Upravljanje ključem za šifriranje kojim upravlja korisnik

Korisnici imaju zahtjeve za privatnost podataka i usklađenost kako bi zaštitili svoje podatke šifriranjem svojih podataka u mirovanju. Time se podaci štite od izlaganja u slučaju krađe kopije baze podataka. Uz šifriranje podataka u mirovanju, ukradeni podaci baze podataka zaštićeni su od vraćanja na drugi poslužitelj bez ključa za šifriranje.

Svi podaci o klijentima pohranjeni u Power Platform skladištu prema zadanim su postavkama šifrirani snažnim ključevima za šifriranje kojima upravlja Microsoft. Microsoft pohranjuje ključ za šifriranje baze podataka i upravlja njime za sve vaše podatke, tako da vi to ne morate. Međutim, Power Platform pruža ovaj ključ za šifriranje kojim upravlja klijent (CMK) za dodatnu kontrolu zaštite podataka gdje možete sami upravljati ključem za šifriranje baze podataka koji je povezan s vašim Microsoft Dataverse okruženjem. To vam omogućuje da rotirate ili zamijenite ključ za šifriranje na zahtjev, a također vam omogućuje da spriječite Microsoftov pristup vašim korisničkim podacima kada u bilo kojem trenutku opozovete ključ za pristup našim uslugama.

Da biste saznali više o ključu Power Platform kojim upravlja klijent, pogledajte videozapis o ključu kojim upravlja klijent.

Ove operacije ključa za šifriranje dostupne su s ključem kojim upravlja klijent (CMK):

• Stvorite RSA (RSA-HSM) ključ iz sefa ključeva na platformi Azure.
• Stvorite Power Platform pravilnik tvrtke za svoj ključ.
• Dodijelite dozvolu pravilnika Power Platform tvrtke za pristup sefu ključeva.
• Dodijelite administratoru servisa Power Platform da pročita pravila tvrtke.
• Primijenite ključ za šifriranje na svoje okruženje.
• Vratite/uklonite CMK enkripciju okruženja na Microsoftov ključ.
• Promijenite ključ stvaranjem nove poslovne politike, uklanjanjem okruženja iz CMK-a i ponovnom primjenom CMK-a s novom poslovnom politikom.
• Zaključajte CMK okruženja opozivom CMK sefa ključeva i/ili dozvola za ključeve.
• Migrirajte okruženja s vlastitim ključem (BYOK) u CMK primjenom CMK ključa.

Trenutačno se svi vaši korisnički podaci pohranjeni samo u sljedećim aplikacijama i uslugama mogu šifrirati ključem kojim upravlja klijent:

• Dataverse (Prilagođena rješenja i Microsoftove usluge)
• Dataverse Copilot za aplikacije utemeljene na modelu
• Power Automate¹
• Power Apps
• Čavrljanje za Dynamics 365
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (financije i operacije)
• Dynamics 365 Intelligent Order Management (Financije i operacije)
• Dynamics 365 Project Operations (Financije i operacije)
• Dynamics 365 Supply Chain Management (Financije i operacije)
• Dynamics 365 Fraud Protection (Financije i operacije)

¹ Kada primijenite ključ kojim upravlja klijent na okruženje koje ima postojeće Power Automate tijekove, podaci o tijekovima i dalje se šifriraju ključem kojim upravlja Microsoft. Više informacija: Power Automate ključ kojim upravlja kupac.

Napomena

Nuance Conversational IVR i Maker Welcome Content isključeni su iz šifriranja ključa kojim upravlja korisnik.

Microsoft Copilot Studio pohranjuje svoje podatke u vlastitu pohranu i u Microsoft Dataverse. Kada primijenite ključ kojim upravlja klijent na ta okruženja, samo su spremišta podataka šifrirana Microsoft Dataverse vašim ključem. Podaci koji nisuMicrosoft Dataverse i dalje se šifriraju ključem kojim upravlja Microsoft.

Napomena

Postavke veze za poveznike i dalje će biti šifrirane ključem kojim upravlja Microsoft.

Obratite se predstavniku za usluge koje nisu gore navedene za informacije o podršci za ključeve kojima upravlja korisnik.

Napomena

Power Apps Zaslonska imena, opisi i metapodaci veze i dalje se šifriraju ključem kojim upravlja Microsoft.

Napomena

Podaci analizirani provedbom alata za provjeru rješenja tijekom provjere rješenja i dalje se šifriraju ključem kojim upravlja Microsoft.

Okruženja s aplikacijama za financije i operacije u kojima Power Platform je omogućena integracija također se mogu šifrirati. Financijska i operativna okruženja bez Power Platform integracije i dalje će koristiti zadani Microsoftov upravljani ključ za šifriranje podataka. Dodatne informacije: Šifriranje u aplikacijama za financije i operacije

Uvod u ključ kojim upravlja korisnik

Pomoću ključa kojim upravlja korisnik administratori mogu pružiti vlastiti ključ za šifriranje iz vlastitog Azure Key Vaulta uslugama Power Platform za pohranu kako bi šifrirali svoje korisničke podatke. Microsoft nema izravan pristup vašem Azure Key Vaultu. Da bi Power Platform servisi pristupili ključu za šifriranje iz vašeg Azure Key Vaulta, administrator stvara Power Platform pravila tvrtke koja upućuje na ključ za šifriranje i dodjeljuje ovom pravilniku tvrtke pristup za čitanje ključa iz vašeg Azure Key Vaulta.

