Тұтынушы басқаратын шифрлау кілтін басқарыңыз

Тұтынушыларда деректердің құпиялылығы мен сәйкестік талаптары бар, олардың деректерін демалыс кезінде шифрлау арқылы қорғау. Бұл дерекқордың көшірмесі ұрланған жағдайда деректерді әсер етуден қорғайды. Демалыс күйіндегі деректерді шифрлау арқылы ұрланған дерекқор деректері шифрлау кілтінсіз басқа серверге қалпына келтіруден қорғалған.

Power Platform ішінде сақталған барлық тұтынушы деректері әдепкі бойынша күшті Microsoft басқаратын шифрлау кілттерімен шифрланған. Microsoft барлық деректеріңіз үшін дерекқор шифрлау кілтін сақтайды және басқарады, сондықтан сізге қажет емес. Дегенмен, Power Platform осы тұтынушы басқаратын шифрлау кілтін (CMK) қосымша деректерді қорғауды басқару үшін қамтамасыз етеді, мұнда Microsoft Dataverse ортаңызбен байланыстырылған дерекқор шифрлау кілтін өзіңіз басқара аласыз. Бұл шифрлау кілтін сұраныс бойынша айналдыруға немесе ауыстыруға мүмкіндік береді, сондай-ақ қызметтерімізге кілт рұқсатын кез келген уақытта қайтарып алған кезде тұтынушы деректеріне Microsoft кіруіне жол бермеуге мүмкіндік береді.

Power Platformішінде тұтынушы басқаратын кілт туралы қосымша ақпарат алу үшін тұтынушы басқаратын кілт бейнесін қараңыз.

Бұл шифрлау кілті операциялары тұтынушы басқаратын кілтпен (CMK) қол жетімді:

• Azure Key қоймасынан RSA (RSA-HSM) кілтін жасаңыз.
• Кілтіңіз үшін Power Platform кәсіпорын саясатын жасаңыз.
• Кілт қоймасына кіру үшін Power Platform кәсіпорын саясатына рұқсат беріңіз.
• Power Platform қызмет әкімшісіне кәсіпорын саясатын оқуға рұқсат беріңіз.
• Ортаңызға шифрлау кілтін қолданыңыз.
• Ортаның CMK шифрлауын Microsoft басқарылатын кілтке қайтару/жою.
• Жаңа кәсіпорын саясатын жасау, CMK жүйесінен ортаны жою және CMK жаңа кәсіпорын саясатымен қайта қолдану арқылы кілтті өзгертіңіз.
• CMK кілттер қоймасын және/немесе кілт рұқсаттарын қайтарып алу арқылы CMK орталарын құлыптаңыз.
• CMK пернесін қолдану арқылы өз кілтіңізді (BYOK) орталарды CMK-ға көшіріңіз.

Қазіргі уақытта келесі қолданбалар мен қызметтерде тек сақталған барлық тұтынушы деректерін тұтынушы басқаратын кілтпен шифрлауға болады:

• Dataverse (Арнаулы шешімдер және Microsoft қызметтер)
• Dataverse Үлгіге негізделген қолданбаларға арналған қосалқы пилот
• Power Automate¹
• Power Apps
• Dynamics 365 чаты
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (қаржы және операциялар)
• Dynamics 365 Intelligent Order Management (Қаржы және операциялар)
• Dynamics 365 Project Operations (Қаржы және операциялар)
• Dynamics 365 Supply Chain Management (Қаржы және операциялар)
• Dynamics 365 Fraud Protection (Қаржы және операциялар)

¹ Тұтынушының басқаратын кілтін бар Power Automate ағындары бар ортаға қолданғанда, ағындар деректері Microsoft басқарылатын кілтпен шифрлануын жалғастырады. Қосымша ақпарат: Power Automate тұтынушының басқару кілті.

Ескертпе

Nuance Conversational IVR және Maker Welcome Content тұтынушы басқаратын кілт шифрлауынан шығарылады.

Microsoft Copilot Studio өз деректерін өздерінің қоймасында және ішінде сақтайды Microsoft Dataverse. Тұтынушы басқаратын кілтті осы орталарға қолданғанда, тек Microsoft Dataverse ішіндегі деректер қоймалары кілтпен шифрланады. Microsoft Dataverse ден басқа деректер Microsoft басқарылатын кілтпен шифрлануын жалғастырады.

Ескертпе

Коннекторларға арналған қосылым параметрлері Microsoft басқарылатын кілтпен шифрлануын жалғастырады.

Тұтынушы басқаратын негізгі қолдау туралы ақпарат алу үшін жоғарыда тізімде жоқ қызметтер үшін өкілге хабарласыңыз.

Ескертпе

Power Apps көрсетілетін атаулар, сипаттамалар және қосылым метадеректері Microsoft басқарылатын кілтпен шифрлануын жалғастырады.

Ескертпе

Жүктеп алу нәтижелерінің сілтемесі және шешімді тексеру кезінде шешімді тексеру арқылы жасалған басқа деректер Microsoft басқарылатын кілтпен шифрлануын жалғастырады.

Power Platform интеграциясы қосылған қаржы және операцияларға арналған бағдарламалар орталары да шифрлануы мүмкін. Power Platform интеграциясы жоқ қаржы және операциялық орталар деректерді шифрлау үшін әдепкі Microsoft басқарылатын кілтті пайдалануды жалғастырады. Қосымша ақпарат: қаржы және операцияларға арналған бағдарламалар ішіндегі шифрлау

Тұтынушы басқаратын кілтпен таныстыру

Тұтынушы басқаратын кілт арқылы әкімшілер тұтынушы деректерін шифрлау үшін өздерінің Azure Key Vault қоймасынан Power Platform сақтау қызметтеріне жеке шифрлау кілтін бере алады. Microsoft Azure Key Vault қолданбасына тікелей қатынасы жоқ. Azure Key Vault ішінен шифрлау кілтіне қол жеткізу үшін Power Platform қызметтері үшін әкімші шифрлау кілтіне сілтеме жасайтын Power Platform кәсіпорын саясатын жасайды және осы кәсіпорын саясатына кілтті оқуға рұқсат береді. Azure Key Vault.

