Megosztás a következőn keresztül:

Az ügyfél által felügyelt titkosítási kulcs kezelése

  • Cikk

Az ügyfelek adatvédelmi és megfelelőségi követelményekkel védik adataikat az inaktív adatok titkosításával. Ez megvédi az adatokat a kitettségtől abban az esetben, ha az adatbázis másolatát ellopják. Az inaktív adatok titkosításával az ellopott adatbázisadatok védve vannak attól, hogy a titkosítási kulcs nélkül visszakerüljenek egy másik kiszolgálóra.

Alapértelmezés szerint az összes Power Platform tárolt ügyféladat titkosítva van erősen felügyelt titkosítási kulcsokkal Microsoft. Microsoft Tárolja és kezeli az összes adat adatbázis-titkosítási kulcsát, így Önnek nem kell. Azonban ezt az ügyfél által felügyelt titkosítási kulcsot (CMK) biztosítja a hozzáadott adatvédelmi vezérlőhöz, Power Platform ahol önállóan kezelheti a környezetéhez Microsoft Dataverse társított adatbázis-titkosítási kulcsot. Ez lehetővé teszi a titkosítási kulcs igény szerinti elforgatását vagy cseréjét, valamint azt is, hogy megakadályozza Microsoft az ügyféladatokhoz való hozzáférést, amikor bármikor visszavonja a kulcshozzáférést szolgáltatásainkhoz.

Ha többet szeretne megtudni az ügyfél által felügyelt kulcsról Power Platform, tekintse meg az ügyfél által felügyelt kulcsot bemutató videót.

Ezek a titkosítási kulcsműveletek ügyfél által felügyelt kulccsal (CMK) érhetők el:

  • Hozzon létre egy RSA (RSA-HSM) kulcsot a Azure Key Vault.
  • Hozzon létre egy Power Platform vállalati szabályzatot a kulcshoz.
  • Adjon engedélyt a Power Platform vállalati szabályzatnak a kulcstartó eléréséhez.
  • Adja meg a Power Platform szolgáltatás-rendszergazdának a vállalati szabályzat olvasását.
  • Titkosítási kulcs alkalmazása a környezetre.
  • visszaállít/távolítsa el a környezet CMK-titkosítását a felügyelt kulcshoz Microsoft.
  • Módosítsa a kulcsot egy új vállalati házirend létrehozásával, távolítsa el a környezetet a CMK-ból, és alkalmazza újra a CMK-t az új vállalati házirenddel.
  • CMK-környezetek zárolása a CMK-kulcstartó és/vagy a kulcsengedélyek visszavonásával.
  • A saját kulcs használata (BYOK) környezeteket CMK-kulcsba migrálhatja CMK-kulcs alkalmazásával.

Jelenleg a csak a következő alkalmazásokban és szolgáltatásokban tárolt összes ügyféladat titkosítható ügyfél által felügyelt kulccsal:

  • Dataverse (Egyedi megoldások és Microsoft szolgáltatások)
  • Dataverse Copilot modellvezérelt alkalmazásokhoz
  • Power Automate1
  • Power Apps
  • Dynamics 365 Csevegés
  • Dynamics 365 értékesítés
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Pénzügy (pénzügy és műveletek)
  • Dynamics 365 Intelligent Order Management (Pénzügy és műveletek)
  • Dynamics 365 Project Operations (Pénzügy és műveletek)
  • Dynamics 365 Supply Chain Management (Pénzügy és műveletek)
  • Dynamics 365 Fraud Protection (Pénzügy és műveletek)

1 Ha az ügyfél által felügyelt kulcsot olyan környezetre alkalmazza, amely meglévő Power Automate folyamatokkal rendelkezik, a folyamatok adatai továbbra is felügyelt kulccsal Microsoft vannak titkosítva. További információ: Power Automate ügyfél által kezelt kulcs.

Feljegyzés

A Nuance Conversational IVR és a Maker üdvözlő tartalom ki van zárva az ügyfél által felügyelt kulcstitkosításból.

Microsoft Copilot Studio Az adatokat saját tárolójukban és a saját tárhelyükön tárolja Microsoft Dataverse. Amikor az ügyfél által felügyelt kulcsot alkalmazza ezekre a környezetekre, csak a benne Microsoft Dataverse lévő adattárak lesznek titkosítva a kulccsal. A nemMicrosoft Dataverse adatok továbbra is titkosítva vannak a Microsoft felügyelt kulccsal.

Feljegyzés

Az összekötők kapcsolati beállításai továbbra is felügyelt Microsoft kulccsal lesznek titkosítva.

Az ügyfél által felügyelt kulcs támogatásával kapcsolatos információkért lépjen kapcsolatba a fent fel nem sorolt szolgáltatások képviselőjével.

Feljegyzés

Power Apps A megjelenítendő nevek, leírások és kapcsolati metaadatok továbbra is A-felügyelt Microsoft kulccsal vannak titkosítva.

Feljegyzés

A letöltési eredmények hivatkozása és a megoldás-ellenőrző kényszerítése által a megoldás-ellenőrzés során előállított egyéb adatok továbbra is felügyelt Microsoft kulccsal vannak titkosítva.

Az olyan pénzügyi és műveleti alkalmazások környezetek, amelyekben Power Platform az integráció engedélyezve van, szintén titkosíthatók. Az integráció nélküli Power Platform Finance and Operations környezetek továbbra is az alapértelmezett Microsoft felügyelt kulcsot használják az adatok titkosításához. További információ: Titkosítás a pénzügyi és műveleti alkalmazások

Felhasználó által kezelt titkosítási kulcs a Power Platform

Bevezetés az ügyfél által felügyelt kulcsba

Az ügyfél által felügyelt kulccsal a rendszergazdák saját titkosítási kulcsot adhatnak meg a saját Azure Key Vault a tárolási szolgáltatásoknak az Power Platform ügyféladatok titkosításához. Microsoft nem rendelkezik közvetlen hozzáféréssel a Azure Key Vault. Ahhoz Power Platform , hogy a szolgáltatások hozzáférjenek a titkosítási kulcshoz a Azure Key Vault, a rendszergazda létrehoz egy Power Platform vállalati szabályzatot, amely hivatkozik a titkosítási kulcsra, és hozzáférést biztosít a vállalati szabályzatnak a kulcs olvasásához a Azure Key Vault.