Administrator Power Platform usluge zatim može dodati Dataverse okruženja u pravila tvrtke kako bi započeo šifriranje svih korisničkih podataka u okruženju pomoću vašeg ključa za šifriranje. Administratori mogu promijeniti ključ za šifriranje okruženja stvaranjem drugog pravila tvrtke i dodavanjem okruženja (nakon uklanjanja) u nova pravila tvrtke. Ako okruženje više ne treba šifrirati pomoću ključa kojim upravlja klijent, administrator može ukloniti okruženje Dataverse iz pravila tvrtke kako bi vratio šifriranje podataka natrag na Microsoftov ključ.

Administrator može zaključati ključna okruženja kojima upravlja korisnik opozivom pristupa ključu iz pravila tvrtke i otključati okruženja vraćanjem pristupa ključu. Dodatne informacije: Zaključavanje okruženja opozivom pristupa sefu za ključeve i/ili dozvolama za ključeve

Kako bi se pojednostavili ključni zadaci upravljanja, zadaci su podijeljeni u tri glavna područja:

1. Stvorite ključ za šifriranje.
2. Stvorite pravila tvrtke i dodijelite pristup.
3. Upravljajte enkripcijom okruženja.

Upozorenje

Kada su okruženja zaključana, nitko im ne može pristupiti, uključujući Microsoftovu podršku. Okruženja koja su zaključana postaju onemogućena i može doći do gubitka podataka.

Zahtjevi za licenciranje ključa kojim upravlja klijent

Pravilnik o ključu kojim upravlja klijent provodi se samo u okruženjima koja su aktivirana za Upravljana rješenja. Upravljana rješenja uključena su kao pravo u samostalne Power Apps Power Automate Microsoft Copilot Studio Power Pages licence i licence za Dynamics 365 koje daju premium prava na korištenje. Saznajte više o licenciranju upravljanog okruženja uz pregled licenciranja za Microsoft Power Platform.

Osim toga, pristup korištenju ključa kojim upravlja klijent za Microsoft Power Platform i Dynamics 365 zahtijeva da korisnici u okruženjima u kojima se provodi pravilnik o ključu za šifriranje imaju jednu od ovih pretplata:

• Microsoft 365 ili Office 365 A5/E5/G5
• Usklađenost sa sustavom Microsoft 365 A5/E5/F5/G5
• Microsoft 365 F5 – sigurnost i usklađenost
• Zaštita podataka i upravljanje za Microsoft 365 A5/E5/F5/G5
• Microsoft 365 A5/E5/F5/G5 – upravljanje internim rizicima

Saznajte više o tim licencama.

Shvatite potencijalni rizik kada upravljate ključem

Kao i u slučaju svake ključne aplikacije, osobe u vašoj tvrtki ili ustanovi koje imaju administrativan pristup moraju biti pouzdane. Da biste mogli početi koristiti značajku upravljanja ključem, morate razumjeti rizik samostalnog upravljanja ključevima za šifriranje baze podataka. Moguće je da zlonamjerni administrator (osoba kojoj je odobren ili je dobio pristup na razini administratora s namjerom da našteti sigurnosti ili poslovnim procesima tvrtke ili ustanove) koji radi u vašoj tvrtki ili ustanovi može koristiti značajku upravljanja ključevima za stvaranje ključa i koristiti ga za zaključavanje vaših okruženja u klijentu.

Razmislite o sljedećem slijedu događaja.

Zlonamjerni administrator sefa ključeva stvara ključ i pravila tvrtke na portalu Azure. Administrator Azure Key Vaulta odlazi u Power Platform centar za administratore i dodaje okruženja u pravila tvrtke. Zlonamjerni administrator zatim se vraća na Azure portal i opoziva pristup ključu poslovnim pravilima, čime zaključava sva okruženja. To uzrokuje prekide poslovanja jer sva okruženja postaju nedostupna, a ako se taj događaj ne riješi, odnosno vrati se pristup ključu, podaci o okruženju mogu se potencijalno izgubiti.

Napomena

• Azure Key Vault ima ugrađene zaštitne mjere koje pomažu u vraćanju ključa, što zahtijeva omogućene postavke trezora ključeva za zaštitu od mekog brisanja i čišćenja .
• Još jedna zaštitna mjera koju treba uzeti u obzir jest osigurati da postoji razdvajanje zadataka u kojima administratoru Azure Key Vaulta nije odobren pristup Power Platform centru za administratore.

Razdvajanje dužnosti radi ublažavanja rizika

U ovom se odjeljku opisuju dužnosti ključnih značajki kojima upravlja klijent za koje je odgovorna svaka administratorska uloga. Razdvajanje tih zadataka pomaže u ublažavanju rizika povezanog s ključevima kojima upravlja klijent.

