נהל את מפתח ההצפנה המנוהל על-ידי הלקוח שלך

ללקוחות יש דרישות פרטיות ותאימות לאבטחת הנתונים שלהם על ידי הצפנת הנתונים שלהם בזמן מנוחה. זה מבטיח את הנתונים מפני חשיפה במקרה שבו עותק של מסד הנתונים נגנב. עם הצפנת נתונים במנוחה, נתוני מסד הנתונים הגנובים מוגנים מפני שחזור לשרת אחר ללא מפתח ההצפנה.

כל נתוני הלקוחות המאוחסנים ב- Power Platform מוצפנים במצב מנוחה עם מפתחות הצפנה חזקים בניהול Microsoft כברירת מחדל. Microsoft מאחסנת ומנהלת את מפתח ההצפנה של מסד הנתונים עבור כל הנתונים שלך, כך שאינך נדרש לעשות זאת בעצמך. עם זאת, Power Platform מספק את מפתח ההצפנה המנוהל על-ידי לקוחות (CMK) עבור פקד הגנת הנתונים הנוספת שלך, שבו תוכל לנהל באופן עצמי את מפתח ההצפנה של מסד הנתונים המשויך לסביבת Microsoft Dataverse שלך. זה מאפשר לך לסובב או להחליף את מפתח ההצפנה לפי דרישה, וגם למנוע את הגישה של Microsoft לנתוני הלקוחות שלך כאשר אתה מבטל את גישת המפתח לשירותים שלנו בכל עת.

למידע נוסף על המפתח המנוהל של הלקוח ב- Power Platform, צפו בסרטון על המפתח המנוהל של הלקוח.

פעולות מפתח הצפנה אלו זמינות עם מפתח בניהול לקוח (CMK):

• צור מפתח RSA (RSA-HSM) מהכספת Azure שלך.
• צור מדיניות ארגונית של Power Platform עבור המפתח שלך.
• יש להעניק להרשאות המדיניות הארגונית של Power Platform גישה ל- Key Vault.
• הענק למנהל שירות Power Platform הרשאה לקרוא את מדיניות הארגון.
• יישום מפתח ההצפנה על סביבת העבודה שלך.
• שנה/הסר את הצפנת CML של הסביבה למפתח שמנוהל על-ידי Microsoft.
• שנה את המפתח על ידי יצירת מדיניות ארגונית חדשה, הסרת הסביבה מ-CMK ויישום מחדש של CMK עם מדיניות ארגונית חדשה.
• חסום סביבות CMK על ידי שלילת גישת כספת המפתחות Key Vault ו/או הרשאות מפתח.
• העבר סביבות מסוג bring-your-own-key (BYOK) ל- CMK על ידי החלת מפתח CMK.

נכון לעכשיו, כל נתוני הלקוחות שלך המאוחסנים רק באפליקציות ובשירותים הבאים יכולים להיות מוצפנים באמצעות מפתח בניהול לקוחות:

ענן מסחרי

• Dataverse (פתרונות מותאמים אישית ושירותי Microsoft)
• Dataverse Copilot עבור יישומים מונחי-דגמים
• Power Automate
• צ'אט עבור Dynamics 365
• Dynamics 365 Sales
• שירות לקוחות של Dynamics 365
• Dynamics 365 Customer Insights - נתונים
• Dynamics 365 Field Service
• Dynamics 365 קמעונאית
• Dynamics 365 Finance (כספים ופעולות)
• Dynamics 365 Intelligent Order Management (כספים ופעולות)
• Dynamics 365 Project Operations (כספים ופעולות)
• Dynamics 365 Supply Chain Management (כספים ופעולות)
• סטודיו קופילות

ענן ריבון - GCC High

• Dataverse (פתרונות מותאמים אישית ושירותי Microsoft)
• Dataverse Copilot עבור יישומים מונחי-דגמים
• צ'אט עבור Dynamics 365
• Dynamics 365 Sales
• שירות לקוחות של Dynamics 365
• Dynamics 365 Customer Insights - נתונים
• סטודיו קופילות

הערה

• צור קשר עם נציג עבור שירותים שאינם מופיעים ברשימה שלמעלה, לקבלת מידע על תמיכה במפתח בניהול לקוחות.
• Nuance Conversational IVR ותוכן הפתיחה של יוצר אינם נכללים בהצפנת מפתח בניהול הלקוח.
• הגדרות החיבור עבור מחברים ממשיכות להיות מוצפנות באמצעות מפתח המנוהל על-ידי Microsoft.
• שמות תצוגה ותיאורים של Power Apps, ומטה-נתונים של חיבורים, ממשיכים להיות מוצפנים באמצעות מפתח מנוהל של Microsoft.
• קישור תוצאות ההורדה ונתונים אחרים שהופקו על ידי אכיפת בודק פתרונות במהלך בדיקת פתרון ממשיכים להיות מוצפנים באמצעות מפתח מנוהל של Microsoft.

ניתן להצפין גם סביבות עם אפליקציות פיננסים ותפעול שבהן מופעלת האינטגרציה של Power Platform. סביבות פיננסים ותפעול ללא שילוב Power Platform ממשיכות להשתמש במפתח ברירת המחדל המנוהל על-ידי Microsoft כדי להצפין נתונים. מידע נוסף: הצפנה ביישומי פיננסים ותפעול.

מבוא למפתח שמנוהל על ידי לקוח

באמצעות מפתח המנוהל על-ידי הלקוח, מנהלי מערכת יכולים לספק מפתח הצפנה משלהם Azure Key Vault שירותי האחסון של Power Platform כדי להצפין את נתוני הלקוחות שלהם. ל- Microsoft אין גישה ישירה Azure Key Vault. כדי שהשירותים של Power Platform לגשת למפתח ההצפנה מה- Azure Key Vault שלך, מנהל המערכת ייצור מדיניות ארגונית של Power Platform, המפנה למפתח ההצפנה ומעניק למדיניות ארגונית זו גישה לקרוא את המפתח Azure Key Vault.