A Power Platform szolgáltatás-rendszergazda ezután környezeteket adhat hozzá Dataverse a vállalati házirendhez, hogy elkezdje titkosítani a környezetben lévő összes ügyféladatot a titkosítási kulccsal. A rendszergazdák módosíthatják a környezet titkosítási kulcsát egy másik vállalati házirend létrehozásával, és (az eltávolítás után) hozzáadhatják a környezetet az új vállalati házirendhez. Ha a környezetet már nem kell titkosítani az ügyfél által felügyelt kulccsal, a rendszergazda eltávolíthatja a Dataverse környezetet a vállalati házirendből, hogy vissza visszaállít az adattitkosítást a felügyelt kulcsra Microsoft.

A rendszergazda zárolhatja az ügyfél által felügyelt kulcskörnyezeteket úgy, hogy visszavonja a kulcshozzáférést a vállalati házirendből, és feloldhatja a környezeteket a kulcshoz való hozzáférés visszaállításával. További információ: Környezetek zárolása a kulcstartóhoz és/vagy a kulcsengedélyekhez való hozzáférés visszavonásával

A kulcskezelési feladatok egyszerűsítése érdekében a feladatokat három fő területre bontjuk:

  1. Hozzon létre titkosítási kulcsot.
  2. Hozzon létre vállalati szabályzatot, és adjon hozzáférést.
  3. A környezet titkosításának kezelése.

Figyelmeztetés:

Ha a környezetek zárolva vannak, senki sem férhet hozzájuk, beleértve a támogatást is Microsoft . A zárolt környezetek le vannak tiltva, és adatvesztés történhet.

Az ügyfél által felügyelt kulcs licencelési követelményei

Az ügyfél által felügyelt kulcsokra vonatkozó szabályzat csak a Felügyelt környezetek számára aktivált környezetekben van érvényesítve. Felügyelt környezetek jogosultságként szerepelnek az önálló Power Apps, Power Automate,, Microsoft Copilot Studio, Power Pages, és Dynamics 365 licencekben, amelyek prémium használati jogokat biztosítanak. További információ a felügyelt környezet licenceléséről : Licencelés áttekintése Microsoft Power Platform.

Emellett az ügyfél által felügyelt kulcs Microsoft Power Platform és Dynamics 365 használatához való hozzáféréshez a titkosítási kulcsra vonatkozó szabályzat érvényesítését lehetővé tevő környezetekben lévő felhasználóknak az alábbi előfizetések egyikével kell rendelkezniük:

  • Microsoft 365 vagy Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Megfelelőség
  • Microsoft 365 F5 biztonság és megfelelőség
  • Microsoft 365 A5/E5/F5/G5 információvédelem és adatkezelés
  • Microsoft 365 A5/E5/F5/G5 belső kockázatkezelés

További információ ezekről a licencekről.

A kulcs kezelésével járó lehetséges kockázatok megismerése

Mint bármilyen kulcsfontosságú alkalmazásnál, a szervezeten belül rendszergazdai jogosultsággal rendelkező személyeknek itt is megbízhatónak kell lenniük. A kulcskezelő funkció használata előtt ki kell értékelnie az adatbázis titkosítási kulcsainak kezelésével járó kockázatot. Elképzelhető, hogy a szervezeten belül dolgozó rosszindulatú rendszergazda (olyan személy, aki rendszergazdai szintű hozzáférést kapott vagy szerzett azzal a szándékkal, hogy károsítsa a szervezet biztonságát vagy üzleti folyamatait), a kulcsok kezelése funkcióval létrehozhat egy kulcsot, és ezzel zárolhatja a környezeteket a bérlőben.

Vegye fontolóra az alábbi eseménysorozatot.

A rosszindulatú kulcstartó rendszergazdája létrehoz egy kulcsot és egy vállalati szabályzatot a Azure Portal. A Azure Key Vault rendszergazda a felügyeleti központba Power Platform lép, és környezeteket ad hozzá a vállalati szabályzathoz. A rosszindulatú rendszergazda ezután visszatér a Azure Portal, és visszavonja a vállalati szabályzathoz való kulcshozzáférést, így zárolja az összes környezetet. Ez üzletmenet-megszakításokat okoz, mivel az összes környezet elérhetetlenné válik, és ha ez az esemény nem oldódik meg, azaz a kulcshozzáférés visszaáll, a környezeti adatok elveszhetnek.

Feljegyzés

  • Azure Key Vault beépített biztonsági szolgáltatásokkal rendelkezik, amelyek segítenek a kulcs visszaállításában, amelyekhez engedélyezni kell a helyreállítható törlés és a végleges törlés elleni védelem kulcstartójának beállításait.
  • Egy másik megfontolandó biztosíték annak biztosítása, hogy a feladatok el legyenek különítve, ahol a Azure Key Vault rendszergazda nem kap hozzáférést a Power Platform felügyeleti központhoz.

A kötelezettség elkülönítése a kockázat csökkentése érdekében

Ez a szakasz azokat az ügyfél által felügyelt kulcsfontosságú funkciókat ismerteti, amelyekért az egyes rendszergazdai szerepkörök felelősek. Ezeknek a feladatoknak az elkülönítése segít csökkenteni az ügyfél által kezelt kulcsokkal kapcsolatos kockázatokat.

