שתף באמצעות

נהל את מפתח הצפנת הסביבה שלך המנוהל על-ידי לקוח

  • מאמר

ללקוחות יש דרישות פרטיות ותאימות לאבטחת הנתונים שלהם על ידי הצפנת הנתונים שלהם בזמן מנוחה. זה מבטיח את הנתונים מפני חשיפה במקרה שבו עותק של מסד הנתונים נגנב. עם הצפנת נתונים במנוחה, נתוני מסד הנתונים הגנובים מוגנים מפני שחזור לשרת אחר ללא מפתח ההצפנה.

כל נתוני הלקוחות המאוחסנים ב Power Platform מוצפנים בזמן מנוחה עם מפתחות הצפנה חזקים Microsoftמנוהלים כברירת מחדל. Microsoft מאחסן ומנהל את מפתח ההצפנה של מסד הנתונים עבור כל הנתונים שלך כך שלא תצטרך. עם זאת, Power Platform מספק מפתח הצפנה בניהול לקוח (CMK) עבור בקרת הגנת הנתונים הנוספת שלך, כך שתוכל לנהל בעצמך את מפתח ההצפנה של מסד הנתונים המשויך לסביבת Microsoft Dataverse שלך. זה מאפשר לך לסובב או להחליף את מפתח ההצפנה לפי דרישה, וגם מאפשר לך למנוע את הגישה של Microsoft לנתוני הלקוחות שלך כאשר אתה מבטל את גישת המפתח לשירותים שלנו בכל עת.

למידע נוסף על המפתח המנוהל של הלקוח ב- Power Platform, צפה בסרטון על המפתח המנוהל של הלקוח.

פעולות מפתח הצפנה אלו זמינות עם מפתח בניהול לקוח (CMK):

  • צור מפתח RSA ‏(RSA-HSM) מהכספת שלך ב-Azure Key.
  • צור מדיניות ארגונית של Power Platform עבור המפתח שלך.
  • הענק למדיניות ארגונית שלך ב- Power Platform הרשאת גישה לכספת המפתחות שלך.
  • הענק למנהל שירות Power Platform הרשאה לקרוא את מדיניות הארגון.
  • החלת מפתח ההצפנה שלך על סביבה.
  • לחזור/remove הצפנת CMK של הסביבה למפתח מנוהל Microsoft.
  • שנה מפתח על ידי יצירת מדיניות ארגונית חדשה, הסרת הסביבה מ-CMK והחלה מחדש של CMK עם מדיניות ארגונית חדשה.
  • נעל סביבות CMK על ידי ביטול כספת מפתח CMK ו/או הרשאות מפתח.
  • העבר סביבות מסוג bring-your-own-key (BYOK) ל- CMK על ידי החלת מפתח CMK.

נכון לעכשיו, כל נתוני הלקוחות שלך המאוחסנים רק באפליקציות ובשירותים הבאים יכולים להיות מוצפנים באמצעות מפתח בניהול לקוחות:

  • Dataverse (פתרונות ו Microsoft שירותים מותאמים אישית)
  • Dataverse Copilot ליישומים מונחי-דגמים
  • Power Automate1
  • Power Apps
  • צ'אט עבור Dynamics 365
  • Dynamics 365 Sales
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Finance ‏(Finance ו- operations)
  • Dynamics 365 Intelligent Order Management ‏(Finance ו- operations)
  • Dynamics 365 Project Operations (Finance ו- Operations)
  • Dynamics 365 Supply Chain Management (Finance ו- Operations)
  • Dynamics 365 Fraud Protection (Finance ו- Operations)

1 כאשר אתה מחיל את המפתח המנוהל על ידי הלקוח על סביבה שיש בה Power Automate זרימות קיימות, נתוני התזרים ממשיכים להיות מוצפנים עם מפתח מנוהל Microsoft. מידע נוסף: Power Automate מפתח מנוהל על-ידי לקוח.

הערה

Nuance Conversational IVR ו תוכן הפתיחה של Maker אינם נכללים בהצפנת מפתח בניהול הלקוח.

Microsoft Copilot Studio מאחסן את הנתונים שלו באחסון שלהם וב Microsoft Dataverse. כאשר אתה מחיל את המפתח המנוהל על ידי הלקוח על סביבות אלה, רק מאגרי הנתונים ב- Microsoft Dataverse מוצפנים עם המפתח שלך. הנתונים שאינםMicrosoft Dataverse ממשיכים להיות מוצפנים בעזרת המפתח המנוהל Microsoft.

הערה

הגדרות החיבור למחברים ימשיכו להיות מוצפנות עם מפתח מנוהל Microsoft.

צור קשר עם נציג עבור שירותים שאינם מופיעים ברשימה שלמעלה, לקבלת מידע על תמיכה במפתח בניהול לקוחות.

הערה

Power Apps שמות תצוגה, תיאורים ומטא נתונים של חיבור ממשיכים להיות מוצפנים עם מפתח מנוהל Microsoft.

הערה

תוצאות ההורדה לקשר ונתונים אחרים שנוצרו על ידי אכיפת בודק פתרונות במהלך בדיקת פתרון ממשיכים להיות מוצפנים עם מפתח מנוהל Microsoft.