לאחר מכן, מנהל המערכת של שירות Power Platform יכול להוסיף סביבות Dataverse למדיניות הארגונית כדי להתחיל להצפין את כל נתוני הלקוחות בסביבה באמצעות מפתח ההצפנה שלך. מנהלי מערכת יכולים לשנות את מפתח ההצפנה של הסביבה על ידי יצירת מדיניות ארגונית אחרת ולהוסיף את הסביבה (לאחר הסרתה) למדיניות הארגונית החדשה. אם הסביבה כבר לא צריכה להיות מוצפנת באמצעות המפתח המנוהל על ידי הלקוח שלך, מנהל מערכת יכול להסיר את סביבת ה- Dataverse מהמדיניות הארגונית כדי להחזיר את הצפנת הנתונים למפתח המנוהל על ידי Microsoft.

מנהל המערכת יכול לנעול את סביבות המפתח המנוהלות על ידי הלקוח על ידי ביטול גישת מפתח ממדיניות הארגון ולבטל את נעילת הסביבות על ידי שחזור גישת המפתח. מידע נוסף: נעל סביבות על ידי ביטול גישת כספת מפתח ו/או הרשאת מפתח

כדי לפשט את משימות ניהול המפתח, המשימות מחולקות לשלושה תחומים עיקריים:

1. צור מפתח הצפנה.
2. צור מדיניות ארגונית והענק גישה.
3. נהל הצפנה של הסביבה.

אזהרה

כאשר סביבות נעולות, אף אחד לא יכול לגשת אליהן, כולל תמיכת Microsoft. סביבות שנעולות מושבתות, מה שיכול לגרום לאובדן נתונים.

דרישות רישוי עבור מפתח מנוהל על ידי לקוח

מדיניות המפתחות שמנוהלת על ידי לקוח נאכפת רק על סביבות המופעלות עבור סביבות מנוהלות. בסביבות מנוהלות נכללות כזכאיות ברשיונות עצמאיים של Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages ו- Dynamics 365 המספקים זכויות שימוש משופרות. קבל מידע נוסף על רישוי סביבה מנוהלת באמצעות מבט כולל על מבט כולל על רשיונות עבור Microsoft Power Platform.

בנוסף, גישה לשימוש במפתח המנוהל על-ידי לקוחות עבור Microsoft Power Platform ו- Dynamics 365 דורשת ממשתמשים בסביבות שבהן נאכפת מדיניות מפתח ההצפנה להחזיק באחד מהמינויים הבאים:

• Microsoft 365 או Office 365 A5/E5/G5
• Microsoft 365 תאימות A5/E5/F5/G5
• Microsoft 365 F5 אבטחה ואבטחה תאימות
• Microsoft 365 A5/E5/F5/G5 הגנת מידע וניהול ממשל
• Microsoft 365 A5/E5/F5/G5 ניהול סיכונים פנימיים

מידע נוסף על רישיונות אלה.

הבנת הסיכון הפוטנציאלי בעת ניהול המפתח שלך

כמו בכל יישום עסקי קריטי, כוח אדם בארגון שלך, בעל גישה ברמת ניהול, חייב להיות מהימן. לפני שתשתמש בתכונה 'ניהול מפתחות', עליך להבין את הסיכון בעת ניהול מפתחות ההצפנה של מסד הנתונים שלך. ייתכן שמנהל מערכת זדוני (אדם שהוענקה לו או שקיבל גישה ברמת מנהל עם כוונה לפגוע באבטחת הארגון או בתהליכים העסקיים) שעובד בתוך הארגון שלך ישתמש בתכונה 'ניהול מפתחות' כדי ליצור מפתח ולהשתמש בו לנעילת כל הסביבות שלך בדייר.

שקול את רצף האירועים הבא.

מנהל כספת המפתחות הזדוני יוצר מפתח ומדיניות ארגונית בפורטל Azure. מנהל Azure Key Vault עובר למרכז הניהול של Power Platform ומוסיף סביבת למדיניות הארגונית. לאחר מכן, מנהל המערכת הזדוני חוזר לפורטל Azure ומבצע ביטול של הגישה למפתח למדיניות הארגונית ובכך נועל את כל הסביבות. כתוצאה מכך יהיו הפרעות בכל העסק, מכיוון שכל הסביבות הופכות בלתי נגישות, ואם אירוע זה לא נפתר, כלומר, הגישה למפתח לא משוחזרת, נתוני הסביבות עלולים ללכת לאיבוד.

הערה

• Azure Key Vault כוללת אמצעי הגנה מוכללים שמסייעים בשחזור המפתח, פעולה המחייבת שימוש ב- Soft Delete ו- הגנה מפני מחיקה הגדרות של מאגרי מקשים מופעלות.
• אמצעי הגנה נוסף שיש לשקול הוא לוודא שקיים הפרדת משימות שבה מנהל המערכת של Azure Key Vault לא הוענקה גישה למרכז הניהול של Power Platform.

הפרדת החובה להפחתת הסיכון

סעיף זה מתאר את החובות של תכונת המפתח בניהול לקוח שכל תפקיד מנהל אחראי עליהן. הפרדת המשימות הללו עוזרת להפחית את הסיכון הכרוך במפתחות בניהול לקוחות.

ניהול משימות שירות Azure Key Vault ו-Power Platform/Dynamics 365

כדי לאפשר ניהול מפתחות על ידי הלקוח, תחילה מנהל הכספת מפתח בכספת המפתחות ויוצר מדיניות ארגונית של Power Platform. בעת יצירת המדיניות הארגונית, נוצרת Microsoft Entra ID מיוחדת. לאחר מכן, מנהל מאגר הכספת הראשי חוזר אל מאגר Azure, ומעניק למפתח ההצפנה גישת מדיניות/זהות מנוהלת ארגונית.

לאחר מכן, מנהל מאגר הכספת הראשי מעניק למנהל המערכת המתאים של Power Platform/Dynamics 365 גישת קריאה למדיניות הארגונית. לאחר שליחה של הרשאת קריאה, מנהל Dynamics 365 של Power Platform יכול לעבור למרכז הניהול של Power Platform ולהוסיף בסביבות למדיניות הארגונית. כל נתוני הלקוחות בסביבות שנוספו מוצפנים לאחר מכן עם המפתח המנוהל על ידי הלקוח המקושר למדיניות ארגונית זו.