Azure Key Vault és Power Platform/Dynamics 365 szolgáltatás-rendszergazdai feladatok

Az ügyfél által kezelt kulcsok engedélyezéséhez először a kulcstartó rendszergazdája létrehoz egy kulcsot az Azure Key Vaultban, és létrehoz egy Power Platform vállalati szabályzatot. A vállalati szabályzat létrehozásakor létrejön egy speciális Microsoft Entra azonosító felügyelt identitás. Ezután a kulcstartó rendszergazdája visszatér az Azure Key Vaulthoz, és hozzáférést biztosít a vállalati szabályzatnak/felügyelt identitásnak a titkosítási kulcshoz.

A kulcstartó rendszergazdája ezután olvasási hozzáférést biztosít a megfelelő Power Platform/Dynamics 365 szolgáltatás-rendszergazdának a vállalati szabályzathoz. Az olvasási engedély megadása után a Power Platform szolgáltatás-rendszergazda a felügyeleti központba Power Platform léphet Dynamics 365, és környezeteket adhat hozzá a vállalati házirendhez. Ezután minden hozzáadott környezet ügyféladata titkosítva van a vállalati szabályzathoz csatolt, ügyfél által felügyelt kulccsal.

Előfeltételek
  • Egy Azure-előfizetés, amely Azure Key Vault vagy Azure Key Vault hardveres biztonsági modulokat tartalmaz.
  • Azonosító Microsoft Entra a következőkkel:
    • Közreműködő engedélyt az Microsoft Entra előfizetéshez.
    • Engedély Azure Key Vault és kulcs létrehozására.
    • Hozzáférés erőforráscsoport létrehozásához. Ez a kulcstartó beállításához szükséges.
A kulcs létrehozása és hozzáférés megadása az Azure Key Vault használatával

A Azure Key Vault rendszergazda végzi el ezeket a feladatokat az Azure-ban.

  1. Hozzon létre egy fizetős Azure-előfizetést és Key Vault. Hagyja figyelmen kívül ezt a lépés, ha már rendelkezik olyan előfizetéssel, amely tartalmazza Azure Key Vault.
  2. Nyissa meg a Azure Key Vault szolgáltatást, és hozzon létre egy kulcsot. További információ: Kulcs létrehozása a kulcstartóban
  3. Engedélyezze a vállalati szabályzatok szolgáltatást az Power Platform Azure-előfizetéséhez. Ezt csak egyszer tegye meg. További információ: A vállalati szabályzatok szolgáltatás engedélyezése az Power Platform Azure-előfizetéshez
  4. Hozzon létre egy vállalati házirendet Power Platform . További információ: Vállalati házirend létrehozása
  5. Adjon vállalati házirend-engedélyeket a kulcstartó eléréséhez. További információ: Vállalati házirend-engedélyek megadása a kulcstartó eléréséhez
  6. Adjon Power Platform és Dynamics 365 a rendszergazdáknak engedélyt a vállalati házirend olvasására. További információ: Rendszergazdai jogosultság megadása a Power Platform vállalati szabályzat olvasásához

Power Platform/Dynamics 365 szolgáltatás-rendszergazdai Power Platform felügyeleti központ feladatai

Előfeltétel
  • Power Platform A rendszergazdát hozzá kell rendelni a Power Platform vagy Dynamics 365 szolgáltatás-rendszergazdai Microsoft Entra szerepkörhöz.
A környezet titkosításának kezelése a felügyeleti központban Power Platform

A Power Platform rendszergazda kezeli a környezethez kapcsolódó, ügyfél által felügyelt legfontosabb feladatokat a felügyeleti központban Power Platform .

  1. Adja hozzá a Power Platform környezeteket a vállalati házirendhez az adatok ügyfél által felügyelt kulccsal való titkosításához. További információ: Környezet hozzáadása a vállalati házirendhez az adatok titkosításához
  2. Távolítsa el a környezeteket a vállalati házirendből, hogy visszaadja a titkosítást a felügyelt kulcsnak Microsoft . További információ: Környezetek eltávolítása a szabályzatból a felügyelt kulcshoz Microsoft való visszatéréshez
  3. Módosítsa a kulcsot úgy, hogy eltávolítja a környezeteket a régi vállalati házirendből, és környezeteket ad hozzá egy új vállalati házirendhez. További információ: Titkosítási kulcs létrehozása és hozzáférés megadása
  4. Áttelepítés a BYOK-ról. Ha a korábbi, saját maga által felügyelt titkosítási kulcs funkciót használja, áttelepítheti a kulcsot az ügyfél által felügyelt kulcsra. További információ: Saját kulcsú környezetek áttelepítése ügyfél által felügyelt kulcsra

Titkosítási kulcs létrehozása és hozzáférés megadása

Fizetős Azure-előfizetés és kulcstartó létrehozása

Az Azure-ban hajtsa végre a következő lépéseket:

  1. Hozzon létre egy használatalapú fizetést vagy azzal egyenértékű Azure-előfizetést. Erre a lépés nincs szükség, ha a bérlő már rendelkezik előfizetéssel.

  2. Hozzon létre egy erőforráscsoportot. További információ: Erőforráscsoportok létrehozása

    Feljegyzés

    Hozzon létre vagy használjon olyan erőforráscsoportot, amelynek helye (például USA középső régiója), amely megfelel a Power Platform környezet régiójának, például Egyesült Államok.

  3. Hozzon létre egy kulcstartót a fizetős előfizetéssel, amely helyreállítható törlés és végleges törlés elleni védelmet tartalmaz az előző lépés létrehozott erőforráscsoporttal.

