A titkosítási kulcs kezelése

A Microsoft Dataverse minden környezete SQL Server Transparent Data Encryption (TDE) titkosítást használ az adatok valós idejű titkosításához lemezre íráskor (tárolt adatok titkosítása).

Alapértelmezés szerint tárolja és kezeli a környezetek adatbázis-titkosítási kulcsát, Microsoft így Önnek nem kell. A kulcsok kezelése funkció a(z) Microsoft Power Platform felügyeleti központban lehetővé teszi a rendszergazdák számára az adatbázis titkosítási kulcsának kezelését, amely a Dataverse bérlőhöz van társítva.

Fontos

• 2023. június 2-tól ez a szolgáltatás ügyfél által felügyelt titkosítási kulcsra frissül. Azok az új ügyfelek, akiknek saját titkosítási kulcsukat kell kezelniük, a frissített szolgáltatást fogják használni, mivel ez a szolgáltatás már nem érhető el.
• Az önkiszolgáló adatbázisttitkosítási kulcsok csak az olyan ügyfelek számára érhetők el, akik 1000-nél több Power Apps felhasználói licencet vagy 1000-nél több Dynamics 365 Enterprise licencet vagy ezek kombinációjából fakadóan több mint 1000 licencet használnak egyetlen bérlőben. Ha szeretne bejelentkezni a programba, küldjön egy támogatási kérést.

A titkosítási kulcsok kezelése csak az Azure SQL-környezeti adatbázisokra vonatkozik. A következő funkciók és szolgáltatások továbbra is a Microsoft felügyelt titkosítási kulcsot használják az adataik titkosításához, és nem titkosíthatók az önfelügyelt titkosítási kulccsal:

• Másodpilóták és generatív AI-funkciók a és Microsoft Power Platform a 365-ben Microsoft Dynamics
• Dataverse-keresés
• Rugalmas asztalok
• Mobile Offline
• Tevékenységnapló (Microsoft 365-portál)
• Exchange (kiszolgálóoldali szinkronizálás)

Feljegyzés

• A funkció használata előtt be kell kapcsolnia Microsoft az önkezelő adatbázis-titkosítási kulcs funkciót a bérlő számára.
• Az adattitkosítás-kezelési funkciók környezethez való használatához a környezetet azután kell létrehozni , hogy az adatbázis-titkosítási kulcs önkezelési funkciója be van kapcsolva Microsoft.
• Miután bekapcsolta a funkciót a bérlőben, minden új környezet csak az Azure SQL Storage használatával jön létre. Ezek a környezetek, függetlenül attól, hogy saját kulccsal (BYOK) vagy felügyelt Microsoft kulccsal vannak-e titkosítva, korlátozzák a fájlfeltöltés méretét, nem használhatják a Cosmos és a Datalake szolgáltatásokat, és Dataverse a keresési indexek felügyelt Microsoft kulccsal vannak titkosítva. A szolgáltatások használatához át kell térnie az ügyfél által felügyelt kulcsra.
• A 128 MB-nál kisebb méretű fájlok és képek akkor használhatók, ha a környezet 9.2.21052.00103-es vagy újabb verziójú.
• A meglévő környezetek többségében a fájlok és naplók tárolása nem-Azure SQL-adatbázisokban történik. Ezek a környezetek nem állíthatók be a titkosítási kulcs saját kezelésére. Csak az új környezetek (a programra való feliratkozást követően) esetén engedélyezhető a titkosítási kulcs saját kezelése.

Bevezetés a kulcskezelésbe

A kulcskezeléssel az adminisztrátorok biztosíthatják saját titkosítási kulcsaikat, vagy létrehozathatnak maguknak egy titkosítási kulcsot, amelyet egy környezet adatbázisának védelmére használnak.

A kulcskezelő funkció támogatja a PFX és a BYOK titkosítási kulcsfájlokat, például a hardverbiztonsági-modulban (HSM) tároltakat. A titkosítási kulcs feltöltési lehetőség használatához rendelkeznie kell nyilvános és egyéni titkosítási kulccsal.

