고객 관리형 암호화 키 관리

고객은 미사용 데이터를 암호화하여 데이터를 보호하기 위한 데이터 프라이버시 및 규정 준수 요구 사항이 있습니다. 이는 데이터베이스 사본이 도난당한 경우 데이터가 노출되지 않도록 보호합니다. 미사용 데이터 암호화를 사용하면 도난당한 데이터베이스 데이터가 암호화 키 없이 다른 서버로 복원되지 않도록 보호됩니다.

Power Platform에 저장된 모든 고객 데이터는 기본적으로 강력한 Microsoft 관리형 암호화 키로 암호화됩니다. Microsoft는 모든 데이터에 대한 데이터베이스 암호화 키를 저장하고 관리하므로 사용자는 그럴 필요가 없습니다. 그러나 Power Platform은 Microsoft Dataverse 환경과 연결된 데이터베이스 암호화 키를 자체 관리할 수 있는 추가 데이터 보호 제어를 위해 이 고객 관리형 암호화 키(CMK)를 제공합니다. 이를 통해 필요에 따라 암호화 키를 교체하거나 교환할 수 있으며 언제든지 서비스에 대한 키 액세스를 취소할 때 고객 데이터에 대한 Microsoft의 액세스를 방지할 수 있습니다.

Power Platform의 고객 관리형 키에 대해 자세히 알아보려면 고객 관리형 키 비디오를 시청하십시오.

이러한 암호화 키 작업은 고객 관리형 키(CMK)와 함께 사용할 수 있습니다.

  • Azure Key Vault에서 RSA(RSA-HSM) 키를 만듭니다.
  • 키에 대한 Power Platform 엔터프라이즈 정책을 만듭니다.
  • 키 자격 증명 모음에 액세스할 수 있는 Power Platform 엔터프라이즈 정책 권한을 부여합니다.
  • 엔터프라이즈 정책을 읽을 수 있도록 Power Platform 서비스 관리자를 부여합니다.
  • 환경에 암호화 키를 적용합니다.
  • 환경의 CMK 암호화를 Microsoft 관리형 키로 되돌리거나 제거합니다.
  • 새 엔터프라이즈 정책을 생성하고 CMK에서 환경을 제거하여 키를 변경하고 새 엔터프라이즈 정책으로 CMK를 다시 적용합니다.
  • CMK 키 자격 증명 모음 및/또는 키 권한을 취소하여 CMK 환경을 잠급니다.
  • CMK 키를 적용하여 BYOK(bring-your-own-key) 환경을 CMK로 마이그레이션합니다.

현재 다음 앱 및 서비스에 저장된 모든 고객 데이터만 고객 관리형 키로 암호화할 수 있습니다.

  • Dataverse (맞춤형 솔루션 및 Microsoft 서비스)
  • Power Automate1
  • Dynamics 365용 채팅
  • Dynamics 365 Sales
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Finance(금융 및 운영)
  • Dynamics 365 Intelligent Order Management(금융 및 운영)
  • Dynamics 365 Project Operations(금융 및 운영)
  • Dynamics 365 Supply Chain Management(금융 및 운영)
  • Dynamics 365 Fraud Protection(금융 및 운영)

1 기존 Power Automate 흐름이 있는 환경에 고객 관리 키를 적용하면 흐름 데이터가 Microsoft 관리형 키로 계속 암호화됩니다. 추가 정보: Power Automate 고객 관리형 키.

노트

Nuance Conversational IVR은 고객 관리형 키 암호화에서 제외됩니다.

Power AppsPower Virtual Agent는 데이터를 자체 스토리지와 Microsoft Dataverse에 저장합니다. 이러한 환경에 고객 관리 키를 적용하면 Microsoft Dataverse의 데이터 스토리지만 키로 암호화됩니다. Power Apps 소스 코드 및 캔버스 앱 아이콘을 포함한 비 Microsoft Dataverse 데이터는 Microsoft 관리형 키를 사용하여 계속 암호화됩니다.

노트

커넥터에 대한 연결 설정은 Microsoft 관리형 키로 계속 암호화됩니다.

고객 관리형 키 지원에 대한 정보는 위에 나열되지 않은 서비스는 담당자에게 문의하십시오.

Power Platform 통합이 활성화된 재무 및 운영 앱이 있는 환경도 암호화할 수 있습니다. Power Platform 통합이 없는 금융 및 운영 환경은 계속해서 기본 Microsoft 관리형 키를 사용하여 데이터를 암호화합니다. 추가 정보: 금융 및 운영 앱의 암호화

Power Platform의 고객 관리형 암호화 키

고객 관리형 암호화 키 소개

고객 관리형 키를 사용하여 관리자는 자체 Azure Key Vault에서 Power Platform 스토리지 서비스로 자체 암호화 키를 제공하여 고객 데이터를 암호화할 수 있습니다. Microsoft는 Azure Key Vault에 직접 액세스할 수 없습니다. Power Platform 서비스가 Azure Key Vault에서 암호화 키에 액세스하기 위해 관리자는 암호화 키를 참조하고 Azure Key Vault에서 키를 읽을 수 있는 이 엔터프라이즈 정책 액세스 권한을 부여하는 Power Platform 엔터프라이즈 정책을 만듭니다.