ניתן להצפין גם סביבות עם אפליקציות פיננסים ותפעול שבהן מופעלת האינטגרציה של Power Platform. סביבות פיננסים ותפעול ללא Power Platform אינטגרציה ימשיכו להשתמש במפתח Microsoft ברירת המחדל המנוהל להצפנת נתונים. מידע נוסף: הצפנה באפליקציות פיננסים ותפעול

מפתח הצפנה המנוהל על-ידי לקוח ב- Power Platform

מבוא למפתח שמנוהל על ידי לקוח

עם מפתח שמנוהל על ידי לקוחות, מנהלי המערכת יכולים לספק מפתח הצפנה משלהם מהכספת של Azure Key Vault לשירותי האחסון של Power Platform כדי להצפין את נתוני הלקוחות שלהם. Microsoft אין גישה ישירה לכספת ה-Azure Key Vault. כדי ששירותי Power Platform יוכלו לגשת למפתח ההצפנה מ- Azure Key Vault, מנהל המערכת יוצר מדיניות ארגונית ב- Power Platform, המתייחסת למפתח ההצפנה ומעניקה למדיניות ארגונית זו גישה לקריאת המפתח מ- Azure Key Vault.

לאחר מכן, מנהל המערכת של שירות Power Platform יכול להוסיף סביבות Dataverse למדיניות הארגונית כדי להתחיל להצפין את כל נתוני הלקוחות בסביבה באמצעות מפתח ההצפנה שלך. מנהלי מערכת יכולים לשנות את מפתח ההצפנה של הסביבה על ידי יצירת מדיניות ארגונית אחרת ולהוסיף את הסביבה (לאחר הסרתה) למדיניות הארגונית החדשה. אם הסביבה כבר לא צריכה להיות מוצפנת באמצעות המפתח בניהול הלקוח שלך, מנהל מערכת יכול להסיר את ה Dataverse סביבה ממדיניות הארגון כדי לחזור את הצפנת הנתונים בחזרה ל Microsoft- מפתח מנוהל.

מנהל המערכת יכול לנעול את סביבות המפתח המנוהלות על ידי הלקוח על ידי ביטול גישת מפתח ממדיניות הארגון ולבטל את נעילת הסביבות על ידי שחזור גישת המפתח. מידע נוסף: נעל סביבות על ידי ביטול גישת כספת מפתח ו/או הרשאת מפתח

כדי לפשט את משימות ניהול המפתח, המשימות מחולקות לשלושה תחומים עיקריים:

  1. צור מפתח הצפנה.
  2. צור מדיניות ארגונית והענק גישה.
  3. נהל הצפנה של הסביבה.

אזהרה

כאשר סביבות נעולות, אף אחד לא יכול לגשת אליהן, כולל Microsoft תמיכה. סביבות שנעולות מושבתות, מה שיכול לגרום לאובדן נתונים.

דרישות רישוי עבור מפתח מנוהל על ידי לקוח

מדיניות המפתחות שמנוהלת על ידי לקוח נאכפת רק על סביבות המופעלות עבור סביבות מנוהלות. סביבות מנוהלות נכללות כזכאות ברישיונות עצמאיים של Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages ו- Dynamics 365 המעניקים זכויות שימוש מובחרות. למידע נוסף על רישוי לסביבה מנוהלת, עם סקירת רישוי עבור Microsoft Power Platform.

בנוסף, גישה לשימוש במפתח מנוהל על ידי לקוח עבור Microsoft Power Platform ו- Dynamics 365 מחייבת משתמשים בסביבות שבהן מדיניות מפתח ההצפנה נאכפת להחזיק באחד מהמנויים הבאים:

  • Microsoft 365 או Office 365 A5/E5/G5
  • Microsoft 365 תאימות A5/E5/F5/G5
  • Microsoft 365 F5 אבטחה ותאימות
  • Microsoft 365 A5/E5/F5/G5 הגנה ופיקוח על מידע
  • Microsoft 365 A5/E5/F5/G5 ניהול סיכוני פנים

למידע נוסף על רישיונות אלו.

הבנת הסיכון הפוטנציאלי בעת ניהול המפתח שלך

כמו בכל יישום עסקי קריטי, כוח אדם בארגון שלך, בעל גישה ברמת ניהול, חייב להיות מהימן. לפני שתשתמש בתכונה 'ניהול מפתחות', עליך להבין את הסיכון בעת ניהול מפתחות ההצפנה של מסד הנתונים שלך. ייתכן שמנהל מערכת זדוני (אדם שהוענקה לו או שקיבל גישה ברמת מנהל עם כוונה לפגוע באבטחת הארגון או בתהליכים העסקיים) שעובד בתוך הארגון שלך ישתמש בתכונה 'ניהול מפתחות' כדי ליצור מפתח ולהשתמש בו לנעילת כל הסביבות שלך בדייר.

שקול את רצף האירועים הבא.

המנהל הזדוני של כספת המפתחות יוצר מפתח ומדיניות ארגונית בפורטל Azure. מנהל המערכת של Azure Key Vault עובר למרכז הניהול של Power Platform ומוסיף סביבות למדיניות הארגונית. לאחר מכן, מנהל המערכת הזדוני חוזר לפורטל Azure ומבטל גישת מפתח למדיניות הארגונית ובכך נועל את כל הסביבות. כתוצאה מכך יהיו הפרעות בכל העסק, מכיוון שכל הסביבות הופכות בלתי נגישות, ואם אירוע זה לא נפתר, כלומר, הגישה למפתח לא משוחזרת, נתוני הסביבות עלולים ללכת לאיבוד.

הערה

  • ל- Azure Key Vault יש אמצעי הגנה מובנים שמסייעים בשחזור המפתח, ודורשים שהגדרות כספת המפתחות מחיקה זמנית וגם הגנה מפני מחיקה לצמיתות יהיו מופעלות.
  • אמצעי הגנה נוסף שיש לקחת בחשבון הוא לוודא שיש הפרדה בין משימות שבהן לא ניתנת גישה למנהל מערכת של Azure Key Vault במרכז הניהול של Power Platform.

הפרדת החובה להפחתת הסיכון

סעיף זה מתאר את החובות של תכונת המפתח בניהול לקוח שכל תפקיד מנהל אחראי עליהן. הפרדת המשימות הללו עוזרת להפחית את הסיכון הכרוך במפתחות בניהול לקוחות.