A kulcskezelő szolgáltatás egyszerűbbé teszi a titkosítási kulcs kezelését a Azure Key Vault használatával, így biztonságosan tárolhatók titkosítási kulcsok. A Azure Key Vault segít biztosítani a titkosítási kulcsokat és titkokat, amelyeket a felhő alkalmazások és szolgáltatások használnak. A kulcskezelés funkcióhoz nem szükséges Azure Key Vault-előfizetés, és a legtöbb helyzetben nem szükséges a Dataverse szolgáltatáshoz használatos titkosítási kulcsokhoz hozzáférés a tárolóban.

A kulcskezelési funkcióval az alábbi műveletek hajthatók végre.

• -környezetekhez társított adatbázis-titkosítási kulcsok saját kezű kezelésének lehetősége.

• Hozzon létre új titkosítási kulcsokat vagy töltsön fel már meglévő .PFX vagy .BYOK titkosításikulcs-fájlokat.

• Bérlői környezet zárolása és feloldása.

  Figyelmeztetés:

  Amíg egy bérlő zárolt, senki nem férhet hozzá a bérlő egyetlen környezetéhez sem. További információ: Bérlő zárolása.

Vegye figyelembe a kulcsok kezelésével járó kockázatokat

Mint bármilyen kulcsfontosságú alkalmazásnál, a szervezeten belül rendszergazdai jogosultsággal rendelkező személyeknek itt is megbízhatónak kell lenniük. A kulcskezelő funkció használata előtt ki kell értékelnie az adatbázis titkosítási kulcsainak kezelésével járó kockázatot. Elképzelhető, hogy a szervezeten belül működő rosszindulatú rendszergazda (aki adminisztrátori szintű hozzáférést kapott vagy szerzett a szervezet biztonsági vagy üzleti folyamataihoz) a kulcskezelési funkcióval létrehozhat egy kulcsot, és azzal tárolhatja az összes környezetet a bérlőben.

Vegye fontolóra az alábbi eseménysorozatot.

A rosszindulatú rendszergazda bejelentkezik a Power Platform felügyeleti központba, a Környezetek fülre kattint, és kiválasztja a Titkosítási kulcs kezelése lehetőséget. A rosszindulatú rendszergazda ezután létrehoz egy új kulcsot jelszóval, letölti a titkosítási kulcsot a helyi meghajtóra, és aktiválja az új kulcsot. Most az összes környezeti adatbázis titkosítva van az új kulccsal. Ezután a rosszindulatú rendszergazda lezárja a bérlőt az újonnan letöltött kulccsal, majd elveszi vagy törli a letöltött titkosítási kulcsot.

Ezek a műveletek az online hozzáférés letiltásához vezetnek a bérlőn belüli összes környezetben, és az adatbázis összes biztonsági másolatát visszaállíthatatlanná teszik.

Fontos

Annak megakadályozása érdekében, hogy a rosszindulatú rendszergazda megszakítsa az üzleti műveleteket az adatbázis lezárásával, a kulcskezelési funkció nem engedi a bérlői környezetek zárolását 72 órán keresztül a titkosítási kulcs megváltozása vagy aktiválása után. Ez 72 órát biztosít más rendszergazdák számára, hogy visszavonhassák az illetéktelen kulcsváltoztatásokat.

Titkosítási kulcs követelményei

Ha a saját titkosítási kulcsát használja, akkor a kulcsnak meg kell felelnie a Azure Key Vault által jóváhagyott követelményeknek.

• A titkosítási kulcs fájlformátuma PFX vagy BYOK kell legyen.
• 2048 bites RSA.
• RSA-HSM-kulcs típusa (támogatási kérést igényel Microsoft ).
• PFX titkosítási kulcs fájlokat jelszavas védelemmel kell ellátni.

