Klienta pārvaldītas šifrēšanas atslēgas pārvaldība

Klientiem ir datu konfidencialitātes un atbilstības prasības, lai aizsargātu savus datus, šifrējot savus datus miera stāvoklī. Tas aizsargā datus no ekspozīcijas gadījumā, ja tiek nozagta datubāzes kopija. Ja datu šifrēšana tiek pārtraukta, nozagtie datu bāzes dati tiek aizsargāti pret atjaunošanu citā serverī bez šifrēšanas atslēgas.

Visi klientu dati, kas Power Platform tiek glabāti, pēc noklusējuma tiek šifrēti miera stāvoklī ar spēcīgām Microsoft pārvaldītām šifrēšanas atslēgām. Microsoft saglabā un pārvalda visu jūsu datu bāzes šifrēšanas atslēgu, lai jums tas nebūtu jādara. Tomēr nodrošina šo klienta pārvaldīto šifrēšanas atslēgu (CMK) jūsu pievienotajai datu aizsardzības vadīklai, Power Platform kur jūs varat patstāvīgi pārvaldīt datu bāzes šifrēšanas atslēgu, kas ir saistīta ar jūsu Microsoft Dataverse vidi. Tas ļauj pagriezt vai apmainīt šifrēšanas atslēgu pēc pieprasījuma, kā arī ļauj novērst Microsoft piekļuvi jūsu klientu datiem, kad jebkurā laikā atsaucat atslēgas piekļuvi mūsu pakalpojumiem.

Lai uzzinātu vairāk par klienta pārvaldīto atslēgu, noskatieties Power Platform video par klienta pārvaldīto atslēgu.

Šīs šifrēšanas atslēgas darbības ir pieejamas ar klienta pārvaldītu atslēgu (CMK):

• Izveidojiet atslēgu RSA (RSA-HSM) no sava Azure Key seifa.
• Power Platform Izveidojiet uzņēmuma politiku savai atslēgai.
• Piešķiriet Power Platform uzņēmuma politikas atļauju piekļūt jūsu atslēgu glabātuvei.
• Piešķiriet pakalpojuma administratoram Power Platform izlasīt uzņēmuma politiku.
• Lietojiet šifrēšanas atslēgu savā vidē.
• Atgrieziet/noņemiet vides CMK šifrēšanu uz Microsoft pārvaldītu atslēgu.
• Mainiet atslēgu, izveidojot jaunu uzņēmuma politiku, noņemot vidi no CMK un atkārtoti lietojot CMK ar jaunu uzņēmuma politiku.
• Bloķējiet CMK vides, atsaucot CMK atslēgu seifu un/vai atslēgu atļaujas.
• Migrējiet savas atslēgas (BYOK) vides uz CMK, izmantojot CMK atslēgu.

Pašlaik visus jūsu klientu datus, kas tiek glabāti tikai tālāk norādītajās programmās un pakalpojumos, var šifrēt ar klienta pārvaldītu atslēgu.

• Dataverse (Pielāgoti risinājumi un Microsoft pakalpojumi)
• Dataverse Copilot modeļa vadītām lietotnēm
• Power Automate¹
• Power Apps
• Tērzēšana programmai Dynamics 365
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Finance and operations)
• Dynamics 365 Intelligent Order Management (Finanses un operācijas)
• Dynamics 365 Project Operations (Finanses un operācijas)
• Dynamics 365 Supply Chain Management (Finanses un operācijas)
• Dynamics 365 Fraud Protection (Finanses un operācijas)

1 Kad klienta pārvaldīto atslēgu lietojat videi, kurā ir esošas Power Automate plūsmas, plūsmu dati joprojām tiek šifrēti ar Microsoft pārvaldītu atslēgu. Papildinformācija: Power Automate klienta pārvaldīta atslēga.

Piezīmes

Nuance Sarunvalodas IVR un Maker sveiciena saturs ir izslēgti no klienta pārvaldītas atslēgas šifrēšanas.

Microsoft Copilot Studio glabā savus datus savā krātuvē un iekšā Microsoft Dataverse. Lietojot klienta pārvaldītu atslēgu šīm vidēm, ar jūsu atslēgu tiek šifrētas tikai datu Microsoft Dataverse krātuves. NedatiMicrosoft Dataverse joprojām tiek šifrēti ar Microsoft pārvaldītu atslēgu.

Piezīmes

Savienotāju savienojuma iestatījumus joprojām šifrēs, izmantojot Microsoft pārvaldītu atslēgu.

Sazinieties ar iepriekš neminētu pakalpojumu pārstāvi, lai iegūtu informāciju par klientu pārvaldīto atslēgu atbalstu.

Piezīmes

Power Apps parādāmie vārdi, apraksti un savienojuma metadati joprojām tiek šifrēti ar Microsoft pārvaldītu atslēgu.

Vides ar Finance and Operations programmām, kurās Power Platform ir iespējota integrācija, arī var šifrēt. Finance and operations vides bez Power Platform integrācijas turpinās izmantot noklusējuma Microsoft pārvaldīto atslēgu, lai šifrētu datus. PapildinformācijaŠifrēšana Finance and Operations programmās

Ievads par klienta pārvaldītu atslēgu

Izmantojot klienta pārvaldītu atslēgu, administratori var nodrošināt savu šifrēšanas atslēgu no sava Azure Key Vault krātuves Power Platform pakalpojumiem, lai šifrētu savus klientu datus. Korporācijai Microsoft nav tiešas piekļuves jūsu Azure atslēgu seifam. Lai Power Platform pakalpojumi varētu piekļūt šifrēšanas atslēgai no jūsu Azure Key Vault, administrators izveido Power Platform uzņēmuma politiku, kas atsaucas uz šifrēšanas atslēgu un piešķir šai uzņēmuma politikai piekļuvi, lai lasītu atslēgu no jūsu Azure Key Vault.