Azure Key Vault ומשימות של Power Platform לניהול שירות/Dynamics 365

כדי לאפשר מפתחות בניהול לקוחות, תחילה מנהל המערכת של כספת המפתחות יוצר מפתח ב- Azure Key Vault ויוצר מדיניות ארגונית של Power Platform. כאשר מדיניות הארגון נוצרת, נוצרת זהות מנוהלת מיוחדת של Microsoft Entra ID. לאחר מכן, מנהל המערכת של כספת המפתחות חוזר ל- Azure Key Vault ומעניק למדיניות הארגונית/לזהות המנוהלת גישה למפתח ההצפנה.

מנהל המערכת של כספת המפתחות מעניק את גישת הקריאה המתאימה של מנהל שירות Power Platform/Dynamics 365 למדיניות הארגונית. לאחר שניתנת הרשאת קריאה, מנהל שירות Power Platform/Dynamics 365 יכול להיכנס אל מרכז הניהול של Power Platform ולהוסיף סביבות למדיניות הארגונית. כל נתוני הלקוחות בסביבות שנוספו מוצפנים לאחר מכן עם המפתח המנוהל על ידי הלקוח המקושר למדיניות ארגונית זו.

‏‫דרישות מוקדמות‬
  • מינוי Azure הכולל מודולי אבטחת חומרה מנוהלים של Azure Key Vault או Azure Key Vault.
  • A Microsoft Entra מזהה עם:
    • הרשאת משתתף למינוי Microsoft Entra.
    • הרשאה ליצור Azure Key Vault ומפתח.
    • גישה ליצירה של קבוצת משאבים. זה נדרש כדי להגדיר את כספת המפתחות.
צור את המפתח והענקת גישה באמצעות Azure Key Vault

מנהל המערכת של Azure Key Vault מבצע משימות אלה ב- Azure.

  1. צור מנוי בתשלום של Azure ו-Key Vault. התעלם משלב זה אם כבר יש לך מנוי הכולל את Azure Key Vault.
  2. עבור לשירות Azure Key Vault, וצור מפתח. מידע נוסף: צור מפתח בכספת המפתחות
  3. הפעל את שירות מדיניות ארגוני של Power Platform עבור מנוי Azure שלך. עשה זאת רק פעם אחת. מידע נוסף: הפעל את שירות מדיניות ארגוני של Power Platform עבור מנוי Azure שלך
  4. צור מדיניות ארגונית ב- Power Platform. לקבלת מידע נוסף: יצירת מדיניות ארגונית
  5. הענק הרשאות של מדיניות ארגונית לצורך גישה לכספת המפתחות. מידע נוסף: הענק הרשאות של מדיניות ארגונית לצורך גישה לכספת המפתחות
  6. הענק למנהלי המערכת של Power Platform ו- Dynamics 365 הרשאה לקרוא את המדיניות הארגונית. מידע נוסף: הענק למנהל המערכת של Power Platform הרשאת קריאה של מדיניות הארגון

משימות מרכזיות של מנהל מערכת של Power Platform/מנהל שירות Dynamics 365 Power Platform

דרישה מוקדמת
  • מנהל מערכת של Power Platform צריך להיות מוקצה לתפקיד מנהל מערכת של Power Platform או מנהל שירות של Dynamics 365 Service Microsoft Entra.
ניהול הצפנה של סביבה במרכז הניהול של Power Platform

מנהל המערכת של Power Platform מנהל משימות מפתח בניהול לקוחות הקשורות לסביבה במרכז הניהול של Power Platform.

  1. הוסף את הסביבות של Power Platform למדיניות הארגונית כדי להצפין נתונים עם המפתח המנוהל על ידי הלקוח. מידע נוסף: הוסף סביבה למדיניות הארגונית כדי להצפין נתונים
  2. הסר סביבות ממדיניות הארגון כדי להחזיר הצפנה ל Microsoft מפתח מנוהל. מידע נוסף: הסר סביבות מהמדיניות כדי לחזור ל Microsoft מפתח מנוהל
  3. שנה את המפתח על ידי הסרת סביבות ממדיניות הארגון הישנה והוספת סביבות למדיניות ארגונית חדשה. מידע נוסף: צור מפתח הצפנה והענק גישה
  4. העבר מ-BYOK. אם אתה משתמש בתכונת מפתח ההצפנה הקודמת בניהול עצמי, תוכל להעביר את המפתח שלך למפתח בניהול לקוח. מידע נוסף: העבר סביבות מסוג 'מפתח משלך' למפתח בניהול לקוחות

צור את מפתח ההצפנה והענק גישה

צור מנוי בתשלום של Azure ו-Key Vault

ב- Azure, בצע את השלבים הבאים:

  1. צור מנוי מסוג '‏‫תשלום לפי שימוש‬' או מנוי Azure המקביל לו. אין צורך בשלב זה אם לדייר כבר יש מנוי.

  2. יצירה של קבוצת משאבים. מידע נוסף: יצירת משאב

    הערה

    צור או השתמש בקבוצת משאבים שיש לה מיקום, למשל, מרכז ארה"ב, התואם לאזור של הסביבה ב- Power Platform, כגון ארצות הברית.

  3. צור כספת מפתחות באמצעות המנוי בתשלום הכולל הגנת מחיקה וניקוי זמני עם קבוצת המשאבים שיצרת בשלב הקודם.