‏‫דרישות מוקדמות‬

• מנוי Azure כולל מודולי אבטחת Azure Key Vault או Azure Key Vault מנוהלים של חומרה.
• Microsoft Entra ID ‏עם:
  • הרשאת משתתף למנוי Microsoft Entra שלך.
  • הרשאה ליצירת Key Vault ו-Key ב-Azure.
  • גישה ליצירה של קבוצת משאבים. זה נדרש כדי להגדיר את כספת המפתחות.

צור את המפתח והענק גישה באמצעות Azure Key Vault

מנהל Azure Key Vault מבצע משימות אלה ב-Azure.

1. צור מנוי Azure בתשלום ולאחר Key Vault. התעלם משלב זה אם כבר יש לך מנוי הכולל Azure Key Vault.
2. עבור אל Azure Key Vault השירות וצור מפתח. מידע נוסף: צור מפתח בכספת המפתחות
3. הפוך את שירות המדיניות הארגונית של Power Platform לזמין עבור Azure שלך. עשה זאת רק פעם אחת. מידע נוסף: הפעלה של שירות המדיניות הארגונית של Power Platform עבור מנוי Azure שלך
4. צור מדיניות ארגונית ב- Power Platform. לקבלת מידע נוסף: יצירת מדיניות ארגונית
5. הענק הרשאות של מדיניות ארגונית לגישה לאחסון המפתחות. מידע נוסף: הענקת הרשאות מדיניות ארגונית לגישה לכספת המפתחות
6. הענק ל- Power Platform Dynamics 365 למנהלי מערכת הרשאה לקרוא את המדיניות הארגונית. מידע נוסף: הענק למנהל המערכת של Power Platform הרשאת קריאה של מדיניות הארגון

משימות מרכז הניהול של Power Platform/Dynamics 365 שירות Power Platform

דרישה מוקדמת

מנהל מערכת של Power Platform חייב להיות מוקצה לתפקיד מנהל Dynamics 365 Power Platform או Microsoft Entra השירות.

ניהול הצפנה של סביבה במרכז הניהול של Power Platform

מנהל המערכת של Power Platform מנהל משימות מפתח בניהול לקוחות הקשורות לסביבה במרכז הניהול של Power Platform.

1. הוסף את הסביבות של Power Platform למדיניות הארגונית כדי להצפין נתונים עם המפתח המנוהל על ידי הלקוח. מידע נוסף: הוסף סביבה למדיניות הארגונית כדי להצפין נתונים
2. הסירו סביבות ממדיניות הארגון כדי להחזיר הצפנה למפתח המנוהל של Microsoft. מידע נוסף: הסר סביבות ממדיניות הארגון כדי להחזיר הצפנה למפתח המנוהל של Microsoft
3. שנה את המפתח על ידי הסרת סביבות ממדיניות הארגון הישנה והוספת סביבות למדיניות ארגונית חדשה. מידע נוסף: צור מפתח הצפנה והענק גישה
4. העברה מ- BYOK. אם אתם משתמשים בתכונת מפתח ההצפנה הקודמת בניהול עצמי, תוכלו להעביר את המפתח שלכם למפתח בניהול לקוח. מידע נוסף: העברת סביבות 'הבא מפתח משלך' למפתח המנוהל על-ידי לקוח.

צור את מפתח ההצפנה והענק גישה

יצירת מנוי Azure בתשלום וכספת מפתחות

ב Azure, בצע את השלבים הבאים:

1. צור Pay-as-you-go או מנוי מקביל Azure שלו. אין צורך בשלב זה אם לדייר כבר יש מנוי.

2. יצירה של קבוצת משאבים. מידע נוסף: יצירת קבוצות משאבים

   הערה

   צור קבוצת משאבים או השתמש בה, הכוללת מיקום, לדוגמה מרכז ארה"ב, התואם לאזור סביבת Power Platform, כגון United States.

3. צור כספת מפתחות באמצעות המנוי בתשלום הכולל הגנת מחיקה וניקוי זמני עם קבוצת המשאבים שיצרת בשלב הקודם.

   חשוב

   כדי להבטיח שהסביבה שלך מוגנת מפני מחיקה מקרית של מפתח ההצפנה, בכספת המפתחות צריך להפעיל הגנה מפני מחיקה זמנית ומחיקה לצמיתות. לא תוכל להצפין את הסביבה שלך עם מפתח משלך מבלי להפעיל את ההגדרות הללו. מידע נוסף: Azure Key Vault מבט כולל על מחיקה זמנית מידע נוסף: יצירת מאגר מקשים באמצעות פורטל Azure

צור מפתח בכספת המפתחות

1. וודא כי תנאים מוקדמים אלה מתקיימים.
2. עבור אל פורטל Azure>Key Vault ואתר את key vault שבו ברצונך ליצור מפתח הצפנה.
3. אימות הגדרות Azure Key Vault:
   1. בחר מאפיינים תחת הגדרות.
   2. תחת מחיקה זמנית, הגדר או ודא שההגדרה היא מחיקה זמנית הופעלה בכספת המפתחות.
   3. תחת הגנה מפני מחיקה לצמיתות, הגדר או ודא שהאפשרות אפשר הגנה מפני מחיקה לצמיתות (אכוף תקופת שמירה חיונית עבור כספות ואובייקטי כספת שנמחקו) מופעלת.
   4. אם ביצעת שינויים, בחר שמור.

צור מפתחות RSA

1. צור או ייבא מפתח בעל המאפיינים הבאים:

   1. בדפי Key Vault, בחר Keys.
   2. בחר Generate/Import.
   3. במסך צור מפתח, הגדר את הערכים הבאים ובחר צור.
      • אפשרויות: יצירה
      • שם: מתן שם למפתח
      • סוג מפתח: RSA
      • גודל מפתח RSA: 2048 או 3072

   חשוב

   אם תגדיר תאריך תפוגה במפתח שלך ותוקף המפתח פג, כל הסביבות המוצפנות באמצעות מפתח זה יושבתו. הגדר התראה כדי לנטר אישורי תפוגה באמצעות הודעות דואר אלקטרוני עבור מנהל המערכת המקומי של Power Platform ומנהל מאגרי מקשים של Azure כתזכורת לחדש את תאריך התפוגה. פעולה זו חשובה למניעת הפסקות מערכת לא מתוכננות.