Zadaci administratora servisa Azure Key Vault i Power Platform/Dynamics 365

Da biste omogućili ključeve kojima upravlja korisnik, administrator sefa ključeva najprije stvara ključ u sefu ključeva na platformi Azure i stvara Power Platform pravila tvrtke. Kada se stvori pravilo tvrtke, stvara se poseban Microsoft Entra ID upravljani identitet. Zatim se administrator sefa ključeva vraća u sef ključeva na platformi Azure i odobrava pristup pravilima tvrtke/upravljanom identitetu ključu za šifriranje.

Administrator sefa ključeva zatim odgovarajućem Power Platform/administratoru usluge Dynamics 365 dodjeljuje pristup za čitanje pravilniku tvrtke. Nakon što se dodijeli dozvola za čitanje, Power Platform administrator usluge Dynamics 365 može otići u Power Platform centar za administratore i dodati okruženja u pravila tvrtke. Svi dodani podaci o klijentima okruženja zatim se šifriraju ključem kojim upravlja klijent povezan s ovim pravilnikom tvrtke.

Preduvjeti

• Pretplata na Azure koja obuhvaća upravljane hardverske sigurnosne module za Azure Key Vault ili Azure Key Vault.
• Globalni administrator klijenta Microsoft Entra ili ID sa:
  • Dozvola suradnika za pretplatu Microsoft Entra .
  • Dozvola za stvaranje Azure Key Vaulta i ključa.
  • Pristup za stvaranje grupe resursa. To je potrebno za postavljanje sefa za ključeve.

Stvaranje ključa i odobravanje pristupa pomoću servisa Azure Key Vault

Administrator Azure Key Vaulta obavlja ove zadatke na platformi Azure.

1. Stvorite plaćenu pretplatu na Azure i Key Vault. Zanemarite ovaj korak ako već imate pretplatu koja obuhvaća Azure Key Vault.
2. Idite na uslugu Azure Key Vault i stvorite ključ. Dodatne informacije: Stvaranje ključa u sefu za ključeve
3. Omogućite Power Platform uslugu pravila tvrtke za pretplatu na Azure. Učinite to samo jednom. Dodatne informacije: Omogućivanje Power Platform usluge pravila tvrtke za pretplatu na Azure
4. Stvorite Power Platform pravila tvrtke. Dodatne informacije: Stvaranje pravila tvrtke
5. Dodijelite dozvole pravila tvrtke za pristup sefu ključeva. Dodatne informacije: Dodjeljivanje dozvola pravila tvrtke za pristup sefu ključeva
6. Dodijelite Power Platform administratorima sustava Dynamics 365 dozvolu za čitanje pravila tvrtke. Dodatne informacije: Dodijelite administratorsku Power Platform ovlasti za čitanje pravila tvrtke

Power Platform/Zadaci centra za administratore servisa Power Platform Dynamics 365

Preduvjet

• Power Platform administratoru mora biti dodijeljena uloga administratora Power Platform Microsoft Entra ili Dynamics 365 Service.

Upravljanje enkripcijom okruženja u Power Platform centru za administratore

Administrator Power Platform upravlja ključnim zadacima kojima upravlja klijent koji se odnose na okruženje u Power Platform centru za administratore.

1. Dodajte okruženja Power Platform u pravila tvrtke da biste šifrirali podatke ključem kojim upravlja korisnik. Dodatne informacije: Dodavanje okruženja u pravila tvrtke za šifriranje podataka
2. Uklonite okruženja iz pravila tvrtke da biste vratili šifriranje u Microsoftov upravljani ključ. Dodatne informacije: Uklanjanje okruženja iz pravilnika radi povratka na Microsoftov upravljani ključ
3. Promijenite ključ uklanjanjem okruženja iz starih pravila tvrtke i dodavanjem okruženja u novi pravilnik tvrtke. Dodatne informacije: Stvaranje ključa za šifriranje i odobravanje pristupa
4. Migracija iz BYOK-a. Ako koristite raniju značajku ključa za šifriranje kojim se samostalno upravlja, možete migrirati svoj ključ na ključ kojim upravlja klijent. Dodatne informacije: Migracija okruženja s vlastitim ključem na ključ kojim upravlja klijent

Stvaranje ključa za šifriranje i odobravanje pristupa

Stvaranje plaćene pretplate na Azure i trezora ključeva

Na platformi Azure izvedite sljedeće korake:

1. Stvorite pretplatu na Azure s plaćanjem prema potrošnji ili ekvivalentnu pretplatu na Azure. Ovaj korak nije potreban ako klijent već ima pretplatu.

2. Stvorite grupu resursa. Dodatne informacije: Stvaranje grupa resursa

   Napomena

   Stvorite ili koristite grupu resursa koja ima mjesto, na primjer, Središnji SAD, koje odgovara Power Platform regiji okruženja, kao što su Sjedinjene Američke Države.

3. Stvorite sef za ključeve pomoću plaćene pretplate koja obuhvaća zaštitu od mekog brisanja i brisanja s grupom resursa koju ste stvorili u prethodnom korak.