    חשוב

צור מפתח בכספת המפתחות

  1. וודא כי תנאים מוקדמים אלה מתקיימים.
  2. עבור אל פורטל Azure>Key Vault ואתר את כספת המפתחות שבה ברצונך ליצור מפתח הצפנה.
  3. אמת את הגדרות Azure key vault:
    1. בחר מאפיינים תחת הגדרות.
    2. תחת מחיקה זמנית, הגדר או ודא שההגדרה היא מחיקה זמנית הופעלה בכספת המפתחות.
    3. תחת הגנה מפני מחיקה לצמיתות, הגדר או ודא שהאפשרות אפשר הגנה מפני מחיקה לצמיתות (אכוף תקופת שמירה חיונית עבור כספות ואובייקטי כספת שנמחקו) מופעלת.
    4. אם עשית שינויים, בחר שמור.
צור מפתחות RSA

  1. צור או ייבא מפתח בעל המאפיינים הבאים:

    1. בדפי המאפיינים של Key Vault, בחר מפתחות.
    2. בחר Generate/Import.
    3. במסך צור מפתח, הגדר את הערכים הבאים ובחר צור.
      • אפשרויות: צור
      • שם: ספק שם למפתח
      • סוג מפתח: RSA
      • גודל מפתח RSA: 2048

    חשוב

    אם תגדיר תאריך תפוגה במפתח שלך ותוקפו של המפתח פג, כל הסביבות המוצפנות עם מפתח זה יושבתו. הגדר התראה למעקב אחר אישורי תפוגה עם הודעות דוא"ל למנהל ה Power Platform המקומי ולמנהל הכספת של Azure key כתזכורת לחידוש תאריך התפוגה. זה חשוב כדי למנוע הפסקות מערכת לא מתוכננות.

ייבוא מפתחות מוגנים עבור מודולי אבטחת חומרה (HSM)

אפשר להשתמש במפתחות המוגנים עבור מודולי אבטחת חומרה (HSM) כדי להצפין את סביבות ה- Power Platform Dataverse שלך. יש לייבא את המפתחות המוגנים ב- HSM אל ה- Key Vault כדי שניתן יהיה ליצור מדיניות ארגונית. למידע נוסף, ראה פריטי HSM נתמכיםייבוא ​​מפתחות מוגני HSM ל-Key Vault ‏(BYOK).

יש ליצור מפתח ב- HSM מנוהל של Azure Key Vault

אפשר להשתמש במפתח הצפנה שנוצר מ-Azure Key Vault Managed HSM כדי להצפין את נתוני הסביבה שלך. זה נותן לך תמיכה ב-Fips 140-2 ברמה 3.

צור מפתחות RSA-HSM

  1. וודא כי תנאים מוקדמים אלה מתקיימים.

  2. עבור אל פורטלAzure .

  3. צור HSM מנוהל:

    1. הקצאה ה-HSM המנוהל.
    2. הפעל את ה-HSM המנוהל.

  4. אפשר הגנה מפני מחיקה לצמיתות ב-HSM המנוהל שלך.

  5. הענק את התפקיד משתמש Crypto של HSM מנוהל לאדם שיצר את כספת מפתחות HSM המנוהלים.

    1. גש לכספת מפתחות HSM המנוהלת בפורטל Azure.
    2. נווט אל RBAC מקומי ובחר + הוסף.
    3. ברשימה הנפתחת תפקיד בחר את התפקיד משתמש Crypto של HSM מנוהל בדף הקצאת תפקיד.
    4. בחר כל המפתחות תחת טווח.
    5. בחר באפשרות בחר מנהל אבטחה, ולאחר מכן בחר את מנהל המערכת בדף הוסף מנהל אבטחה.
    6. בחר צור.

  6. יצירת מפתח RSA-HSM:

    • אפשרויות: צור
    • שם: ספק שם למפתח
    • סוג מפתח: RSA-HSM
    • גודל מפתח RSA: 2048

    הערה

    נתמכים גדלי מפתח RSA-HSM: 2048-bit ו-3072-bit.

אתה יכול העבודה ברשת של Azure Key Vault שלך על ידי הפעלת נקודת קצה פרטית ושימוש במפתח שב- Key Vault כדי להצפין סביבות ה- Power Platform שלך.

אתה יכול ליצור Key Vault חדשה וליצור חיבור ak קישור פרטי או ליצור חיבור קישור פרטי לכספת Key Vault הקיימת, וצור מפתח ה- Key Vault הזו והשתמש בו כדי להצפין את הסביבה שלך. אתה יכול גם ליצור חיבור קישור פרטי לכספת Key Vault קיימת לאחר שכבר יצרת מפתח והשתמשת בו כדי להצפין את הסביבה שלך.

  1. צור Azure Key Vault עם האפשרויות הבאות:

    • הפוך את התכונה הגנה ממחיקה לצמיתות לזמינה
    • סוג מפתח: RSA
    • גודל מפתח: 2048

  2. העתק את כתובת האתר של ה- Key Vault ואת כתובת האתר ומפתח ההצפנה שישמשו ליצירת המדיניות הארגונית.

    הערה

    לאחר שהוספת נקודת קצה פרטי ל- Key Vault שלך או השבתת הגישה מהרשת הציבורית, לא תוכל לראות את המפתח אלא אם יש לך הרשאה מתאימה.

  3. צור רשת וירטואלית.

  4. חזור ל- Key Vault שלך והוסף חיבורי נקודת קצה פרטיות ל- Azure Key Vault שלך.

    הערה

    עליך לבחור באפשרות השבת גישה ציבורית לרשת ולהפעיל את ה אפשר לשירותים מהימנים Microsoft לעקוף חומת אש זו חריג.