ייבוא מפתחות מוגנים עבור מודולי אבטחת חומרה (HSM)

אפשר להשתמש במפתחות המוגנים עבור מודולי אבטחת חומרה (HSM) כדי להצפין את סביבות ה- Power Platform Dataverse שלך. יש לייבא את המפתחות המוגנים ב- HSM אל ה- Key Vault כדי שניתן יהיה ליצור מדיניות ארגונית. לקבלת מידע נוסף, ראה HSMs נתמכיםייבוא מפתחות המוגנים באמצעות HSM ל- Key Vault (BYOK).

יצירת מפתח ב- HSM Azure Key Vault המנוהל

באפשרותך להשתמש במפתח הצפנה שנוצר מ- Azure Key Vault HSM מנוהל כדי להצפין את נתוני הסביבה שלך. זה נותן לך תמיכה ב-Fips 140-2 ברמה 3.

צור מפתחות RSA-HSM

1. וודא כי תנאים מוקדמים אלה מתקיימים.

2. עבור אל פורטל Azure.

3. צור HSM מנוהל:

   1. הקצה את ה-HSM המנוהל.
   2. הפעלת ה-HSM המנוהל.

4. אפשר הגנה מפני מחיקה לצמיתות ב-HSM המנוהל שלך.

5. הענק את תפקיד משתמש קריפטו מנוהל של HSM לאדם שיצר את כספת מפתחות HSM המנוהל.

   1. גש אל מאגר מקשים מנוהל של HSM בפורטל Azure.
   2. נווט אל RBAC מקומי ובחר + הוסף.
   3. ברשימה הנפתחת תפקיד בחר את התפקיד משתמש Crypto של HSM מנוהל בדף הקצאת תפקיד.
   4. בחר כל המפתחות תחת טווח.
   5. בחר באפשרות בחר מנהל אבטחה, ולאחר מכן בחר את מנהל המערכת בדף הוסף מנהל אבטחה.
   6. בחר צור.

6. יצירת מפתח RSA-HSM:

   • אפשרויות: יצירה
   • שם: מתן שם למפתח
   • סוג מפתח: RSA-HSM
   • גודל מפתח RSA: 2048

   הערה

   גדלי מפתחות RSA-HSM נתמכים: ‏2048 סיביות ו- 3072 סיביות.

הצפן את הסביבה שלך באמצעות מפתח Azure Key Vault באמצעות קישור פרטי

באפשרותך לעדכן את הרשת של מאגר המקשים של Azure על-ידי הפעלת נקודת קצה של private והשתמש במפתח שבכספת למפתח כדי להצפין את הסביבות של Power Platform.

אתה יכול ליצור Key Vault חדשה וליצור חיבור ak קישור פרטי או ליצור חיבור קישור פרטי לכספת Key Vault הקיימת, וצור מפתח ה- Key Vault הזו והשתמש בו כדי להצפין את הסביבה שלך. אתה יכול גם ליצור חיבור קישור פרטי לכספת Key Vault קיימת לאחר שכבר יצרת מפתח והשתמשת בו כדי להצפין את הסביבה שלך.

הצפן את נתונים באמצעות מפתח מ- Key Vault עם קישור פרטי

1. צור מפתח Azure key vault עם אפשרויות אלה:

   • הפעל הגנת מחיקה
   • סוג מפתח: RSA
   • גודל מפתח RSA: ‏ 2048 או 3072

2. העתק את כתובת האתר של ה- Key Vault ואת כתובת האתר ומפתח ההצפנה שישמשו ליצירת המדיניות הארגונית.

   הערה

   לאחר שהוספת נקודת קצה פרטי ל- Key Vault שלך או השבתת הגישה מהרשת הציבורית, לא תוכל לראות את המפתח אלא אם יש לך הרשאה מתאימה.

3. צור רשת וירטואלית.

4. חזור אל מאגר המפתחות שלך והוסף חיבורי Private Endpoint ל-Azure Key Vault.

   הערה

   עליך לבחור באפשרות העבודה ברשת השבת גישה ציבורית ולהפעיל את החריגה אפשר לשירותי Microsoft מהימנים לעקוף את חומת האש.

5. צור מדיניות ארגונית ב- Power Platform. לקבלת מידע נוסף: יצירת מדיניות ארגונית

6. הענק הרשאות של מדיניות ארגונית לגישה לאחסון המפתחות. מידע נוסף: הענקת הרשאות מדיניות ארגונית לגישה לכספת המפתחות

7. הענק ל- Power Platform Dynamics 365 למנהלי מערכת הרשאה לקרוא את המדיניות הארגונית. מידע נוסף: הענק למנהל המערכת של Power Platform הרשאת קריאה של מדיניות הארגון

8. מרכז הניהול של Power Platform בוחר את הסביבה כדי להצפין ולהפעיל סביבה מנוהלת. מידע נוסף: הפעל את האפשרות להוסיף סביבה מנוהלת למדיניות הארגונית

9. מרכז הניהול של Power Platform מוסיף את הסביבה המנוהלת למדיניות הארגון. מידע נוסף: הוסף סביבה למדיניות הארגונית כדי להצפין נתונים

הפיכת שירות המדיניות הארגונית של Power Platform לזמין עבור מנוי Azure שלך

הירשם ל- Power Platform כספק משאבים. עליך לבצע משימה זו פעם אחת בלבד עבור כל מנוי Azure שבו שוכנת הכספת Azure המפתח שלך. אתה צריך להיות בעל זכויות גישה למנוי כדי לרשום את ספק המשאבים.

1. היכנס לפורטל Azure ועבור אל Subscription>ספקי משאבים.
2. ברשימת ספקי משאבים, חפש את Microsoft.PowerPlatform והירשם.