   Važno

   • Da biste osigurali da je vaše okruženje zaštićeno od slučajnog brisanja ključa za šifriranje, trezor ključeva mora imati omogućenu zaštitu od mekog brisanja i čišćenja. Nećete moći šifrirati svoje okruženje vlastitim ključem bez omogućavanja ovih postavki. Dodatne informacije: Pregled mekog brisanja Azure Key Vaulta Dodatne informacije: Stvaranje sefa ključeva pomoću portala Azure

Stvaranje ključa u sefu za ključeve

1. Provjerite jeste li ispunili preduvjete.

2. Idite na Azure Portal>Key Vault i pronađite sef ključeva u kojem želite generirati ključ za šifriranje.

3. Provjerite postavke sefa ključeva na Azure:

   1. Odaberite Svojstva u odjeljku Postavke.
   2. U odjeljku Meko brisanje postavite ili provjerite je li postavljeno na Meko brisanje je omogućeno na ovoj mogućnosti sefa ključeva.
   3. U odjeljku Zaštita od čišćenja postavite ili provjerite je li omogućena opcija Omogući zaštitu od čišćenja (nametnite obvezno razdoblje zadržavanja za izbrisane trezore i objekte trezora).
   4. Ako ste unijeli promjene, odaberite Spremi.

   

Stvaranje RSA ključeva

1. Stvorite ili uvezite ključ koji ima sljedeća svojstva:
   1. Na stranicama svojstava Key Vaulta odaberite Ključevi.
   2. Odaberite Generiranje/uvoz.
   3. Na zaslonu Stvaranje ključa postavite sljedeće vrijednosti, a zatim odaberite Stvori.
      • opcije: Generiraj
      • Naziv: Navedite naziv ključa
      • Vrsta ključa: RSA
      • Veličina RSA ključa: 2048

Uvoz zaštićenih ključeva za hardverske sigurnosne module (HSM)

Zaštićene ključeve možete koristiti za hardverske sigurnosne module (HSM) za šifriranje Power Platform Dataverse okruženja. Ključevi zaštićeni HSM-om moraju se uvesti u trezor ključeva da bi se mogla stvoriti pravila tvrtke. Dodatne informacije potražite u članku Podržani HSM-oviUvoz ključeva zaštićenih HSM-om u Key Vault (BYOK).

Stvaranje ključa u upravljanom HSM-u za Azure Key Vault

Možete koristiti ključ za šifriranje stvoren iz upravljanog HSM-a Azure Key Vault za šifriranje podataka okruženja. To vam daje podršku za FIPS 140-2 Level 3.

Stvaranje RSA-HSM ključeva

1. Provjerite jeste li ispunili preduvjete.

2. Idite na Azure Portal.

3. Stvaranje upravljanog HSM-a:

   1. Dodjela resursa upravljanom HSM-u.
   2. Aktivirajte upravljani HSM.

4. Omogućite zaštitu od brisanja u upravljanom HSM-u.

5. Dodijelite ulogu upravljanog HSM kripto korisnika osobi koja je stvorila upravljani HSM sef ključeva.

   1. Pristupite upravljanom HSM trezoru ključeva na portalu Azure.
   2. Idite na Lokalni RBAC i odaberite + Dodaj.
   3. Na padajućem popisu Uloga odaberite ulogu Upravljani HSM kripto korisnik na stranici Dodjela uloge.
   4. Odaberite Svi ključevi u odjeljku Opseg.
   5. Odaberite Odaberi upravitelja sigurnosti, a zatim odaberite administratora na stranici Dodavanje upravitelja .
   6. Kliknite Stvori.

6. Stvaranje RSA-HSM ključa:

   • opcije: Generiraj
   • Naziv: Navedite naziv ključa
   • Vrsta ključa: RSA-HSM
   • Veličina RSA ključa: 2048

   Napomena

   Podržane veličine RSA-HSM ključeva: 2048-bitni, 3072-bitni, 4096-bitni.

Šifrirajte svoje okruženje ključem iz Azure Key Vaulta s privatnom vezom

Umrežavanje sefa za ključeve na platformi Azure možete ažurirati tako da omogućite privatnu krajnja točka i upotrijebite ključ u sefu ključeva za šifriranje Power Platform okruženja.

Možete stvoriti novi sef za ključeve i uspostaviti vezu s privatnom vezom ili uspostaviti vezu privatne veze s postojećim sefom za ključeve te stvoriti ključ iz tog sefa za ključeve i koristiti ga za šifriranje okruženja. Također možete uspostaviti vezu privatne veze s postojećim sefom ključeva nakon što ste već stvorili ključ i koristiti ga za šifriranje vašeg okruženja.

Šifrirajte podatke ključem iz trezora ključeva s privatnom vezom

1. Stvorite sef za ključeve Azure pomoću ovih mogućnosti:

   • Omogućite zaštitu od pročišćavanja
   • Vrsta ključa: RSA
   • Veličina ključa: 2048

2. Kopirajte URL trezora ključeva i URL ključa za šifriranje koji će se koristiti za stvaranje pravila tvrtke.

   Napomena

   Nakon što dodate krajnja točka u sef ključeva ili onemogućite mrežu javnog pristupa, nećete moći vidjeti ključ ako nemate odgovarajuću dozvolu.

3. Stvorite virtualnu mrežu.

4. Vratite se u sef ključeva i dodajte privatne veze krajnja točka u sef za ključeve na platformi Azure.

   Napomena

   Morate odabrati mogućnost Onemogući umrežavanje s javnim pristupom i omogućiti Dopusti pouzdanim Microsoftovim servisima da zaobiđu ovu iznimku vatrozida .