그런 다음 Power Platform 서비스 관리자는 엔터프라이즈 정책에 Dataverse 환경을 추가하여 암호화 키로 환경의 모든 고객 데이터 암호화를 시작할 수 있습니다. 관리자는 다른 엔터프라이즈 정책을 생성하여 환경의 암호화 키를 변경하고 환경을 제거한 후 새 엔터프라이즈 정책에 추가할 수 있습니다. 고객 관리형 키를 사용하여 환경을 더 이상 암호화할 필요가 없는 경우 관리자는 엔터프라이즈 정책에서 Dataverse 환경을 제거하여 데이터 암호화를 다시 Microsoft 관리형 키로 되돌릴 수 있습니다.

관리자는 엔터프라이즈 정책에서 키 액세스를 취소하여 고객 관리형 키 환경을 잠그고 키 액세스를 복원하여 환경을 잠금 해제할 수 있습니다. 추가 정보: 키 자격 증명 모음 및/또는 키 권한 액세스를 취소하여 환경 잠금

주요 관리 작업을 단순화하기 위해 작업은 세 가지 주요 영역으로 나뉩니다.

  1. 암호화 키 만들기.
  2. 엔터프라이즈 정책을 생성하고 액세스 권한 부여.
  3. 환경의 암호화 관리.

경고

환경이 잠기면 Microsoft 지원을 포함하여 누구도 액세스할 수 없습니다. 잠긴 환경은 비활성화되고 데이터 손실이 발생할 수 있습니다.

고객 관리형 키에 대한 라이선스 요구 사항

고객 관리형 키 정책은 관리 환경에 대해 활성화된 환경에서만 적용됩니다. 관리형 환경은 프리미엄 사용 권한을 부여하는 독립 실행형 Power Apps, Power Automate, Power Virtual Agents, Power Pages 및 Dynamics 365 라이선스에 권한으로 포함됩니다. Microsoft Power Platform용 라이선싱 개요와 함께 관리형 환경 라이선싱에 대해 자세히 알아보십시오.

또한 Microsoft Power Platform 및 Dynamics 365용 고객 관리형 키를 사용하려면 암호화 키 정책이 적용되는 환경의 사용자가 다음 구독 중 하나를 보유해야 합니다.

  • Microsoft 365 또는 Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 준수
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 A5/E5/F5/G5 Information Protection 및 거버넌스
  • Microsoft 365 A5/E5/F5/G5 내부 위험 관리

해당 라이선스에 대한 자세한 정보

키를 관리할 때 발생할 수 있는 위험 이해

모든 비즈니스 크리티컬 애플리케이션에서와 마찬가지로 관리자 수준의 액세스 권한이 있는 조직 내의 직원은 신뢰할 수 있어야 합니다. 키 관리 기능을 사용하기 전에 데이터베이스 암호화 키를 관리하는 경우 잠재적인 위험에 대해 이해해야 합니다. 조직 내에서 일하고 있는 악의적인 관리자(조직의 보안 또는 비즈니스 프로세스를 손상시킬 의도가 있는 관리자 수준의 액세스 권한을 부여 받은 사용자)가 키 관리 기능을 사용하여 키를 만들고 해당 테넌트의 환경을 잠글 수도 있습니다.

다음 단계로 과정이 일어날 수 있습니다.

악의적인 키 자격 증명 모음 관리자는 Azure Portal에서 키와 엔터프라이즈 정책을 만듭니다. Azure Key Vault 관리자는 Power Platform 관리 센터로 이동하여 엔터프라이즈 정책에 환경을 추가합니다. 그런 다음 악의적인 관리자는 Azure Portal로 돌아가 엔터프라이즈 정책에 대한 키 액세스를 취소하여 모든 환경을 잠급니다. 이로 인해 모든 환경에 액세스할 수 없게 되어 비즈니스 중단이 발생하고 이 이벤트가 해결되지 않으면 즉, 키 액세스가 복원되면 환경 데이터가 손실될 수 있습니다.

노트

  • Azure Key Vault에는 일시 삭제제거 보호 키 자격 증명 모음 설정을 활성화해야 하는 키 복원을 지원하는 기본 제공 안전 장치가 있습니다.
  • 고려해야 할 또 다른 안전 장치는 Azure Key Vault 관리자에게 Power Platform 관리 센터에 대한 액세스 권한이 부여되지 않은 작업이 분리되어 있는지 확인하는 것입니다.

위험을 완화하기 위한 의무 분리

이 섹션에서는 각 관리자 역할이 담당하는 고객 관리형 키 기능 의무에 대해 설명합니다. 이러한 작업을 분리하면 고객 관리형 키와 관련된 위험을 완화하는 데 도움이 됩니다.