  5. צור מדיניות ארגונית ב- Power Platform. לקבלת מידע נוסף: יצירת מדיניות ארגונית

  6. הענק הרשאות של מדיניות ארגונית לצורך גישה לכספת המפתחות. מידע נוסף: הענק הרשאות של מדיניות ארגונית לצורך גישה לכספת המפתחות

  7. הענק למנהלי המערכת של Power Platform ו- Dynamics 365 הרשאה לקרוא את המדיניות הארגונית. מידע נוסף: הענק למנהל המערכת של Power Platform הרשאת קריאה של מדיניות הארגון

  8. מרכז הניהול של Power Platform בוחר את הסביבה כדי להצפין ולהפעיל סביבה מנוהלת. מידע נוסף: הפוך את האפשרות להוסיף סביבה מנוהלת לסביבה למדיניות הארגונית לזמינה

  9. מרכז הניהול של Power Platform מוסיף את הסביבה המנוהלת למדיניות הארגון. מידע נוסף: הוסף סביבה למדיניות הארגונית כדי להצפין נתונים

הפעל את שירות מדיניות ארגוני של Power Platform עבור מנוי Azure שלך

הירשם ל- Power Platform כספק משאבים. אתה צריך לבצע משימה זו פעם אחת בלבד עבור כל מנוי Azure שבו שוכנת ה- Azure Key Vault שלך. אתה צריך להיות בעל זכויות גישה למנוי כדי לרשום את ספק המשאבים.

  1. היכנס אל פורטל Azure ועבור אל מנוי>ספקי משאבים.
  2. ברשימה של ספקי משאבים, חפשו את Microsoft.PowerPlatform ו הירשם it.

צור מדיניות ארגונית

  1. התקן את PowerShell MSI. למידע נוסף: התקנת PowerShell ב- Windows, ב- Linux וב- macOS
  2. לאחר התקנת PowerShell MSI, חזור אל פרוס תבנית מותאמת אישית ב-Azure.
  3. בחר בקישור בנה תבנית משלך בעורך.
  4. העתקת תבנית JSON זו לעורך מלל כגון Notepad. מידע נוסף: תבנית json של מדיניות ארגונית
  5. החלף את הערכים בתבנית JSON עבור: EnterprisePolicyName, מיקום שבו יש ליצור EnterprisePolicy, keyVaultId, ו- keyName. מידע נוסף: הגדרות שדות עבור תבנית json
  6. העתק את התבנית המעודכנת מעורך הטקסט והדבק אותה במקטע ערוך תבנית של פריסה מותאמת אישית ב-Azure, ובחר שמור.
  7. בחר מינוי וקבוצת משאבים במקום שבו מדיניות הארגון תיווצר.
  8. בחר סקירה + יצירה ולאחר מכן בחר צור.

הפריסה מתחילה. כשהיא תסתיים, מדיניות הארגון נוצרת.

תבנית json של מדיניות ארגונית

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

הגדרות שדות עבור תבנית JSON

  • שם. שם של המדיניות הארגונית. זה השם של המדיניות שמופיע במרכז הניהול של Power Platform.

  • מיקום. אחת מהאפשרויות הבאות. זהו המיקום של מדיניות הארגון ועליה להתאים לאזור של סביבת Dataverse:

    • '"unitedstates"'
    • '"southafrica"'
    • '"uk"'
    • '"japan"'
    • '"india"'
    • '"france"'
    • '"europe"'
    • '"germany"'
    • '"switzerland"'
    • '"canada"'
    • '"brazil"'
    • '"australia"'
    • '"asia"'
    • '"uae"'
    • '"korea"'
    • '"norway"'
    • '"singapore"'
    • '"sweden"'

  • העתק את הערכים האלה ממאפייני הכספת המרכזית שלך בפורטל Azure:

    • keyVaultId: עבור אל כספת מפתחות> בחר בכספת המפתחות שלך >סקירה כללית. לצד Essentials בחר JSON View. העתק את מזהה המשאב ללוח והדבק את כל התוכן בתבנית JSON שלך.
    • keyName: עבור אל כספת מפתחות> בחר בכספת המפתחות שלך >מפתחות. שים לב לשם המפתח והקלד את השם בתבנית JSON שלך.

הענק הרשאות של מדיניות ארגונית לצורך גישה לכספת המפתחות

לאחר יצירת מדיניות הארגון, מנהל המערכת של כספת המפתחות מעניק למדיניות הארגונית/לזהות המנוהלת גישה למפתח ההצפנה.

  1. היכנס אל פורטל Azure ועבור אל כספות מפתחות.
  2. בחר את כספת המפתחות שבה המפתח הוקצה למדיניות הארגונית.
  3. בחר את הכרטיסיה פקדי גישה (IAM) ובחר + הוסף.
  4. בחר הוסף הקצאת תפקיד‬ מתוך הרשימה הנפתחת.
  5. חפש במשתמש הצפנה של שירותי הצפנה של Key Vault ובחר בו.
  6. בחר הבא.
  7. בחר + בחר חברים.
  8. חפש את המדיניות הארגונית שיצרת.
  9. בחר את שם המדיניות הארגונית ולאחר מכן בחר באפשרות בחר.
  10. בחר סקירה והקצאה.

הערה

הגדרת ההרשאה שלמעלה מבוססת על מודל ההרשאה של ה- Key Vault שלך עבורבקרת גישה מבוססת תפקידים של Azure. אם ה- Key Vault מוגדר למדיניות גישה ל- Vault, מומלץ לעבור למודל מבוסס התפקידים. כדי להעניק גישה למדיניות הארגונית שלך ל- Key vault באמצעות מדיניות גישה ל- Vault, צור מדיניות גישה, בחר קבל בפעולות ניהול מפתחות ופתח אריזת מפתח וארוז מפתח בפעולות הצפנה.

הערה

כדי למנוע הפסקות מערכת לא מתוכננות, חשוב שלמדיניות הארגון תהיה גישה למפתח. ודא כי:

  • כספת המפתחות פעילה.
  • המפתח פעיל ולא פג תוקף.
  • המפתח לא נמחק.
  • הרשאות המפתח לעיל אינן בוטלות.