Pēc Power Platform tam pakalpojuma administrators var pievienot Dataverse vides uzņēmuma politikai, lai sāktu šifrēt visus vidē esošos klientu datus, izmantojot jūsu šifrēšanas atslēgu. Administratori var mainīt vides šifrēšanas atslēgu, izveidojot citu uzņēmuma politiku, un pievienot vidi (pēc tās noņemšanas) jaunajai uzņēmuma politikai. Ja vide vairs nav jāšifrē, izmantojot jūsu klienta pārvaldīto atslēgu, administrators var noņemt Dataverse vidi no uzņēmuma politikas, lai atjaunotu datu šifrēšanu atpakaļ uz Microsoft pārvaldītu atslēgu.

Administrators var bloķēt klienta pārvaldītās atslēgu vides, atsaucot atslēgu piekļuvi no uzņēmuma politikas, un atbloķēt vides, atjaunojot atslēgas piekļuvi. PapildinformācijaBloķēt vides, atsaucot atslēgu seifu un/vai atslēgu atļauju piekļuvi

Lai vienkāršotu galvenos pārvaldības uzdevumus, uzdevumi ir sadalīti trīs galvenajās jomās:

1. Izveidojiet šifrēšanas atslēgu.
2. Izveidojiet uzņēmuma politiku un piešķiriet piekļuvi.
3. Pārvaldiet vides šifrēšanu.

Brīdinājums.

Ja vides ir bloķētas, tām nevar piekļūt neviens, tostarp Microsoft atbalsts. Bloķētas vides tiek atspējotas un var rasties datu zudums.

Licencēšanas prasības klienta pārvaldītai atslēgai

Klienta pārvaldītās atslēgas politika tiek īstenota tikai vidēs, kas ir aktivizētas pārvaldītajās vidēs. Pārvaldītās vides ir iekļautas kā pilnvara savrupās un Power Apps Power Automate Power Virtual Agents Power Pages Dynamics 365 licencēs, kas piešķir premium lietošanas tiesības. Uzziniet vairāk par pārvaldītās vides licencēšanu, izmantojot licencēšanas pārskatu par Microsoft Power Platform.

Turklāt, lai piekļūtu klienta pārvaldītas atslēgas izmantošanai programmai Microsoft Power Platform un programmai Dynamics 365, lietotājiem vidēs, kurās tiek īstenota šifrēšanas atslēgas politika, ir jābūt kādam no šiem abonementiem:

• Microsoft 365 vai Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 Atbilstība
• Microsoft 365 F5 drošība un atbilstība
• Microsoft 365 A5/E5/F5/G5 Informācijas aizsardzība un pārvaldība
• Microsoft 365 A5/E5/F5/G5 Iekšējā riska pārvaldība

Uzziniet vairāk par šīm licencēm.

Izprotiet iespējamo risku, pārvaldot atslēgu

Tāpat kā jebkuras citas kritiskās biznesa programmas gadījumā jūsu organizācijas darbiniekiem, kuriem ir piekļuve administratīvā līmenī, jābūt uzticamiem. Pirms izmantojat atslēgu pārvaldības līdzekli, jums jāizprot risks, veicot datu bāzu šifrēšanas atslēgu pārvaldību. Ir iespējams, ka ļaunprātīgs administrators (persona, kurai ir piešķirta vai kura ir ieguvusi administratora līmeņa piekļuvi ar nolūku kaitēt organizācijas drošības vai biznesa procesiem), kas strādā jūsu organizācijā, var izmantot atslēgu pārvaldības līdzekli, lai izveidotu atslēgu, un izmantot to, lai bloķētu jūsu vidi nomniekā.

Apsveriet šādu scenāriju.

Ļaunprātīgo atslēgu seifu administrators Azure portālā izveido atslēgu un uzņēmuma politiku. Azure Key Vault administrators dodas uz Power Platform administrēšanas centru un pievieno vides uzņēmuma politikai. Pēc tam ļaunprātīgais administrators atgriežas Azure portālā un atsauc atslēgas piekļuvi uzņēmuma politikai, tādējādi bloķējot visas vides. Tas izraisa uzņēmējdarbības pārtraukumus, jo visas vides kļūst nepieejamas, un, ja šis notikums netiek atrisināts, tas ir, tiek atjaunota atslēgas piekļuve, vides dati var tikt zaudēti.

Piezīmes

• Azure Key Vault ir iebūvēti aizsarglīdzekļi, kas palīdz atjaunot atslēgu, kam ir jābūt iespējotiem mīkstās dzēšanas un iztīrīšanas aizsardzības atslēgas seifa iestatījumiem.
• Vēl viens drošības līdzeklis, kas jāņem vērā, ir pārliecināties, vai ir atdalīti uzdevumi, kuros Azure Key Vault administratoram nav piešķirta piekļuve Power Platform administrēšanas centram.

Pienākuma nodalīšana, lai mazinātu risku

Šajā sadaļā ir aprakstīti klienta pārvaldītās atslēgas līdzekļu pienākumi, par kuriem ir atbildīga katra administratora loma. Šo uzdevumu nodalīšana palīdz mazināt risku, kas saistīts ar klienta pārvaldītām atslēgām.

Azure Key Vault un Power Platform/Dynamics 365 pakalpojuma administrēšanas uzdevumi

Lai iespējotu klientu pārvaldītas atslēgas, vispirms atslēgu seifu administrators izveido atslēgu Azure atslēgu seifā un izveido Power Platform uzņēmuma politiku. Kad tiek izveidota uzņēmuma politika, tiek izveidota īpaša Microsoft Entra ID pārvaldīta identitāte. Pēc tam atslēgu seifu administrators atgriežas Azure atslēgu seifā un piešķir uzņēmuma politikai/pārvaldītajai identitātei piekļuvi šifrēšanas atslēgai.