Содан кейін Power Platform қызмет әкімшісі шифрлау кілтімен ортадағы барлық тұтынушы деректерін шифрлауды бастау үшін кәсіпорын саясатына Dataverse орталарды қоса алады. Әкімшілер басқа кәсіпорын саясатын жасау арқылы ортаның шифрлау кілтін өзгерте алады және ортаны (оны жойғаннан кейін) жаңа кәсіпорын саясатына қоса алады. Егер ортаны тұтынушы басқаратын кілт арқылы шифрлау қажет болмаса, әкімші деректерді шифрлауды Dataverse басқарылатын кілтке қайтару үшін кәсіпорын саясатынан Microsoftортаны жоя алады. .

Әкімші кәсіпорын саясатынан кілт қатынасын жою арқылы тұтынушы басқаратын негізгі орталарды құлыптай алады және негізгі қатынасты қалпына келтіру арқылы орталардың құлпын аша алады. Қосымша ақпарат: Кілттер қоймасын және/немесе кілт рұқсатына кіруді қайтарып алу арқылы орталарды құлыптау

Негізгі басқару міндеттерін жеңілдету үшін міндеттер үш негізгі бағытқа бөлінеді:

1. Шифрлау кілтін жасаңыз.
2. Кәсіпорын саясатын жасаңыз және рұқсат беріңіз.
3. Ортаның шифрлауын басқарыңыз.

Ескерту

Орталар құлыпталған кезде, оларға ешкім қол жеткізе алмайды, соның ішінде Microsoft қолдау. Құлыпталған орталар ажыратылады және деректер жоғалуы мүмкін.

Тұтынушы басқаратын кілтке арналған лицензиялық талаптар

Тұтынушы басқаратын кілт саясаты Басқарылатын орталар үшін белсендірілген орталарда ғана қолданылады. Басқарылатын орталар премиум пайдалану құқықтарын беретін дербес Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages және Dynamics 365 лицензияларына құқық ретінде қосылған. . үшін Лицензиялау шолуыменБасқарылатын ортаны лицензиялау туралы қосымша мәліметтер алыңыз Microsoft Power Platform.

Сонымен қатар, Microsoft Power Platform және Dynamics 365 үшін тұтынушы басқаратын кілтті пайдалану рұқсаты шифрлау кілті саясаты күшіне енетін орталардағы пайдаланушылардан мына жазылымдардың біріне ие болуын талап етеді:

• Microsoft 365 немесе Office 365 A5/Е5/G5
• Microsoft 365 A5/E5/F5/G5 талаптарына сәйкестік
• Microsoft 365 F5 қауіпсіздік және сәйкестік
• Microsoft 365 A5/E5/F5/G5 ақпаратын қорғау және басқару
• Microsoft 365 A5/E5/F5/G5 ішкі ақпарат ағыны тәуекелдерін басқару

Бұл лицензиялар туралы көбірек біліңіз.

Кілтті басқарған кезде ықтимал тәуекелді түсініңіз

Кез келген бизнеске маңызды бағдарламада ұйымдағы әкімшілік деңгейіндегі рұқсаты бар қызметкерлерге сену керек. Кілттерді басқару мүмкіндігін пайдаланбас бұрын, дерекқорды шифрлау кілттерін басқарған кезде қауіпті түсіну қажет. Ұйымыңызда жұмыс істейтін зиянды әкімші (ұйымның қауіпсіздігіне немесе бизнес процестеріне зиян келтіру мақсатында әкімші деңгейінде рұқсат алған немесе оған қол жеткізген адам) кілт жасау үшін кілттерді басқару мүмкіндігін пайдаланып, оны кілтті құлыптау үшін пайдалануы мүмкін. жалға алушыдағы орталар.

Оқиғалардың мына тізбегін қарастырыңыз.

Зиянды кілт қоймасының әкімшісі Azure порталында кілт пен кәсіпорын саясатын жасайды. Azure Key Vault әкімшісі Power Platform басқару орталығына өтіп, орталарды кәсіпорын саясатына қосады. Содан кейін зиянды әкімші Azure порталына оралады және кәсіпорын саясатына негізгі қатынасты қайтарып алады, осылайша барлық орталарды құлыптайды. Бұл бизнес үзілістерін тудырады, өйткені барлық орталар қолжетімсіз болады және бұл оқиға шешілмесе, яғни кілттік қатынас қалпына келтірілсе, орта деректері ықтимал жоғалуы мүмкін.

Ескертпе

• Azure Key Vault жүйесінде кілтті қалпына келтіруге көмектесетін кірістірілген қорғаныс құралдары бар, олар Жұмсақ жою және Тазартудан қорғауды кілт қоймасының параметрлері қосылды.
• Қарастырылатын тағы бір қауіпсіздік шарасы - Azure Key Vault әкімшісіне Power Platform басқару орталығына кіру рұқсаты берілмеген тапсырмалардың бөлінуіне көз жеткізу.

Тәуекелді азайту үшін міндеттерді бөлу

Бұл бөлім әрбір әкімші рөлі жауап беретін тұтынушы басқаратын негізгі мүмкіндік міндеттерін сипаттайды. Бұл тапсырмаларды бөлу тұтынушы басқаратын кілттермен байланысты тәуекелді азайтуға көмектеседі.

Azure Key Vault және Power Platform/Dynamics 365 қызметінің әкімші тапсырмалары

Тұтынушы басқаратын кілттерді қосу үшін алдымен кілт қоймасының әкімшісі Azure кілт қоймасында кілт жасайды және Power Platform кәсіпорын саясатын жасайды. Кәсіпорын саясаты жасалғанда, арнайы Microsoft Entra ID басқарылатын сәйкестік куәлігі жасалады. Содан кейін кілт қоймасының әкімшісі Azure кілт қоймасына оралады және кәсіпорын саясатына/басқарылатын сәйкестікке шифрлау кілтіне рұқсат береді.