Azure Key Vault 및 Power Platform/Dynamics 365 서비스 관리 작업

고객 관리형 키를 사용하려면 먼저 키 자격 증명 모음 관리자가 Azure Key Vault에 키를 만들고 Power Platform 엔터프라이즈 정책을 만듭니다. 엔터프라이즈 정책이 생성되면 특별한 Microsoft Entra ID 관리 ID가 생성됩니다. 그런 다음 키 자격 증명 모음 관리자는 Azure Key Vault로 돌아가 엔터프라이즈 정책/관리 ID에 암호화 키에 대한 액세스 권한을 부여합니다.

그런 다음 키 자격 증명 모음 관리자는 각 Power Platform/Dynamics 365 서비스 관리자에게 엔터프라이즈 정책에 대한 읽기 액세스 권한을 부여합니다. 읽기 권한이 부여되면 Power Platform/Dynamics 365 서비스 관리자는 Power Platform 관리 센터로 이동하여 엔터프라이즈 정책에 환경을 추가할 수 있습니다. 추가된 모든 환경 고객 데이터는 이 엔터프라이즈 정책에 연결된 고객 관리형 키로 암호화됩니다.

전제 조건
  • Azure Key Vault 또는 Azure Key Vault 관리형 하드웨어 보안 모듈(프리뷰)을 포함하는 Azure 구독.
  • Microsoft Entra 구독에 대한 기여자 권한과 Azure Key Vault 및 키를 생성할 수 있는 권한이 있는 전역 테넌트 관리자 또는 Microsoft Entra ID입니다. 이는 키 자격 증명 모음을 설정하는 데 필요합니다.
Azure Key Vault를 사용하여 키를 만들고 액세스 권한 부여

Azure Key Vault 관리자는 Azure에서 이러한 작업을 수행합니다.

  1. Azure 유료 구독 및 Key Vault를 만듭니다. Azure Key Vault를 포함하는 구독이 이미 있는 경우 이 단계를 무시하세요.
  2. Azure Key Vault 서비스로 이동하고 키를 만듭니다. 추가 정보: 키 자격 증명 모음에서 키 만들기
  3. Azure 구독에 대해 Power Platform 엔터프라이즈 정책 서비스를 활성화합니다. 이 작업은 한 번만 수행하십시오. 추가 정보: Azure 구독에 대해 Power Platform 엔터프라이즈 정책 서비스 활성화
  4. Power Platform 엔터프라이즈 정책을 만듭니다. 추가 정보: 엔터프라이즈 정책 만들기
  5. 키 자격 증명 모음에 액세스할 수 있는 엔터프라이즈 정책 권한을 부여합니다. 추가 정보: 키 자격 증명 모음에 액세스할 수 있는 엔터프라이즈 정책 권한 부여
  6. Power Platform 및 Dynamics 365 관리자에게 엔터프라이즈 정책을 읽을 수 있는 권한을 부여합니다. 추가 정보: 엔터프라이즈 정책을 읽을 수 있는 Power Platform 관리자 권한 부여

Power Platform/Dynamics 365 서비스 관리자 Power Platform 관리 센터 작업

전제 조건
  • Power Platform 관리자는 Power Platform 또는 Dynamics 365 서비스 관리자 Microsoft Entra 역할에 할당되어야 합니다.
Power Platform 관리 센터에서 환경 암호화 관리

Power Platform 관리자는 Power Platform 관리 센터에서 환경과 관련된 고객 관리형 키 작업을 관리합니다.

  1. Power Platform 환경을 엔터프라이즈 정책에 추가하여 고객 관리형 키로 데이터를 암호화합니다. 추가 정보: 데이터 암호화를 위해 엔터프라이즈 정책에 환경 추가
  2. 암호화를 Microsoft 관리형 키로 되돌리려면 엔터프라이즈 정책에서 환경을 제거하세요. 추가 정보: Microsoft 관리형 키로 되돌리기 위해 정책에서 환경 제거
  3. 이전 엔터프라이즈 정책에서 환경을 제거하고 새 엔터프라이즈 정책에 환경을 추가하여 키를 변경하십시오. 추가 정보: 암호화 키 생성 및 액세스 권한 부여
  4. BYOK에서 마이그레이션합니다. 이전 자체 관리형 암호화 키 기능을 사용하는 경우 키를 고객 관리형 키로 마이그레이션할 수 있습니다. 추가 정보: Bring-Your-Own-Key 환경을 고객 관리형 키로 마이그레이션

암호화 키 생성 및 액세스 권한 부여

Azure 유료 구독 및 키 자격 증명 모음 만들기

Azure에서 다음 단계를 수행합니다.

  1. 용량제(Pay As You Go) 또는 이에 상응하는 Azure 구독을 만듭니다. 테넌트에 이미 구독이 있는 경우 이 단계는 필요하지 않습니다.
  2. 리소스 그룹을 만듭니다. 추가 정보: 리소스 그룹 만들기
  3. 이전 단계에서 만든 리소스 그룹과 함께 일시 삭제 및 제거 보호를 포함하는 유료 구독을 사용하여 키 자격 증명 모음을 만듭니다.

