Mengelola kunci enkripsi yang dikelola pelanggan

Pelanggan memiliki persyaratan privasi dan kepatuhan data untuk mengamankan data mereka dengan mengenkripsi data mereka saat tidak aktif. Ini mengamankan data dari paparan jika salinan database dicuri. Dengan enkripsi data saat tidak aktif, data database yang dicuri dilindungi agar tidak dipulihkan ke server lain tanpa kunci enkripsi.

Semua data pelanggan yang disimpan dienkripsi Power Platform saat tidak aktif dengan kunci enkripsi yang dikelola Microsoft yang kuat secara default. Microsoft menyimpan dan mengelola kunci enkripsi database untuk semua data Anda sehingga Anda tidak perlu melakukannya. Namun, Power Platform menyediakan kunci enkripsi (CMK) yang dikelola pelanggan ini untuk kontrol perlindungan data tambahan Anda di mana Anda dapat mengelola sendiri kunci enkripsi database yang terkait dengan lingkungan Anda Microsoft Dataverse . Hal ini memungkinkan Anda untuk memutar atau menukar kunci enkripsi sesuai permintaan, dan juga memungkinkan Anda mencegah akses Microsoft ke data pelanggan Anda saat Anda mencabut akses kunci ke layanan kami kapan saja.

Untuk mempelajari selengkapnya tentang kunci yang Power Platform dikelola pelanggan, tonton video kunci yang dikelola pelanggan.

Operasi kunci enkripsi ini tersedia dengan kunci yang dikelola pelanggan (CMK):

• Buat kunci RSA (RSA-HSM) dari brankas Azure Key Anda.
• Buat Power Platform kebijakan perusahaan untuk kunci Anda.
• Berikan Power Platform izin kebijakan perusahaan untuk mengakses brankas kunci Anda.
• Berikan Power Platform admin layanan untuk membaca kebijakan perusahaan.
• Terapkan kunci enkripsi ke lingkungan Anda.
• Kembalikan/hapus enkripsi CMK lingkungan ke kunci yang dikelola Microsoft.
• Ubah kunci dengan membuat kebijakan perusahaan baru, menghapus lingkungan dari CMK, dan terapkan kembali CMK dengan kebijakan perusahaan baru.
• Kunci lingkungan CMK dengan mencabut brankas kunci CMK dan/atau izin kunci.
• Memigrasikan lingkungan bawa kunci Anda sendiri (BYOK) ke CMK dengan menerapkan kunci CMK.

Saat ini, semua data pelanggan Anda yang hanya disimpan di aplikasi dan layanan berikut dapat dienkripsi dengan kunci yang dikelola pelanggan:

• Dataverse (Solusi kustom dan layanan Microsoft)
• Dataverse Copilot untuk aplikasi berdasarkan model
• Power Automate¹
• Power Apps
• Obrolan untuk Dynamics 365
• Penjualan Dynamics 365
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Keuangan dan operasi)
• Dynamics 365 Intelligent Order Management (Keuangan dan operasi)
• Dynamics 365 Project Operations (Keuangan dan operasi)
• Dynamics 365 Supply Chain Management (Keuangan dan operasi)
• Dynamics 365 Fraud Protection (Keuangan dan operasi)

¹ Saat Anda menerapkan kunci yang dikelola pelanggan ke lingkungan yang memiliki alur yang ada Power Automate , data alur terus dienkripsi dengan kunci yang dikelola Microsoft. Informasi lebih lanjut: Power Automate kunci yang dikelola pelanggan.

Catatan

IVR Percakapan Nuance dan Konten Selamat Datang Maker dikecualikan dari enkripsi kunci yang dikelola pelanggan.

Microsoft Copilot Studio menyimpan datanya di penyimpanan mereka sendiri dan di. Microsoft Dataverse Saat Anda menerapkan kunci yang dikelola pelanggan ke lingkungan ini, hanya penyimpanan data yang Microsoft Dataverse dienkripsi dengan kunci Anda. Non-dataMicrosoft Dataverse terus dienkripsi dengan kunci yang dikelola Microsoft.

Catatan

Pengaturan koneksi untuk konektor akan terus dienkripsi dengan kunci yang dikelola Microsoft.

Hubungi perwakilan untuk layanan yang tidak tercantum di atas untuk informasi tentang dukungan kunci yang dikelola pelanggan.

Catatan

Power Apps nama tampilan, deskripsi, dan metadata koneksi terus dienkripsi dengan kunci yang dikelola Microsoft.

Catatan

Data yang dianalisis oleh penegakan pemeriksa solusi selama pemeriksaan solusi terus dienkripsi dengan kunci yang dikelola Microsoft.

Lingkungan dengan aplikasi keuangan dan operasi tempat Power Platform integrasi diaktifkan juga dapat dienkripsi. Lingkungan keuangan dan operasi tanpa Power Platform integrasi akan terus menggunakan kunci yang dikelola Microsoft default untuk mengenkripsi data. Informasi selengkapnya: Enkripsi di aplikasi keuangan dan operasi

Pengantar kunci yang dikelola pelanggan

Dengan kunci yang dikelola pelanggan, administrator dapat memberikan kunci enkripsi mereka sendiri dari Azure Key Vault mereka sendiri ke Power Platform layanan penyimpanan untuk mengenkripsi data pelanggan mereka. Microsoft tidak memiliki akses langsung ke Azure Key Vault Anda. Agar Power Platform layanan dapat mengakses kunci enkripsi dari Azure Key Vault Anda, administrator membuat Power Platform kebijakan perusahaan, yang mereferensikan kunci enkripsi dan memberikan akses kebijakan perusahaan ini untuk membaca kunci dari Azure Key Vault Anda.