Содан кейін негізгі қойма әкімшісі сәйкес Power Platform/Dynamics 365 қызметінің әкімшісіне кәсіпорын саясатына оқу рұқсатын береді. Оқу рұқсаты берілгеннен кейін Power Platform/Dynamics 365 қызметінің әкімшісі Power Platform Басқару орталығына өтіп, кәсіпорын саясатына орталар қоса алады. Барлық қосылған орталардың тұтынушы деректері осы кәсіпорын саясатына байланыстырылған тұтынушы басқаратын кілтпен шифрланады.

Алғышарттар

• Azure Key Vault немесе Azure Key Vault басқарылатын аппараттық қауіпсіздік модульдерін қамтитын Azure жазылымы.
• A Microsoft Entra ID бар:
  • Microsoft Entra жазылымға қатысушы рұқсаты.
  • Azure Key Vault және кілтін жасауға рұқсат.
  • Ресурс тобын құруға рұқсат. Бұл кілт қоймасын орнату үшін қажет.

Azure Key Vault көмегімен кілтті жасаңыз және рұқсат беріңіз

Azure Key Vault әкімшісі бұл тапсырмаларды Azure жүйесінде орындайды.

1. Azure ақылы жазылымын және Key Vault жасаңыз. Azure Key Vault кіретін жазылымыңыз бар болса, бұл қадам елемеңіз.
2. Azure Key Vault қызметіне өтіп, кілт жасаңыз. Қосымша ақпарат: Кілттер қоймасында кілт жасаңыз
3. Azure жазылымыңыз үшін Power Platform кәсіпорын саясаттары қызметін қосыңыз. Мұны тек бір рет орындаңыз. Қосымша ақпарат: Azure жазылымыңыз үшін Power Platform кәсіпорын саясаттары қызметін қосыңыз
4. Power Platform кәсіпорын саясатын жасаңыз. Қосымша ақпарат: Кәсіпорын саясатын жасаңыз
5. Кілт қоймасына кіру үшін кәсіпорын саясатына рұқсат беріңіз. Қосымша ақпарат: Кілт қоймасына кіру үшін кәсіпорын саясаты рұқсаттарын беріңіз
6. Power Platform және Dynamics 365 әкімшілеріне кәсіпорын саясатын оқуға рұқсат беріңіз. Қосымша ақпарат: Кәсіпорын саясатын оқу үшін Power Platform әкімші артықшылығын беріңіз

Power Platform/Dynamics 365 қызметінің admin Power Platform басқару орталығының тапсырмалары

Алғышарт

• Power Platform әкімші Power Platform немесе Dynamics 365 Service әкімшісі Microsoft Entra рөліне тағайындалуы керек.

Ортаның шифрлауын Power Platform басқару орталығында басқарыңыз

Power Platform әкімші Power Platform басқару орталығындағы ортаға қатысты тұтынушы басқаратын негізгі тапсырмаларды басқарады.

1. Деректерді тұтынушы басқаратын кілтпен шифрлау үшін Power Platform орталарды кәсіпорын саясатына қосыңыз. Қосымша ақпарат: Деректерді шифрлау үшін кәсіпорын саясатына орта қосыңыз
2. Шифрлауды Microsoft басқарылатын кілтке қайтару үшін орталарды кәсіпорын саясатынан алып тастаңыз. Қосымша ақпарат: Басқарылатын кілтке Microsoft қайту үшін саясаттан орталарды жойыңыз
3. Ескі кәсіпорын саясатынан орталарды жою және жаңа кәсіпорын саясатына орталарды қосу арқылы кілтті өзгертіңіз. Қосымша ақпарат: Шифрлау кілтін жасаңыз және рұқсат беріңіз
4. BYOK-тен көшіру. Бұрынғы өздігінен басқарылатын шифрлау кілті мүмкіндігін пайдалансаңыз, кілтіңізді тұтынушы басқаратын кілтке тасымалдауға болады. Қосымша ақпарат: Өз кілтіңізді әкелетін орталарды тұтынушы басқаратын кілтке көшіріңіз

Шифрлау кілтін жасаңыз және рұқсат беріңіз

Azure ақылы жазылымын және кілттер қоймасын жасаңыз

Azure жүйесінде келесі қадамдарды орындаңыз:

1. «Барған сайын төле» немесе оның баламалы Azure жазылымын жасаңыз. Бұл қадам егер жалға алушының жазылымы әлдеқашан болса, қажет емес.

2. Ресурстар тобын жасаңыз. Қосымша ақпарат: Ресурс топтарын жасаңыз

   Ескертпе

   Америка Құрама Штаттары сияқты Power Platform орта аймағына сәйкес келетін орны бар ресурс тобын жасаңыз немесе пайдаланыңыз, мысалы, Орталық АҚШ.

3. Алдыңғы қадам файлында жасалған ресурс тобымен жұмсақ жою және тазарту қорғанысын қамтитын ақылы жазылымды пайдаланып кілт қоймасын жасаңыз.

   Маңызды

   • Ортаңыздың шифрлау кілтінің кездейсоқ жойылуынан қорғалуын қамтамасыз ету үшін, кілт қоймасында бағдарламалық түрде жою және тазалаудан қорғау қосулы болуы керек. Бұл параметрлерді қоспай, ортаңызды өз кілтіңізбен шифрлай алмайсыз. Қосымша ақпарат: Azure Key Vault бағдарламалық құралын жоюға шолу Қосымша ақпарат: Azure порталын пайдаланып кілттер қоймасын жасау

Кілттер қоймасында кілт жасаңыз

1. алғышарттарды орындағаныңызға көз жеткізіңіз.
2. Azure порталына>Кілттер қоймасына өтіңіз және шифрлау кілтін жасағыңыз келетін кілт қоймасын табыңыз.
3. Azure кілт қоймасының параметрлерін тексеріңіз:
   1. Сипаттар Параметрлер астында таңдаңыз.
   2. Қосымша түрде жою астында оның Осы кілт қоймасында опциясында жұмсақ жою қосылғанын орнатыңыз немесе тексеріңіз.
   3. Тазартудан қорғау астында Тазартудан қорғауды қосу (жойылған қоймалар мен қойма нысандары үшін міндетті сақтау мерзімін қолдану) қосылған.
   4. Егер өзгертулер енгізсеңіз, Сақтау таңдаңыз.