    중요

키 자격 증명 모음에서 키 만들기

  1. 전제 조건을 충족했는지 확인하십시오.

  2. Azure Portal>Key Vault 로 이동하여 암호화 키를 생성할 키 자격 증명 모음을 찾습니다.

  3. Azure Key Vault 설정을 확인합니다.

    1. 설정에서 속성을 선택합니다.
    2. 일시 삭제에서 일시 삭제가 이 키 자격 증명 모음에서 활성화됨 옵션으로 설정되어 있는지 확인하거나 설정합니다.
    3. 제거 보호에서 제거 보호 활성화(삭제된 자격 증명 모음 및 자격 증명 모음 개체에 필수 보존 기간 적용)가 활성화되어 있는지 확인하거나 설정합니다.
    4. 변경한 경우 저장을 선택합니다.

    키 자격 증명 모음에서 제거 보호 활성화

RSA 키 만들기
  1. 다음 속성이 있는 키를 만들거나 가져옵니다.
    1. Key Vault 속성 페이지에서 를 선택합니다.
    2. 생성/가져오기를 선택합니다.
    3. 키 만들기 화면에서 다음 값을 설정한 후 만들기를 선택합니다.
      • 옵션: 생성
      • 이름: 키 이름 제공
      • 키 유형: RSA
      • RSA 키 크기: 2048

HSM(하드웨어 보안 모듈)용 보호 키 가져오기

HSM(하드웨어 보안 모듈)용 보호 키를 사용하여 Power Platform Dataverse 환경을 암호화합니다. 엔터프라이즈 정책을 만들 수 있도록 HSM 보호 키를 키 자격 증명 모음으로 가져와야 합니다. 자세한 내용은 지원되는 HSM HSM 보호 키를 Key Vault(BYOK)로 가져오기를 참조하십시오.

Azure Key Vault 관리형 HSM에서 키 만들기(프리뷰)

Azure Key Vault 관리형 HSM에서 생성된 암호화 키를 사용하여 환경 데이터를 암호화할 수 있습니다. 이는 FIPS 140-2 레벨 3 지원을 제공합니다.

RSA-HSM 키 만들기
  1. 전제 조건을 충족했는지 확인하십시오.

  2. Azure Portal로 이동합니다.

  3. 관리형 HSM 만들기:

    1. 관리형 HSM 프로비저닝.
    2. 관리형 HSM 활성화.
  4. 관리형 HSM에서 제거 보호를 활성화합니다.

  5. 관리형 HSM 키 자격 증명 모음을 만든 사람에게 관리형 HSM 암호화 사용자 역할을 부여합니다.

    1. Azure Portal에서 관리형 HSM 키 자격 증명 모음에 액세스합니다.
    2. 로컬 RBAC로 이동하여 + 추가를 선택합니다.
    3. 역할 드롭다운 목록의 역할 할당 페이지에서 관리형 HSM 암호화 사용자 역할을 선택합니다.
    4. 범위에서 모든 키를 선택합니다.
    5. 보안 주체 선택을 선택한 다음 주체 추가 페이지에서 관리자를 선택합니다.
    6. 만들기를 선택합니다.
  6. RSA-HSM 키 만들기:

    • 옵션: 생성
    • 이름: 키 이름 제공
    • 키 유형: RSA-HSM
    • RSA 키 크기: 2048

    노트

    지원되는 RSA-HSM 키 크기: 2048비트, 3072비트, 4096비트.

프라이빗 엔드포인트를 활성화하여 Azure Key Vault의 네트워킹을 업데이트하고 키 자격 증명 모음의 키를 사용하여 Power Platform 환경을 암호화할 수 있습니다.

새 키 자격 증명 모음을 생성하고 프라이빗 링크 연결을 설정하거나 기존 키 자격 증명 모음에 대한 프라이빗 링크 연결을 설정하고 이 키 자격 증명 모음에서 키를 생성하고 이를 사용하여 환경을 암호화할 수 있습니다. 이미 키를 생성한 후 기존 키 자격 증명 모음에 대한 프라이빗 링크 연결을 설정하고 이를 사용하여 환경을 암호화할 수도 있습니다.

  1. 다음 옵션을 사용하여 Azure Key Vault를 만듭니다.

    • 제거 보호 활성화
    • 키 유형: RSA
    • 키 사이즈: 2048
  2. 엔터프라이즈 정책을 만드는 데 사용할 키 자격 증명 모음 URL과 암호화 키 URL을 복사합니다.

    노트

    프라이빗 엔드포인트를 키 자격 증명 모음에 추가하거나 공용 액세스 네트워크를 비활성화하면 적절한 권한이 없으면 키를 볼 수 없습니다.

  3. 가상 네트워크를 만듭니다.