Power Platform Administrator layanan kemudian dapat menambahkan Dataverse lingkungan ke kebijakan perusahaan untuk mulai mengenkripsi semua data pelanggan di lingkungan dengan kunci enkripsi Anda. Administrator dapat mengubah kunci enkripsi lingkungan dengan membuat kebijakan perusahaan lain dan menambahkan lingkungan (setelah menghapusnya) ke kebijakan perusahaan baru. Jika lingkungan tidak lagi perlu dienkripsi menggunakan kunci yang dikelola pelanggan Anda, administrator dapat menghapus Dataverse lingkungan dari kebijakan perusahaan untuk mengembalikan enkripsi data kembali ke kunci yang dikelola Microsoft.

Administrator dapat mengunci lingkungan kunci yang dikelola pelanggan dengan mencabut akses kunci dari kebijakan perusahaan dan membuka kunci lingkungan dengan memulihkan akses kunci. Informasi selengkapnya: Mengunci lingkungan dengan mencabut brankas kunci dan/atau akses izin kunci

Untuk menyederhanakan tugas manajemen utama, tugas-tugas dibagi menjadi tiga area utama:

1. Buat kunci enkripsi.
2. Buat kebijakan perusahaan dan berikan akses.
3. Kelola enkripsi lingkungan.

Peringatan

Saat lingkungan terkunci, lingkungan tersebut tidak dapat diakses oleh siapa pun, termasuk dukungan Microsoft. Lingkungan yang terkunci menjadi dinonaktifkan dan kehilangan data dapat terjadi.

Persyaratan lisensi untuk kunci yang dikelola pelanggan

Kebijakan kunci yang dikelola pelanggan hanya diberlakukan pada lingkungan yang diaktifkan untuk Lingkungan Terkelola. Lingkungan Terkelola disertakan sebagai hak dalam lisensi mandiri Power Apps,, Power Automate, Microsoft Copilot Studio, Power Pages dan Dynamics 365 yang memberikan hak penggunaan premium. Pelajari selengkapnya tentang lisensi Lingkungan Terkelola, dengan gambaran umum Lisensi untuk Microsoft Power Platform.

Selain itu, akses untuk menggunakan kunci yang dikelola pelanggan untuk Microsoft Power Platform dan Dynamics 365 mengharuskan pengguna di lingkungan tempat kebijakan kunci enkripsi diberlakukan untuk memiliki salah satu langganan ini:

• Microsoft 365 atau Office 365 A5/E5/G5
• Kepatuhan Microsoft 365 A5/E5/F5/G5
• Keamanan dan Kepatuhan Microsoft 365 F5
• Perlindungan Informasi dan Tata Kelola Microsoft 365 A5/E5/F5/G5
• Manajemen Risiko dari Dalam Microsoft 365 A5/E5/F5/G5

Pelajari selengkapnya tentang lisensi ini.

Pahami potensi risiko saat Anda mengelola kunci

Seperti dengan aplikasi penting bisnis, personil dalam organisasi Anda yang memiliki akses tingkat administratif harus terpercaya. Sebelum Anda menggunakan fitur manajemen kunci, Anda harus memahami risiko ketika Anda mengatur kunci enkripsi database Anda. Bisa dibayangkan bahwa administrator jahat (seseorang yang diberikan atau telah memperoleh akses tingkat administrator dengan maksud untuk membahayakan keamanan organisasi atau proses bisnis) yang bekerja dalam organisasi Anda mungkin menggunakan fitur kelola kunci untuk membuat kunci dan menggunakannya untuk mengunci lingkungan Anda di penyewa.

Pertimbangkan urutan peristiwa berikut.

Administrator brankas kunci berbahaya membuat kunci dan kebijakan perusahaan di portal Microsoft Azure. Administrator Azure Key Vault masuk ke Power Platform pusat admin, dan menambahkan lingkungan ke kebijakan perusahaan. Administrator jahat kemudian kembali ke portal Microsoft Azure dan mencabut akses kunci ke kebijakan perusahaan sehingga mengunci semua lingkungan. Hal ini menyebabkan gangguan bisnis karena semua lingkungan menjadi tidak dapat diakses, dan jika peristiwa ini tidak diselesaikan, yaitu, akses kunci dipulihkan, data lingkungan berpotensi hilang.

Catatan

• Azure Key Vault memiliki perlindungan bawaan yang membantu memulihkan kunci, yang memerlukan pengaturan brankas kunci perlindungan Penghapusan Lunak dan Pembersihan diaktifkan.
• Perlindungan lain yang harus dipertimbangkan adalah memastikan bahwa ada pemisahan tugas di mana administrator Azure Key Vault tidak diberikan akses ke Power Platform pusat admin.

Pemisahan tugas untuk memitigasi risiko

Bagian ini menjelaskan tugas fitur utama yang dikelola pelanggan yang menjadi tanggung jawab setiap peran admin. Memisahkan tugas-tugas ini membantu mengurangi risiko yang terlibat dengan kunci yang dikelola pelanggan.