    Fontos

Kulcs létrehozása a kulcstartóban

  1. Győződjön meg arról, hogy megfelel az előfeltételeknek.
  2. Nyissa meg a Azure Portal Key Vault>, és keresse meg azt a kulcstartót, amelyben titkosítási kulcsot szeretne létrehozni.
  3. Ellenőrizze az Azure Key Vault beállításait:
    1. Válassza a Tulajdonságok lehetőséget a Beállítások alatt.
    2. A Helyreállítható törlés alatt állítsa be vagy ellenőrizze, hogy aSoft delete engedélyezve van-e ezen a kulcstartó-beállításon .
    3. A Kiürítés elleni védelem alattállítsa be vagy ellenőrizze, hogy engedélyezve van-e a Kiürítés elleni védelem engedélyezése (kötelező megőrzési időszak kényszerítése a törölt tárolókhoz és tárolóobjektumokhoz).
    4. Ha módosításokat hajtott végre, válassza a Mentés lehetőséget.
RSA-kulcsok létrehozása

  1. Hozzon létre vagy importáljon egy kulcsot, amely a következő tulajdonságokkal rendelkezik:

    1. A Key Vault tulajdonságai lapon válassza a Kulcsok lehetőséget .
    2. Válassza a Generálás/importálás lehetőséget.
    3. A Kulcs létrehozása képernyőn állítsa be a következő értékeket, majd válassza a Létrehozás lehetőséget.
      • beállítások: létrehozás
      • Név: Adja meg a kulcs nevét
      • Kulcs típusa: RSA
      • RSA kulcs mérete: 2048

    Fontos

    Ha lejárati dátumot állít be a kulcsban, és a kulcs lejárt, az ezzel a kulccsal titkosított összes környezet leáll. Állítson be riasztást a lejárati tanúsítványok figyelésére e-mail-értesítésekkel a helyi Power Platform rendszergazda és az Azure Key Vault rendszergazdája számára emlékeztetőként a lejárati dátum megújítására. Ez fontos a nem tervezett rendszerleállások megelőzése érdekében.

Hardveres biztonsági modulok (HSM) védett kulcsainak importálása

A hardveres biztonsági modulok (HSM) védett kulcsaival titkosíthatja a Power Platform Dataverse környezeteket. A HSM által védett kulcsokat importálni kell a kulcstartóba , hogy létre lehessen hozni egy vállalati szabályzatot. További információ: Támogatott HSM-ek HSM által védett kulcsok importálásaKey Vault (BYOK).

Kulcs létrehozása a felügyelt HSM-Azure Key Vault HSM-ben

A környezeti adatok titkosításához használhatja a felügyelt HSM-ből létrehozott titkosítási Azure Key Vault kulcsot. Ez FIPS 140-2 3. szintű támogatást nyújt.

RSA-HSM-kulcsok létrehozása

  1. Győződjön meg arról, hogy megfelel az előfeltételeknek.

  2. Nyissa meg az Azure Portalt.

  3. Felügyelt HSM létrehozása:

    1. kiépítés a felügyelt HSM-et.
    2. Aktiválja a felügyelt HSM-et.

  4. Engedélyezze a végleges törlés elleni védelmet a felügyelt HSM-ben.

  5. Adja meg a felügyelt HSM titkosítási felhasználó szerepkört a felügyelt HSM-kulcstartót létrehozó személynek.

    1. A felügyelt HSM-kulcstartót a Azure Portal.
    2. Lépjen a Helyi RBAC elemre, és válassza a + Hozzáadás lehetőséget.
    3. A Szerepkör legördülő listában válassza ki a Felügyelt HSM titkosítási felhasználó szerepkört a Szerepkör-hozzárendelés lapon.
    4. Válassza a Minden kulcs lehetőséget a Hatókör alatt.
    5. Válassza a Rendszerbiztonsági tag kiválasztása lehetőséget, majd válassza ki a rendszergazdát a Rendszerbiztonsági tag hozzáadása lapon.
    6. Válassza a Létrehozás parancsot.

  6. RSA-HSM-kulcs létrehozása:

    • beállítások: létrehozás
    • Név: Adja meg a kulcs nevét
    • Kulcs típusa: RSA-HSM
    • RSA kulcs mérete: 2048

    Feljegyzés

    Támogatott RSA-HSM kulcsméretek: 2048 bites és 3072 bites.

A privát végpont engedélyezésével frissítheti a Azure Key Vault hálózatát, és a kulcstartóban lévő kulccsal titkosíthatja a Power Platform környezeteket.

Létrehozhat egy új kulcstartót, és létrehozhat egy privát kapcsolati kapcsolatot , vagy létrehozhat egy privát kapcsolati kapcsolatot egy meglévő kulcstartóval, és létrehozhat egy kulcsot ebből a kulcstartóból, és használhatja a környezet titkosításához. Privát kapcsolati kapcsolatot is létesíthet egy meglévő kulcstartóval , miután már létrehozott egy kulcsot, és ezzel titkosíthatja a környezetet.

  1. Hozzon létre egy Azure Key Vault az alábbi lehetőségekkel:

    • Kiürítés elleni védelem engedélyezése
    • Kulcs típusa: RSA
    • Kulcs mérete: 2048

  2. Másolja ki a kulcstartó URL-címét és a titkosítási kulcs URL-címét a vállalati szabályzat létrehozásához.

    Feljegyzés

    Miután hozzáadott egy privát végpont a kulcstartóhoz, vagy letiltotta a nyilvános hozzáférési hálózatot, csak akkor láthatja a kulcsot, ha rendelkezik a megfelelő engedéllyel.

  3. Hozzon létre egy virtuális hálózatot.

  4. Térjen vissza a kulcstartóhoz, és adjon hozzá privát végpont-kapcsolatokat a Azure Key Vault.

    Feljegyzés

    Válassza a Nyilvános hozzáférésű hálózat letiltása lehetőséget, és engedélyezze a Megbízható szolgáltatások megkerülésének engedélyezése a tűzfalkivételt Microsoft beállítást.