הסביבות המשתמשות במפתח זה יושבתו כאשר מפתח ההצפנה אינו נגיש.

הענק למנהל המערכת של Power Platform הרשאת קריאה של מדיניות הארגון

מנהלי מערכת שיש להם Dynamics 365 או Power Platform תפקידי ניהול יכולים לגשת ל Power Platform מרכז הניהול כדי להקצות סביבות למדיניות הארגונית. כדי לגשת למדיניות הארגונית, המנהל עם גישת Azure key vault נדרש להעניק את התפקיד קורא למנהל ה Power Platform . לאחר הענקת התפקיד קורא , ה Power Platform מנהל מערכת יכול להציג את מדיניות הארגון ב Power Platform מרכז הניהול.

הערה

רק מנהלי מערכת של Power Platform ושל Dynamics 365 שקיבלו את תפקיד הקורא למדיניות הארגונית יכולים להוסיף סביבה למדיניות. מנהלי מערכת אחרים של Power Platform או Dynamics 365 עשויים להיות מסוגלים להציג את המדיניות הארגונית, אך הם יקבלו שגיאה כאשר הם מנסים להוסיף סביבה למדיניות.

הענק תפקיד קורא למנהל המערכת של Power Platform

  1. היכנס אל פורטל Azure.
  2. העתק את מזהה האובייקט של מנהל המערכת של Power Platform או Dynamics 365. לשם כך:
    1. עבור לאזור משתמשים ב-Azure.
    2. ברשימה כל המשתמשים מצא את המשתמש בעל הרשאות הניהול של Power Platform או Dynamics 365 באמצעות חיפוש משתמשים.
    3. פתח את רשומת המשתמש, בכרטיסייה סקירה העתק את מזהה האובייקט של המשתמש. הדבק אותו בעורך טקסט כמו 'פנקס רשימות'.
  3. העתק את מזהה המשאב של המדיניות הארגונית. לשם כך:
    1. עבור אל Resource Graph Explorer ב-Azure.
    2. הזן microsoft.powerplatform/enterprisepolicies בתיבה חיפוש ולאחר מכן בחר את המשאב microsoft.powerplatform/enterprisepolicies.
    3. בחר הפעל שאילתה בסרגל הפקודות. רשימת כל המדיניות הארגוניות של Power Platform מוצגת.
    4. אתר את המדיניות הארגונית שאליה ברצונך להעניק גישה.
    5. גלול מימין למדיניות הארגונית ובחר ראה פרטים.
    6. בדף פרטים העתק את המזהה.
  4. הפעל את Azure Cloud Shell, והפעל את הפקודה הבאה תוך החלפת objId בזיהוי האובייקט של המשתמש וזיהוי משאב EP עם enterprisepolicies המזהה שהועתק בשלבים הקודמים: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

נהל הצפנה של הסביבה

כדי לנהל את ההצפנה של הסביבה, אתה זקוק להרשאה הבאה:

  • משתמש פעיל של Microsoft Entra שיש לו תפקיד מנהל אבטחה ב- Power Platform ו/או Dynamics 365.
  • Microsoft Entra משתמש שיש לו תפקיד מנהל שירות Power Platform או Dynamics 365.

מנהל כספת המפתחות מודיע למנהל המערכת של Power Platform שנוצרו מפתח הצפנה ומדיניות ארגונית ומספק את מדיניות הארגון למנהל מערכת ב- Power Platform. כדי להפעיל את המפתח המנוהל על ידי לקוחות, מנהל המערכת ב- Power Platform מקצה את הסביבות שלו למדיניות הארגונית. לאחר שהסביבה מוקצית ונשמרת, Dataverse מתחיל את תהליך ההצפנה כדי להגדיר את כל נתוני הסביבה, ולהצפין אותם עם המפתח המנוהל על ידי הלקוח.

הפוך את האפשרות להוסיף סביבה מנוהלת לסביבה למדיניות הארגונית לזמינה

  1. היכנס אל מרכז הניהול של Power Platform, ולאחר מכן אתר את הסביבה.
  2. מרשימת הסביבות בחר את הסביבה הרצויה וסמן אותה.
  3. בחר את הסמל אפשר סביבות מנוהלות בסרגל הפעולות.
  4. בחר הפוך לזמין.

הוסף סביבה למדיניות הארגונית כדי להצפין נתונים

חשוב

הסביבה תושבת כאשר היא תתווסף למדיניות הארגונית להצפנת נתונים.

  1. היכנס אל מרכז הניהול של Power Platform ועבור אל מדיניות>מדיניות ארגונית.
  2. בחר מדיניות ולאחר מכן, בסרגל הפקודות, בחר ערוך.
  3. בחר הוסף סביבות, בחר את הסביבה הרצויה ולאחר מכן בחר המשך. הוסף סביבה למדיניות הארגונית במרכז הניהול של Power Platform
  4. בחר שמור ולאחר מכן בחר אשר.

חשוב

  • רק סביבות שנמצאות באותו אזור כמו מדיניות הארגון מוצגות ברשימה הוסף סביבות.
  • השלמת ההצפנה עשויה להימשך עד ארבעה ימים, אך ייתכן שהסביבה תופעל לפני שתסתיים הפעולה הוסף סביבות.
  • ייתכן שהפעולה לא תושלם ואם היא נכשלת, הנתונים שלך ממשיכים להיות מוצפנים באמצעות Microsoft מפתח מנוהל. תוכל להפעיל שוב את הפעולה הוסף סביבות.

הערה

ניתן להוסיף רק סביבות שהוגדרו כזמינות כסביבות מנוהלות. לא ניתן להוסיף סוגי סביבת ניסיון ו-Teams למדיניות הארגון.