Tugas admin layanan Azure Key Vault dan Power Platform/Dynamics 365

Untuk mengaktifkan kunci yang dikelola pelanggan, pertama-tama administrator brankas kunci membuat kunci di brankas kunci Azure dan membuat Power Platform kebijakan perusahaan. Saat kebijakan perusahaan dibuat, identitas terkelola ID khusus Microsoft Entra dibuat. Selanjutnya, administrator brankas kunci kembali ke brankas kunci Azure dan memberikan akses kebijakan perusahaan/identitas terkelola ke kunci enkripsi.

Administrator brankas kunci kemudian memberikan akses baca admin layanan terhormat Power Platform/Dynamics 365 ke kebijakan perusahaan. Setelah izin baca diberikan, Power Platform admin layanan Dynamics 365 dapat pergi ke Power Platform Pusat Admin dan menambahkan lingkungan ke kebijakan perusahaan. Semua data pelanggan lingkungan yang ditambahkan kemudian dienkripsi dengan kunci yang dikelola pelanggan yang ditautkan ke kebijakan perusahaan ini.

Prasyarat

• Langganan Azure yang menyertakan modul keamanan perangkat keras terkelola Azure Key Vault atau Azure Key Vault.
• ID Microsoft Entra dengan:
  • Izin kontributor untuk Microsoft Entra langganan.
  • Izin untuk membuat Azure Key Vault dan kunci.
  • Akses untuk membuat grup sumber daya. Ini diperlukan untuk menyiapkan brankas kunci.

Membuat kunci dan berikan akses menggunakan Azure Key Vault

Administrator Azure Key Vault melakukan tugas-tugas ini di Azure.

1. Buat langganan berbayar Azure dan Key Vault. Abaikan langkah ini jika Anda sudah memiliki langganan yang menyertakan Azure Key Vault.
2. Buka layanan Azure Key Vault, dan buat kunci. Informasi selengkapnya: Membuat kunci di brankas kunci
3. Aktifkan Power Platform layanan kebijakan perusahaan untuk langganan Azure Anda. Lakukan ini hanya sekali. Informasi selengkapnya: Mengaktifkan Power Platform layanan kebijakan perusahaan untuk langganan Azure Anda
4. Buat Power Platform kebijakan perusahaan. Informasi lebih lanjut: Buat kebijakan perusahaan
5. Berikan izin kebijakan perusahaan untuk mengakses brankas kunci. Informasi selengkapnya: Memberikan izin kebijakan perusahaan untuk mengakses brankas kunci
6. Memberikan Power Platform izin kepada administrator dan Dynamics 365 untuk membaca kebijakan perusahaan. Informasi lebih lanjut: Memberikan Power Platform hak istimewa admin untuk membaca kebijakan perusahaan

Power Platform/Tugas pusat admin admin layanan Power Platform Dynamics 365

Prasyarat

• Power Platform administrator harus ditetapkan ke Power Platform peran administrator Microsoft Entra atau Dynamics 365 Service.

Mengelola enkripsi lingkungan di Power Platform pusat admin

Power Platform Administrator mengelola tugas utama yang dikelola pelanggan yang terkait dengan lingkungan di Power Platform pusat admin.

1. Tambahkan Power Platform lingkungan ke kebijakan perusahaan untuk mengenkripsi data dengan kunci yang dikelola pelanggan. Informasi lebih lanjut: Menambahkan lingkungan ke kebijakan perusahaan untuk mengenkripsi data
2. Hapus lingkungan dari kebijakan perusahaan untuk mengembalikan enkripsi ke kunci yang dikelola Microsoft. Informasi selengkapnya: Hapus lingkungan dari kebijakan untuk kembali ke kunci terkelola Microsoft
3. Ubah kunci dengan menghapus lingkungan dari kebijakan perusahaan lama dan menambahkan lingkungan ke kebijakan perusahaan baru. Informasi lebih lanjut: Membuat kunci enkripsi dan berikan akses
4. Bermigrasi dari BYOK. Jika Anda menggunakan fitur kunci enkripsi yang dikelola sendiri sebelumnya, Anda dapat memigrasikan kunci ke kunci yang dikelola pelanggan. Informasi selengkapnya: Memigrasikan lingkungan bawa kunci Anda sendiri ke kunci yang dikelola pelanggan

Buat kunci enkripsi dan berikan akses

Membuat langganan berbayar Azure dan brankas kunci

Di Azure, lakukan langkah-langkah berikut:

1. Buat Bayar sesuai pemakaian atau langganan Azure yang setara. Langkah ini tidak diperlukan jika penyewa sudah memiliki langganan.

2. Buat grup sumber daya. Informasi selengkapnya: Membuat grup sumber daya

   Catatan

   Membuat atau menggunakan grup sumber daya yang memiliki lokasi, misalnya, AS Tengah, yang cocok dengan Power Platform wilayah lingkungan, seperti Amerika Serikat.

3. Buat brankas kunci menggunakan langganan berbayar yang menyertakan perlindungan penghapusan sementara dan pembersihan dengan grup sumber daya yang Anda buat di langkah sebelumnya.