RSA кілттерін жасаңыз

1. Мына қасиеттерге ие кілтті жасаңыз немесе импорттаңыз:

   1. Кілттер қоймасы сипаттар беттерінде Кілттер таңдаңыз.
   2. Жасау/Импорттау опциясын таңдаңыз.
   3. Кілт жасау экранында келесі мәндерді орнатыңыз, содан кейін Жасау таңдаңыз.
      • Параметрлер: Жасау
      • Аты: Кілттің атын беріңіз
      • Кілт түрі: RSA
      • RSA кілтінің өлшемі: 2048

   Маңызды

   Кілтіңізде аяқтау күнін орнатсаңыз және кілттің мерзімі өтіп кетсе, осы кілтпен шифрланған барлық орталар жұмыс істемейді. Жергілікті әкімші және Azure кілт қоймасының әкімшісі үшін жарамдылық мерзімінің аяқталу күнін жаңарту туралы еске салғыш ретінде электрондық хабарландырулары бар жарамдылық сертификаттарын бақылау үшін Power Platform ескертуді орнатыңыз. Бұл жүйенің жоспарланбаған үзілістерін болдырмау үшін маңызды.

Аппараттық қауіпсіздік модульдері (HSM) үшін қорғалған кілттерді импорттау

Сіз Power Platform Dataverse орталарды шифрлау үшін аппараттық қауіпсіздік модульдері (HSM) үшін қорғалған кілттерді пайдалана аласыз. Кәсіпорын саясаты жасалуы үшін HSM арқылы қорғалған кілттер кілт қоймасына импортталуы керек. Қосымша ақпарат алу үшін Қолдау көрсетілетін HSMsHSM арқылы қорғалған кілттерді Key Vault (BYOK) ішіне импорттау бөлімін қараңыз.

Azure Key Vault басқарылатын HSM жүйесінде кілт жасаңыз

Орта деректерін шифрлау үшін Azure Key Vault басқарылатын HSM ішінен жасалған шифрлау кілтін пайдалануға болады. Бұл сізге FIPS 140-2 3-деңгей қолдауын береді.

RSA-HSM кілттерін жасаңыз

1. алғышарттарды орындағаныңызға көз жеткізіңіз.

2. Azure порталына өтіңіз.

3. Басқарылатын HSM жасау:

   1. Басқарылатын HSM қамтамасыз етіңіз.
   2. Басқарылатын HSM белсендіріңіз.

4. Басқарылатын HSM жүйесінде Тазартудан қорғауды қосыңыз.

5. Басқарылатын HSM кілттер қоймасын жасаған адамға Басқарылатын HSM крипто пайдаланушысы рөлін беріңіз.

   1. Басқарылатын HSM кілттер қоймасына Azure порталында қатынасыңыз.
   2. Жергілікті RBAC тармағына өтіп, + Қосу опциясын таңдаңыз.
   3. Рөл ашылмалы тізімнен Басқарылатын HSM крипто пайдаланушысы рөлін Рөл тағайындау бет.
   4. Барлық пернелерді Ауқым астында таңдаңыз.
   5. Қауіпсіздік негізін таңдау, содан кейін Негізгі қосу бетінде әкімшіні таңдаңыз.
   6. Жасау пәрменін таңдаңыз.

6. RSA-HSM кілтін жасаңыз:

   • Параметрлер: Жасау
   • Аты: Кілттің атын беріңіз
   • Кілт түрі: RSA-HSM
   • RSA кілтінің өлшемі: 2048

   Ескертпе

   Қолдау көрсетілетін RSA-HSM кілт өлшемдері: 2048-бит және 3072-бит.

Жеке сілтемесі бар Azure Key Vault кілтімен ортаңызды шифрлаңыз

Azure Key қоймасының желісін жеке соңғы нүктені қосу арқылы жаңартуға және Power Platform орталарды шифрлау үшін кілт қоймасындағы кілтті пайдалануға болады.

Сіз не жаңа кілт қоймасын жасай аласыз және жеке сілтеме қосылымын орната аласыз немесе бар кілттер қоймасына жеке сілтеме қосылымын орната аласыз және осы кілт қоймасынан кілт жасаңыз және оны ортаңызды шифрлау үшін пайдаланыңыз. Сондай-ақ бар кілттер қоймасына жеке сілтеме қосылымын орнатуға болады Кілтті әлдеқашан жасағаннан кейін және оны ортаңызды шифрлау үшін пайдаланыңыз.

Жеке сілтемесі бар кілттер қоймасындағы кілтпен деректерді шифрлаңыз

1. Мына опциялармен Azure Key қоймасын жасаңыз:

   • Тазартудан қорғауды қосыңыз
   • Кілт түрі: RSA
   • Кілт өлшемі: 2048

2. Кәсіпорын саясатын жасау үшін пайдаланылатын кілт қоймасының URL мекенжайын және шифрлау кілтінің URL мекенжайын көшіріңіз.

   Ескертпе

   Кілттер қоймасына жеке соңғы нүктені қосқаннан немесе жалпыға қолжетімді желіні өшіргеннен кейін, тиісті рұқсатыңыз болмаса, кілтті көре алмайсыз.

3. виртуалды желі құру.

4. Кілттер қоймасына оралыңыз және Azure Key қоймасына жеке соңғы нүкте қосылымдарын қосыңыз.

   Ескертпе

   Сізге Жалпы қолжетімділікті өшіру желіге қосылу опциясын таңдау керек және Сенімді Microsoft қызметтерге осы желіаралық қалқанды айналып өтуге рұқсат ету > ерекшелік.