צור מדיניות ארגונית

1. התקן את PowerShell MSI. מידע נוסף: התקנת PowerShell ב- Windows, Linux ו- macOS
2. לאחר התקנת PowerShell MSI, חזור אל הצב תבנית מותאמת אישית ב- Azure.
3. בחר בקישור בנה תבנית משלך בעורך.
4. העתקת תבנית JSON זו לעורך מלל כגון Notepad. מידע נוסף: תבנית json של מדיניות ארגונית
5. החלף את הערכים בתבנית JSON עבור: EnterprisePolicyName, מיקום שבו יש ליצור EnterprisePolicy, keyVaultId, ו- keyName. מידע נוסף: הגדרות שדות עבור תבנית json
6. העתק את התבנית המעודכנת מעורך הטקסט ולאחר מכן הדבק אותה לתוך עריכה של התבנית של פריסה מותכת אישית ב- Azure ובחר Save.
7. בחר מינוי וקבוצת משאבים במקום שבו מדיניות הארגון תיווצר.
8. בחר סקירה + יצירה ולאחר מכן בחר צור.

הפריסה מתחילה. כשהיא תסתיים, מדיניות הארגון נוצרת.

תבנית json של מדיניות ארגונית

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

הגדרות שדות עבור תבנית JSON

• שם. שם של המדיניות הארגונית. זה השם של המדיניות שמופיע במרכז הניהול של Power Platform.

• מיקום . אחת מהאפשרויות הבאות. זהו המיקום של מדיניות הארגון ועליה להתאים לאזור של סביבת Dataverse:

  • "ארצות הברית"
  • "דרום אפריקה"
  • '"uk"'
  • "יפן"
  • "הודו"
  • '"france"'
  • '"europe"'
  • '"גרמניה"'
  • "שווייץ"
  • '"canada"'
  • "ברזיל"
  • '"australia"'
  • '"asia"'
  • "איחוד האמירויות הערביות"
  • '"korea"'
  • "נורווגיה"
  • "סינגפור"
  • "שוודיה"

• העתק את הערכים האלה ממאפייני הכספת המרכזית שלך בפורטל Azure:

  • keyVaultId: יש לעבור אל פריטי Key Vault> לבחור ב- Key Vault שלך>סקירה כללית. לצד Essentials בחר JSON View. העתק את מזהה המשאב ללוח והדבק את כל התוכן בתבנית JSON שלך.
  • keyName: יש לעבור אל פריטי Key Vault> לבחר ב- Key Vault שלך>מפתחות. שים לב לשם המפתח והקלד את השם בתבנית JSON שלך.

הענק הרשאות למדיניות ארגונית לגישה לכספת המפתחות

לאחר יצירת מדיניות הארגון, מנהל המערכת של כספת המפתחות מעניק למדיניות הארגונית/לזהות המנוהלת גישה למפתח ההצפנה.

1. היכנס לפורטל Azure ועבור אל כספת למפתח.
2. בחר את כספת המפתחות שבה המפתח הוקצה למדיניות הארגונית.
3. בחר את הכרטיסיה פקדי גישה (IAM) ובחר + הוסף.
4. בחר הוסף הקצאת תפקיד‬ מתוך הרשימה הנפתחת.
5. חפש משתמש ההצפנה של שירות הצפנה של Key Vault ובחר בו.
6. בחר הבא.
7. בחר + בחר חברים.
8. חפש את המדיניות הארגונית שיצרת.
9. בחר את שם המדיניות הארגונית ולאחר מכן בחר באפשרות בחר.
10. בחר סקירה והקצאה.

הגדרת ההרשאה לעיל מבוססת על מודל הרשאות של Azure בקרת גישה מבוססת תפקידים. אם ה- Key Vault מוגדר למדיניות גישה ל- Vault, מומלץ לעבור למודל מבוסס התפקידים. כדי להעניק גישה למדיניות הארגונית שלך ל- Key vault באמצעות מדיניות גישה ל- Vault, צור מדיניות גישה, בחר קבל בפעולות ניהול מפתחות ופתח אריזת מפתח וארוז מפתח בפעולות הצפנה.

הערה

כדי למנוע הפסקות מערכת לא מתוכננות, חשוב שלמדיניות הארגונית תהיה גישה למפתח. ודא כי:

• ה- Key Vault פעיל.
• המפתח פעיל ולא פג תוקפו.
• המפתח לא נמחק.
• הרשאות המפתח לעיל אינן מבוטלות.

הסביבות המשתמשות במפתח זה מושבתות כאשר מפתח ההצפנה אינו נגיש.

הענק למנהל המערכת של Power Platform הרשאת קריאה של מדיניות הארגון

מנהלי מערכת שיש להם תפקידי ניהול ב- Dynamics 365 או ב- Power Platform יכולים לגשת למרכז הניהול של Power Platform כדי להקצות סביבות למדיניות הארגונית. כדי לגשת למדיניות הארגון, מנהל המערכת עם גישת הכספת במפתחות Azure נדרש כדי להעניק את התפקיד Reader למנהל Power Platform. לאחר שתפקיד Reader יוענק, מנהל Power Platform יוכל להציג את המדיניות הארגונית במרכז הניהול של Power Platform.

הערה

רק מנהלי מערכת Dynamics 365 Power Platform ומנהלי מערכת המוענקים להם תפקיד הקורא במדיניות הארגונית יכולים להוסיף סביבה למדיניות. ייתכן שמנהלי מערכת אחרים של Power Platform או Dynamics 365 יוכלו להציג את המדיניות הארגונית, אך הם מקבלים שגיאה כאשר הם מנסים הוהוה סביבה למדיניות.

הענק תפקיד קורא למנהל המערכת של Power Platform

1. היכנס לפורטל Azure.
2. העתק את מזהה האובייקט של מנהל המערכת של Power Platform או Dynamics 365. לשם כך:
   1. עבור אל Users באזור Azure.
   2. ברשימה כל המשתמשים מצא את המשתמש בעל הרשאות מנהל מערכת של Power Platform או Dynamics 365 באמצעות חיפוש משתמשים.
   3. פתח את רשומת המשתמש, בכרטיסייה סקירה העתק את מזהה האובייקט של המשתמש. הדבק אותו בעורך טקסט כגון "Notepad" לשימוש מאוחר יותר.
3. העתק את מזהה המשאב של המדיניות הארגונית. לשם כך:
   1. עבור אל Resource Graph Explorer ב- Azure.
   2. הזן microsoft.powerplatform/enterprisepolicies בתיבה חיפוש ולאחר מכן בחר את המשאב microsoft.powerplatform/enterprisepolicies.
   3. בחר הפעל שאילתה בסרגל הפקודות. רשימת כל המדיניות הארגוניות של Power Platform מוצגת.
   4. אתר את המדיניות הארגונית שאליה ברצונך להעניק גישה.
   5. גלול מימין למדיניות הארגונית ובחר ראה פרטים.
   6. בדף פרטים העתק את המזהה.
4. התחל Azure Cloud Shell, והפעל את הפקודה הבאה תוך החלפת objId עם מזהה האובייקט של המשתמש ומזהה EP עם מזהה האובייקט של enterprisepolicies שהועתק בשלבים הקודמים: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