   Penting

   • Untuk memastikan bahwa lingkungan Anda terlindungi dari penghapusan kunci enkripsi yang tidak disengaja, brankas kunci harus mengaktifkan perlindungan penghapusan sementara dan pembersihan permanen. Anda tidak akan dapat mengenkripsi lingkungan Anda dengan kunci Anda sendiri tanpa mengaktifkan pengaturan ini. Informasi selengkapnya:Gambaran umum penghapusan sementara Azure Key Vault Informasi selengkapnya: Membuat brankas kunci menggunakan portal Microsoft Azure

Membuat kunci di brankas kunci

1. Pastikan Anda telah memenuhi prasyarat.

2. Buka Key Vault>portal Microsoft Azure dan temukan brankas kunci tempat Anda ingin membuat kunci enkripsi.

3. Verifikasi pengaturan brankas kunci Azure:

   1. Pilih Properti di bawah Pengaturan.
   2. Di bawah Soft-delete, atur atau verifikasi bahwa itu diatur ke Penghapusan sementara telah diaktifkan pada opsi brankas kunci ini.
   3. Di bawah Perlindungan pembersihan, atur atau verifikasi bahwa Aktifkan perlindungan pembersihan (terapkan periode retensi wajib untuk brankas dan objek brankas yang dihapus) diaktifkan.
   4. Jika Anda membuat perubahan, pilih Simpan.

   

Membuat kunci RSA

1. Buat atau impor kunci yang memiliki properti berikut:

   1. Pada halaman properti Key Vault , pilih Kunci.
   2. Pilih Buat/impor.
   3. Pada layar Buat kunci , atur nilai berikut, lalu pilih Buat.
      • Opsi:Hasilkan
      • Nama: Berikan nama untuk kunci
      • Jenis kunci: RSA
      • Ukuran kunci RSA: 2048

   Penting

   Jika Anda menetapkan tanggal kedaluwarsa di kunci Anda dan kunci kedaluwarsa, semua lingkungan yang dienkripsi dengan kunci ini akan mati. Atur pemberitahuan untuk memantau sertifikat kedaluwarsa dengan pemberitahuan email untuk admin lokal Power Platform dan admin brankas kunci Azure Anda sebagai pengingat untuk memperbarui tanggal kedaluwarsa. Ini penting untuk mencegah pemadaman sistem yang tidak direncanakan.

Mengimpor kunci yang dilindungi untuk Modul Keamanan Perangkat Keras (HSM)

Anda dapat menggunakan kunci yang dilindungi untuk modul keamanan perangkat keras (HSM) untuk mengenkripsi lingkungan Anda Power Platform Dataverse . Kunci yang dilindungi HSM Anda harus diimpor ke brankas kunci sehingga kebijakan Perusahaan dapat dibuat. Untuk informasi selengkapnya, lihat HSM yang didukung Mengimporkunci yang dilindungi HSM ke Key Vault (BYOK).

Membuat kunci di HSM Terkelola Azure Key Vault

Anda dapat menggunakan kunci enkripsi yang dibuat dari HSM Terkelola Azure Key Vault untuk mengenkripsi data lingkungan Anda. Ini memberi Anda dukungan FIPS 140-2 Level 3.

Membuat kunci RSA-HSM

1. Pastikan Anda telah memenuhi prasyarat.

2. Buka portal Microsoft Azure.

3. Buat HSM Terkelola:

   1. Provisi HSM Terkelola.
   2. Aktifkan HSM Terkelola.

4. Aktifkan Perlindungan Pembersihan di HSM Terkelola Anda.

5. Berikan peran Pengguna Kripto HSM Terkelola kepada orang yang membuat brankas kunci HSM Terkelola.

   1. Akses brankas kunci HSM Terkelola di portal Microsoft Azure.
   2. Navigasikan ke RBAC Lokal dan pilih + Tambahkan.
   3. Dalam daftar drop-down Peran , pilih peran Pengguna Kripto HSM Terkelola di halaman Penetapan peran .
   4. Pilih Semua tombol di bawah Cakupan.
   5. Pilih Pilih prinsipal keamanan, lalu pilih admin di halaman Tambahkan Prinsipal .
   6. Pilih Buat.

6. Buat kunci RSA-HSM:

   • Opsi:Hasilkan
   • Nama: Berikan nama untuk kunci
   • Jenis kunci: RSA-HSM
   • Ukuran kunci RSA: 2048

   Catatan

   Ukuran kunci RSA-HSM yang didukung : 2048-bit dan 3072-bit.

Enkripsi lingkungan Anda dengan kunci dari Azure Key Vault dengan tautkan privat

Anda dapat memperbarui jaringan brankas Azure Key Anda dengan mengaktifkan titik akhir privat dan menggunakan kunci di brankas kunci untuk mengenkripsi lingkungan Anda Power Platform .

Anda dapat membuat brankas kunci baru dan membuat koneksi tautkan privat atau membuat koneksi tautkan privat ke brankas kunci yang ada, dan membuat kunci dari brankas kunci ini dan menggunakannya untuk mengenkripsi lingkungan Anda. Anda juga dapat membuat koneksi tautkan privat ke brankas kunci yang ada setelah Anda membuat kunci dan menggunakannya untuk mengenkripsi lingkungan Anda.

Mengenkripsi data dengan kunci dari brankas kunci dengan tautkan privat

1. Buat brankas Azure Key dengan opsi ini:

   • Aktifkan Perlindungan Pembersihan
   • Jenis kunci: RSA
   • Ukuran kunci: 2048

2. Salin URL brankas kunci dan URL kunci enkripsi yang akan digunakan untuk membuat kebijakan perusahaan.

   Catatan

   Setelah menambahkan titik akhir privat ke brankas kunci atau menonaktifkan jaringan akses publik, Anda tidak akan dapat melihat kunci kecuali Anda memiliki izin yang sesuai.

3. Buat jaringan virtual.

4. Kembali ke brankas kunci Anda dan tambahkan koneksi titik akhir privat ke brankas Azure Key Anda.

   Catatan

   Anda harus memilih opsi Nonaktifkan jaringan akses publik dan aktifkan Izinkan layanan Microsoft tepercaya untuk melewati pengecualian firewall ini.

