista sitä käytöstä, poista avainsäilöä tai poista sitä käytöstä tai poista yrityskäytännön käyttöoikeuksia avainsäilöön. Avaimen ja avainsäilön käyttöoikeus on välttämätöntä tietokantapalautuksen tukemista varten. Voit poistaa yrityskäytännön oikeudet 30 päivän jälkeen.

1. Kun kaikki ympäristöt on poistettu, siirry Power Platformin hallintakeskuksessa kohtaan Yrityskäytännöt
2. Valitse uusi yrityskäytäntö ja valitse sitten komentopalkista Muokkaa käytäntöä.
3. Valitse Lisää ympäristö, valitse lisättävät ympäristöt ja valitse sitten Jatka.

Tärkeää

Ympäristö poistetaan käytöstä, kun se lisätään uuteen yrityskäytäntöön.

Ympäristön salausavaimen kierto uudella avainversiolla

Voit muuttaa ympäristön salausavainta luomalla uuden avainversion. Kun luot uuden avainversion, uusi avainversio otetaan automaattisesti käyttöön. Kaikki tallennusresurssit havaitsevat uuden avainversion ja aloittavat sen käytön tietojen salaamiseen.

Kun muokkaat avainta tai avainversiota, juurisalausavaimen suojaus muuttuu, mutta tallennustilan tiedot säilyvät aina salattuna avaimella. Tietojen suojaaminen ei ole enää tarpeen. Avainversion kierrättäminen ei vaikuta suorituskykyyn. Avainversion kiertoon ei liity käyttökatkosta. Voi kestää 24 tuntia, ennen kuin kaikki resurssitoimittajat käyttävät uutta avainversiota taustalla. Edellistä avainversiota ei saa poistaa käytöstä, koska se on pakollinen, jotta palvelu voi käyttää sitä uudelleensalausta varten ja tietokannan palautukseen.

Jos haluat kierrättää salausavaimen luomalla uuden avainversion, toimi seuraavasti.

1. Siirry kohtaan Azure-portaali>Avainsäilöt ja etsi avainsäilö, johon haluat luoda uuden avainversion.
2. Siirry kohtaan Avaimet.
3. Valitse nykyinen, käytössä oleva avain.
4. Valitse + Uusi versio.
5. Käytössä-asetuksen oletusarvona on Kyllä, mikä tarkoittaa, että uusi avainversio otetaan automaattisesti käyttöön sen luomisen jälkeen.
6. Valitse Luo.

[!Suositus] Avaimen kiertokäytännön noudattamiseksi voit kiertää salausavainta käyttämällä Kiertokäytäntöä. Voit joko määrittää kiertokäytännön tai kutsua tarpeen mukaan toiminnon Kierrä nyt.

Tärkeää

Uusi avainversio kierrätetään automaattisesti taustalla, eikä Power Platform -järjestelmänvalvojan tarvitse tehdä mitään toimia. On tärkeää, että edellistä avainversiota ei poisteta käytöstä tai poisteta ainakaan 28 päivän aikana, jotta tietokannan palautusta voidaan tukea. Aiemman avainversion poistaminen käytöstä tai poistaminen liian aikaisin voi siirtää ympäristösi offline-tilaan.

Salattujen ympäristöjen luettelon tarkasteleminen

1. Kirjaudu Power Platformin hallintakeskukseen ja siirry kohtaan Käytännöt>Yrityskäytännöt.
2. Valitse Yrityskäytännöt-sivulla Ympäristöt ja käytännöt -välilehti. Näkyviin tulee luettelo ympäristöistä, jotka on lisätty yrityskäytäntöihin.

Muistiinpano

Ympäristön tilan tai salauksen tilan tilana voi olla epäonnistunut. Lähetä tällöin tukipyyntö Microsoft Supportille.

Ympäristön tietokannan toiminnot

Asiakasvuokraajalla voi olla Microsoftin hallinnoimalla avaimella salattuja ympäristöjä ja ympäristöjä, jotka on salattu asiakkaan hallinnoimalla avaimella. Tietojen eheyden ja niiden suojaaminen edellyttää, että seuraavat ohjausobjektit ovat käytössä ympäristöjen tietokantatoimintoja hallittaessa.

• Palauta Ympäristön korvaaminen (palauttaminen ympäristöön) on rajoitettu siihen ympäristöön, josta varmuuskopio tehtiin, tai toiseen ympäristöön, joka on salattu samalla asiakkaan hallinnoimalla avaimella.

  

• Kopioi Ympäristö korvaaminen (kopiointiympäristö) on rajoitettu toiseen ympäristöön, joka on salattu samalla asiakkaan hallinnoimalla avaimella.

  

  Huomautus

  Jos tuen selvitysympäristö luotiin ratkaisemaan tukiongelmia asiakkaan hallinnoimassa ympäristössä, tuen selvitysympäristön salausavain on vaihdettava asiakkaan hallinnoimaksi avaimeksi, ennen kuin Kopioi ympäristö -toiminto voidaan suorittaa.

• Palauta alkutilaan Ympäristön salatut tiedot poistetaan varmuuskopiot mukaan lukien. Kun ympäristö on palautettu alkutilaan, ympäristön salaus palautuu takaisin Microsoftin hallinnoimaan avaimeen.

Seuraavat vaiheet

Tietoja Azure Key Vaultista