Pēc tam atslēgu seifu administrators piešķir attiecīgā Power Platform/Dynamics 365 pakalpojuma administratoram lasīšanas piekļuvi uzņēmuma politikai. Kad lasīšanas atļauja ir piešķirta, Power Platform pakalpojuma /Dynamics 365 administrators var doties uz administrēšanas Power Platform centru un pievienot vides uzņēmuma politikai. Pēc tam visu pievienoto vidi klientu dati tiek šifrēti ar klienta pārvaldītu atslēgu, kas saistīta ar šo uzņēmuma politiku.

Priekšnoteikumi

• Azure abonements, kas ietver Azure Key Vault vai Azure Key Vault pārvaldītus aparatūras drošības moduļus.
• Globālais nomnieka Microsoft Entra administrators vai ID ar:
  • Līdzstrādnieka atļauja abonementam Microsoft Entra .
  • Atļauja izveidot Azure atslēgu seifu un atslēgu.
  • Piekļuve, lai izveidotu resursu grupu. Tas ir nepieciešams, lai iestatītu atslēgu seifu.

Atslēgas izveide un piekļuves piešķiršana, izmantojot Azure Key Vault

Azure Key Vault administrators veic šos uzdevumus pakalpojumā Azure.

1. Izveidojiet Azure maksas abonementu un Key Vault. Ignorējiet šo darbību, ja jums jau ir abonements, kas ietver Azure Key Vault.
2. Dodieties uz pakalpojumu Azure Key Vault un izveidojiet atslēgu. PapildinformācijaAtslēgas izveide atslēgu glabātuvē
3. Iespējojiet Power Platform uzņēmuma politiku pakalpojumu savam Azure abonementam. Dariet to tikai vienu reizi. Papildinformācija: Uzņēmuma politiku pakalpojuma iespējošana Power Platform savam Azure abonementam
4. Izveidojiet Power Platform uzņēmuma politiku. Papildinformācija: Uzņēmuma politikas izveide
5. Piešķiriet uzņēmuma politikas atļaujas, lai piekļūtu atslēgu glabātuvei. Papildinformācija: Uzņēmuma politikas atļauju piešķiršana, lai piekļūtu atslēgu seifam
6. Piešķiriet Power Platform un Dynamics 365 administratoriem atļauju lasīt uzņēmuma politiku. PapildinformācijaAdministratora Power Platform atļaujas piešķiršana lasīt uzņēmuma politiku

Power Platform/Dynamics 365 pakalpojuma administrēšanas Power Platform centra uzdevumi

Priekšnosacījums

• Power Platform administratoram ir jāpiešķir loma vai Dynamics 365 Service administrators Power Platform Microsoft Entra .

Vides šifrēšanas pārvaldība administrēšanas Power Platform centrā

Administrators Power Platform pārvalda klienta pārvaldītus galvenos uzdevumus, kas saistīti ar administrēšanas Power Platform centra vidi.

1. Power Platform Pievienojiet vides uzņēmuma politikai, lai šifrētu datus ar klienta pārvaldītu atslēgu. PapildinformācijaVides pievienošana uzņēmuma politikai, lai šifrētu datus
2. Noņemiet vides no uzņēmuma politikas, lai atgrieztu šifrēšanu Microsoft pārvaldītajā atslēgā. PapildinformācijaVides noņemšana no politikas, lai atgrieztos pie Microsoft pārvaldītās atslēgas
3. Mainiet atslēgu, noņemot vides no vecās uzņēmuma politikas un pievienojot vides jaunai uzņēmuma politikai. PapildinformācijaŠifrēšanas atslēgas izveide un piekļuves piešķiršana
4. Migrēt no BYOK. Ja izmantojat agrāku pašu pārvaldītas šifrēšanas atslēgas līdzekli, varat migrēt atslēgu uz klienta pārvaldītu atslēgu. Papildinformācija: Savas atslēgas vides migrēšana uz klienta pārvaldītu atslēgu

Izveidojiet šifrēšanas atslēgu un piešķiriet piekļuvi

Azure maksas abonementa un atslēgu seifa izveide

Pakalpojumā Azure veiciet šādas darbības:

1. Izveidojiet paaudžu solidaritātes vai tam līdzvērtīgu Azure abonementu. Šī darbība nav jāveic, ja nomniekam jau ir abonements.

2. Izveidojiet resursu grupu. Papildinformācija: Resursu grupu izveide

   Piezīmes

   Izveidojiet vai izmantojiet resursu grupu, kuras atrašanās vieta ir, piemēram, Centrālā ASV, kas atbilst Power Platform vides reģionam, piemēram, Amerikas Savienotās Valstis.

3. Izveidojiet atslēgu seifu, izmantojot maksas abonementu, kas ietver aizsardzību pret mīksto dzēšanu un tīrīšanu ar resursu grupu, kuru izveidojāt iepriekšējā darbībā.

   Svarīgi

   • Lai nodrošinātu, ka jūsu vide ir aizsargāta pret nejaušu šifrēšanas atslēgas izdzēšanu, atslēgu seifā jābūt iespējotai mīkstajai dzēšanai un iztīrīšanas aizsardzībai. Jūs nevarēsit šifrēt savu vidi ar savu atslēgu, ja neiespējosit šos iestatījumus. Papildinformācija: Azure Key Vault mīkstās dzēšanas pārskats Papildinformācija: Atslēgu seifa izveide, izmantojot Azure portālu

Atslēgas izveide atslēgu glabātuvē

1. Pārliecinieties, vai esat izpildījis priekšnosacījumus.

2. Dodieties uz Azure portāla>atslēgu seifu un atrodiet atslēgu seifu, kurā vēlaties ģenerēt šifrēšanas atslēgu.

3. Pārbaudiet Azure atslēgu seifu iestatījumus:

   1. Atlasiet Rekvizīti sadaļā Iestatījumi.
   2. Sadaļā Mīkstā dzēšana iestatiet vai pārbaudiet, vai tā ir iestatīta uz Mīkstā dzēšana, ir iespējota šī taustiņu seifa opcija.
   3. Sadaļā Aizsardzība pret tīrīšanu iestatiet vai pārbaudiet, vai ir iespējota aizsardzība pret iztīrīšanu (ieviest obligātu saglabāšanas periodu izdzēstām glabātuvēm un glabātuvju objektiem).
   4. Ja veicāt izmaiņas, atlasiet Saglabāt.