נהל הצפנה של הסביבה

כדי לנהל את ההצפנה של הסביבה, אתה זקוק להרשאה הבאה:

• משתמש פעיל ב-Microsoft Entra שיש לו תפקיד אבטחה של מנהל מערכת עבור Power Platform ו/או Dynamics 365.
• משתמש Microsoft Entra שגם בעל תפקיד מנהל שירות של Power Platform או Dynamics 365.

מנהל כספת המפתחות מודיע למנהל המערכת של Power Platform שנוצרו מפתח הצפנה ומדיניות ארגונית ומספק את מדיניות הארגון למנהל מערכת ב- Power Platform. כדי להפעיל את המפתח המנוהל על ידי לקוחות, מנהל המערכת ב- Power Platform מקצה את הסביבות שלו למדיניות הארגונית. לאחר שהסביבה מוקצית ונשמרת, Dataverse מתחיל את תהליך ההצפנה כדי להגדיר את כל נתוני הסביבה, ולהצפין אותם עם המפתח המנוהל על ידי הלקוח.

לאפשר הוספת סביבה מנוהלת למדיניות הארגונית

1. היכנס אל מרכז הניהול של Power Platform.
2. בחלונית הניווט, יש לבחור ניהול.
3. בחלונית ניהול, בחרו סביבות ולאחר מכן בחרו סביבה מרשימת הסביבות הזמינה.
4. בחרו אפשר סביבות מנוהלות.
5. בחר הפעל.

הוסף סביבה למדיניות הארגונית כדי להצפין נתונים

חשוב

הסביבה הופכת ללא זמינה בעת הוספתה למדיניות הארגונית עבור הצפנת נתונים. משך זמן ההשבתה של המערכת תלוי בגודל מסד הנתונים. מומלץ לבצע פעולת בדיקה על-ידי הפיכת עותק של סביבת היעד לסביבת בדיקה כדי לקבוע את זמן ההשבתה המשוער של המערכת. ניתן לקבוע את זמן השבתת המערכת על-ידי בדיקת מצב ההצפנה של הסביבה. זמן השבתת המערכת הוא בין המצבים הצפנה להצפנה - מקוון כדי לצמצם את זמן ההשבתה של המערכת, אנו משנים את מצב ההצפנה להצפנה - מקוון כאשר כל שלבי ההצפנה המרכזיים שדרשו את השבתת המערכת הושלמו. המשתמשים שלך יכולים להשתמש במערכת בזמן שהשירותים הנותרים, כגון חיפוש ואינדקס Copilot, ממשיכים להצפין את הנתונים באמצעות המפתח המנוהל על-ידי הלקוח.

1. היכנס אל מרכז הניהול של Power Platform.
2. בחלונית הניווט, בחר אבטחה.
3. בחלונית אבטחה, בחרו נתונים ופרטיות תחת הגדרות.
4. בחרו מפתח הצפנה המנוהל על-ידי לקוח כדי לעבור אל הדף מדיניות ארגונית.
5. בחרי מדיניות, ולאחר מכן בחרו עריכת מדיניות.
6. בחר הוסף סביבות, בחר את הסביבה הרצויה ולאחר מכן בחר המשך.
7. בחר שמור ולאחר מכן בחר אשר.

חשוב

• רק סביבות שנמצאות באותו אזור כמו מדיניות הארגון מוצגות ברשימה הוסף סביבות.
• השלמת ההצפנה עשויה להימשך עד ארבעה ימים, אך ייתכן שהסביבה תופעל לפני שתסתיים הפעולה הוסף סביבות.
• ייתכן שהפעולה לא תושלם. אם היא תיכשל, הנתונים שלכם ממשיכים להיות מוצפנים עם מפתח מנוהל של Microsoft. באפשרותך להפעיל שוב את הפעולההוספת סביבות.

הערה

ניתן להוסיף רק סביבות שהוגדרו כזמינות כסביבות מנוהלות. לא ניתן להוסיף סוגי סביבת ניסיון ו-Teams למדיניות הארגון.

הסרת סביבות מהמדיניות כדי לחזור למפתח המנוהל של Microsoft

בצעו את השלבים הבאים אם ברצונכם לחזור למפתח הצפנה מנוהל של Microsoft.

חשוב

הסביבה הופכת ללא זמינה כאשר היא מוסרת מהמדיניות הארגונית כדי להחזיר הצפנת נתונים באמצעות המפתח המנוהל Microsoft.

1. היכנס אל מרכז הניהול של Power Platform.
2. בחלונית הניווט, בחר אבטחה.
3. בחלונית אבטחה, בחרו נתונים ופרטיות תחת הגדרות.
4. בחרו מפתח הצפנה המנוהל על-ידי לקוח כדי לעבור אל הדף מדיניות ארגונית.
5. בחר בכרטיסיה סביבה עם מדיניות ולאחר מכן מצא את הסביבה שברצונך להסיר מהמפתח המנוהל על ידי לקוחות.
6. בחר בכרטיסיה כל המדיניות, בחר את הסביבה שאימתת בשלב 2, ולאחר מכן בחר ערוך מדיניות בשורת הפקודות.
7. בחר הסר סביבה בשורת הפקודות, בחר את הסביבה שברצונך להסיר ובחר המשך.
8. בחר שמור.