  4. 키 자격 증명 모음으로 돌아가서 Azure 키 자격 증명 모음에 프라이빗 엔드포인트 연결을 추가합니다.

    노트

    공용 액세스 비활성화 네트워킹 옵션을 선택하고 신뢰할 수 있는 Microsoft 서비스가 이 방화벽을 우회하도록 허용 예외를 활성화해야 합니다.

  5. Power Platform 엔터프라이즈 정책을 만듭니다. 추가 정보: 엔터프라이즈 정책 만들기

  6. 키 자격 증명 모음에 액세스할 수 있는 엔터프라이즈 정책 권한을 부여합니다. 추가 정보: 키 자격 증명 모음에 액세스할 수 있는 엔터프라이즈 정책 권한 부여

  7. Power Platform 및 Dynamics 365 관리자에게 엔터프라이즈 정책을 읽을 수 있는 권한을 부여합니다. 추가 정보: 엔터프라이즈 정책을 읽을 수 있는 Power Platform 관리자 권한 부여

  8. Power Platform 관리 센터 관리자는 관리 환경을 암호화하고 활성화할 환경을 선택합니다. 추가 정보: 엔터프라이즈 정책에 추가할 관리형 환경 활성화

  9. Power Platform 관리 센터 관리자는 엔터프라이즈 정책에 관리형 환경을 추가합니다. 추가 정보: 데이터 암호화를 위해 엔터프라이즈 정책에 환경 추가

Azure 구독에 대해 Power Platform 엔터프라이즈 정책 서비스 활성화

Power Platform을 리소스 공급자로 등록합니다. Azure Key Vault가 있는 각 Azure 구독에 대해 이 작업을 한 번만 수행하면 됩니다. 리소스 공급자를 등록하려면 구독에 대한 액세스 권한이 있어야 합니다.

  1. Azure Portal에 로그인하고 구독>리소스 공급자로 이동합니다.
  2. 리소스 공급자 목록에서 Microsoft.PowerPlatform을 검색하고 등록합니다.

엔터프라이즈 정책 만들기

  1. PowerShell MSI를 설치합니다. 추가 정보: Windows, Linux 및 macOS에 PowerShell 설치
  2. PowerShell MSI가 설치된 후 Azure에서 사용자 지정 템플릿 배포로 돌아갑니다.
  3. 편집기에서 나만의 템플릿 만들기 링크를 선택합니다.
  4. 메모장과 같은 텍스트 편집기에 JSON 템플릿을 복사합니다. 추가 정보: 엔터프라이즈 정책 json 템플릿
  5. EnterprisePolicyName, EnterprisePolicy를 생성해야 하는 위치, keyVaultIdkeyName에 대한 JSON 템플릿의 값을 바꿉니다. 추가 정보: json 템플릿에 대한 필드 정의
  6. 텍스트 편집기에서 업데이트된 템플릿을 복사한 다음 Azure에서 사용자 지정 배포템플릿 편집에 붙여넣고 저장을 선택합니다. Azure Key Vault 템플릿
  7. 엔터프라이즈 정책을 생성할 구독리소스 그룹을 선택합니다.
  8. 검토 + 만들기를 선택한 다음 만들기를 선택합니다.

배포가 시작됩니다. 완료되면 엔터프라이즈 정책이 생성됩니다.

엔터프라이즈 정책 json 템플릿

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON 템플릿의 필드 정의

  • 이름. 엔터프라이즈 정책의 이름입니다. Power Platform 관리 센터에 표시되는 정책의 이름입니다.

  • 위치. 다음 중 하나입니다. 이것은 엔터프라이즈 정책의 위치이며 Dataverse 환경의 지역과 일치해야 합니다.

    • "unitedstates"
    • "southafrica"
    • "switzerland”
    • "germany"
    • "unitedarabemirates"
    • "france"
    • "uk”
    • "japan"
    • "india"
    • "canada"
    • "southamerica"
    • "europe"
    • "asia"
    • "australia"
    • "korea"
    • "norway"
    • "singapore"
  • Azure Portal의 키 자격 증명 모음 속성에서 다음 값을 복사합니다.

    • keyVaultId : 키 자격 증명 모음>으로 이동하여 키 자격 증명 모음 >개요를 선택합니다. Essentials 옆에서 JSON 보기를 선택합니다. 리소스 ID를 클립보드에 복사하고 전체 콘텐츠를 JSON 템플릿에 붙여넣습니다.
    • keyName : 키 자격 증명 모음>으로 이동하여 키 자격 증명 모음 >를 선택합니다. 키 이름을 확인하고 이름을 JSON 템플릿에 입력합니다.

키 자격 증명 모음에 액세스할 수 있는 엔터프라이즈 정책 권한 부여

엔터프라이즈 정책이 생성되면 키 자격 증명 모음 관리자는 엔터프라이즈 정책의 관리 ID에 암호화 키에 대한 액세스 권한을 부여합니다.