5. Buat Power Platform kebijakan perusahaan. Informasi lebih lanjut: Buat kebijakan perusahaan

6. Berikan izin kebijakan perusahaan untuk mengakses brankas kunci. Informasi selengkapnya: Memberikan izin kebijakan perusahaan untuk mengakses brankas kunci

7. Memberikan Power Platform izin kepada administrator dan Dynamics 365 untuk membaca kebijakan perusahaan. Informasi lebih lanjut: Memberikan Power Platform hak istimewa admin untuk membaca kebijakan perusahaan

8. Power Platform Admin pusat admin memilih lingkungan untuk mengenkripsi dan mengaktifkan lingkungan terkelola. Informasi selengkapnya: Aktifkan lingkungan terkelola untuk ditambahkan ke kebijakan perusahaan

9. Power Platform Admin pusat admin menambahkan lingkungan terkelola ke kebijakan perusahaan. Informasi lebih lanjut: Menambahkan lingkungan ke kebijakan perusahaan untuk mengenkripsi data

Aktifkan Power Platform layanan kebijakan perusahaan untuk langganan Azure Anda

Daftar Power Platform sebagai penyedia sumber daya. Anda hanya perlu melakukan tugas ini sekali untuk setiap langganan Azure tempat brankas Azure Key Anda berada. Anda harus memiliki hak akses ke langganan untuk mendaftarkan penyedia sumber daya.

1. Masuk ke portal Microsoft Azure dan buka Penyedia Sumber Daya Langganan>.
2. Dalam daftar Penyedia Sumber Daya, cari Microsoft.PowerPlatform , danDaftarkan .

Membuat kebijakan perusahaan

1. Instal PowerShell MSI. Informasi lebih lanjut: Menginstal PowerShell di Windows, Linux, dan macOS
2. Setelah PowerShell MSI diinstal, kembali ke Menyebarkan templat kustom di Azure.
3. Pilih tautkan Buat templat Anda sendiri di editor .
4. Salin templat JSON ini ke editor teks seperti Notepad. Informasi lebih lanjut: Templat json kebijakan perusahaan
5. Ganti nilai dalam templat JSON untuk: EnterprisePolicyName,lokasi tempat EnterprisePolicy perlu dibuat,keyVaultId , dan keyName. Informasi selengkapnya: Definisi bidang untuk templat json
6. Salin templat yang diperbarui dari editor teks Anda, lalu tempelkan ke templat Edit penyebaran kustom di Azure, dan pilih Simpan .
7. Pilih grup Langganan dan Sumber Daya tempat kebijakan perusahaan akan dibuat.
8. Pilih Tinjau + buat, lalu pilih Buat.

Penyebaran dimulai. Setelah selesai, kebijakan perusahaan dibuat.

Templat json kebijakan perusahaan

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definisi bidang untuk templat JSON

• nama. Nama kebijakan perusahaan. Ini adalah nama kebijakan yang muncul di Power Platform pusat admin.

• lokasi. Salah satu dari berikut ini. Ini adalah lokasi kebijakan perusahaan dan harus sesuai dengan Dataverse wilayah lingkungan:

  • '"Amerika Serikat"
  • ''Afrika Selatan''
  • '"Inggris"'
  • '"Jepang"'
  • '"India"
  • '"Prancis"
  • '"Eropa"
  • '"Jerman"
  • '"Swiss"
  • '"Kanada"'
  • '"Brasil"'
  • '"Australia"
  • '"Asia"'
  • ''UEA''
  • ''Korea''
  • '"Norwegia"
  • ''Singapura''
  • 'Swedia''

• Salin nilai-nilai ini dari properti brankas kunci Anda di portal Microsoft Azure:

  • keyVaultId: Buka Key vaults> pilih Gambaran Umum > Key vaultAnda. Di samping Essentials , pilih Tampilan JSON. Salin ID Sumber Daya ke clipboard dan tempelkan seluruh konten ke templat JSON Anda.
  • keyName: Buka Brankas> kunci, pilih Kunci brankas > kunci Anda. Perhatikan kunci Nama dan ketik nama ke dalam templat JSON Anda.

Memberikan izin kebijakan perusahaan untuk mengakses brankas kunci

Setelah kebijakan perusahaan dibuat, administrator brankas kunci memberikan akses identitas terkelola kebijakan perusahaan ke kunci enkripsi.

1. Masuk ke portal Microsoft Azure dan buka Key vaults.
2. Pilih brankas kunci tempat kunci ditetapkan ke kebijakan perusahaan.
3. Pilih tab Kontrol akses (IAM), lalu pilih + Tambahkan.
4. Pilih Tambahkan penetapan peran dari daftar drop-down,
5. Cari Pengguna Enkripsi Layanan Kripto Key Vault dan pilih.
6. Pilih Selanjutnya.
7. Pilih + Pilih anggota.
8. Cari kebijakan perusahaan yang telah Anda buat.
9. Pilih kebijakan perusahaan, lalu pilih Pilih.
10. Pilih Tinjau + tetapkan.

Catatan

Pengaturan izin di atas didasarkan pada model Izin kontrol akses berbasis peran Azure brankaskunci Anda. Jika brankas kunci Anda disetel ke kebijakan akses Vault, Anda disarankan untuk bermigrasi ke model berbasis peran. Untuk memberikan akses kebijakan perusahaan Anda ke brankas kunci menggunakan kebijakan akses Vault, buat kebijakan akses, pilih Dapatkan operasi manajemen kunci dan Buka kunci dan Wrap kunci pada Operasi Kriptografi.