  5. Hozzon létre egy vállalati házirendet Power Platform . További információ: Vállalati házirend létrehozása

  6. Adjon vállalati házirend-engedélyeket a kulcstartó eléréséhez. További információ: Vállalati házirend-engedélyek megadása a kulcstartó eléréséhez

  7. Adjon Power Platform és Dynamics 365 a rendszergazdáknak engedélyt a vállalati házirend olvasására. További információ: Rendszergazdai jogosultság megadása a Power Platform vállalati szabályzat olvasásához

  8. Power Platform A felügyeleti központ rendszergazdája kiválasztja a felügyelt környezet titkosításához és engedélyezéséhez szükséges környezetet. További információ: Felügyelt környezet hozzáadásának engedélyezése a vállalati házirendhez

  9. Power Platform A felügyeleti központ rendszergazdája hozzáadja a felügyelt környezetet a vállalati házirendhez. További információ: Környezet hozzáadása a vállalati házirendhez az adatok titkosításához

A vállalati szabályzatok szolgáltatás engedélyezése az Power Platform Azure-előfizetéshez

Regisztráljon Power Platform erőforrás-szolgáltatóként. Ezt a feladatot csak egyszer kell elvégeznie minden olyan Azure-előfizetés esetében, ahol a Azure Key Vault található. Az erőforrás-szolgáltató regisztrálásához hozzáférési jogosultságokkal kell rendelkeznie az előfizetéshez.

  1. Jelentkezzen be az Azure Portalra , és lépjen az Előfizetési erőforrás-szolgáltatók> lapra.
  2. Az erőforrás-szolgáltatók listájábankeressen rá a kifejezésre Microsoft. PowerPlatform és regisztrálja .

Vállalati házirend létrehozása

  1. Telepítse a PowerShell MSI-t. További információ: A PowerShell telepítése Windows, Linux és macOS rendszeren
  2. A PowerShell MSI telepítése után térjen vissza az Egyéni sablon üzembe helyezése az Azure-ban részhez .
  3. Válassza a Saját sablon létrehozása a szerkesztőben hivatkozást.
  4. Másolja ezt a JSON-sablont egy szövegszerkesztőbe, például a Jegyzettömbbe. További információ: Vállalati szabályzat JSON-sablonja
  5. Cserélje le a JSON-sablon értékeit a következőre: EnterprisePolicyName,hely , ahol az EnterprisePolicy-t létre kell hozni,keyVaultId és keyName. További információ: JSON-sablon meződefiníciói
  6. Másolja ki a frissített sablont a szövegszerkesztőből, majd illessze be az Egyéni üzemelő példány szerkesztése sablonba az Azure-ban, és válassza a Mentés lehetőséget.
  7. Válasszon ki egy előfizetést és erőforráscsoportot , ahol létre szeretné hozni a vállalati szabályzatot.
  8. Válassza az Áttekintés + létrehozás, majd a Létrehozás lehetőséget.

Megkezdődik az üzembe helyezés. Ha elkészült, létrejön a vállalati házirend.

Vállalati szabályzat JSON-sablonja

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON-sablon meződefiníciói

  • név. A vállalati házirend neve. Ez a felügyeleti központban Power Platform megjelenő szabályzat neve.

  • hely. Az alábbiak egyike. Ez a vállalati házirend helye, és meg kell felelnie a Dataverse környezet régiójának:

    • "»Egyesült Államok«"
    • "»Dél-Afrika«"
    • '»Egyesült Királyság«
    • '»Japán«
    • "»India«"
    • "»Franciaország«"
    • "»Európa«"
    • "»Németország«"
    • "»Svájc«"
    • "»Kanada«"
    • "»Brazília«"
    • "»Ausztrália«"
    • "»Ázsia«"
    • '»Egyesült Arab Emírségek«'
    • "»Korea«"
    • "»Norvégia«"
    • "»Szingapúr«"
    • "»Svédország«"

  • Másolja ki ezeket az értékeket a kulcstartó tulajdonságaiból a Azure Portal:

    • keyVaultId: Ugrás a kulcstartókra ,> válassza ki a kulcstartót >Áttekintés. Az Alapvető szolgáltatások mellett válassza a JSON-nézet lehetőséget. Másolja az erőforrás-azonosítót a vágólapra, és illessze be a teljes tartalmat a JSON-sablonba.
    • keyName: Ugrás a kulcstartókra ,> válassza ki a kulcstartót >Kulcsok. Figyelje meg a Name kulcsot , és írja be a nevet a JSON-sablonba.

Vállalati házirend-engedélyek megadása a kulcstartó eléréséhez

A vállalati szabályzat létrehozása után a kulcstartó rendszergazdája hozzáférést biztosít a vállalati szabályzat felügyelt identitásának a titkosítási kulcshoz.

  1. Jelentkezzen be a Azure Portal , és lépjen a Kulcstartók elemre.
  2. Válassza ki azt a kulcstartót, amelyhez a kulcsot hozzárendelte a vállalati szabályzathoz.
  3. Válassza a Hozzáférés-vezérlés (IAM) lapot, majd válassza a + Hozzáadás lehetőséget.
  4. Válassza a szerepkör-hozzárendelés hozzáadása lehetőséget a legördülő listából,
  5. Keresse meg Key Vault titkosítási szolgáltatás titkosítási felhasználóját , és válassza ki.
  6. Válassza a Következő lehetőséget.
  7. Select+ Select tagok.
  8. Keresse meg a létrehozott vállalati házirendet.
  9. Jelölje ki a vállalati házirendet, majd válassza a Kijelölés lehetőséget.
  10. Válassza az Áttekintés + hozzárendelés lehetőséget.

Feljegyzés

A fenti engedélybeállítás a kulcstartó Azure szerepköralapú hozzáférés-vezérlésének engedélymodelljénalapul. Ha a kulcstartó tároló-hozzáférési szabályzatra van állítva, javasoljuk, hogy migráljon a szerepköralapú modellre. Ha hozzáférést szeretne adni a vállalati szabályzatnak a kulcstartóhoz a tároló hozzáférési szabályzatával, hozzon létre egy hozzáférési szabályzatot, válassza a Get on Key Management Operations (Beolvasás) lehetőséget, és válassza a Unwrap key and Beburkoló key on Cryptographic Operations (Kulcs kicsomagolása ) lehetőséget .