חשוב

הסביבה הופכת ללא זמינה כאשר היא מוסרת מהמדיניות הארגונית כדי להחזיר את הצפנת הנתונים למפתח המנוהל על ידי Microsoft. אין למחוק או להשבית את המפתח, למחוק או להשבית את ה- Key Vault, או להסיר את ההרשאות של מדיניות הארגון ל- Key Vault. הגישה למפתח ול- Key vault נחוצה כדי לתמוך בשחזור מסד הנתונים. ניתן למחוק ולהסיר את הרשאות המדיניות הארגונית לאחר 30 יום.

סקירת את מצב ההצפנה של הסביבה

סיקרת מצב ההצפנה ממדיניות הארגון

1. היכנס אל מרכז הניהול של Power Platform.

2. בחלונית הניווט, בחר אבטחה.

3. בחלונית אבטחה, בחרו נתונים ופרטיות תחת הגדרות.

4. בחרו מפתח הצפנה המנוהל על-ידי לקוח כדי לעבור אל הדף מדיניות ארגונית.

5. בחרו מדיניות ולאחר מכן בחרו עריכת מדיניות בסרגל הפקודות.

6. יש לבדוק את מצב ההצפנה של הסביבה במקטע סביבות עם מדיניות זו.

   הערה

   מצב ההצפנה של הסביבה יכול להיות:

   • הצפנה – תהליך הצפנת המפתח המנוהל על-ידי הלקוח פועל והמערכת מושבתת לשימוש מקוון.

   • הצפנה - מקוון – הצפנת כל שירותי הליבה שדרשו זמן השבתה של המערכת הושלמה והמערכת מופעלת לשימוש מקוון.

   • מוצפן – מפתח ההצפנה של מדיניות הארגון פעיל והסביבה מוצפנת באמצעות המפתח שלכם.

   • חזרה למצב קודם – מפתח ההצפנה משתנה ממפתח המנוהל על-ידי לקוח למפתח המנוהל על-ידי Microsoft והמערכת מושבתת לשימוש מקוון.

   • החזרה למצב קודם - מקוון - כל שירותי הליבה שדרשו זמן השבתה של המערכת החזירו את המפתח למצב הקודם והמערכת מופעלת לשימוש מקוון.

   • מפתח המנוהל על-ידי Microsoft - הצפנת המפתח המנוהל על-ידי Microsoft פעילה.

   • נכשל - מפתח ההצפנה של המדיניות הארגונית אינו בשימוש על-ידי כל שירותי האחסון של Dataverse. הם דורשים זמן עיבוד רב יותר וניתן להפעיל מחדש את הפעולה הוספת סביבה. אם ההפעלה החוזרת נכשלה, יש לפנות לתמיכה.

     מצב הצפנה שנכשל אינו משפיע על נתוני הסביבה שלך ועל פעולותיהם. משמעות הדבר היא שחלק משירותי האחסון של Dataverse מצפינים את הנתונים שלך באמצעות המפתח שלך וחלקם ממשיכים להשתמש במפתח המנוהל על-ידי Microsoft. חזרה למצב קודם אינה מומלצת מכיוון שבעת הפעלה מחדש של הפעולה הוספת סביבה, השירות ממשיך מהמקום שבו הפסיק.

   • אזהרה - במפתח ההצפנה של מדיניות הארגון פעיל ונתונים של השירות ממשיכים להיות מוצפנים באמצעות המפתח המנוהל על-ידי Microsoft. קבל מידע נוסף Power Automate הודעות אזהרה של יישום CMK.

בדיקת מצב ההצפנה מדף היסטוריית הסביבה

ניתן לראות את היסטוריית הסביבה.

1. היכנס אל מרכז הניהול של Power Platform.

2. בחלונית הניווט, יש לבחור ניהול.

3. בחלונית ניהול, בחרו סביבות ולאחר מכן בחרו סביבה מרשימת הסביבות הזמינה.

4. בסרגל הפקודות, לבחור היסטוריה.

5. יש לאתר את ההיסטוריה של עדכון מפתח בניהול לקוח.

   הערה

   המצב מציג פועל כאשר ההצפנה מתבצעת. הוא מציג הצליח כאשר ההצפנה הושלמה. המצב מציג נכשל כאשר קיימת בעיה כלשהי ואחד השירותים אינו מצליח להחיל את מפתח ההצפנה.

   מצב נכשל יכול להוות אזהרה ואין צורך להפעיל מחדש את האפשרות הוסף סביבה. באפשרותך לאשר אם מדובר באזהרה.

שנה את מפתח ההצפנה של הסביבה עם מדיניות ארגונית ומפתח חדש

כדי לשנות את מפתח ההצפנה שלך, צור מפתח חדש ומדיניות ארגונית חדשה. תוכל לשנות את מדיניות הארגון על ידי הסרת סביבות והוספת הסביבות למדיניות הארגונית החדשה. המערכת תושבת פעמיים בעת מעבר למדיניות ארגונית חדשה - 1) כדי להחזיר את ההצפנה למפתח מנוהל של Microsoft ו-2) כדי להחיל את המדיניות הארגונית החדשה.

עצה

כדי לסובב את מפתח ההצפנה, אנו ממליצים להשתמש בגרסה חדשה של Key vaults או להגדיר מדיניות החלפה.

1. בפורטל Azure, צור מפתח חדש ומדיניות ארגונית חדשה. מידע נוסף: צור מפתח הצפנה והענק גישה וצור מדיניות ארגונית
2. העניקו למדיניות הארגונית החדשה גישה למפתח הישן.
3. לאחר יצירת המפתח החדש והמדיניות הארגונית, היכנסו למרכז הניהול של Power Platform.
4. בחלונית הניווט, בחר אבטחה.
5. בחלונית אבטחה, בחרו נתונים ופרטיות תחת הגדרות.
6. בחרו מפתח הצפנה המנוהל על-ידי לקוח כדי לעבור אל הדף מדיניות ארגונית.
7. בחר בכרטיסיה סביבה עם מדיניות ולאחר מכן מצא את הסביבה שברצונך להסיר מהמפתח המנוהל על ידי לקוחות.
8. בחר בכרטיסיה כל המדיניות, בחר את הסביבה שאימתת בשלב 2, ולאחר מכן בחר ערוך מדיניות בשורת הפקודות.
9. בחר הסר סביבה בשורת הפקודות, בחר את הסביבה שברצונך להסיר ובחר המשך.
10. בחר שמור.
11. חזור על שלבים 2-10 עד שכל הסביבות במדיניות הארגון הוסרו.