   

RSA atslēgu izveide

1. Izveidojiet vai importējiet atslēgu, kurai ir šādi rekvizīti:
   1. Key Vault rekvizītu lapās atlasiet Atslēgas.
   2. Atlasiet Ģenerēt/Importēt.
   3. Ekrānā Atslēgas izveide iestatiet tālāk norādītās vērtības un pēc tam atlasiet Izveidot.
      • Opcijas: Ģenerēt
      • Nosaukums: norādiet atslēgas nosaukumu
      • Atslēgas tips: RSA
      • RSA atslēgas izmērs: 2048

Aizsargāto atslēgu importēšana aparatūras drošības moduļiem (HSM)

Varat izmantot aizsargātās aparatūras drošības moduļu (HSM) atslēgas, lai šifrētu savas Power Platform Dataverse vides. Jūsu HSM aizsargātās atslēgas ir jāimportē atslēgu glabātuvē , lai varētu izveidot uzņēmuma politiku. Papildinformāciju skatiet sadaļā Atbalstītie HSMsHSM aizsargāto atslēgu importēšana pakalpojumā Key Vault (BYOK).

Atslēgas izveide Azure Key Vault pārvaldītajā HSM

Varat izmantot šifrēšanas atslēgu, kas izveidota no Azure Key Vault Managed HSM, lai šifrētu savus vides datus. Tas nodrošina FIPS 140-2 3. līmeņa atbalstu.

RSA-HSM atslēgu izveide

1. Pārliecinieties, vai esat izpildījis priekšnosacījumus.

2. Dodieties uz Azure portālu.

3. Izveidojiet pārvaldītu HSM:

   1. nodrošināt pārvaldīto HSM.
   2. Aktivizējiet pārvaldīto HSM.

4. Iespējojiet aizsardzību pret tīrīšanu savā pārvaldītajā HSM.

5. Piešķiriet pārvaldītā HSM kriptogrāfijas lietotāja lomu personai, kas izveidoja pārvaldīto HSM atslēgu glabātuvi.

   1. Piekļūstiet pārvaldītās HSM atslēgas seifam Azure portālā.
   2. Naviģējiet uz Local RBAC un atlasiet + Pievienot.
   3. Nolaižamajā sarakstā Role (Loma ) atlasiet lomu Managed HSM Crypto User ( Pārvaldīta HSM kriptogrāfijas lietotāja ) lapā Lomas piešķiršana (Role Assignment ).
   4. Atlasiet Visi taustiņi sadaļā Tvērums.
   5. Atlasiet Atlasīt drošības principālu un pēc tam lapā Pievienot galveno atlasiet administratoru .
   6. Atlasiet Izveidot.

6. Izveidojiet RSA-HSM atslēgu:

   • Opcijas: Ģenerēt
   • Nosaukums: norādiet atslēgas nosaukumu
   • Atslēgas tips: RSA-HSM
   • RSA atslēgas izmērs: 2048

   Piezīmes

   Atbalstītie RSA-HSM taustiņu izmēri: 2048 bitu, 3072 bitu, 4096 bitu.

Šifrējiet savu vidi, izmantojot atslēgu no Azure Key Vault ar privātu saiti

Varat atjaunināt sava Azure Key seifa tīklošanu, iespējojot privātu galapunktu , un izmantot atslēgu atslēgu atslēgu seifā, lai šifrētu savu Power Platform vidi.

Varat izveidot jaunu atslēgu seifu un izveidot privātu saišu savienojumu vai izveidot privātu saišu savienojumu ar esošu atslēgu seifu un izveidot atslēgu no šīs atslēgu glabātavas un izmantot to, lai šifrētu savu vidi. Varat arī izveidot privātu saišu savienojumu ar esošu atslēgu seifu pēc tam, kad esat jau izveidojis atslēgu, un izmantot to, lai šifrētu savu vidi.

Datu šifrēšana ar atslēgu no key vault ar privātu saiti

1. Izveidojiet Azure atslēgu seifu ar tālāk norādītajām opcijām.

   • Aizsardzības pret izpūšanu iespējošana
   • Atslēgas veids: RSA
   • Atslēgas izmērs: 2048

2. Kopējiet atslēgu seifa vietrādi URL un šifrēšanas atslēgas vietrādi URL, kas jāizmanto uzņēmuma politikas izveidei.

   Piezīmes

   Kad atslēgu glabātuvē būsit pievienojis privātu galapunktu vai atspējojis publiskās piekļuves tīklu, atslēgu nevarēsit redzēt, ja vien jums nebūs atbilstošas atļaujas.

3. Izveidojiet virtuālo tīklu.

4. Atgriezieties savā atslēgu glabātuvē un pievienojiet privātus galapunktu savienojumus savam Azure Key seifam.

   Piezīmes

   Jums jāizvēlas opcija Atspējot publiskās piekļuves tīklošanu un jāiespējo Atļaut uzticamiem Microsoft pakalpojumiem apiet šo ugunsmūra izņēmumu.