Feljegyzés

A nem tervezett rendszerkimaradások elkerülése érdekében fontos, hogy a vállalati házirend hozzáférjen a kulcshoz. Ellenőrizze a következőket:

  • A kulcstartó aktív.
  • A kulcs aktív és nem járt le.
  • A kulcs nem törlődik.
  • A fenti kulcsengedélyek nem lesznek visszavonva.

A kulcsot használó környezetek le lesznek tiltva, ha a titkosítási kulcs nem érhető el.

Rendszergazdai jogosultság megadása a Power Platform vállalati szabályzat olvasásához

A Dynamics 365 vagy Power Platform felügyeleti szerepkörrel rendelkező rendszergazdák hozzáférhetnek a Power Platform felügyeleti központhoz, hogy környezeteket rendeljenek a vállalati házirendhez. A vállalati szabályzatok eléréséhez az Azure Key Vault hozzáféréssel rendelkező rendszergazdának meg kell adnia a olvasó szerepkört a Power Platform rendszergazdának. A olvasó szerepkör megadása után a rendszergazda Power Platform megtekintheti a vállalati házirendeket a Power Platform felügyeleti központban.

Feljegyzés

Csak Power Platform és azok Dynamics 365 rendszergazdák adhatnak hozzá környezetet a házirendhez, akik megkapták a vállalati házirend olvasó szerepkörét. Más Power Platform vagy Dynamics 365 rendszergazdák megtekinthetik a vállalati házirendet, de hibaüzenetet kapnak, amikor megpróbálnak környezetet hozzáadni a házirendhez.

Szerepkör megadása olvasó rendszergazdának Power Platform

  1. Jelentkezzen be az Azure Portalra.
  2. Másolja ki a Power Platform vagy Dynamics 365 rendszergazda objektumazonosítóját. Ehhez:
    1. Lépjen az Azure Felhasználók területére.
    2. A Minden felhasználó listában keresse meg a rendszergazdai engedélyekkel rendelkező Power Platform vagy Dynamics 365 felhasználót a Felhasználók keresése használatával .
    3. Nyissa meg a felhasználói rekordot, és az Áttekintés lapon másolja ki a felhasználó objektumazonosítóját. Illessze be ezt egy szövegszerkesztőbe, például a Jegyzettömbbe későbbre.
  3. Másolja ki a vállalati házirend erőforrás-azonosítóját. Ehhez:
    1. Ugrás a Resource Graph Explorerre az Azure-ban.
    2. Írja be microsoft.powerplatform/enterprisepolicies a Keresés mezőbe, majd válassza ki a microsoft.powerplatform/enterprisepolicies erőforrást.
    3. Válassza a Lekérdezés futtatása lehetőséget a parancssávon. Megjelenik az Power Platform összes vállalati házirend listája.
    4. Keresse meg azt a vállalati házirendet, amelyhez hozzáférést szeretne adni.
    5. Görgessen a vállalati szabályzat jobb oldalára, és válassza a Részletek megtekintése lehetőséget.
    6. A Részletek lapon másolja ki az azonosítót.
  4. Indítsa Azure Cloud Shell, és futtassa a következő parancsot, és cserélje le az objId elemet a felhasználó objektumazonosítójára, az EP-erőforrásazonosítót pedig az enterprisepolicies előző lépésekben másolt azonosítóra: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

A környezet titkosításának kezelése

A környezet titkosításának kezeléséhez a következő engedélyre van szüksége:

  • Microsoft Entra aktív felhasználó, akinek van és Power Platform /vagy Dynamics 365 adminisztrátora biztonsági szerepkör.
  • Microsoft Entra Olyan felhasználó, aki vagy Power Platform Dynamics 365 szolgáltatás-rendszergazdai szerepkörrel rendelkezik.

A kulcstartó rendszergazdája értesíti a rendszergazdát a Power Platform titkosítási kulcs és a vállalati szabályzat létrehozásáról, és biztosítja a vállalati házirendet a Power Platform rendszergazdának. Az ügyfél által felügyelt kulcs engedélyezéséhez a rendszergazda hozzárendeli a Power Platform környezetét a vállalati házirendhez. A környezet hozzárendelése és mentése Dataverse után elindítja a titkosítási folyamatot az összes környezeti adat beállításához, és titkosítja azokat az ügyfél által felügyelt kulccsal.

Felügyelt környezet hozzáadásának engedélyezése a vállalati házirendhez

  1. Jelentkezzen be a Power Platform felügyeleti központba, és keresse meg a környezetet.
  2. Válassza ki és ellenőrizze a környezetet a környezetek listájában.
  3. Válassza az Engedélyezés Felügyelt környezetek ikont a műveletsávon.
  4. Válassza ki az Engedélyezés lehetőséget.

Környezet hozzáadása a vállalati házirendhez az adatok titkosításához

Fontos

A környezet le lesz tiltva, amikor hozzáadják az adattitkosítás vállalati házirendjéhez.

  1. Jelentkezzen be a felügyeleti központba Power Platform , és lépjen aHázirendek vállalati házirendek> lapra.
  2. Válasszon ki egy szabályzatot, majd a parancssávon válassza a Szerkesztés lehetőséget.
  3. Válassza a Környezetek hozzáadása lehetőséget, válassza ki a kívánt környezetet, majd válassza a Folytatás lehetőséget. Környezet hozzáadása vállalati házirendhez a felügyeleti központban Power Platform
  4. Válassza a Mentés, majd a Megerősítés lehetőséget.

Fontos

  • Csak a vállalati házirenddel azonos régióban található környezetek jelennek meg a Környezetek hozzáadása listában.
  • A titkosítás akár négy napot is igénybe vehet, de előfordulhat, hogy a környezet engedélyezve lesz a Környezetek hozzáadása művelet befejezése előtt.
  • Előfordulhat, hogy a művelet nem fejeződik be, és ha nem sikerül, az adatok továbbra is felügyelt kulccsal Microsoft vannak titkosítva. A Környezetek hozzáadása műveletet újra futtathatja .