5. Power Platform кәсіпорын саясатын жасаңыз. Қосымша ақпарат: Кәсіпорын саясатын жасаңыз

6. Кілт қоймасына кіру үшін кәсіпорын саясатына рұқсат беріңіз. Қосымша ақпарат: Кілт қоймасына кіру үшін кәсіпорын саясаты рұқсаттарын беріңіз

7. Power Platform және Dynamics 365 әкімшілеріне кәсіпорын саясатын оқуға рұқсат беріңіз. Қосымша ақпарат: Кәсіпорын саясатын оқу үшін Power Platform әкімші артықшылығын беріңіз

8. Power Platform басқару орталығының әкімшісі Басқарылатын ортаны шифрлау және қосу үшін ортаны таңдайды. Қосымша ақпарат: Кәсіпорын саясатына қосылу үшін басқарылатын ортаны қосыңыз

9. Power Platform басқару орталығы әкімшісі басқарылатын ортаны кәсіпорын саясатына қосады. Қосымша ақпарат: Деректерді шифрлау үшін кәсіпорын саясатына орта қосыңыз

Azure жазылымыңыз үшін Power Platform кәсіпорын саясаттары қызметін қосыңыз

Ресурс провайдері ретінде Power Platform тіркеліңіз. Бұл тапсырманы Azure Key қоймасы орналасқан әрбір Azure жазылымы үшін бір рет орындау керек. Ресурс провайдерін тіркеу үшін жазылымға кіру құқығыңыз болуы керек.

1. Azure порталына жүйеге кіріп, Жазылым>Ресурс провайдерлері бөліміне өтіңіз.
2. Ресурс провайдерлері тізімінде Microsoft.PowerPlatform және Тіркеу< деп іздеңіз. a26> ол.

Кәсіпорын саясатын жасаңыз

1. PowerShell MSI орнатыңыз. Қосымша ақпарат: Windows, Linux және macOS жүйелерінде PowerShell орнату
2. PowerShell MSI орнатылғаннан кейін, Azure жүйесінде Теңшелетін үлгіні орналастыру бөліміне оралыңыз.
3. Өңдегіште өз шаблоныңызды жасау сілтемесін таңдаңыз.
4. осы JSON үлгісін блокнот сияқты мәтіндік редакторға көшіріңіз. Қосымша ақпарат: Кәсіпорын саясаты json үлгісі
5. JSON үлгісіндегі мәндерді келесіге ауыстырыңыз: EnterprisePolicyName, EnterprisePolicy жасалуы керек орын, keyVaultId және keyName. Қосымша ақпарат: json үлгісіне арналған өріс анықтамалары
6. Жаңартылған үлгіні мәтіндік өңдегіштен көшіріп, оны Azure жүйесіндегі Теңшелетін орналастыру Өңдеу үлгісіне қойыңыз, және Сақтау таңдаңыз.
7. Кәсіпорын саясаты жасалатын a Жазылым және Ресурстар тобын таңдаңыз.
8. Шолу + жасау таңдаңыз, содан кейін Жасау таңдаңыз.

Орналастыру басталды. Аяқтағаннан кейін кәсіпорын саясаты жасалады.

Кәсіпорын саясаты json үлгісі

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON үлгісіне арналған өріс анықтамалары

• аты. Кәсіпорын саясатының атауы. Бұл Power Platform басқару орталығында пайда болатын саясаттың атауы.

• орны. Төмендегілердің бірі. Бұл кәсіпорын саясатының орны және ол Dataverse ортаның аймағына сәйкес келуі керек:

  • '"Америка Құрама Штаттары"'
  • '"Оңтүстік Африка"'
  • '"uk"'
  • '"жапония"'
  • '"үндістан"'
  • '"Франция"'
  • '"еуропа"'
  • '"Германия"'
  • '"швейцария"'
  • '"канада"'
  • '"бразилия"'
  • '"австралия"'
  • '"азия"'
  • '"БАӘ"'
  • '"корея"'
  • '"норвегия"'
  • '"сингапур"'
  • '"швеция"'

• Бұл мәндерді Azure порталындағы негізгі қойма сипаттарынан көшіріңіз:

  • keyVaultId: Кілттер қоймалары> кілт қоймасын таңдау >Шолу бөліміне өтіңіз. Essentials жанындағы JSON көрінісі таңдаңыз. Ресурс идентификаторын буферге көшіріп, бүкіл мазмұнды JSON үлгісіне қойыңыз.
  • keyName: Кілттер қоймаларына> кілт қоймасын >Кілттер таңдаңыз. Атау кілтіне назар аударыңыз және атын JSON үлгісіне енгізіңіз.

Негізгі қоймаға кіру үшін кәсіпорын саясатына рұқсат беріңіз

Кәсіпорын саясаты жасалғаннан кейін, кілт қоймасының әкімшісі шифрлау кілтіне кәсіпорын саясатының басқарылатын сәйкестендіру рұқсатын береді.

1. Azure порталына кіріп, Кілт қоймалары тармағына өтіңіз.
2. Кілт кәсіпорын саясатына тағайындалған кілт қоймасын таңдаңыз.
3. Кіруді басқару (IAM) қойындысын таңдап, + Қосу опциясын таңдаңыз.
4. Ашылмалы тізімнен Рөл тағайындау қосу пәрменін таңдаңыз,
5. Key Vault Crypto Service шифрлау пайдаланушысын іздеп, оны таңдаңыз.
6. Келесі пәрменін таңдаңыз.
7. + Мүшелерді таңдау.
8. Өзіңіз жасаған кәсіпорын саясатын іздеңіз.
9. Кәсіпорын саясатын таңдап, Таңдау таңдаңыз.
10. Қарап шығу + тағайындау опциясын таңдаңыз.

Ескертпе

Жоғарыдағы рұқсат параметрі негізгі қоймаңыздың Рұқсат үлгісіне Azure рөліне негізделген қатынасты басқару негізделген. Кілт қоймаңыз Қоймаға кіру саясатына орнатылған болса, рөлге негізделген үлгіге көшу ұсынылады. Кәсіпорын саясатына Қоймаға кіру саясаты арқылы кілт қоймасына рұқсат беру үшін Қатынас саясатын жасаңыз, Алу опциясын таңдаңыз. Кілтті басқару операциялары және Кілтті ашу және Орау кілті қосу Криптографиялық операциялар.