További információk a HSM-védettségű kulcsok létrehozásáról és internetes küldéséről: HSM védettségű kulcsok létrehozása és küldése az Azure Key Vault helyre. Csak nCipher Vendor HSM-kulcs támogatott. A HSM-kulcs létrehozása előtt menjen a Power Platform felügyeleti központ Titkosítási kulcsok kezelése/Új kulcs létrehozása ablakára a környezet régiójához tartozó előfizetési azonosító beszerzéséhez. A kulcs létrehozásához másolja és illessze be az előfizetési azonosítót a HSM-be. Ezzel biztosíthatja, hogy a fájlt csak az Azure Key Vault nyithatja meg.

Kulcskezelési feladatok

A kulcskezelési feladatok egyszerűsítése érdekében a feladatok három területre vannak bontva:

1. Bérlő titkosítási kulcsának létrehozása vagy feltöltése
2. Titkosítási kulcs aktiválása bérlőhöz
3. Környezet titkosításának kezelése

A rendszergazdák a Power Platform felügyeleti központ vagy a Power Platform felügyeleti modul parancsmagokat használhatják az itt leírt legfontosabb bérlőfévdelmi feladatokhoz.

Kulcs generálása vagy feltöltése egy bérlőhöz

Az összes titkosítási kulcs az Azure Key Vaultban található, és bármely adott időpontban csak egy kulcs lehet aktív. Mivel az aktív kulcs használatos a bérlő összes környezetének titkosításához, a titkosítás kezelése a bérlő szintjén zajlik. A kulcs aktiválása után az egyes környezetek kiválaszthatók a kulccsal történő titkosításhoz.

Ezzel az eljárással beállíthatja a kulcskezelési funkciót első alkalommal egy környezethez, vagy megváltoztathat (vagy átvihet) egy titkosítási kulcsot egy már saját kezűleg kezelt bérlő számára.

Figyelmeztetés:

Amikor az itt ismertetett lépéseket első alkalommal hajtja végre, akkor a titkosítási kulcsok saját kezű kezelését választja. További információ: A kulcsok kezelésével járó lehetséges kockázatok.

1. Jelentkezzen be a Power Platform felügyeleti központba rendszergazdaként (Dynamics 365 rendszergazdaként vagy Microsoft Power Platform rendszergazdaként).

2. Válassza a Környezetek fület, majd válassza az eszköztárban a Titkosítási kulcsok kezelése lehetőséget.

3. A kulcskezelési kockázatok tudomásulvételéhez válassza a Megerősítés lehetőséget.

4. Válassza az Új kulcs lehetőséget az eszköztárból.

5. A bal oldali ablaktáblán adja meg a részleteket kulcs létrehozásához vagy feltöltéséhez:

   • Válasszon egy Régiót. Ez az opció csak akkor jelenik meg, ha bérlőjének több régiója van.
   • Írja be a Kulcsnevet.
   • Válasszon az alábbi lehetőségek közül:
     • Új kulcs létrehozásához válassza az Új generálása (.pfx) lehetőséget. További információ: Hozzon létre egy új kulcsot (.pfx).
     • Saját generált kulcs használatához válassza a Feltöltés (.pfx vagy .byok) lehetőséget. További információ: Kulcs feltöltése (.pfx vagy .byok).

6. Válassza a Következő lehetőséget.

Új kulcs generálása (.pfx)

1. Írja be a jelszót, majd írja be ismét a megerősítéshez.
2. Válassza a Létrehozás lehetőséget, majd válassza a fájllétrehozási értesítést a böngészőben.
3. A titkosítási kulcs .PFX fája letöltődik a böngésző alapértelmezett letöltési mappájába. Mentse a fájlt biztonságos helyre (azt javasoljuk, hogy erről a kulcsról készítsen biztonsági másolatot a jelszavával együtt).

Kulcs feltöltése (.pfx vagy .byok)

1. Válassza a Kulcs feltöltése lehetőséget, válassza ki a .pfx vagy .byok¹ fájlt, majd válassza a Megnyitás lehetőséget.
2. Írja be a kulcs jelszavát, majd válassza a Létrehozás lehetőséget.