Feljegyzés

Csak olyan környezeteket adhat hozzá, amelyek Felügyelt környezetek engedélyezettek. A próbaverziós és a Teams környezettípusok nem adhatók hozzá a vállalati házirendhez.

Környezetek eltávolítása a szabályzatból a felügyelt kulcshoz Microsoft való visszatéréshez

Kövesse az alábbi lépéseket, ha vissza szeretne térni egy Microsoft felügyelt titkosítási kulcshoz.

Fontos

A környezet le lesz tiltva, amikor eltávolítja a vállalati házirendből, hogy adattitkosítást adjon vissza a Microsoft felügyelt kulccsal.

  1. Jelentkezzen be a felügyeleti központba Power Platform , és lépjen aHázirendek vállalati házirendek> lapra.
  2. Válassza a Környezet szabályzatokkal lapot, majd keresse meg az ügyfél által felügyelt kulcsból eltávolítani kívánt környezetet.
  3. Válassza a Minden szabályzat lapot, válassza ki a 2. lépés ellenőrzött környezetet, majd válassza a Szabályzat szerkesztése lehetőséget a parancssávon. Környezet eltávolítása az ügyfél által felügyelt kulcsból
  4. Válassza a Környezet eltávolítása lehetőséget a parancssávon, válassza ki az eltávolítani kívánt környezetet, majd válassza a Folytatás lehetőséget.
  5. Válassza a Mentés parancsot.

Fontos

A környezet le lesz tiltva, amikor eltávolítja a vállalati házirendből, hogy visszaállít az adattitkosítást a Microsoft felügyelt kulcsra. Ne törölje vagy tiltsa le a kulcsot, ne törölje vagy tiltsa le a kulcstartót, és ne távolítsa el a vállalati szabályzat kulcstartóra vonatkozó engedélyeit. A kulcs és a kulcstartó hozzáférése szükséges az adatbázis helyreállításának támogatásához. A vállalati házirend engedélyeit 30 nap elteltével törölheti és eltávolíthatja.

A környezet titkosítási állapotának áttekintése

Tekintse át a titkosítási állapotot a vállalati szabályzatokból

  1. Jelentkezzen be aPower Platform felügyeleti központjába.

  2. Válassza a Szabályzatok vállalati szabályzatok> lehetőséget.

  3. Válasszon ki egy szabályzatot, majd a parancssávon válassza a Szerkesztés lehetőséget.

  4. Tekintse át a környezet titkosítási állapotát a következő szabályzattal rendelkező környezetek szakaszban.

    Feljegyzés

    A környezet titkosítási állapota a következő lehet:

    • Titkosítva – a vállalati házirend titkosítási kulcsa aktív, és a környezet titkosítva van a kulccsal.
    • Sikertelen – a vállalati házirend titkosítási kulcsát nem minden Dataverse tárolási szolgáltatás használja. Több időt igényelnek a feldolgozásukhoz, és újra futtathatja a Környezet hozzáadása műveletet. Forduljon az ügyfélszolgálathoz, ha az újrafuttatás sikertelen.
    • Figyelmeztetés – a vállalati házirend titkosítási kulcsa aktív, és a szolgáltatás egyik adata továbbra is titkosítva van a Microsoft felügyelt kulccsal. Tudj meg többet: Power Automate CMK-alkalmazás figyelmeztető üzenetei

    Újra futtathatja a Környezet hozzáadása lehetőséget a Sikertelen titkosítási állapotú környezethez .

Tekintse át a titkosítási állapotot a Környezeti előzmények lapon

Megtekintheti a környezeti előzményeket.

  1. Jelentkezzen be aPower Platform felügyeleti központjába.

  2. Válassza a Környezetek lehetőséget a navigációs ablaktáblán, majd válasszon ki egy környezetet a listából.

  3. A parancssávon válassza az Előzmények lehetőséget .

  4. Keresse meg az ügyfél által felügyelt kulcs frissítése előzményeit .

    Feljegyzés

    Az Állapot Fut értéket mutat , ha a titkosítás folyamatban van. A titkosítás befejezésekor a Sikeres felirat jelenik meg. Az állapot Sikertelen lesz , ha probléma van azzal, hogy az egyik szolgáltatás nem tudja alkalmazni a titkosítási kulcsot.

    A Sikertelen állapot figyelmeztetés lehet , és nem kell újra futtatnia a Környezet hozzáadása lehetőséget. Megerősítheti, hogy figyelmeztetés-e.

A környezet titkosítási kulcsának módosítása új vállalati házirenddel és kulccsal

A titkosítási kulcs módosításához hozzon létre egy új kulcsot és egy új vállalati házirendet. Ezután módosíthatja a vállalati házirendet a környezetek eltávolításával, majd a környezetek hozzáadásával az új vállalati házirendhez. A rendszer kétszer leáll, amikor új vállalati házirendre vált – 1) a titkosítás felügyelt kulcsra Microsoft való visszaállít és 2) az új vállalati házirend alkalmazásához.

Tipp.

A titkosítási kulcs elforgatásához javasoljuk, hogy használja a kulcstartók új verzióját , vagy állítson be egy rotációs szabályzatot.

  1. A Azure Portal hozzon létre egy új kulcsot és egy új vállalati szabályzatot. További információ: Titkosítási kulcs létrehozása és hozzáférés megadása és Vállalati házirend létrehozása
  2. Az új kulcs és a vállalati házirend létrehozása után lépjen a Házirendek vállalati házirendek> részre.
  3. Válassza a Környezet szabályzatokkal lapot, majd keresse meg az ügyfél által felügyelt kulcsból eltávolítani kívánt környezetet.
  4. Válassza a Minden szabályzat lapot, válassza ki a 2. lépés ellenőrzött környezetet, majd válassza a Szabályzat szerkesztése lehetőséget a parancssávon. Környezet eltávolítása az ügyfél által felügyelt kulcsból
  5. Válassza a Környezet eltávolítása lehetőséget a parancssávon, válassza ki az eltávolítani kívánt környezetet, majd válassza a Folytatás lehetőséget.
  6. Válassza a Mentés parancsot.
  7. Ismételje meg a 2–6. lépést, amíg a vállalati házirend összes környezetét el nem távolította.