Catatan

Untuk mencegah pemadaman sistem yang tidak direncanakan, penting bahwa kebijakan perusahaan memiliki akses ke kunci. Pastikan:

• Brankas kunci aktif.
• Kunci aktif dan tidak kedaluwarsa.
• Kunci tidak dihapus.
• Izin kunci di atas tidak dicabut.

Lingkungan yang menggunakan kunci ini akan dinonaktifkan ketika kunci enkripsi tidak dapat diakses.

Memberikan Power Platform hak istimewa admin untuk membaca kebijakan perusahaan

Administrator yang memiliki Dynamics 365 atau Power Platform peran administrasi dapat mengakses Power Platform pusat admin untuk menetapkan lingkungan ke kebijakan perusahaan. Untuk mengakses kebijakan perusahaan, admin dengan akses brankas kunci Azure diperlukan untuk memberikan peran Pembaca kepada Power Platform admin. Setelah peran Pembaca diberikan, Power Platform administrator dapat melihat kebijakan perusahaan di Power Platform pusat admin.

Catatan

Hanya Power Platform administrator dan Dynamics 365 yang diberikan peran Pembaca ke kebijakan perusahaan yang dapat menambahkan lingkungan ke kebijakan. Administrator lain Power Platform atau Dynamics 365 mungkin dapat melihat kebijakan perusahaan, tetapi mereka akan mendapatkan kesalahan saat mencoba Menambahkan lingkungan ke kebijakan.

Memberikan peran Pembaca kepada Power Platform administrator

1. Masuk ke portal Microsoft Azure.
2. Salin Power Platform ID objek admin atau Dynamics 365. Untuk melakukan ini:
   1. Buka area Pengguna di Azure.
   2. Dalam daftar Semua pengguna , temukan pengguna dengan Power Platform atau izin admin Dynamics 365 menggunakan Cari pengguna.
   3. Buka rekaman pengguna, pada tab Ikhtisar salin ID Objek pengguna. Tempelkan ini ke editor teks seperti NotePad untuk nanti.
3. Salin ID sumber daya kebijakan perusahaan. Untuk melakukan ini:
   1. Buka Resource Graph Explorer di Azure.
   2. Masukkan microsoft.powerplatform/enterprisepolicies kotak Pencarian , lalu pilih sumber daya Microsoft.powerplatform/enterprisepolicies .
   3. Pilih Jalankan kueri di bilah perintah. Daftar semua Power Platform kebijakan perusahaan ditampilkan.
   4. Temukan kebijakan perusahaan tempat Anda ingin memberikan akses.
   5. Gulir ke kanan kebijakan perusahaan dan pilih Lihat detail.
   6. Pada halaman Detail , salin id.
4. Mulai Azure Cloud Shell, dan jalankan perintah berikut dengan mengganti objId dengan ID objek pengguna dan ID Sumber Daya EP dengan ID yang enterprisepolicies disalin pada langkah sebelumnya: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Mengelola enkripsi lingkungan

Untuk mengelola enkripsi lingkungan, Anda memerlukan izin berikut:

• Microsoft Entra pengguna aktif yang memiliki Power Platform dan/atau peran keamanan admin Dynamics 365.
• Microsoft Entra pengguna yang memiliki peran admin layanan atau Power Platform Dynamics 365.

Admin brankas kunci memberi tahu Power Platform admin bahwa kunci enkripsi dan kebijakan perusahaan telah dibuat dan memberikan kebijakan perusahaan kepada Power Platform admin. Untuk mengaktifkan kunci yang dikelola pelanggan, Power Platform admin menetapkan lingkungan mereka ke kebijakan perusahaan. Setelah lingkungan ditetapkan dan disimpan, Dataverse memulai proses enkripsi untuk mengatur semua data lingkungan, dan mengenkripsinya dengan kunci yang dikelola pelanggan.

Aktifkan lingkungan terkelola untuk ditambahkan ke kebijakan perusahaan

1. Masuk ke Power Platform Pusat Admin, dan temukan lingkungan.
2. Pilih dan periksa lingkungan pada daftar lingkungan.
3. Pilih ikon Aktifkan Lingkungan Terkelola di bilah tindakan.
4. Klik Aktifkan.

Menambahkan lingkungan ke kebijakan perusahaan untuk mengenkripsi data

Penting

Lingkungan akan dinonaktifkan saat ditambahkan ke kebijakan perusahaan untuk enkripsi data.

1. Masuk ke Power Platform Pusat Admin, dan buka Kebijakan Kebijakan> perusahaan.
2. Pilih kebijakan, lalu pada bilah perintah pilih Edit.
3. Pilih Tambahkan lingkungan, pilih lingkungan yang Anda inginkan, lalu pilih Lanjutkan.
4. Pilih Simpan, lalu pilih Konfirmasi.

Penting

• Hanya lingkungan yang berada di wilayah yang sama dengan kebijakan perusahaan yang ditampilkan dalam daftar Tambahkan lingkungan .
• Enkripsi dapat memakan waktu hingga empat hari untuk diselesaikan, tetapi lingkungan mungkin diaktifkan sebelum operasi Tambahkan lingkungan selesai.
• Operasi mungkin tidak selesai dan jika gagal, data Anda terus dienkripsi dengan kunci yang dikelola Microsoft. Anda dapat menjalankan kembali operasi Tambahkan lingkungan lagi.