Ескертпе

Кез келген жоспарланбаған жүйе үзілістерін болдырмау үшін кәсіпорын саясатының кілтке қол жеткізуі маңызды. Мынаны тексеріңіз:

• Кілттер қоймасы белсенді.
• Кілт белсенді және мерзімі аяқталмаған.
• Кілт жойылмайды.
• Жоғарыдағы негізгі рұқсаттар кері қайтарылмайды.

Бұл кілтті пайдаланатын орталар шифрлау кілті қолжетімді болмаған кезде өшіріледі.

Кәсіпорын саясатын оқу үшін Power Platform әкімші артықшылығын беріңіз

Dynamics 365 немесе Power Platform әкімшілік рөлдері бар әкімшілер кәсіпорын саясатына орталарды тағайындау үшін Power Platform басқару орталығына кіре алады. Кәсіпорын саясаттарына қол жеткізу үшін Azure кілт қоймасына кіру рұқсаты бар әкімші әкімшіге Оқу құралы Power Platform рөлін беруі қажет. Оқырман рөлі берілгеннен кейін Power Platform әкімші Power Platform басқару орталығында кәсіпорын саясаттарын көре алады.

Ескертпе

Кәсіпорын саясатына оқырман рөлі берілген Power Platform және Dynamics 365 әкімшілері ғана саясатқа орта қоса алады. Басқа Power Platform немесе Dynamics 365 әкімшілері кәсіпорын саясатын көре алуы мүмкін, бірақ олар орташа қосу әрекеті кезінде қате алады. саясат.

Power Platform әкімшіге оқырман рөлін беріңіз

1. Azure порталына кіріңіз.
2. Power Platform немесе Dynamics 365 әкімшісінің нысан идентификаторын көшіріңіз. Мұны істеу үшін:
   1. Azure жүйесіндегі Пайдаланушылар аймағына өтіңіз.
   2. Барлық пайдаланушылар тізімінен Power Platform немесе Dynamics 365 әкімші рұқсаттары бар пайдаланушыны Іздеу пайдаланушыларын пайдаланып табыңыз.
   3. Пайдаланушы жазбасын ашыңыз, Шолу қойындысында пайдаланушының нысан идентификаторын көшіріңіз. Оны кейінірек пайдалану үшін Блокнот сияқты мәтіндік редакторға қойыңыз.
3. Кәсіпорын саясаты ресурсының идентификаторын көшіріңіз. Мұны істеу үшін:
   1. Azure жүйесінде Resource Graph Explorer тармағына өтіңіз.
   2. microsoft.powerplatform/enterprisepolicies Іздеу жолына енгізіңіз, содан кейін microsoft.powerplatform/enterprisepolicies таңдаңыз. ресурс.
   3. Пәрмендер жолағында Сұрауды орындау таңдаңыз. Барлық Power Platform кәсіпорын саясаттарының тізімі көрсетіледі.
   4. Рұқсат бергіңіз келетін кәсіпорын саясатын табыңыз.
   5. Кәсіпорын саясатының оң жағына жылжып, Мәліметтерді көру таңдаңыз.
   6. Толығырақ бетінде id көшіріңіз.
4. Azure Cloud Shell іске қосыңыз және objId пайдаланушы нысан идентификаторымен және EP ресурс идентификаторы алдыңғы қадамдарда көшірілген enterprisepolicies ID: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Ортаның шифрлауын басқарыңыз

Ортаның шифрлауын басқару үшін сізге келесі рұқсат қажет:

• Microsoft Entra Power Platform және/немесе Dynamics 365 әкімшісі қауіпсіздік рөлі бар белсенді пайдаланушы.
• Microsoft Entra Power Platform немесе Dynamics 365 қызметінің әкімші рөлі бар пайдаланушы.

Кілт қоймасының әкімшісі Power Platform әкімшіге шифрлау кілті мен кәсіпорын саясаты жасалғанын хабарлайды және кәсіпорын саясатын Power Platform әкімшіге береді. Тұтынушы басқаратын кілтті қосу үшін Power Platform әкімші олардың орталарын кәсіпорын саясатына тағайындайды. Орта тағайындалып, сақталғаннан кейін Dataverse барлық орта деректерін орнату үшін шифрлау процесін бастайды және оны тұтынушы басқаратын кілтпен шифрлайды.

Басқарылатын ортаны кәсіпорын саясатына қосу үшін қосыңыз

1. Power Platform басқару орталығына кіріп, ортаны табыңыз.
2. Орталар тізімінен ортаны таңдап, тексеріңіз.
3. Әрекеттер тақтасындағы Enable Басқарылатын орталар белгішесін таңдаңыз.
4. Қосу параметрін таңдаңыз.

Деректерді шифрлау үшін кәсіпорын саясатына орта қосыңыз

Маңызды

Деректерді шифрлау үшін кәсіпорын саясатына қосылған кезде орта өшіріледі.

1. Power Platform басқару орталығына кіріп, Саясаттар>Кәсіпорын саясаттары бөліміне өтіңіз.
2. Саясатты таңдап, пәрмен жолағында Өңдеу пәрменін таңдаңыз.
3. Орталарды қосу таңдаңыз, қалаған ортаны таңдаңыз, содан кейін Жалғастыру таңдаңыз.
4. Сақтау таңдаңыз, содан кейін Растау таңдаңыз.

Маңызды

• Кәсіпорын саясатымен бір аймақтағы орталар ғана Орталарды қосу тізімінде көрсетіледі.
• Шифрлауды аяқтау үшін төрт күнге дейін кетуі мүмкін, бірақ орта Орталарды қосу операциясы аяқталмай тұрып қосылуы мүмкін.
• Операция аяқталмауы мүмкін және ол сәтсіз болса, деректеріңіз Microsoft басқарылатын кілтпен шифрлануын жалғастырады. Орталарды қосу операциясын қайта іске қосуға болады.

Ескертпе

Сіз тек Басқарылатын орталар ретінде қосылған орталарды қоса аласыз. Сынақ және командалар ортасының түрлерін кәсіпорын саясатына қосу мүмкін емес.