Fontos

A környezet le lesz tiltva, amikor eltávolítja a vállalati házirendből, hogy visszaállít az adattitkosítást a Microsoft felügyelt kulcsra. Ne törölje vagy tiltsa le a kulcsot, ne törölje vagy tiltsa le a kulcstartót, és ne távolítsa el a vállalati szabályzat kulcstartóra vonatkozó engedélyeit. A kulcs és a kulcstartó hozzáférése szükséges az adatbázis helyreállításának támogatásához. A vállalati házirend engedélyeit 30 nap elteltével törölheti és eltávolíthatja.

  1. Az összes környezet eltávolítása után a felügyeleti központból lépjen a Power Platform Vállalati szabályzatok elemre.
  2. Válassza ki az új vállalati szabályzatot, majd válassza a Szabályzat szerkesztése lehetőséget.
  3. Válassza a Környezet hozzáadása lehetőséget, válassza ki a hozzáadni kívánt környezeteket, majd válassza a Folytatás lehetőséget.

Fontos

A környezet le lesz tiltva, amikor hozzáadják az új vállalati szabályzathoz.

A környezet titkosítási kulcsának elforgatása új kulcsverzióval

A környezet titkosítási kulcsát egy új kulcsverzió létrehozásával módosíthatja. Új kulcsverzió létrehozásakor az új kulcsverzió automatikusan engedélyezve lesz. Az összes tárolási erőforrás észleli az új kulcsverziót, és elkezdi alkalmazni az adatok titkosításához.

A kulcs vagy a kulcsverzió módosításakor megváltozik a gyökértitkosítási kulcs védelme, de a tárolóban lévő adatok mindig titkosítva maradnak a kulccsal. Nincs több teendő az Ön részéről az adatok védelmének biztosítása érdekében. A kulcsverzió elforgatása nincs hatással a teljesítményre. A kulcsverzió elforgatása nem jár állásidővel. 24 órát is igénybe vehet, amíg az összes erőforrás-szolgáltató alkalmazza az új kulcsverziót a háttérben. Az előző kulcsverziót nem szabad letiltani , mivel a szolgáltatáshoz szükséges az újratitkosításhoz és az adatbázis visszaállításának támogatásához.

A titkosítási kulcs új kulcsverzió létrehozásával történő elforgatásához kövesse az alábbi lépéseket.

  1. Nyissa meg a Azure Portal>Key Vaults és keresse meg azt a kulcstartót, amelyben új kulcsverziót szeretne létrehozni.
  2. Lépjen a Kulcsok lapra.
  3. Válassza ki az aktuális, engedélyezett kulcsot.
  4. Válassza a + Új verzió lehetőséget.
  5. Az Engedélyezve beállítás alapértelmezett értéke Igen, ami azt jelenti, hogy az új kulcsverzió automatikusan engedélyezve van a létrehozáskor.
  6. Válassza a Létrehozás parancsot.

Tipp.

A kulcsrotációs szabályzatnak való megfelelés érdekében a rotációs házirend használatávalelforgathatja a titkosítási kulcsot. Konfigurálhat rotációs házirendet, vagy igény szerint elforgathatja a Rotáció most meghívásával.

Fontos

Az új kulcsverzió automatikusan elfordul a háttérben, és a Power Platform rendszergazdának nincs teendője. Fontos, hogy az adatbázis helyreállításának támogatásához az előző kulcsverziót legalább 28 napig ne tiltsa le vagy törölje. Az előző kulcsverzió túl korai letiltása vagy törlése offline állapotba helyezheti a környezetet.

A titkosított környezetek listájának megtekintése

  1. Jelentkezzen be a felügyeleti központba Power Platform , és lépjen aHázirendek vállalati házirendek> lapra.
  2. A Vállalati házirendek lapon válassza a Szabályzatokkal rendelkező környezetek lapot. Megjelenik a vállalati házirendekhez hozzáadott környezetek listája.

Feljegyzés

Előfordulhatnak olyan helyzetek, amikor a Környezet vagy a Titkosítás állapota Sikertelen állapotot mutat. Ebben az esetben megpróbálhatja újra futtatni a Környezet hozzáadása műveletet, vagy támogatási kérést küldhet Microsoft segítségért.

Környezet-adatbázis műveletei

Az ügyfélbérlők rendelkezhetnek a Microsoft felügyelt kulccsal titkosított környezetekkel és az ügyfél által felügyelt kulccsal titkosított környezetekkel. Az adatok integritásának és az adatok védelmének megőrzése érdekében a következő vezérlők használhatók a környezeti adatbázis-műveletek kezelésekor.

  • Visszaállítás : A felülírni kívánt környezet (a visszaállított környezet) ugyanarra a környezetre korlátozódik, amelyből a biztonsági másolat készült, vagy egy másik környezetbe, amely ugyanazzal az ügyfél által felügyelt kulccsal van titkosítva.

    Biztonsági másolat visszaállítása.

  • Másolás : A felülírni kívánt környezet (a környezetbe másolt) egy másik környezetre korlátozódik, amely ugyanazzal az ügyfél által felügyelt kulccsal van titkosítva.

    Másolási környezet.

    Feljegyzés

    Ha egy ügyfélszolgálati környezetet hoztak létre a támogatási probléma megoldására az ügyfél által kezelt környezetben, akkor az ügyfélszolgálati környezet titkosítási kulcsát meg kell változtatni az ügyfél által kezelt kulcsra, mielőtt a másolási környezet működése végrahajtható lenne.

  • Visszaállítás : A környezet titkosított adatai törlődnek, beleértve a biztonsági másolatokat is. A környezet alaphelyzetbe állítása után a környezeti titkosítás visszaáll a Microsoft felügyelt kulcsra visszaállít.

További lépések

Az Azure Key Vault ismertetése