  1. Azure portal에 로그인하고 키 자격 증명 모음으로 이동합니다.
  2. 엔터프라이즈 정책에 키가 할당된 키 자격 증명 모음을 선택합니다.
  3. 액세스 제어(IAM) 탭을 선택한 다음, + 추가를 선택합니다.
  4. 드롭다운 목록에서 역할 할당 추가를 선택하고,
  5. Key Vault Crypto Service Encryption User를 검색하여 선택합니다.
  6. 다음을 선택합니다.
  7. + 구성원 선택을 선택합니다.
  8. 생성한 엔터프라이즈 정책을 검색합니다.
  9. 엔터프라이즈 정책을 선택한 다음 선택을 선택합니다.
  10. 검토 + 할당을 선택합니다.

노트

위의 권한 설정은 Azure 역할 기반 액세스 제어의 키 자격 증명 모음 권한 모델을 기반으로 합니다. 키 자격 증명 모음이 Vault 액세스 정책으로 설정된 경우 역할 기반 모델로 마이그레이션하는 것이 좋습니다. Vault 액세스 정책을 사용하여 키 자격 증명 모음에 대한 엔터프라이즈 정책 액세스 권한을 부여하려면 액세스 정책을 생성하고 키 관리 작업에서 가져오기를 선택하고 암호화 작업에서 키 언래핑키 래핑을 선택합니다.

엔터프라이즈 정책을 읽을 수 있는 Power Platform 관리자 권한 부여

Azure 전역, Dynamics 365 및 Power Platform 관리 역할이 있는 관리자는 Power Platform 관리 센터에 액세스하여 엔터프라이즈 정책에 환경을 할당할 수 있습니다. 엔터프라이즈 정책에 액세스하려면 Azure Key Vault 액세스 권한이 있는 전역 관리자가 Power Platform 관리자에게 리더 역할을 부여해야 합니다. 리더 역할이 부여되면 Power Platform 관리자는 Power Platform 관리 센터에서 엔터프라이즈 정책을 볼 수 있습니다.

노트

엔터프라이즈 정책에 대한 독자 역할이 부여된 Power Platform 및 Dynamics 365 관리자만 정책에 환경을 추가할 수 있습니다. 다른 Power Platform 또는 Dynamics 365 관리자는 엔터프라이즈 정책을 볼 수 있지만 정책에 환경 추가를 시도하면 오류가 발생합니다.

Power Platform 관리자에게 리더 역할 부여

  1. Azure Portal에 로그인합니다.
  2. Power Platform 또는 Dynamics 365 관리자의 개체 ID를 복사합니다. 방법:
    1. Azure에서 사용자 영역으로 이동합니다.
    2. 모든 사용자 목록에서 사용자 검색을 사용하여 Power Platform 또는 Dynamics 365 관리자 권한이 있는 사용자를 찾습니다.
    3. 사용자 레코드를 열고 개요 탭에서 사용자의 객체 ID를 복사합니다. 나중에 메모장과 같은 텍스트 편집기에 붙여넣으십시오.
  3. 엔터프라이즈 정책 리소스 ID를 복사합니다. 방법:
    1. Azure에서 Resource Graph Explorer로 이동합니다.
    2. 검색 상자에 microsoft.powerplatform/enterprisepolicies를 입력한 다음 microsoft.powerplatform/enterprisepolicies 리소스를 선택합니다.
    3. 명령 모음에서 쿼리 실행을 선택합니다. 모든 Power Platform 엔터프라이즈 정책 목록이 표시됩니다.
    4. 액세스 권한을 부여할 엔터프라이즈 정책을 찾습니다.
    5. 엔터프라이즈 정책의 오른쪽으로 스크롤하여 자세히 보기를 선택합니다.
    6. 세부 정보 페이지에서 ID를 복사합니다.
  4. Azure Cloud Shell을 시작하고 objId를 사용자의 개체 ID로 바꾸고 EP 리소스 ID를 이전 단계에서 복사한 enterprisepolicies ID로 바꾸는 명령 New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}을 실행합니다

환경의 암호화 관리

환경의 암호화를 관리하려면 다음 권한이 필요합니다.

  • Power Platform 및/또는 Dynamics 365 관리자 보안 역할이 있는 Microsoft Entra 활성 사용자.
  • 전역 테넌트 관리자, Power Platform 또는 Dynamics 365 서비스 관리자 역할이 있는 Microsoft Entra 사용자.

키 자격 증명 모음 관리자는 Power Platform 관리자에게 암호화 키와 엔터프라이즈 정책이 생성되었음을 알리고 엔터프라이즈 정책을 Power Platform 관리자에게 제공합니다. 고객 관리형 키를 활성화하기 위해 Power Platform 관리자는 환경을 엔터프라이즈 정책에 할당합니다. 환경이 할당되고 저장되면 Dataverse는 암호화 프로세스를 시작하여 모든 환경 데이터를 설정하고 고객 관리형 키로 암호화합니다.