חשוב

הסביבה הופכת ללא זמינה כאשר היא מוסרת מהמדיניות הארגונית כדי להחזיר את הצפנת הנתונים למפתח המנוהל על ידי Microsoft. אין למחוק או להשבית את המפתח, למחוק או להשבית את ה- Key Vault, או להסיר את ההרשאות של מדיניות הארגון ל- Key Vault. העניקו את המדיניות הארגונית החדשה למאגר המפתחות הישן. הגישה למפתח ול- Key vault נחוצה כדי לתמוך בשחזור מסד הנתונים. ניתן למחוק ולהסיר את ההרשאות של מדיניות הארגון לאחר 30 יום.

12. לאחר הסרת כל הסביבות, ממרכז הניהול של Power Platform עברו אל מדיניות ארגונית.
13. בחר את המדיניות הארגונת החדשה ולאחר מכן בחר ערוך מדיניות.
14. בחר הוסף סביבה, בחר את הסביבות שברצונך להוסיף ולאחר מכן בחר המשך.

חשוב

הסביבה הופכת ללא זמינה בעת הוספתה למדיניות הארגונית החדשה.

סובב את מפתח ההצפנה של הסביבה עם גרסת מפתח חדשה

אפשר לשנות את מפתח ההצפנה של הסביבה על ידי יצירה של גרסת מפתח חדשה. כאשר אתה יוצר גרסת מפתח חדשה, גרסת המפתח החדשה מופעלת באופן אוטומטי. כל משאבי האחסון מזהים את גרסת המפתח החדשה ומתחילים ליישם אותה כדי להצפין את הנתונים שלך.

כאשר אתה משנה את המפתח או את גרסת המפתח, ההגנה על מפתח ההצפנה הבסיסית משתנה, אך הנתונים באחסון נשארים תמיד מוצפנים עם המפתח שלך. אין צורך בפעולה נוספת מצידך כדי להבטיח שהנתונים שלך מוגנים. סיבוב גרסת המפתח אינו משפיע על הביצועים. אין זמן השבתה הקשור להחלפת גרסת המפתח. זה יכול לקחת 24 שעות עד שכל ספקי המשאבים יתחילו להחיל את גרסת המפתח החדשה ברקע. אין להשבית את גרסת המפתח הקודמת מכיוון שהיא נדרשת כדי שהשירות ישתמש בה להצפנה מחדש ולתמיכה בשחזור מסד נתונים.

כדי לסובב את מפתח ההצפנה על ידי יצירת גרסת מפתח חדשה, השתמש בשלבים הבאים.

1. עבור אל פורטל Azure>כספת במקשים ואתר את מאגר המקשים שבו ברצונך ליצור גירסת מפתח חדשה.
2. עבור אל מפתחות.
3. בחר את המפתח הנוכחי שפעיל.
4. בחר + גירסה חדשה.
5. ברירת המחדל של ההגדרה מופעל היא כן, מה שאומר שגירסת המפתח החדשה מופעלת אוטומטית בעת היצירה.
6. בחר צור.

עצה

כדי לציית למדיניות סבב המפתחות, תוכל לבצע סבב במפתח ההצפנה באמצעות מדיניות הסבב. אתה יכול להגדיר מדיניות סבב או ליצור סבב, לפי דרישה, על ידי הפעלת התכונה סובב עכשיו.

חשוב

גירסת המפתח החדשה מתחלפת באופן אוטומטי ולא נדרשת כל פעולה על-ידי מנהל המערכת של Power Platform. חשוב שלא להשבית או למחוק את גירסת המפתח הקודמת למשך 28 יום לפחות כדי לתמוך בשחזור מסד הנתונים. השבתה או מחיקה של גרסת המפתח הקודמת מוקדם מדי עלולה להפוך את הסביבה שלך למצב לא מקוון.

הצג את רשימת הסביבות המוצפנות

1. היכנס אל מרכז הניהול של Power Platform.
2. בחלונית הניווט, בחר אבטחה.
3. בחלונית אבטחה, בחרו נתונים ופרטיות תחת הגדרות.
4. בחרו מפתח הצפנה המנוהל על-ידי לקוח כדי לעבור אל הדף מדיניות ארגונית.
5. בדף מדיניות ארגונית בחר בכרטיסיה סביבות עם מדיניות. מוצגת רשימת הסביבות שנוספו למדיניות הארגונית.

הערה

ייתכנו מצבים שבהם מצב הסביבה או מצב ההצפנה הוא מצב נכשל. כאשר מצב זה מתרחש, באפשרותך לנסות להפעיל שוב את הוספת סביבה או לשלוח בקשת תמיכה של Microsoft לקבלת עזרה.

פעולות מסד נתונים של סביבה

לדייר לקוח יכולות להיות סביבות המוצפנות באמצעות המפתח המנוהל של Microsoft וסביבות המוצפנות בעזרת המפתח המנוהל של הלקוח. כדי לשמור על שלמות הנתונים והגנת הנתונים, הפקדים הבאים זמינים בעת ניהול פעולות של מסד נתונים של סביבה.

• שחזור הסביבה להחלפה (המשוחזרת לסביבה) מוגבל לאותה סביבה שממנה נלקח הגיבוי או לסביבה אחרת המוצפנת בעזרת אותו מפתח מנוהל של לקוח.

  

• העתק

  הסביבה להחלפה (שהועתקה לסביבה) מוגבלת לסביבה אחרת המוצפנת בעזרת אותו מפתח מנוהל של לקוח.

  

  הערה

  אם נוצרה סביבת בדיקת תמיכה כדי לפתור בעיית תמיכה בסביבה מנוהלת של לקוח, מפתח ההצפנה עבור סביבת בדיקת התמיכה מוכרח להשתנות למפתח מנוהל של לקוח לפני שפעולת העתקת הסביבה תוכל להתבצע.

• איפוס הנתונים המוצפנים של הסביבה יימחקו, כולל גיבויים. לאחר איפוס הסביבה, הצפנת הסביבה תחזור למפתח המנוהל של Microsoft.

‏‫השלבים הבאים‬

אודות Azure Key Vault