5. Stvorite Power Platform pravila tvrtke. Dodatne informacije: Stvaranje pravila tvrtke

6. Dodijelite dozvole pravila tvrtke za pristup sefu ključeva. Dodatne informacije: Dodjeljivanje dozvola pravila tvrtke za pristup sefu ključeva

7. Dodijelite Power Platform administratorima sustava Dynamics 365 dozvolu za čitanje pravila tvrtke. Dodatne informacije: Dodijelite administratorsku Power Platform ovlasti za čitanje pravila tvrtke

8. Power Platform Administrator centra za administratore odabire okruženje za šifriranje i omogućivanje upravljanog okruženja. Dodatne informacije: Omogućivanje dodavanja upravljanog okruženja u pravila tvrtke

9. Power Platform Administrator centra za administratore dodaje upravljano okruženje u pravila tvrtke. Dodatne informacije: Dodavanje okruženja u pravila tvrtke za šifriranje podataka

Omogućivanje Power Platform usluge pravila tvrtke za pretplatu na Azure

Registrirajte Power Platform se kao davatelj resursa. Taj zadatak trebate izvršiti samo jednom za svaku pretplatu na Azure u kojoj se nalazi vaš sef za ključeve Azure. Morate imati prava pristupa pretplati da biste registrirali davatelja resursa.

1. Prijavite se na Azure Portal i idite na Davatelji> pretplatničkih resursa.
2. Na popisu davatelja resursa potražiteMicrosoft.PowerPlatform iregistrirajte ga.

Stvaranje pravila tvrtke

1. Instalirajte PowerShell MSI. Dodatne informacije: Instalacija PowerShell-a na Windows, Linux i macOS
2. Nakon instalacije PowerShell MSI-ja vratite se na Implementacija prilagođenog predloška na platformi Azure.
3. Odaberite vezu Izradite vlastiti predložak u uređivaču .
4. Kopirajte ovaj JSON predložak u uređivač teksta kao što je Notepad. Dodatne informacije: JSON predložak pravila tvrtke
5. Zamijenite vrijednosti u JSON predlošku za: EnterprisePolicyName,mjesto na kojem je potrebno stvoriti EnterprisePolicy,keyVaultId i keyName. Dodatne informacije: Definicije polja za JSON predložak
6. Kopirajte ažurirani predložak iz uređivača teksta, a zatim ga zalijepite u predložak Uređivanje prilagođene implementacije na platformi Azure, a zatim odaberite Spremi.
7. Odaberite grupu Pretplata i Resursi u kojoj će se stvoriti pravilnik tvrtke.
8. Odaberite Pregled + stvaranje, a zatim odaberite Stvori.

Pokrenuta je implementacija. Kada je gotovo, stvara se poslovna politika.

Predložak JSON pravila tvrtke

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definicije polja za JSON predložak

• Ime. Naziv pravila poduzeća. To je naziv pravila koje se pojavljuje u Power Platform centru za administratore.

• mjesto. Jedno od sljedećeg. Ovo je mjesto politike poduzeća i mora odgovarati Dataverse regiji okoliša:

  • ''Sjedinjene Države''
  • ''Južna Afrika''
  • ''UK''
  • ''Japan''
  • ''Indija''
  • ''Francuska''
  • "Europa"
  • ''Njemačka''
  • ''Švicarska''
  • ''Kanada''
  • ''Brazil''
  • ''Australija''
  • ''Azija''
  • ''UAE''
  • ''Koreja''
  • ''Norveška''
  • ''Singapur''
  • ''Švedska''

• Kopirajte ove vrijednosti iz svojstava sefa ključeva na portalu Azure:

  • keyVaultId: idite na Trezori> ključeva i odaberite pregled sefa > za ključeve. Pored Essentials odaberite JSON prikaz. Kopirajte ID resursa u međuspremnik i zalijepite cijeli sadržaj u svoj JSON predložak.
  • keyName: idite na Trezori> ključeva odaberite ključeve > sefaza ključeve. Obratite pažnju na naziv ključa i upišite naziv u svoj JSON predložak.

Dodijelite dozvole pravila tvrtke za pristup sefu ključeva

Nakon stvaranja pravila tvrtke administrator sefa ključeva dodjeljuje pristup upravljanom identitetu pravilnika tvrtke ključu za šifriranje.

1. Prijavite se na Azure Portal i idite na Key Vaults.
2. Odaberite trezor ključeva u koji je ključ dodijeljen pravilima tvrtke.
3. Odaberite karticu Kontrola pristupa (IAM), a zatim odaberite + Dodaj.
4. Odaberite Dodaj dodjelu uloge s padajućeg popisa,
5. Pretražite Key Vault Crypto Service Encryption User i odaberite ga.
6. Odaberite Dalje.
7. Odaberi + Odaberi članove.
8. Potražite pravilo tvrtke koje ste stvorili.
9. Odaberite pravilnik tvrtke, a zatim odaberite Odaberi.
10. Odaberite Pregled + dodjela.