5. Izveidojiet Power Platform uzņēmuma politiku. Papildinformācija: Uzņēmuma politikas izveide

6. Piešķiriet uzņēmuma politikas atļaujas, lai piekļūtu atslēgu glabātuvei. Papildinformācija: Uzņēmuma politikas atļauju piešķiršana, lai piekļūtu atslēgu seifam

7. Piešķiriet Power Platform un Dynamics 365 administratoriem atļauju lasīt uzņēmuma politiku. PapildinformācijaAdministratora Power Platform atļaujas piešķiršana lasīt uzņēmuma politiku

8. Power Platform administrēšanas centra administrators atlasa vidi, kurā šifrēt un iespējot pārvaldīto vidi. PapildinformācijaPārvaldītas vides pievienošanas iespējošana uzņēmuma politikai

9. Power Platform administrēšanas centra administrators pievieno pārvaldīto vidi uzņēmuma politikai. PapildinformācijaVides pievienošana uzņēmuma politikai, lai šifrētu datus

Uzņēmuma politiku pakalpojuma iespējošana Power Platform savam Azure abonementam

Reģistrējieties Power Platform kā resursu nodrošinātājs. Šis uzdevums ir jāveic tikai vienreiz katram Azure abonementam, kurā atrodas jūsu Azure atslēgu seifs. Lai reģistrētu resursu nodrošinātāju, jums ir jābūt piekļuves tiesībām abonementam.

1. piesakieties Azure portālā un dodieties uz Abonēšanas>resursu nodrošinātāji.
2. Resursu nodrošinātāju sarakstā meklējiet Microsoft.PowerPlatform un reģistrējiet to.

Uzņēmuma politikas izveide

1. Instalējiet PowerShell MSI. Papildinformācija PowerShell instalēšana operētājsistēmās Windows, Linux un macOS
2. Kad PowerShell MSI ir instalēts, atgriezieties sadaļā Pielāgotas veidnes izvietošana pakalpojumā Azure.
3. Redaktora saitē atlasiet Izveidot savu veidni.
4. Kopējiet JSON veidni teksta redaktorā, piemēram, Notepad. Papildinformācija: Uzņēmuma politikas json veidne
5. Aizstājiet vērtības JSON veidnē uz:EnterprisePolicyName,atrašanās vietu, kur jāizveido EnterprisePolicy,keyVaultId unkeyName . Papildinformācija: JSON veidnes lauku definīcijas
6. Kopējiet atjaunināto veidni no teksta redaktora, pēc tam ielīmējiet to pielāgotā izvietojumarediģēšanas veidnē pakalpojumā Azure un atlasiet Saglabāt.
7. Atlasiet abonementu un resursu grupu , kurā ir jāizveido uzņēmuma politika.
8. Atlasiet Pārskatīšana + izveidot un pēc tam atlasiet Izveidot.

Tiek sākta izvietošana. Kad tas ir izdarīts, tiek izveidota uzņēmuma politika.

Uzņēmuma politikas json veidne

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON veidnes lauku definīcijas

• nosaukums. Uzņēmuma politikas nosaukums. Šis ir administrēšanas centrā redzamās Power Platform politikas nosaukums.

• atrašanās vieta. Viens no šiem. Šī ir uzņēmuma politikas atrašanās vieta, un tai jāatbilst Dataverse vides reģionam:

  • ''Amerikas Savienotās Valstis''
  • ''Dienvidāfrika''
  • ""UK""
  • ''Japāna''
  • ""Indija""
  • ""Francija""
  • ''Eiropa''
  • ""Vācija""
  • ""Šveice""
  • ''Kanāda''
  • ""Brazīlija""
  • ''Austrālija''
  • ""Āzija""
  • ""AAE""
  • ""Koreja""
  • ''NORVĒĢIJA''
  • ''Singapūra''
  • ""Zviedrija""

• Kopējiet šīs vērtības no atslēgu seifu rekvizītiem Azure portālā:

  • keyVaultId: Dodieties uz Atslēgu glabātuves, atlasiet savu atslēgu seifu>>Pārskats. Blakus Essentials atlasiet JSON View. Kopējiet resursa ID starpliktuvē un ielīmējiet visu saturu savā JSON veidnē.
  • keyName: Dodieties uz Atslēgu glabātuves, atlasiet taustiņu seifu>>Atslēgas. Ievērojiet atslēgas nosaukumu un ierakstiet nosaukumu savā JSON veidnē.

Uzņēmuma politikas atļauju piešķiršana, lai piekļūtu atslēgu seifam

Kad uzņēmuma politika ir izveidota, atslēgu seifu administrators piešķir uzņēmuma politikas pārvaldītajai identitātei piekļuvi šifrēšanas atslēgai.

1. Piesakieties Azure portālā un dodieties uz Atslēgu seifi .
2. Atlasiet atslēgu seifu, kurā atslēga tika piešķirta uzņēmuma politikai.
3. Atlasiet cilni Access control (IAM) un pēc tam atlasiet + Pievienot.
4. Nolaižamajā sarakstā atlasiet Pievienot lomu piešķiršanu ,
5. Meklējiet Key Vault Crypto Service Encryption User un atlasiet to.
6. Atlasiet Tālāk.
7. Atlasīt + atlasīt dalībniekus.
8. Meklējiet izveidoto uzņēmuma politiku.
9. Atlasiet uzņēmuma politiku un pēc tam izvēlieties Atlasīt.
10. Atlasiet Pārskatīt + piešķirt.

Piezīmes

Iepriekš minētais atļauju iestatījums ir balstīts uz jūsu atslēgu seifa atļauju modeli , kas ietver Azure lomu piekļuves kontroli. Ja atslēgas seifam ir iestatīta seifu piekļuves politika, ieteicams migrēt uz modeli, kura pamatā ir lomas. Lai piešķirtu uzņēmuma politikai piekļuvi atslēgu glabātuvei, izmantojot seifu piekļuves politiku, izveidojiet Access politiku, atlasiet Iegūtsadaļā Atslēgu pārvaldības operācijas un Atkodēt atslēgu un Aplauzt atslēgukriptogrāfiskajās operācijās.