¹ .byok titkosításikulcs-fájlok esetén feltétlenül használja a képernyőn látható előfizetési azonosítót, amikor a titkosítási kulcsot a helyi HSM-ből exportálja. További információ: Hogyan generálhatók és továbbíthatók HSM-védelmű kulcsok az Azure Key Vault számára?

Feljegyzés

A rendszergazda által a legfontosabb folyamat kezeléséhez szükséges lépések számának csökkentése érdekében a rendszer automatikusan aktiválja a kulcsot, amikor első alkalommal feltölti őket. Minden ezt követő billentyűkombinációhoz további lépés szükséges a kulcs aktiválásához.

Titkosítási kulcs aktiválása a bérlő számára

Miután létrehozott vagy feltöltött egy titkosítási kulcsot a bérlőhöz, aktiválhatja azt.

1. Jelentkezzen be a Power Platform felügyeleti központba rendszergazdaként (Dynamics 365 rendszergazdaként vagy Microsoft Power Platform rendszergazdaként).
2. Válassza a Környezetek fület, majd válassza az eszköztárban a Titkosítási kulcsok kezelése lehetőséget.
3. A kulcskezelési kockázatok tudomásulvételéhez válassza a Megerősítés lehetőséget.
4. Válasszon ki egy Rendelkezésre áll állapotú kulcsot, majd válassza az Aktiválás gombot az eszköztárból.
5. Válassza a Megerősítés lehetőséget a kulcsváltozás nyugtázásához.

Amikor aktivál egy kulcsot a bérlő számára, eltart egy ideig, amíg a kulcskezelő szolgáltatás aktiválja a kulcsot. A Kulcsállapot Telepítés az új vagy feltöltött kulcs aktiválásakor. A kulcs aktiválása után a következők történnek:

• Minden titkosított környezet automatikusan titkosításra kerül az aktív kulccsal (ennél a műveletnél nincs állásidő).
• Ha aktiválva van, a titkosítási kulcs minden olyan környezetre alkalmazva lesz, amely biztosítottról Microsoft saját kezelésű titkosítási kulcsra változik.

Fontos

A kulcskezelési folyamat korszerűsítése érdekében, hogy az összes környezetet ugyanaz a kulcs kezelje, az aktív kulcsot nem lehet frissíteni, ha vannak zárolt környezetek. Az összes kulcs aktiválásához minden zárolt környezetet fel kell oldani. Azokat a zárolt környezeteket, amelyeket nem lehetséges feloldani, törölni kell.

Feljegyzés

Miután aktiválta a titkosítási kulcsot, nem aktiválhat másik kulcsot 24 órán keresztül.

Környezet titkosításának kezelése

Alapértelmezés szerint minden környezet a megadott titkosítási kulccsal Microsoft van titkosítva. Miután a titkosítási kulcs aktiválva lett a bérlő számára, az adminisztrátorok megváltoztathatják az alapértelmezett titkosítást az aktivált titkosítási kulcs használatával. Az aktivált kulcs használatához kövesse a lépéseket.

Titkosítási kulcs használata egy környezethez

1. Jelentkezzen be a Power Platform felügyeleti központba a Környezeti rendszergazdai vagy Rendszergazdai szerepkör hitelesítő adatainak használatával.
2. Válassza ki a Környezetek fület.
3. Nyissa meg a Microsoft biztosított titkosított környezetet.
4. Válassza ki az Összes megtekintése lehetőséget.
5. A Környezet titkosítása szakaszban válassza a Kezelés lehetőséget.
6. A kulcskezelési kockázatok tudomásulvételéhez válassza a Megerősítés lehetőséget.
7. Válassza ki A kulcs alkalmazása lehetőséget, ha elfogadja a titkosítás megváltoztatását az aktivált kulcs használatához.
8. Válassza ki a Megerősítés lehetőséget, hogy elfogadja, hogy közvetlenül kezeli a kulcsot, és hogy ez a művelet leállással jár.