엔터프라이즈 정책에 추가할 관리형 환경 활성화

  1. Power Platform 관리 센터에 로그인 후 환경을 찾습니다.
  2. 환경 목록에서 환경을 선택하여 확인합니다.
  3. 작업 표시줄에서 관리형 환경 활성화 아이콘을 선택합니다.
  4. 사용을 선택합니다.

데이터 암호화를 위해 엔터프라이즈 정책에 환경 추가

중요

데이터 암호화를 위한 엔터프라이즈 정책에 환경이 추가되면 환경이 비활성화됩니다.

  1. Power Platform 관리 센터에 로그인하고 정책>엔터프라이즈 정책으로 이동합니다.
  2. 정책을 선택한 다음 명령 모음에서 편집을 선택합니다.
  3. 환경 추가를 선택하고 원하는 환경을 선택한 후 계속을 선택합니다. Power Platform 관리 센터의 엔터프라이즈 정책에 환경 추가
  4. 저장을 선택하고 확인을 선택합니다.

중요

  • 엔터프라이즈 정책과 동일한 지역에 있는 환경만 환경 추가 목록에 표시됩니다.
  • 암호화가 완료되는 데 최대 4일이 걸릴 수 있지만 환경 추가 작업이 완료되기 전에 환경이 활성화될 수 있습니다.
  • 작업이 완료되지 않을 수 있으며, 실패할 경우 데이터는 Microsoft 관리형 키를 사용하여 계속 암호화됩니다. 환경 추가 작업을 다시 실행할 수 있습니다.

노트

관리형 환경으로 활성화된 환경만 추가할 수 있습니다. 평가판 및 Teams 환경 유형은 엔터프라이즈 정책에 추가할 수 없습니다.

정책에서 환경을 제거하여 Microsoft 관리형 키로 되돌리기

Microsoft 관리형 암호화 키로 돌아가려면 다음 단계를 따르십시오.

중요

Microsoft 관리형 키를 사용하여 데이터 암호화를 반환하도록 엔터프라이즈 정책에서 환경을 제거하면 환경이 비활성화됩니다.

  1. Power Platform 관리 센터에 로그인하고 정책>엔터프라이즈 정책으로 이동합니다.
  2. 정책이 있는 환경 탭을 선택한 다음 고객 관리형 키에서 제거할 환경을 찾습니다.
  3. 모든 정책 탭을 선택하고 2단계에서 확인한 환경을 선택한 후 명령 모음에서 정책 편집을 선택합니다. 고객 관리형 키에서 환경 제거
  4. 명령 모음에서 환경 제거를 선택하고 제거할 환경을 선택한 다음 계속을 선택합니다.
  5. 저장을 선택합니다.

중요

데이터 암호화를 Microsoft 관리형 키로 되돌리기 위해 엔터프라이즈 정책에서 환경을 제거하면 환경이 비활성화됩니다. 키를 삭제 또는 비활성화하거나, 키 자격 증명 모음을 삭제 또는 비활성화하거나, 키 자격 증명 모음에 대한 엔터프라이즈 정책의 권한을 제거하지 마십시오. 데이터베이스 복원을 지원하려면 키 및 키 자격 증명 모음의 액세스가 필요합니다. 30일 후에 엔터프라이즈 정책의 권한을 삭제하고 제거할 수 있습니다.

새로운 엔터프라이즈 정책 및 키로 환경의 암호화 키 변경

암호화 키를 교체하려면 새 키와 새 엔터프라이즈 정책을 만듭니다. 그런 다음 환경을 제거한 다음 새 엔터프라이즈 정책에 환경을 추가하여 엔터프라이즈 정책을 변경할 수 있습니다.

노트

이제 새 키 버전을 사용하고 순환 정책을 설정하여 암호화 키를 교체하는 것이 지원됩니다.

  1. Azure Portal에서 새 키와 새 엔터프라이즈 정책을 만듭니다. 추가 정보: 암호화 키 생성 및 액세스 권한 부여엔터프라이즈 정책 만들기
  2. 새 키 및 엔터프라이즈 정책이 생성되면 정책>엔터프라이즈 정책으로 이동합니다.
  3. 정책이 있는 환경 탭을 선택한 다음 고객 관리형 키에서 제거할 환경을 찾습니다.
  4. 모든 정책 탭을 선택하고 2단계에서 확인한 환경을 선택한 후 명령 모음에서 정책 편집을 선택합니다. 고객 관리형 키에서 환경 제거
  5. 명령 모음에서 환경 제거를 선택하고 제거할 환경을 선택한 다음 계속을 선택합니다.
  6. 저장을 선택합니다.
  7. 엔터프라이즈 정책의 모든 환경이 제거될 때까지 2-6단계를 반복합니다.