Administratora Power Platform privilēģijas piešķiršana lasīt uzņēmuma politiku

Administratori, kuriem ir Azure globālās, Dynamics 365 un Power Platform administrācijas lomas, var piekļūt administrēšanas centram Power Platform , lai uzņēmuma politikai piešķirtu vides. Lai piekļūtu uzņēmuma politikām, globālajam administratoram ar Azure atslēgu seifu piekļuvi ir jāpiešķir administratoram lasītāja loma. Power Platform Kad lasītāja loma ir piešķirta, Power Platform administrators administrēšanas centrā var skatīt uzņēmuma politikas Power Platform .

Piezīmes

Tikai Power Platform un Dynamics 365 administratori, kuriem uzņēmuma politikai ir piešķirta lasītāja loma, var pievienot politiku videi. Citi Power Platform vai Dynamics 365 administratori, iespējams, varēs skatīt uzņēmuma politiku, taču, mēģinot pievienot politikai vidi , viņi saņems kļūdas ziņojumu.

Lasītāja lomas piešķiršana administratoram Power Platform

1. piesakieties Azure portālā.
2. Kopējiet Power Platform vai Dynamics 365 administratora objekta ID. Lai to izdarītu:
   1. Dodieties uz apgabalu Lietotāji pakalpojumā Azure.
   2. Sarakstā Visi lietotāji atrodiet lietotāju ar Power Platform vai Dynamics 365 administratora atļaujas, izmantojot meklēšanas lietotājus.
   3. Atveriet lietotāja ierakstu, cilnē Pārskats kopējiet lietotāja objekta ID. Ielīmējiet to teksta redaktorā, piemēram, NotePad vēlākam laikam.
3. Kopējiet uzņēmuma politikas resursa ID. Lai to izdarītu:
   1. Dodieties uz resursu grafiku pārlūku pakalpojumā Azure.
   2. Ievadiet microsoft.powerplatform/enterprisepoliciesmeklēšanas lodziņā un pēc tam atlasiet resursu Microsoft.powerplatform/enterprisepolicies .
   3. Komandjoslā atlasiet Izpildīt vaicājumu . Tiek parādīts visu Power Platform uzņēmuma politiku saraksts.
   4. Atrodiet uzņēmuma politiku, kurai vēlaties piešķirt piekļuvi.
   5. Ritiniet pa labi no uzņēmuma politikas un atlasiet Skatīt detalizētu informāciju.
   6. Lapā Detalizēta informācija nokopējiet ID.
4. Startējiet Azure Cloud Shell un palaidiet tālāk norādīto komandu, aizstājot objId ar lietotāja objekta ID un EP Resource Id ar ID, kas kopēts, enterprisepolicies veicot iepriekšējās darbības: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Vides šifrēšanas pārvaldība

Lai pārvaldītu vides šifrēšanu, jums ir nepieciešama šāda atļauja:

• Microsoft Entra aktīvs lietotājs, kuram ir un/vai Dynamics 365 administratora Power Platform drošības loma.
• Microsoft Entra lietotājs, Power Platform kuram ir globālā nomnieka administratora vai Dynamics 365 pakalpojuma administratora loma.

Atslēgu seifu administrators paziņo administratoram, Power Platform ka ir izveidota šifrēšanas atslēga un uzņēmuma politika, un nodrošina uzņēmuma politiku administratoram Power Platform . Lai iespējotu klienta pārvaldīto atslēgu, Power Platform administrators piešķir savas vides uzņēmuma politikai. Kad vide ir piešķirta un saglabāta, Dataverse tiek uzsākts šifrēšanas process, lai iestatītu visus vides datus un šifrētu tos ar klienta pārvaldītu atslēgu.

Iespējot pārvaldītas vides pievienošanu uzņēmuma politikai

1. Piesakieties administrēšanas Power Platform centrā un atrodiet vidi.
2. Atlasiet un pārbaudiet vidi vides sarakstā.
3. Darbību joslā atlasiet ikonu Iespējot pārvaldītās vides .
4. Atlasiet Iespējot.

Vides pievienošana uzņēmuma politikai, lai šifrētu datus

Svarīgi

Vide tiks atspējota, kad tā tiks pievienota uzņēmuma datu šifrēšanas politikai.

1. Piesakieties administrēšanas Power Platform centrā un dodieties uz Politikas>Uzņēmuma politikas.
2. Atlasiet politiku un pēc tam komandjoslā atlasiet Rediģēt.
3. Atlasiet Pievienot vides, atlasiet vajadzīgo vidi un pēc tam atlasiet Turpināt.
4. Atlasiet Saglabāt un pēc tam atlasiet Apstiprināt.

Svarīgi

• Sarakstā Pievienot vides tiek rādītas tikai tās vides, kas atrodas tajā pašā reģionā, kur atrodas uzņēmuma politika.
• Šifrēšanas pabeigšana var ilgt līdz četrām dienām, taču vide var tikt iespējota , pirms tiek pabeigta darbība Pievienot vides.
• Darbība var netikt pabeigta, un, ja tā neizdodas, jūsu dati joprojām tiek šifrēti, izmantojot Microsoft pārvaldīto atslēgu. Varat atkārtoti palaist darbību Pievienot vides vēlreiz.

Piezīmes

Varat pievienot tikai tās vides, kas ir iespējotas kā pārvaldītas vides. Izmēģinājumversijas un Teams vides tipus nevar pievienot uzņēmuma politikai.