Napomena

Gornja postavka dopuštenja temelji se na modelu dozvola vašeg sefa ključeva za kontrolu pristupa na temelju uloge na platformi Azure. Ako je vaš sef ključeva postavljen na pravila pristupa sefu, preporučuje se migracija na model temeljen na ulogama. Da biste pravilniku tvrtke dodijelili pristup sefu ključeva pomoću pravilnika o pristupu sefu, stvorite pravilnik o pristupu, odaberiteDohvati operacije upravljanja ključevima i Odmotaj ključ i Zamatanje ključa u kriptografskim operacijama .

Dodijelite administratorsku Power Platform ovlasti za čitanje pravila tvrtke

Administratori koji imaju globalne uloge platforme Azure, Dynamics 365 i Power Platform administratorske uloge mogu pristupiti centru za Power Platform administratore kako bi dodijelili okruženja pravilima tvrtke. Da biste pristupili poslovnim pravilima, globalni administrator s pristupom sefu ključeva Azure mora administratoru dodijeliti ulogu Čitatelj . Power Platform Nakon što se dodijeli uloga Čitatelj , Power Platform administrator može pregledati pravila tvrtke u Power Platform centru za administratore.

Napomena

Samo Power Platform administratori sustava Dynamics 365 kojima je dodijeljena uloga Čitatelj u pravilniku tvrtke mogu dodati okruženje u pravilo. Drugi Power Platform administratori ili administratori sustava Dynamics 365 možda će moći vidjeti pravila tvrtke, ali će dobiti pogrešku kada pokušaju dodati okruženje u pravilo.

Dodjeljivanje uloge Čitatelj administratoru Power Platform

1. Prijavite se na portal Azure.
2. Kopirajte ID objekta administratora Power Platform sustava Dynamics 365. Da biste to učinili:
   1. Idite na područje Korisnici na platformi Azure.
   2. Na popisu Svi korisnici pronađite korisnika s administratorskim Power Platform dozvolama sustava Dynamics 365 pomoću pretraživanja korisnika.
   3. Otvorite korisnički zapis, na kartici Pregled kopirajte ID objektakorisnika. Zalijepite ovo u uređivač teksta kao što je NotePad za kasnije.
3. Kopirajte ID resursa pravilnika tvrtke. Da biste to učinili:
   1. Idite na Resource Graph Explorer na platformi Azure.
   2. Unesite microsoft.powerplatform/enterprisepolicies u okvir za pretraživanje , a zatim odaberite resurs Microsoft.powerplatform/enterprisepolicies .
   3. Odaberite Pokreni upit na naredbenoj traci. Prikazuje se popis svih Power Platform pravila tvrtke.
   4. Pronađite pravilnik tvrtke u kojem želite dodijeliti pristup.
   5. Pomaknite se desno od pravila tvrtke i odaberite Prikaži pojedinosti.
   6. Na stranici Pojedinosti kopirajte id.
4. Pokrenite Azure Cloud Shell i pokrenite sljedeću naredbu zamjenjujući objId korisnikovim ID-om objekta i EP Resource Id ID-om kopiranim enterprisepolicies u prethodnim koracima: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Upravljanje enkripcijom okruženja

Da biste upravljali enkripcijom okruženja, potrebna vam je sljedeća dozvola:

• Microsoft Entra aktivni korisnik koji ima administratora Power Platform i/ili sustava Dynamics 365 sigurnosna uloga.
• Microsoft Entra korisnika koji ima ulogu globalnog administratora Power Platform klijenta ili administratora usluge Dynamics 365.

Administrator sefa ključeva obavještava administratora Power Platform da su stvoreni ključ za šifriranje i pravilnik tvrtke te ga dostavlja administratoru Power Platform . Da bi omogućio ključ Power Platform kojim upravlja klijent, administrator dodjeljuje svoja okruženja pravilima tvrtke. Nakon što je okruženje dodijeljeno i spremljeno, Dataverse pokreće proces šifriranja za postavljanje svih podataka o okruženju i šifriranje ključem kojim upravlja korisnik.

Omogućivanje dodavanja upravljanog okruženja u pravila tvrtke

1. Prijavite se u centar Power Platform zaadministratore i pronađite okruženje.
2. Odaberite i provjerite okruženje na popisu okruženja.
3. Odaberite ikonu Omogući Upravljana rješenja na akcijskoj traci.
4. Odaberite opciju Omogući.

Dodavanje okruženja u pravila tvrtke za šifriranje podataka

Važno

Okruženje će biti onemogućeno kada se doda u pravila tvrtke za šifriranje podataka.

1. Prijavite se u centar za Power Platform administratore i idite na Pravila> tvrtke.
2. Odaberite pravilo, a zatim na naredbenoj traci odaberite Uredi.
3. Odaberite Dodaj okruženja, odaberite željeno okruženje, a zatim odaberite Nastavi.
4. Odaberite Spremi, a zatim odaberite Potvrdi.

Važno

• Na popisu Dodavanje okruženja prikazuju se samo okruženja koja su u istoj regiji kao i pravila tvrtke.
• Šifriranje može potrajati do četiri dana, ali okruženje može biti omogućeno prije nego što se dovrši operacija Dodavanje okruženja .
• Operacija se možda neće dovršiti, a ako ne uspije, vaši se podaci i dalje šifriraju Microsoftovim upravljanim ključem. Možete ponovno pokrenuti operaciju Dodavanje okruženja .