Felügyelt titkosítási kulcs visszaadása a megadott titkosítási kulcsra Microsoft

A megadott titkosítási kulcshoz Microsoft való visszatérés visszakonfigurálja a környezetet az alapértelmezett viselkedésre, ahol Microsoft a titkosítási kulcsot kezeli.

1. Jelentkezzen be a Power Platform felügyeleti központba a Környezeti rendszergazdai vagy Rendszergazdai szerepkör hitelesítő adatainak használatával.
2. Válassza ki a Környezetek fület, majd válassza ki azt a környezetet, amelyet egy önkezelő kulcs titkosított.
3. Válassza ki az Összes megtekintése lehetőséget.
4. A Környezet titkosítása szakaszban válassza ki a Kezelés lehetőséget, majd válassza a Megerősítés lehetőséget.
5. A Visszatérés a titkosítási kulcs szokásos kezeléséhez szakaszban válassza a Visszatérés lehetőséget.
6. Működési környezet esetén erősítse meg a környezetet a környezet nevének beírásával.
7. A szokásos titkosításikulcs-kezeléshez való visszatéréshez válassza ki a Megerősítés lehetőséget.

Bérlő zárolása

Mivel bérlőnként csak egy aktív kulcs van, a titkosítás zárolásával a bérlő számára letiltja az összes környezetet, amely a bérlőn található. Az összes zárolt környezet mindenki számára elérhetetlen marad, beleértve azt is Microsoft, amíg a szervezet egyik Power Platform rendszergazdája fel nem oldja a zárolást a zároláshoz használt kulccsal.

Figyelmeztetés

Soha ne zárolja a bérlői környezetet a szokásos üzleti folyamat részeként. Amikor zárol egy bérlőt Dataverse , az összes környezet teljesen offline állapotba kerül, és senki sem férhet hozzájuk, beleértve a következőt is Microsoft. Továbbá bizonyos szolgáltatások, például a karbantartás és szinkronizálás, leállnak. Ha úgy dönt, hogy elhagyja a szolgáltatást, a bérlő zárolása biztosíthatja, hogy senki soha többé ne férjen hozzá az online adataihoz.
Vegye figyelembe a következőket a bérlői környezetek zárolásával kapcsolatban:

• A zárolt környezet nem állítható vissza biztonsági másolatból.
• A zárolt környezetek törölve lesznek, ha 28 nap elteltével nem oldják fel őket.
• A titkosítási kulcs megváltoztatása után a környezeteket nem zárolhatja 72 órán keresztül.
• A bérlő zárolásával zárolja az összes aktív környezetet a bérlőn belül.

Fontos

• Az aktív környezetek zárolása után legalább egy órát kell várnia, mielőtt feloldhatja őket.
• A zárolási folyamat megkezdése után az Aktív vagy az Elérhető állapotú titkosítási kulcsok törlődnek. A zárolási folyamat akár egy órát is igénybe vehet, és ebben az időben a zárolt környezetek feloldása nem megengedett.

1. Jelentkezzen be a Power Platform felügyeleti központba rendszergazdaként (Dynamics 365 rendszergazdaként vagy Microsoft Power Platform rendszergazdaként).
2. Válassza ki a Környezetek fület, majd a parancssorban válassza ki a Titkosítási kulcsok kezelése lehetőséget.
3. Válassza ki az Aktív gombot, majd válassza ki az Aktív környezetek zárolása lehetőséget.
4. A jobb oldali ablaktáblán válassza ki az Aktív kulcs feltöltése lehetőséget, keresse meg és válassza ki a kulcsot, írja be a jelszót, majd válassza a Zárolás lehetőséget.
5. Amikor a rendszer kéri, írja be a képernyőn megjelenő szöveget annak megerősítéséhez, hogy zárolni kívánja a régió összes környezetét, majd válassza ki a Megerősítés lehetőséget.