Vides noņemšana no politikas, lai atgrieztos pie Microsoft pārvaldītās atslēgas

Izpildiet šīs darbības, ja vēlaties atgriezties pie Microsoft pārvaldītas šifrēšanas atslēgas.

Svarīgi

Vide tiks atspējota, kad tā tiks noņemta no uzņēmuma politikas, lai atgrieztu datu šifrēšanu, izmantojot Microsoft pārvaldīto atslēgu.

1. Piesakieties administrēšanas Power Platform centrā un dodieties uz Politikas>Uzņēmuma politikas.
2. Atlasiet cilni Vide ar politikām un pēc tam atrodiet vidi, kuru vēlaties noņemt no klienta pārvaldītās atslēgas.
3. Atlasiet cilni Visas politikas , atlasiet verificēto vidi 2. darbībā un pēc tam komandjoslā atlasiet Rediģēt politiku .
4. Komandjoslā atlasiet Noņemt vidi , atlasiet vidi, kuru vēlaties noņemt, un pēc tam atlasiet Turpināt.
5. Atlasiet vienumu Saglabāt.

Svarīgi

Vide tiks atspējota, kad tā tiks noņemta no uzņēmuma politikas, lai atjaunotu datu šifrēšanu uz Microsoft pārvaldītu atslēgu. Neizdzēsiet un neatspējojiet atslēgu, neizdzēsiet un neatspējojiet atslēgu seifu, kā arī nenoņemiet enteprise politikas atļaujas atslēgu seifā. Atslēgas un atslēgas seifa piekļuve ir nepieciešama, lai atbalstītu datu bāzes atjaunošanu. Pēc 30 dienām varat dzēst un noņemt uzņēmuma politikas atļaujas.

Vides šifrēšanas statusa pārskatīšana

Šifrēšanas statusa pārskatīšana no uzņēmuma politikām

1. Pierakstieties Power Platform administrēšanas centrā.

2. Atlasiet Politikas>Uzņēmuma politikas.

3. Atlasiet politiku un pēc tam komandjoslā atlasiet Rediģēt.

4. Pārskatiet vides šifrēšanas statususadaļā Vides, izmantojot šo politikas sadaļu.

   Piezīmes

   Vides šifrēšanas statuss var būt:

   • Šifrēts - uzņēmuma politikas šifrēšanas atslēga ir aktīva, un vide tiek šifrēta ar jūsu atslēgu.
   • Neizdevās — uzņēmuma politikas šifrēšanas atslēga netiek izmantota, un vide joprojām tiek šifrēta ar Microsoft pārvaldīto atslēgu.
   • Brīdinājums — uzņēmuma politikas šifrēšanas atslēga ir aktīva, un viens no pakalpojuma datiem joprojām tiek šifrēts ar Microsoft pārvaldīto atslēgu. Uzzināt vairāk: Power Automate CMK lietojumprogrammas brīdinājuma ziņojumi

   Varat atkārtoti palaist opciju Pievienot vidi videi, kurai ir statuss Neveiksmīga šifrēšana.

Šifrēšanas statusa pārskatīšana lapā Vides vēsture

Jūs varat redzēt vides vēsturi.

1. Pierakstieties Power Platform administrēšanas centrā.

2. Navigācijas rūtī atlasiet Vides un pēc tam sarakstā atlasiet vidi.

3. Komandjoslā atlasiet Vēsture.

4. Atrodiet klienta pārvaldītās atslēgas atjaunināšanasvēsturi.

   Piezīmes

   Statuss rāda Darbojas , kad notiek šifrēšana. Tas parāda Izdevās , kad šifrēšana ir pabeigta. Statuss tiek rādīts kā neizdevās , ja ir radusies problēma ar kādu no pakalpojumiem, kas nevar lietot šifrēšanas atslēgu.

   Stāvoklis Neizdevās var būt brīdinājums , un jums nav atkārtoti jāpalaiž opcija Pievienot vidi . Jūs varat apstiprināt, vai tas ir brīdinājums.

Vides šifrēšanas atslēgas maiņa, izmantojot jaunu uzņēmuma politiku un atslēgu

Lai mainītu šifrēšanas atslēgu, izveidojiet jaunu atslēgu un jaunu uzņēmuma politiku. Pēc tam varat mainīt uzņēmuma politiku, noņemot vides un pēc tam pievienojot vides jaunajai uzņēmuma politikai. Sistēma nedarbojas 2 reizes, pārejot uz jaunu uzņēmuma politiku - 1) lai atgrieztu šifrēšanu uz Microsoft pārvaldīto atslēgu un 2) lai piemērotu jauno uzņēmuma politiku.

[! Ieteikums] Lai pagrieztu šifrēšanas atslēgu, ieteicams izmantot atslēgu seifus'Jauna versija vai iestatīt rotācijas politiku.

1. Azure portālā izveidojiet jaunu atslēgu un jaunu uzņēmuma politiku. PapildinformācijaŠifrēšanas atslēgas izveide, piekļuves piešķiršana un Uzņēmuma politikas izveide
2. Kad jaunā atslēga un uzņēmuma politika ir izveidota, dodieties uz sadaļu Politikas>Uzņēmuma politikas.
3. Atlasiet cilni Vide ar politikām un pēc tam atrodiet vidi, kuru vēlaties noņemt no klienta pārvaldītās atslēgas.
4. Atlasiet cilni Visas politikas , atlasiet verificēto vidi 2. darbībā un pēc tam komandjoslā atlasiet Rediģēt politiku .
5. Komandjoslā atlasiet Noņemt vidi , atlasiet vidi, kuru vēlaties noņemt, un pēc tam atlasiet Turpināt.
6. Atlasiet vienumu Saglabāt.
7. Atkārtojiet 2.–6. darbību, līdz visas uzņēmuma politikas vides ir noņemtas.