Napomena

Možete dodati samo okruženja koja su omogućena kao Upravljana rješenja. Vrste okruženja Trial i Teams ne mogu se dodati u pravila tvrtke.

Uklanjanje okruženja iz pravilnika radi povratka na Microsoftov upravljani ključ

Slijedite ove korake ako se želite vratiti na Microsoftov upravljani ključ za šifriranje.

Važno

Okruženje će biti onemogućeno kada se ukloni iz pravila tvrtke za vraćanje šifriranja podataka pomoću Microsoftova upravljanog ključa.

1. Prijavite se u centar za Power Platform administratore i idite na Pravila> tvrtke.
2. Odaberite karticu Okruženje s pravilnicima , a zatim pronađite okruženje koje želite ukloniti iz ključa kojim upravlja klijent.
3. Odaberite karticu Svi pravilnici , odaberite okruženje koje ste potvrdili u 2. koraku, a zatim odaberite Uredi pravila na naredbenoj traci.
4. Odaberite Ukloni okruženje na naredbenoj traci, odaberite okruženje koje želite ukloniti, a zatim odaberite Nastavi.
5. Odaberite Spremi.

Važno

Okruženje će biti onemogućeno kada se ukloni iz pravila tvrtke kako bi se šifriranje podataka vratilo na Microsoftov ključ. Nemojte brisati ili onemogućavati ključ, brisati ili onemogućavati sefor za ključeve niti uklanjati dozvole pravila tvrtke za sef ključeva. Pristup ključu i trezoru ključeva neophodan je za podršku vraćanju baze podataka. Dopuštenja pravila tvrtke možete izbrisati i ukloniti nakon 30 dana.

Pregled statusa šifriranja okruženja

Pregled statusa šifriranja iz pravila tvrtke

1. Prijavite se u centar za administratore platforme Power Platform.

2. Odaberite Pravila> poduzeća.

3. Odaberite pravilo, a zatim na naredbenoj traci odaberite Uredi.

4. Pregledajte status šifriranja okruženja u odjeljku Okruženja s ovim pravilima .

   Napomena

   Status šifriranja okruženja može biti:

   • Šifrirano - ključ za šifriranje pravila tvrtke je aktivan i okruženje je šifrirano vašim ključem.
   • Nije uspjelo – ključ za šifriranje pravila tvrtke ne koristi se, a okruženje se i dalje šifrira ključem kojim upravlja Microsoft.
   • Upozorenje – ključ za šifriranje pravila tvrtke je aktivan, a jedan od podataka servisa i dalje se šifrira ključem kojim upravlja Microsoft. Saznajte više: Power Automate Poruke upozorenja za CMK aplikaciju

   Možete ponovno pokrenuti opciju Dodaj okruženje za okruženje koje ima status neuspjelog šifriranja.

Pregled statusa šifriranja na stranici Povijest okruženja

Možete vidjeti povijest okoliša.

1. Prijavite se u centar za administratore platforme Power Platform.

2. Odaberite Okruženja u navigacijskom oknu, a zatim odaberite okruženje s popisa.

3. Na naredbenoj traci odaberite Povijest.

4. Pronađite povijest za ažuriranje ključa kojim upravlja klijent.

   Napomena

   Status prikazuje Pokrenuto kada je šifriranje u tijeku. Prikazuje se Uspjelo kada je šifriranje dovršeno. Status prikazuje Neuspješno kada postoji neki problem s nekom od usluga koja ne može primijeniti ključ za šifriranje.

   Stanje Neuspjelo može biti upozorenje i ne morate ponovno pokretati opciju Dodaj okruženje . Možete potvrditi je li to upozorenje.

Promijenite ključ za šifriranje okruženja pomoću novih pravila i ključa tvrtke

Da biste promijenili ključ za šifriranje, stvorite novi ključ i nova pravila tvrtke. Zatim možete promijeniti pravila tvrtke uklanjanjem okruženja, a zatim dodavanjem okruženja u novi pravilnik tvrtke. Sustav je isključen dva puta kada se promijeni na novi pravilnik tvrtke - 1) za vraćanje enkripcije na Microsoftov upravljani ključ i 2) za primjenu novog pravila tvrtke.

[! Preporuka] Da biste rotirali ključ za šifriranje, preporučujemo upotrebu Nova verzija sefova za ključeve ili postavljanje pravila rotacije.

1. Na portalu Azure stvorite novi ključ i novo pravilo tvrtke. Dodatne informacije: Stvaranje ključa za šifriranje i odobravanje pristupa te Stvaranje pravila tvrtke
2. Kada se stvori novi ključ i pravilnik tvrtke, idite na Pravila> tvrtke.
3. Odaberite karticu Okruženje s pravilnicima , a zatim pronađite okruženje koje želite ukloniti iz ključa kojim upravlja klijent.
4. Odaberite karticu Svi pravilnici , odaberite okruženje koje ste potvrdili u 2. koraku, a zatim odaberite Uredi pravila na naredbenoj traci.
5. Odaberite Ukloni okruženje na naredbenoj traci, odaberite okruženje koje želite ukloniti, a zatim odaberite Nastavi.
6. Odaberite Spremi.
7. Ponavljajte korake od 2 do 6 dok se ne uklone sva okruženja u poslovnom pravilniku.