Microsoft басқарылатын кілтке оралу үшін орталарды саясаттан алып тастаңыз

Егер Microsoft басқарылатын шифрлау кілтіне оралғыңыз келсе, мына қадамдарды орындаңыз.

Маңызды

Орташа Microsoft басқарылатын кілт арқылы деректерді шифрлауды қайтару үшін кәсіпорын саясатынан жойылғанда, орта өшіріледі.

1. Power Platform басқару орталығына кіріп, Саясаттар>Кәсіпорын саясаттары бөліміне өтіңіз.
2. Саясаттары бар орта қойындысын таңдап, тұтынушы басқаратын кілттен жойғыңыз келетін ортаны табыңыз.
3. Барлық саясаттар қойындысын таңдап, қадам 2 ішінде расталған ортаны таңдаңыз, содан кейін Саясатты өңдеу қосулы опциясын таңдаңыз. пәрмен жолағы.
4. Пәрмендер жолағында Ортаны жою пәрменін таңдап, жойғыңыз келетін ортаны таңдаңыз, содан кейін Жалғастыру таңдаңыз.
5. Сақтау опциясын таңдаңыз.

Маңызды

Деректерді шифрлауды Microsoft басқарылатын кілтке қайтару үшін кәсіпорын саясатынан жойылған кезде орта өшіріледі. Кілтті жоймаңыз немесе өшірмеңіз, кілт қоймасын жоймаңыз немесе өшірмеңіз немесе кәсіпорын саясатының кілт қоймасына рұқсаттарын жоймаңыз. Кілт пен кілт қоймасының рұқсаты дерекқорды қалпына келтіруді қолдау үшін қажет. 30 күннен кейін кәсіпорын саясатының рұқсаттарын жоюға және жоюға болады.

Ортаның шифрлау күйін қарап шығыңыз

Кәсіпорын саясаттарынан шифрлау күйін қарап шығыңыз

1. Power Platform басқару орталығынакіріңіз.

2. Саясаттарды>Кәсіпорын саясаттарын таңдаңыз.

3. Саясатты таңдап, пәрмен жолағында Өңдеу пәрменін таңдаңыз.

4. Ортаның Шифрлау күйін осы саясатпен орталар бөлімінен қараңыз.

   Ескертпе

   Ортаның шифрлау күйі келесідей болуы мүмкін:

   • Шифрланған - Кәсіпорын саясатын шифрлау кілті белсенді және орта сіздің кілтіңізбен шифрланған.
   • Сәтсіз - Кәсіпорын саясатын шифрлау кілтін барлық Dataverse сақтау қызметтері пайдаланбайды. Оларды өңдеу үшін көбірек уақыт қажет және Орта қосу операциясын қайта іске қосуға болады. Қайта іске қосу сәтсіз болса, қолдау қызметіне хабарласыңыз.
   • Ескерту - Кәсіпорын саясатын шифрлау кілті белсенді және қызмет деректерінің бірі Microsoft басқарылатын кілтпен шифрлануын жалғастыруда. Қосымша мәліметтер: Power Automate CMK қолданбасының ескерту хабарлары

   Сәтсіз шифрлау күйі бар орта үшін Орта қосу опциясын қайта іске қосуға болады.

Environment History бетінен шифрлау күйін қарап шығыңыз

Сіз қоршаған орта тарихын көре аласыз.

1. Power Platform басқару орталығынакіріңіз.

2. Шарлау аумағында Орталар таңдап, тізімнен ортаны таңдаңыз.

3. Пәрмендер жолағында Тарихты таңдаңыз.

4. Тұтынушы басқаратын кілтті жаңарту журналын табыңыз.

   Ескертпе

   Шифрлау орындалып жатқанда Күй Орындалуды көрсетеді. Ол шифрлау аяқталған кезде Сәтті көрсетіледі. Күй Сәтсіз шифрлау кілтін қолдана алмайтын қызметтердің бірінде ақаулық болған кезде көрсетеді.

   A Сәтсіз күйі ескерту болуы мүмкін және <-ні қайта іске қосудың қажеті жоқ. /a57>Ортаны қосу опциясы. Оның ескерту екенін растай аласыз.

Жаңа кәсіпорын саясатымен және кілтімен ортаның шифрлау кілтін өзгертіңіз

Шифрлау кілтін өзгерту үшін жаңа кілт пен жаңа кәсіпорын саясатын жасаңыз. Содан кейін орталарды жою, содан кейін орталарды жаңа кәсіпорын саясатына қосу арқылы кәсіпорын саясатын өзгертуге болады. Жүйе жаңа кәсіпорын саясатына ауысқанда екі рет жұмыс істемейді - 1) шифрлауды Microsoft Басқарылатын кілтке қайтару және 2) жаңа кәсіпорын саясатын қолдану үшін.

Шайпұл

Шифрлау кілтін айналдыру үшін кілт қоймаларының Жаңа нұсқасы немесе Айналдыру саясатын орнатуды ұсынамыз.

1. Azure порталында жаңа кілт пен жаңа кәсіпорын саясатын жасаңыз. Қосымша ақпарат: Шифрлау кілтін жасау және рұқсат беру және Кәсіпорын саясатын жасау
2. Жаңа кілт пен кәсіпорын саясаты жасалғаннан кейін, Саясаттар>Кәсіпорын саясаттары бөліміне өтіңіз.
3. Саясаттары бар орта қойындысын таңдап, тұтынушы басқаратын кілттен жойғыңыз келетін ортаны табыңыз.
4. Барлық саясаттар қойындысын таңдап, қадам 2 ішінде расталған ортаны таңдаңыз, содан кейін Саясатты өңдеу қосулы опциясын таңдаңыз. пәрмен жолағы.
5. Пәрмендер жолағында Ортаны жою пәрменін таңдап, жойғыңыз келетін ортаны таңдаңыз, содан кейін Жалғастыру таңдаңыз.
6. Сақтау опциясын таңдаңыз.
7. Кәсіпорын саясатындағы барлық орталар жойылғанша 2-6 қадамдарды қайталаңыз.