Svarīgi

Vide tiks atspējota, kad tā tiks noņemta no uzņēmuma politikas, lai atjaunotu datu šifrēšanu uz Microsoft pārvaldītu atslēgu. Neizdzēsiet un neatspējojiet atslēgu, neizdzēsiet un neatspējojiet atslēgu seifu, kā arī nenoņemiet enteprise politikas atļaujas atslēgu seifā. Atslēgas un atslēgas seifa piekļuve ir nepieciešama, lai atbalstītu datu bāzes atjaunošanu. Pēc 30 dienām varat dzēst un noņemt uzņēmuma politikas atļaujas.

1. Kad visas vides ir noņemtas, no administrēšanas Power Platform centra dodieties uz sadaļu Uzņēmuma politikas.
2. Atlasiet jauno uzņēmuma politiku un pēc tam atlasiet Rediģēt politiku.
3. Atlasiet Pievienot vidi, atlasiet vides, kuras vēlaties pievienot, un pēc tam atlasiet Turpināt.

Svarīgi

Vide tiks atspējota, kad tā tiks pievienota jaunajai uzņēmuma politikai.

Pagrieziet vides šifrēšanas atslēgu, izmantojot jaunu atslēgas versiju

Vides šifrēšanas atslēgu var mainīt, izveidojot jaunu atslēgas versiju. Izveidojot jaunu atslēgas versiju, jaunā atslēgas versija tiek automātiski iespējota. Visi krātuves resursi nosaka jauno atslēgas versiju un sāk to lietot, lai šifrētu datus.

Modificējot atslēgu vai atslēgas versiju, saknes šifrēšanas atslēgas aizsardzība mainās, bet krātuves dati vienmēr paliek šifrēti ar jūsu atslēgu. Jums vairs nav jāveic nekādas darbības, lai nodrošinātu jūsu datu aizsardzību. Galvenās versijas pagriešana neietekmē veiktspēju. Ar atslēgas versijas pagriešanu nav saistīta dīkstāve. Var paiet 24 stundas, līdz visi resursu nodrošinātāji fonā lietos jauno atslēgas versiju. Iepriekšējo atslēgas versiju nedrīkst atspējot , jo tā ir nepieciešama, lai pakalpojums to izmantotu atkārtotai šifrēšanai un datu bāzes atjaunošanas atbalstam.

Lai pagrieztu šifrēšanas atslēgu, izveidojot jaunu atslēgas versiju, veiciet tālāk norādītās darbības.

1. Dodieties uz Azure portāla>Key Vaults un atrodiet atslēgu seifu, kurā vēlaties izveidot jaunu atslēgu versiju.
2. Naviģējiet uz taustiņiem.
3. Atlasiet pašreizējo, iespējoto taustiņu.
4. Atlasīt + Jaunā versija.
5. Iestatījuma Iespējots noklusējuma iestatījums ir Jā, kas nozīmē, ka izveides brīdī jaunā atslēgas versija tiek automātiski iespējota.
6. Atlasiet Izveidot.

[! Ieteikums] Lai ievērotu atslēgu pagriešanas politiku, varat pagriezt šifrēšanas atslēgu, izmantojot pagriešanas politiku. Varat konfigurēt pagriešanas politiku vai pagriezt pēc pieprasījuma, izsaucot opciju Pagriezt tūlīt.

Svarīgi

Jaunā atslēgas versija tiek automātiski pagriezta fonā, un administratoram Power Platform nav jāveic nekādas darbības. Ir svarīgi, lai iepriekšējā atslēgas versija netiktu atspējota vai izdzēsta vismaz 28 dienas, lai atbalstītu datu bāzes atjaunošanu. Pārāk agra iepriekšējās atslēgas versijas atspējošana vai dzēšana var padarīt jūsu vidi bezsaistē.

Šifrēto vides saraksta skatīšana

1. Piesakieties administrēšanas Power Platform centrā un dodieties uz Politikas>Uzņēmuma politikas.
2. Lapā Uzņēmuma politikas atlasiet cilni Vides ar politikām . Tiek parādīts to vides saraksts, kas tika pievienotas uzņēmuma politikām.

Piezīmes

Var būt situācijas, kad statuss Vides vaiŠifrēšanas statuss rāda statusu Kļūme . Šādā gadījumā iesniedziet Microsoft atbalsta dienesta palīdzības pieprasījumu.

Vides datubāzes operācijas

Klienta nomniekam var būt vides, kuras ir šifrētas, izmantojot Microsoft pārvaldīto atslēgu, un vides, kuras ir šifrētas ar klienta pārvaldītu atslēgu. Lai saglabātu datu integritāti un aizsardzību, pārvaldot vides datu bāzu operācijas, ir pieejami šādi kontroles pasākumi:

• Atjaunot Pārrakstāmā vide (vide, kurā ir atjaunots) ir ierobežota uz to pašu vidi, no kuras paņemts dublējums, lai citu vidi, kura ir šifrēta ar tādu pašu klienta pārvaldītu atslēgu.

  

• Kopēt Pārrakstāmā vide (vide, kurā ir iekopēts) ir ierobežota uz citu vidi, kura ir šifrēta ar tādu pašu klienta pārvaldītu atslēgu.

  

  Piezīmes

  Tika izveidota Atbalsta izpētes vide, lai atrisinātu atbalsta problēmu klienta pārvaldītā vidē, šifrēšanas atslēga Atbalsta izpētes videi ir jāmaina uz klienta pārvaldītu atslēgu iekams var veikt vides kopēšanas darbību.

• Atiestatīt Vides šifrētie dati tiek dzēsti, ieskaitot dublējumus. Pēc vides atiestatīšanas vides šifrējums atgriezīsies uz Microsoft pārvaldīto atslēgu.

Nākamās darbības

Par Azure Key Vault