Catatan

Anda hanya dapat menambahkan lingkungan yang diaktifkan sebagai Lingkungan Terkelola. Jenis lingkungan uji coba dan Teams tidak dapat ditambahkan ke kebijakan perusahaan.

Hapus lingkungan dari kebijakan untuk kembali ke kunci terkelola Microsoft

Ikuti langkah-langkah ini jika Anda ingin kembali ke kunci enkripsi yang dikelola Microsoft.

Penting

Lingkungan akan dinonaktifkan saat dihapus dari kebijakan perusahaan untuk mengembalikan enkripsi data menggunakan kunci yang dikelola Microsoft.

1. Masuk ke Power Platform Pusat Admin, dan buka Kebijakan Kebijakan> perusahaan.
2. Pilih tab Lingkungan dengan kebijakan , lalu temukan lingkungan yang ingin Anda hapus dari kunci yang dikelola pelanggan.
3. Pilih tab Semua kebijakan , pilih lingkungan yang Anda verifikasi pada langkah 2, lalu pilih Edit kebijakan di bilah perintah.
4. Pilih Hapus lingkungan pada bilah perintah, pilih lingkungan yang ingin Anda hapus, lalu pilih Lanjutkan.
5. Pilih Simpan.

Penting

Lingkungan akan dinonaktifkan saat dihapus dari kebijakan perusahaan untuk mengembalikan enkripsi data ke kunci yang dikelola Microsoft. Jangan menghapus atau menonaktifkan kunci, hapus atau nonaktifkan brankas kunci, atau menghapus izin kebijakan perusahaan ke brankas kunci. Akses kunci dan brankas kunci diperlukan untuk mendukung pemulihan database. Anda dapat menghapus dan menghapus izin kebijakan perusahaan setelah 30 hari.

Tinjau status enkripsi lingkungan

Tinjau status enkripsi dari kebijakan Perusahaan

1. Masuk ke pusat admin Power Platform.

2. Pilih Kebijakan Kebijakan> perusahaan.

3. Pilih kebijakan, lalu pada bilah perintah pilih Edit.

4. Tinjau status Enkripsi lingkungan di bagian Lingkungan dengan kebijakan ini.

   Catatan

   Status enkripsi lingkungan dapat berupa:

   • Terenkripsi - kunci enkripsi kebijakan Enterprise aktif dan lingkungan dienkripsi dengan kunci Anda.
   • Gagal - kunci enkripsi kebijakan Enterprise tidak digunakan dan lingkungan terus dienkripsi dengan kunci yang dikelola Microsoft.
   • Peringatan - kunci enkripsi kebijakan Enterprise aktif dan salah satu data layanan terus dienkripsi dengan kunci yang dikelola Microsoft. Pelajari lebih lanjut: Power Automate Pesan peringatan aplikasi CMK

   Anda dapat menjalankan kembali opsi Tambahkan lingkungan untuk lingkungan yang memiliki status enkripsi Gagal .

Tinjau status enkripsi dari halaman Riwayat Lingkungan

Anda dapat melihat riwayat lingkungan.

1. Masuk ke pusat admin Power Platform.

2. Pilih Lingkungan di panel navigasi, lalu pilih lingkungan dari daftar.

3. Pada bilah perintah, pilih Riwayat.

4. Temukan riwayat untuk Perbarui Kunci yang Dikelola Pelanggan.

   Catatan

   Status menunjukkan Berjalan saat enkripsi sedang berlangsung. Ini menunjukkan Berhasil saat enkripsi selesai. Status menunjukkan Gagal ketika ada masalah dengan salah satu layanan yang tidak dapat menerapkan kunci enkripsi.

   Status Gagal dapat menjadi peringatan dan Anda tidak perlu menjalankan kembali opsi Tambahkan lingkungan . Anda dapat mengonfirmasi apakah itu peringatan.

Ubah kunci enkripsi lingkungan dengan kebijakan dan kunci perusahaan baru

Untuk mengubah kunci enkripsi Anda, buat kunci baru dan kebijakan perusahaan baru. Anda kemudian dapat mengubah kebijakan perusahaan dengan menghapus lingkungan dan kemudian menambahkan lingkungan ke kebijakan perusahaan baru. Sistem turun dua kali saat mengubah ke kebijakan perusahaan baru - 1) untuk mengembalikan enkripsi ke kunci yang dikelola Microsoft dan 2) untuk menerapkan kebijakan perusahaan baru.

Tip

Untuk merotasi kunci enkripsi, sebaiknya gunakan Key vaults'Versi baru atau mengatur kebijakan Rotasi.

1. Di portal Microsoft Azure, buat kunci baru dan kebijakan perusahaan baru. Informasi lebih lanjut: Membuat kunci enkripsi dan memberikan akses dan Membuat kebijakan perusahaan
2. Setelah kunci baru dan kebijakan perusahaan dibuat, buka Kebijakan Kebijakan> perusahaan.
3. Pilih tab Lingkungan dengan kebijakan , lalu temukan lingkungan yang ingin Anda hapus dari kunci yang dikelola pelanggan.
4. Pilih tab Semua kebijakan , pilih lingkungan yang Anda verifikasi pada langkah 2, lalu pilih Edit kebijakan di bilah perintah.
5. Pilih Hapus lingkungan pada bilah perintah, pilih lingkungan yang ingin Anda hapus, lalu pilih Lanjutkan.
6. Pilih Simpan.
7. Ulangi langkah 2-6 hingga semua lingkungan dalam kebijakan perusahaan telah dihapus.