הסר סביבות מהמדיניות כדי לחזור ל Microsoft מפתח מנוהל

בצע את השלבים הבאים אם ברצונך לחזור ל Microsoft מפתח הצפנה מנוהל.

חשוב

הסביבה תושבת כאשר היא תוסר ממדיניות הארגון להחזרת הצפנת נתונים באמצעות Microsoft מפתח מנוהל.

  1. היכנס אל מרכז הניהול של Power Platform ועבור אל מדיניות>מדיניות ארגונית.
  2. בחר בכרטיסיה סביבה עם מדיניות ולאחר מכן מצא את הסביבה שברצונך להסיר מהמפתח המנוהל על ידי לקוחות.
  3. בחר בכרטיסיה כל המדיניות, בחר את הסביבה שאימתת בשלב 2, ולאחר מכן בחר ערוך מדיניות בשורת הפקודות. הסר סביבה ממפתח המנוהל על-ידי לקוח
  4. בחר הסר סביבה בשורת הפקודות, בחר את הסביבה שברצונך להסיר ובחר המשך.
  5. בחר שמור.

חשוב

הסביבה תושבת כאשר היא תוסר ממדיניות הארגון כדי לחזור את הצפנת הנתונים למפתח המנוהל Microsoft. אין למחוק או להשבית את המפתח, למחוק או להשבית את ה- Key Vault, או להסיר את ההרשאות של מדיניות הארגון ל- Key Vault. הגישה למפתח ול- Key vault נחוצה כדי לתמוך בשחזור מסד הנתונים. ניתן למחוק ולהסיר את ההרשאות של מדיניות הארגון לאחר 30 יום.

סקירת את מצב ההצפנה של הסביבה

סיקרת מצב ההצפנה ממדיניות הארגון

  1. היכנס אל מרכז הניהול של Power Platform.

  2. יש לבחור פריטי מדיניות>פריטי מדיניות ארגונית.

  3. בחר מדיניות ולאחר מכן, בסרגל הפקודות, בחר ערוך.

  4. יש לבדוק את מצב ההצפנה של הסביבה במקטע סביבות עם מדיניות זו.

    הערה

    מצב ההצפנה של הסביבה יכול להיות:

    • מוצפן - מפתח ההצפנה של מדיניות הארגון פעיל והסביבה מוצפנת עם המפתח שלך.
    • נכשל - מפתח ההצפנה של מדיניות הארגון אינו בשימוש בכל Dataverse שירותי האחסון. הם דורשים יותר זמן לעיבוד ואתה יכול להפעיל מחדש את הפעולה הוסף סביבה . פנה לתמיכה אם ההרצה החוזרת נכשלת.
    • אזהרה - מפתח ההצפנה של מדיניות הארגון פעיל ואחד מנתוני השירות ממשיך להיות מוצפן עם המפתח המנוהל Microsoft. מידע נוסף: Power Automate הודעות אזהרה על אפליקציית CMK

    ניתן להפעיל מחדש את האפשרות הוספת סביבה עבור הסביבה שמצב ההצפנה נכשל.

בדיקת מצב ההצפנה מדף היסטוריית הסביבה

ניתן לראות את היסטוריית הסביבה.

  1. היכנס אל מרכז הניהול של Power Platform.

  2. בחלונית הניווט, יש לבחור באפשרות סביבות ולבחור בסביבה מהרשימה.

  3. בסרגל הפקודות, לבחור היסטוריה.

  4. יש לאתר את ההיסטוריה של עדכון מפתח בניהול לקוח.

    הערה

    המצב מציג פועל כאשר ההצפנה מתבצעת. הוא מציג הצליח כאשר ההצפנה הושלמה. המצב מראה נכשל כאשר יש בעיה כלשהי עם אחד מהשירותים שלא מסוגל להחיל את מפתח ההצפנה.

    מצב נכשל יכול להיות אזהרה ויש להפעיל מחדש את האפשרות הוספת סביבה. ניתן לאשר אם זוהי אזהרה.

שנה את מפתח ההצפנה של הסביבה עם מדיניות ארגונית ומפתח חדש

כדי לשנות את מפתח ההצפנה שלך, צור מפתח חדש ומדיניות ארגונית חדשה. תוכל לשנות את מדיניות הארגון על ידי הסרת סביבות והוספת הסביבות למדיניות הארגונית החדשה. המערכת מושבתת פעמיים בעת שינוי למדיניות ארגונית חדשה - 1) ל-לחזור ההצפנה ל Microsoft מפתח מנוהל ו-2) כדי להחיל את מדיניות הארגון החדשה.

טיפ

כדי לסובב את מפתח ההצפנה, אנו ממליצים להשתמש ב גרסה חדשה של מפתח כספות או להגדיר מדיניות סיבוב.

  1. בפורטל Azure, צור מפתח חדש ומדיניות ארגונית חדשה. מידע נוסף: צור מפתח הצפנה והענק גישה וצור מדיניות ארגונית
  2. לאחר יצירת המפתח והמדיניות הארגונית החדשים, עבור אל מדיניות>מדיניות ארגונית.
  3. בחר בכרטיסיה סביבה עם מדיניות ולאחר מכן מצא את הסביבה שברצונך להסיר מהמפתח המנוהל על ידי לקוחות.
  4. בחר בכרטיסיה כל המדיניות, בחר את הסביבה שאימתת בשלב 2, ולאחר מכן בחר ערוך מדיניות בשורת הפקודות. הסר סביבה ממפתח המנוהל על-ידי לקוח
  5. בחר הסר סביבה בשורת הפקודות, בחר את הסביבה שברצונך להסיר ובחר המשך.
  6. בחר שמור.
  7. חזור על שלבים 2-6 עד שכל הסביבות במדיניות הארגון הוסרו.