중요

데이터 암호화를 Microsoft 관리형 키로 되돌리기 위해 엔터프라이즈 정책에서 환경을 제거하면 환경이 비활성화됩니다. 키를 삭제 또는 비활성화하거나, 키 자격 증명 모음을 삭제 또는 비활성화하거나, 키 자격 증명 모음에 대한 엔터프라이즈 정책의 권한을 제거하지 마십시오. 데이터베이스 복원을 지원하려면 키 및 키 자격 증명 모음의 액세스가 필요합니다. 30일 후에 엔터프라이즈 정책의 권한을 삭제하고 제거할 수 있습니다.

  1. 모든 환경이 제거되면 Power Platform 관리 센터에서 엔터프라이즈 정책으로 이동합니다.
  2. 새 엔터프라이즈 정책을 선택한 다음 정책 편집을 선택합니다.
  3. 환경 추가를 선택하고 추가하려는 환경을 선택한 후 계속을 선택합니다.

중요

새 엔터프라이즈 정책에 환경이 추가되면 환경이 비활성화됩니다.

새 키 버전으로 환경의 암호화 키 변경

새 키 버전을 생성하여 환경의 암호화 키를 변경할 수 있습니다. 새 키 버전을 생성하면 새 키 버전이 자동으로 활성화됩니다. 모든 스토리지 리소스는 새 키 버전을 감지하고 이를 적용하여 데이터를 암호화하기 시작합니다.

키 또는 키 버전을 수정하면 루트 암호화 키의 보호가 변경되지만 스토리지의 데이터는 항상 키로 암호화된 상태로 유지됩니다. 데이터를 보호하기 위해 취해야 할 추가 조치는 없습니다. 키 버전을 순환해도 성능에는 영향이 없습니다. 키 버전 순환과 관련된 가동 중지 시간은 없습니다. 모든 리소스 공급자가 백그라운드에서 새 키 버전을 적용하는 데 24시간이 걸릴 수 있습니다. 서비스에서 재암호화 및 데이터베이스 복원 지원을 위해 이전 키 버전을 사용하는 데 필요하므로 이전 키 버전을 비활성화해서는 안 됩니다.

새 키 버전을 생성하여 암호화 키를 순환하려면 다음 단계를 따르세요.

  1. Azure Portal>Key Vaults로 이동하여 새 키 버전을 만들려는 키 자격 증명 모음을 찾습니다.
  2. 로 이동합니다.
  3. 현재 활성화된 키를 선택합니다.
  4. + 새 버전을 선택합니다.
  5. 활성화됨 설정의 기본값은 이며 이는 새 키 버전이 생성 시 자동으로 활성화된다는 의미입니다.
  6. 만들기를 선택합니다.

순환 정책을 구성하거나 요청 시 지금 순환을 호출하여 순환하는 방식으로 순환 정책을 사용하여 암호화 키를 순환할 수도 있습니다.

중요

새 키 버전은 백그라운드에서 자동으로 순환되며 Power Platform 관리자가 필요한 조치는 없습니다. 데이터베이스 복원을 지원하려면 최소 28일 동안 이전 키 버전을 비활성화하거나 삭제하지 않는 것이 중요합니다. 이전 키 버전을 너무 일찍 비활성화하거나 삭제하면 환경이 오프라인 상태가 될 수 있습니다.

암호화된 환경 목록 보기

  1. Power Platform 관리 센터에 로그인하고 정책>엔터프라이즈 정책으로 이동합니다.
  2. 엔터프라이즈 정책 페이지에서 정책이 있는 환경 탭을 선택합니다. 엔터프라이즈 정책에 추가된 환경 목록이 표시됩니다.

노트

환경 상태 또는 암호화 상태실패함 상태를 표시하는 상황이 있을 수 있습니다. 이 경우 Microsoft 지원 요청을 제출하여 도움을 받으세요.

환경 데이터베이스 작업

고객 테넌트는 Microsoft에서 관리하는 키를 사용하여 암호화된 환경과 고객이 관리하는 키로 암호화된 환경을 가질 수 있습니다. 데이터 무결성 및 데이터 보호를 유지하기 위해 환경 데이터베이스 작업을 관리할 때 다음 제어를 사용할 수 있습니다.

  • 복원 덮어쓸 환경(환경으로 복원)은 동일한 고객이 관리하는 키로 암호화된 다른 환경에서, 또는 환경으로 백업을 가져온 동일한 환경으로 제한됩니다.

    백업 복원.

  • 복사 덮어쓸 환경(환경으로 복사)은 동일한 고객이 관리하는 키로 암호화된 다른 환경으로 제한됩니다.

    환경 복사.

    노트

    고객이 관리하는 환경에서 지원 문제를 해결하기 위해 지원 조사 환경을 생성한 경우 환경 조사 복사를 수행하기 전에 지원 조사 환경의 암호화 키를 고객이 관리하는 키로 변경해야 합니다.

  • 초기화 백업을 포함하여 환경의 암호화된 데이터가 삭제됩니다. 환경이 초기화되면 환경 암호화를 Microsoft에서 관리하는 키로 되돌립니다.

다음 단계

Azure Key Vault 정보