Važno

Okruženje će biti onemogućeno kada se ukloni iz pravila tvrtke kako bi se šifriranje podataka vratilo na Microsoftov ključ. Nemojte brisati ili onemogućavati ključ, brisati ili onemogućavati sefor za ključeve niti uklanjati dozvole pravila tvrtke za sef ključeva. Pristup ključu i trezoru ključeva neophodan je za podršku vraćanju baze podataka. Dopuštenja pravila tvrtke možete izbrisati i ukloniti nakon 30 dana.

1. Nakon što se uklone sva okruženja, iz Power Platform centra za administratore idite na Pravila tvrtke.
2. Odaberite novo pravilo tvrtke, a zatim odaberite Uredi pravilo.
3. Odaberite Dodaj okruženje, odaberite okruženja koja želite dodati, a zatim odaberite Nastavi.

Važno

Okruženje će biti onemogućeno kada se doda u novu poslovnu politiku.

Rotirajte ključ za šifriranje okruženja s novom verzijom ključa

Ključ za šifriranje okruženja možete promijeniti stvaranjem nove verzije ključa. Kada stvorite novu verziju ključa, nova verzija ključa automatski se omogućuje. Svi resursi za pohranu otkrivaju novu verziju ključa i počinju je primjenjivati za šifriranje vaših podataka.

Kada izmijenite ključ ili verziju ključa, mijenja se zaštita korijenskog ključa za šifriranje, ali podaci u pohrani uvijek ostaju šifrirani vašim ključem. S vaše strane više nije potrebno poduzimati nikakve radnje kako biste osigurali zaštitu svojih podataka. Rotiranje ključne verzije ne utječe na performanse. Nema zastoja povezanih s rotiranjem ključne verzije. Može proći 24 sata da svi davatelji resursa primijene novu verziju ključa u pozadini. Prethodna verzija ključa ne smije se onemogućiti jer je potrebna da bi je servis koristio za ponovno šifriranje i za podršku za vraćanje baze podataka.

Da biste rotirali ključ za šifriranje stvaranjem nove verzije ključa, slijedite sljedeće korake.

1. Idite na sefove ključeva portala>Azure i pronađite sef za ključeve u kojem želite stvoriti novu verziju ključa.
2. Idite na Tipke.
3. Odaberite trenutnu, omogućenu tipku.
4. Select + Nova verzija.
5. Postavka Omogućeno prema zadanim postavkama je Da, što znači da je nova verzija ključa automatski omogućena prilikom stvaranja.
6. Kliknite Stvori.

[! Preporuka] Da biste bili u skladu s pravilima rotacije ključeva, možete rotirati ključ za šifriranje pomoću pravila rotacije. Možete konfigurirati pravilo rotacije ili rotirati, na zahtjev, pozivanjem Rotate now.

Važno

Nova verzija ključa automatski se rotira u pozadini i administrator ne zahtijeva nikakvu radnju Power Platform . Važno je da se prethodna verzija ključa ne smije onemogućiti ili izbrisati najmanje 28 dana kako bi se podržala obnova baze podataka. Prerano onemogućavanje ili brisanje prethodne verzije ključa može isključiti vaše okruženje.

Prikaz popisa šifriranih okruženja

1. Prijavite se u centar za Power Platform administratore i idite na Pravila> tvrtke.
2. Na stranici Pravila tvrtke odaberite karticu Okruženja s pravilima . Prikazuje se popis okruženja koja su dodana u pravila tvrtke.

Napomena

Mogu postojati situacije u kojima status okruženja ili status šifriranja prikazuju status Neuspjelo . Kada se to dogodi, pošaljite zahtjev za pomoć Microsoftove podrške.

Operacije baze podataka u okruženju

Klijent može imati okruženja koja su šifrirana pomoću ključa kojim upravlja Microsoft i okruženja koja su šifrirana ključem kojim upravlja klijent. Za održavanje integriteta podataka i zaštite podataka dostupne su sljedeće kontrole za upravljanje operacijama u bazi podataka okruženja.

• Vraćanje Okruženje za prebrisavanje (vraćeno u okruženje) ograničeno je na isto okruženje iz kojeg je izrađena sigurnosna kopija ili na drugo okruženje koje je šifrirano s istim ključem kojim upravlja klijent.

  

• Kopiranje Okruženje za prebrisavanje (kopirano u okruženje) ograničeno je na drugo okruženje koje je šifrirano istim ključem kojim upravlja klijent.

  

  Napomena

  Ako je za rješavanje problema s podrškom u okruženju kojim upravlja klijent stvoreno okruženje za podršku istrazi, ključ za šifriranje za okruženje za podršku istrazi mora se promijeniti u ključ kojim upravlja klijent prije nego što se može izvršiti operacija kopiranja okruženja.

• Reset: Šifrirani podaci okruženja brišu se, uključujući sigurnosne kopije. Nakon ponovnog postavljanja okruženja šifriranje okruženja vraća se na ključ kojim upravlja Microsoft.

Sljedeći koraci

O servisu Azure Key Vault