חשוב

הסביבה תושבת כאשר היא תוסר ממדיניות הארגון כדי לחזור את הצפנת הנתונים למפתח המנוהל Microsoft. אין למחוק או להשבית את המפתח, למחוק או להשבית את כספת המפתחות, או להסיר את ההרשאות של מדיניות הארגון לכספת המפתחות. הגישה למפתח ול- Key vault נחוצה כדי לתמוך בשחזור מסד הנתונים. ניתן למחוק ולהסיר את ההרשאות של מדיניות הארגון לאחר 30 יום.

  1. לאחר הסרת כל הסביבות, עבור ממרכז הניהול של Power Platform אל מדיניות ארגונית.
  2. בחר את המדיניות הארגונת החדשה ולאחר מכן בחר ערוך מדיניות.
  3. בחר הוסף סביבה, בחר את הסביבות שברצונך להוסיף ולאחר מכן בחר המשך.

חשוב

הסביבה תושבת כאשר היא תתווסף למדיניות הארגונית החדשה.

סובב את מפתח ההצפנה של הסביבה עם גרסת מפתח חדשה

אפשר לשנות את מפתח ההצפנה של הסביבה על ידי יצירה של גרסת מפתח חדשה. כאשר אתה יוצר גרסת מפתח חדשה, גרסת המפתח החדשה מופעלת באופן אוטומטי. כל משאבי האחסון מזהים את גרסת המפתח החדשה ומתחילים ליישם אותה כדי להצפין את הנתונים שלך.

כאשר אתה משנה את המפתח או את גרסת המפתח, ההגנה על מפתח ההצפנה הבסיסית משתנה, אך הנתונים באחסון נשארים תמיד מוצפנים עם המפתח שלך. אין צורך בפעולה נוספת מצידך כדי להבטיח שהנתונים שלך מוגנים. סיבוב גרסת המפתח אינו משפיע על הביצועים. אין זמן השבתה הקשור לסיבוב גרסת המפתח. זה יכול לקחת 24 שעות עד שכל ספקי המשאבים יתחילו להחיל את גרסת המפתח החדשה ברקע. אין להשבית את גרסת המפתח הקודמת מכיוון שהיא נדרשת כדי שהשירות ישתמש בה להצפנה מחדש ולתמיכה בשחזור מסד נתונים.

כדי לסובב את מפתח ההצפנה על ידי יצירת גרסת מפתח חדשה, השתמש בשלבים הבאים.

  1. עבור אל Portal Azure>Key Vaults ואתר את כספת המפתחות שבה ברצונך ליצור גרסת מפתח חדשה.
  2. עבור אל מפתחות.
  3. בחר את המפתח הנוכחי שפעיל.
  4. בחר + גירסה חדשה.
  5. ברירת המחדל של ההגדרה מופעל היא כן, מה שאומר שגירסת המפתח החדשה מופעלת אוטומטית בעת היצירה.
  6. בחר צור.

טיפ

כדי לציית למדיניות סיבוב המפתחות שלך, תוכל לסובב את מפתח ההצפנה באמצעות מדיניות הסיבוב. אתה יכול להגדיר מדיניות סבב או ליצור סבב, לפי דרישה, על ידי הפעלת התכונה סובב עכשיו.

חשוב

גרסת המפתח החדשה מסתובבת אוטומטית ברקע ואין שום פעולה שמנהל המערכת של Power Platform צריך לבצע. חשוב לזכור שאסור להשבית או למחוק את גרסת המפתח הקודמת במשך 28 ימים לפחות, כדי לתמוך בשחזור מסד הנתונים. השבתה או מחיקה של גרסת המפתח הקודמת מוקדם מדי עלולה להפוך את הסביבה שלך למצב לא מקוון.

הצג את רשימת הסביבות המוצפנות

  1. היכנס אל מרכז הניהול של Power Platform ועבור אל מדיניות>מדיניות ארגונית.
  2. בדף מדיניות ארגונית בחר בכרטיסיה סביבות עם מדיניות. מוצגת רשימת הסביבות שנוספו למדיניות הארגונית.

הערה

ייתכנו מצבים שבהם מצב הסביבה או מצב ההצפנה הוא מצב נכשל. כאשר זה קורה, אתה יכול לנסות להפעיל מחדש את הפעולה הוסף סביבה או לשלוח Microsoft בקשת תמיכה לעזרה.

פעולות מסד נתונים של סביבה

לדייר לקוח יכולות להיות סביבות המוצפנות באמצעות המפתח המנוהל Microsoft וסביבות המוצפנות עם המפתח המנוהל על ידי הלקוח. כדי לשמור על שלמות הנתונים והגנת הנתונים, הפקדים הבאים זמינים בעת ניהול פעולות של מסד נתונים של סביבה.

  • שחזור הסביבה להחלפה (הסביבה המשוחזרת) מוגבלת לאותה סביבה שממנה נלקח הגיבוי או לסביבה אחרת המוצפנת עם אותו מפתח מנוהל על ידי לקוח.

    שחזר גיבוי.

  • Copy הסביבה להחלפה (ההעתקה לסביבה) מוגבלת לסביבה אחרת המוצפנת עם אותו מפתח מנוהל על ידי לקוח.

    העתקת סביבה.

    הערה

    אם נוצרה סביבת בדיקת תמיכה כדי לפתור בעיית תמיכה בסביבה מנוהלת של לקוח, מפתח ההצפנה עבור סביבת בדיקת התמיכה מוכרח להשתנות למפתח מנוהל של לקוח לפני שפעולת העתקת הסביבה תוכל להתבצע.

  • איפוס הנתונים המוצפנים של הסביבה נמחקים כולל גיבויים. לאחר איפוס הסביבה, הצפנת הסביבה תחזור לחזור ל Microsoft מפתח המנוהל.

‏‫השלבים הבאים‬

על Azure Key Vault