Penting

Lingkungan akan dinonaktifkan saat dihapus dari kebijakan perusahaan untuk mengembalikan enkripsi data ke kunci yang dikelola Microsoft. Jangan menghapus atau menonaktifkan kunci, hapus atau nonaktifkan brankas kunci, atau menghapus izin kebijakan perusahaan ke brankas kunci. Akses kunci dan brankas kunci diperlukan untuk mendukung pemulihan database. Anda dapat menghapus dan menghapus izin kebijakan perusahaan setelah 30 hari.

1. Setelah semua lingkungan dihapus, dari pusat admin, Power Platform buka Kebijakan Enterprise.
2. Pilih kebijakan perusahaan baru, lalu pilih Edit kebijakan.
3. Pilih Tambahkan lingkungan, pilih lingkungan yang ingin Anda tambahkan, lalu pilih Lanjutkan.

Penting

Lingkungan akan dinonaktifkan saat ditambahkan ke kebijakan perusahaan baru.

Rotasi kunci enkripsi lingkungan dengan versi kunci baru

Anda dapat mengubah kunci enkripsi lingkungan dengan membuat versi kunci baru. Saat Anda membuat versi kunci baru, versi kunci baru diaktifkan secara otomatis. Semua sumber daya penyimpanan mendeteksi versi kunci baru dan mulai menerapkannya untuk mengenkripsi data Anda.

Saat Anda memodifikasi kunci atau versi kunci, perlindungan kunci enkripsi root berubah, tetapi data dalam penyimpanan selalu tetap dienkripsi dengan kunci Anda. Tidak ada lagi tindakan yang diperlukan di pihak Anda untuk memastikan bahwa data Anda terlindungi. Memutar versi kunci tidak memengaruhi kinerja. Tidak ada downtime yang terkait dengan rotasi versi kunci. Diperlukan waktu 24 jam bagi semua penyedia resource untuk menerapkan versi kunci baru di latar belakang. Versi kunci sebelumnya tidak boleh dinonaktifkan karena diperlukan layanan untuk menggunakannya untuk enkripsi ulang dan untuk dukungan pemulihan database.

Untuk memutar kunci enkripsi dengan membuat versi kunci baru, gunakan langkah-langkah berikut.

1. Buka Key Vaults portal Microsoft>Azure dan temukan key vaults tempat Anda ingin membuat versi kunci baru.
2. Arahkan ke Keys.
3. Pilih kunci saat ini yang diaktifkan.
4. Pilih + Versi Baru.
5. Pengaturan Diaktifkan default ke Ya, yang berarti bahwa versi kunci baru diaktifkan secara otomatis saat dibuat.
6. Pilih Buat.

Tip

Untuk mematuhi kebijakan rotasi kunci, Anda dapat merotasi kunci enkripsi menggunakan kebijakan Rotasi. Anda dapat mengonfigurasi kebijakan rotasi atau merotasi, sesuai permintaan, dengan memanggil Putar sekarang.

Penting

Versi kunci baru secara otomatis diputar di latar belakang dan tidak ada tindakan yang diperlukan oleh Power Platform admin. Penting bahwa versi kunci sebelumnya tidak boleh dinonaktifkan atau dihapus setidaknya, 28 hari untuk mendukung pemulihan database. Menonaktifkan atau menghapus versi kunci sebelumnya terlalu dini dapat membuat lingkungan Anda offline.

Lihat daftar lingkungan terenkripsi

1. Masuk ke Power Platform Pusat Admin, dan buka Kebijakan Kebijakan> perusahaan.
2. Pada halaman Kebijakan perusahaan, pilih tab Lingkungan dengan kebijakan . Daftar lingkungan yang ditambahkan ke kebijakan perusahaan ditampilkan.

Catatan

Mungkin ada situasi di mana status Lingkungan atau status Enkripsi menunjukkan status Gagal . Jika ini terjadi, kirimkan permintaan Dukungan Microsoft untuk mendapatkan bantuan.

Operasi database lingkungan

Penyewa pelanggan dapat memiliki lingkungan yang dienkripsi menggunakan kunci terkelola Microsoft dan lingkungan yang dienkripsi dengan kunci terkelola pelanggan. Untuk memelihara integritas data dan perlindungan data, kontrol berikut tersedia saat mengelola operasi database lingkungan.

• Memulihkan Lingkungan untuk ditimpa (lingkungan pemulihan) dibatasi ke lingkungan yang sama tempat cadangan diambil atau ke lingkungan lain yang dienkripsi dengan kunci terkelola Pelanggan yang sama.

  

• Salin lingkungan untuk ditimpa (lingkungan penyalinan) dibatasi ke lingkungan lain yang dienkripsi dengan kunci terkelola Pelanggan yang sama.

  

  Catatan

  Jika lingkungan penyelidikan dukungan dibuat untuk menangani masalah dukungan di lingkungan terkelola pelanggan, kunci enkripsi untuk lingkungan investigasi dukungan harus diubah ke kunci terkelola pelanggan sebelum operasi lingkungan penyalinan dapat dilakukan.

• Atur Ulang Data terenkripsi lingkungan dihapus, termasuk cadangan. Setelah lingkungan diatur ulang, enkripsi lingkungan akan kembali ke kunci terkelola Microsoft.

Langkah berikutnya

Tentang Azure Key Vault