Zárolt környezetek feloldása

A környezetek feloldásához először feltöltenie fel kell töltenie, majd aktiválnia kell a bérlői titkosítási kulcsot ugyanazzal a kulccsal, amelyet a bérlő zárolására használt. Felhívjuk figyelmét, hogy a zárolt környezetek nem oldódnak fel automatikusan a kulcs aktiválása után. Minden zárolt környezetet külön kell feloldani.

Fontos

• Az aktív környezetek zárolása után legalább egy órát kell várnia, mielőtt feloldhatja őket.
• A feloldási folyamat akár egy órát is igénybe vehet. Miután a kulcs feloldása megtörtént, felhasználhatja a kulcsot Környezetek titkosításának kezelésére.
• Nem generálhat újat és nem tölthet fel meglévő kulcsot, amíg az összes zárolt környezet nincs feloldva.

Titkosítási kulcs feloldása

1. Jelentkezzen be a Power Platform felügyeleti központba rendszergazdaként (Dynamics 365 rendszergazdaként vagy Microsoft Power Platform rendszergazdaként).
2. Válassza ki a Környezetek fület, majd válassza ki a Titkosítási kulcsok kezelése lehetőséget.
3. Válassza ki a Zárolt állapotú kulcsot, majd a parancssorban válassza a Kulcs feloldása lehetőséget.
4. Válassza ki a Zárolt kulcs feltöltése elemet, keresse meg és válassza ki azt a kulcsot, amelyet a bérlő zárolásához használt, írja be a jelszót, majd válassza ki a Feloldás lehetőséget. A kulcs Telepítés állapotba kerül. A zárolt környezet feloldásához meg kell várnia, amíg a kulcs Aktív állapotba kerül.
5. Környezet feloldásához olvassa el a következő részt.

Környezetek feloldása

1. Válassza ki a Környezetek fület, majd válassza ki a zárolt környezet nevét.

   Tipp.

   Ne válassza ki a sort. Válassza ki a környezet nevét.

2. A Részletek részben válassza az Összes megtekintése elemet, hogy a Részletek ablaktábla megjelenjen a jobb oldalon.

3. A Részletek ablaktábla Környezet titkosítása szakaszában válassza a Kezelés lehetőséget.

   

4. A Környezet titkosítása lapon válassza ki a Feloldás lehetőséget.

   

5. Válassza a Megerősítés lehetőséget a környezet feloldásához.

6. További környezetek feloldásához ismételje meg az előző lépéseket.

Környezet-adatbázis műveletei

Az ügyfélbérlők rendelkezhetnek a Microsoft felügyelt kulccsal titkosított környezetekkel és az ügyfél által felügyelt kulccsal titkosított környezetekkel. Az adatok integritásának és az adatok védelmének megőrzése érdekében a következő vezérlők használhatók a környezeti adatbázis-műveletek kezelésekor.

1. Visszaállítás : A felülírni kívánt környezet (a visszaállított környezet) ugyanarra a környezetre korlátozódik, amelyből a biztonsági másolat készült, vagy egy másik környezetbe, amely ugyanazzal az ügyfél által felügyelt kulccsal van titkosítva.

   

2. Másolás : A felülírni kívánt környezet (a környezetbe másolt) egy másik környezetre korlátozódik, amely ugyanazzal az ügyfél által felügyelt kulccsal van titkosítva.

   

   Feljegyzés

   Ha egy ügyfélszolgálati környezetet hoztak létre a támogatási probléma megoldására az ügyfél által kezelt környezetben, akkor az ügyfélszolgálati környezet titkosítási kulcsát meg kell változtatni az ügyfél által kezelt kulcsra, mielőtt a másolási környezet működése végrahajtható lenne.

3. Visszaállítás : A környezet titkosított adatai törlődnek, beleértve a biztonsági másolatokat is. A környezet alaphelyzetbe állítása után a környezeti titkosítás visszaáll a Microsoft felügyelt kulcsra visszaállít.

Kapcsolódó információk

SQL Server: transzparens adattitkosítás (TDE)