Маңызды

Деректерді шифрлауды Microsoft басқарылатын кілтке қайтару үшін кәсіпорын саясатынан жойылған кезде орта өшіріледі. Кілтті жоймаңыз немесе өшірмеңіз, кілт қоймасын жоймаңыз немесе өшірмеңіз немесе кәсіпорын саясатының кілт қоймасына рұқсаттарын жоймаңыз. Кілт пен кілт қоймасының рұқсаты дерекқорды қалпына келтіруді қолдау үшін қажет. 30 күннен кейін кәсіпорын саясатының рұқсаттарын жоюға және жоюға болады.

1. Барлық орталар жойылғаннан кейін, Power Platform басқару орталығынан Кәсіпорын саясаттары бөліміне өтіңіз.
2. Жаңа кәсіпорын саясатын таңдап, Саясатты өңдеу таңдаңыз.
3. Орта қосу, қосқыңыз келетін орталарды таңдаңыз, содан кейін Жалғастыру таңдаңыз.

Маңызды

Жаңа кәсіпорын саясатына қосылғанда, орта өшіріледі.

Ортаның шифрлау кілтін жаңа кілт нұсқасымен айналдырыңыз

Жаңа кілт нұсқасын жасау арқылы ортаның шифрлау кілтін өзгертуге болады. Жаңа кілт нұсқасын жасаған кезде, жаңа кілт нұсқасы автоматты түрде қосылады. Барлық сақтау ресурстары жаңа кілт нұсқасын анықтайды және оны деректеріңізді шифрлау үшін қолдана бастайды.

Кілтті немесе кілт нұсқасын өзгерткен кезде, түбірлік шифрлау кілтінің қорғауы өзгереді, бірақ жадтағы деректер әрқашан кілтпен шифрланған күйде қалады. Деректеріңіздің қорғалуын қамтамасыз ету үшін сізден басқа әрекет қажет емес. Негізгі нұсқаны айналдыру өнімділікке әсер етпейді. Кілт нұсқасын айналдыруға байланысты тоқтау уақыты жоқ. Барлық ресурс провайдерлеріне жаңа кілт нұсқасын фондық режимде қолдану үшін 24 сағат кетуі мүмкін. Алдыңғы кілт нұсқасы өшірілмеуі керек себебі бұл қызмет оны қайта шифрлау және дерекқорды қалпына келтіруді қолдау үшін пайдалануы үшін қажет.

Жаңа кілт нұсқасын жасау арқылы шифрлау кілтін айналдыру үшін келесі қадамдарды пайдаланыңыз.

1. Azure порталына>Кілттер қоймаларына өтіңіз және жаңа кілт нұсқасын жасағыңыз келетін кілт қоймасын табыңыз.
2. Кілттер тармағына өтіңіз.
3. Ағымдағы, қосылған кілтті таңдаңыз.
4. + Жаңа нұсқа таңдаңыз.
5. Қосылған параметрінің әдепкі мәні Иә, бұл жаңа кілт нұсқасы жасалған кезде автоматты түрде қосылатынын білдіреді.
6. Жасау пәрменін таңдаңыз.

Шайпұл

Кілтті айналдыру саясатына сәйкес болу үшін шифрлау кілтін Айналдыру саясаты арқылы бұруға болады. Қазір бұру пәрменін шақыру арқылы айналдыру саясатын конфигурациялауға немесе сұраныс бойынша айналдыруға болады.

Маңызды

Жаңа кілт нұсқасы фондық режимде автоматты түрде бұрылады және Power Platform әкімші талап етпейді. Дерекқорды қалпына келтіруді қолдау үшін алдыңғы кілт нұсқасы кемінде 28 күн ішінде өшірілмеуі немесе жойылмауы маңызды. Алдыңғы кілт нұсқасын тым ерте өшіру немесе жою ортаңызды желіден тыс күйге түсіруі мүмкін.

Шифрланған орталар тізімін қараңыз

1. Power Platform басқару орталығына кіріп, Саясаттар>Кәсіпорын саясаттары бөліміне өтіңіз.
2. Кәсіпорын саясаттары бетінде Саясаттары бар орталар қойындысын таңдаңыз. Кәсіпорын саясаттарына қосылған орталар тізімі көрсетіледі.

Ескертпе

Орта күйі немесе Шифрлау күйі Сәтсіз болған жағдайлар болуы мүмкін. күй. Бұл орын алғанда, Орта қосу операциясын қайта іске қосып көруге немесе Microsoft Анықтама сұрауын жіберуге болады.

Орта дерекқорының операциялары

Тұтынушының жалға алушысында Microsoft басқарылатын кілт арқылы шифрланған орталар және тұтынушы басқаратын кілтпен шифрланған орталар болуы мүмкін. Деректердің тұтастығын және деректердің қорғалуын сақтау үшін, орта дерекқорының операцияларын басқару кезінде келесі басқару элементтері қолжетімді болады.

• Қалпына келтіру Қайта жазылатын орта (ортаға қалпына келтірілген) сақтық көшірме алынған ортамен немесе сол тұтынушы басқаратын кілтпен шифрланған басқа ортаға шектелген.

  

• Көшіру Қайта жазылатын орта (ортаға көшірілген) сол тұтынушы басқаратын кілтпен шифрланған басқа ортамен шектелген.

  

  Ескертпе

  Егер тұтынушы арқылы басқарылатын ортада қолдау мәселесін шешу үшін қолдауды зерттеу ортасы жасалынған болса, көшірме ортасы әрекеті орындалмас бұрын қолдауды зерттеу ортасына арналған шифрлау кілті тұтынушы арқылы басқарылатын кілтке өзгертілуі керек.

• Қалпына келтіру Ортаның шифрланған деректері, соның ішінде сақтық көшірмелер де жойылады. Ортаны қалпына келтіргеннен кейін, орта шифрлауы Microsoft басқарылатын кілтке қайта оралады.

Келесі қадамдар

Azure Key Vault туралы