Klienta pārvaldītas šifrēšanas atslēgas pārvaldība

Klientiem ir datu konfidencialitātes un atbilstības prasības, lai aizsargātu savus datus, šifrējot savus datus miera stāvoklī. Tas aizsargā datus no ekspozīcijas gadījumā, ja tiek nozagta datubāzes kopija. Ja datu šifrēšana tiek pārtraukta, nozagtie datu bāzes dati tiek aizsargāti pret atjaunošanu citā serverī bez šifrēšanas atslēgas.

Visi klientu dati, kas Power Platform tiek glabāti, pēc noklusējuma tiek šifrēti ar stingri Microsoft pārvaldītām šifrēšanas atslēgām. Microsoft Saglabā un pārvalda visu jūsu datu bāzes šifrēšanas atslēgu, lai jums tas nebūtu jādara. Tomēr nodrošina šo klienta pārvaldīto šifrēšanas atslēgu (CMK) jūsu pievienotajai datu aizsardzības vadīklai, Power Platform kur jūs varat patstāvīgi pārvaldīt datu bāzes šifrēšanas atslēgu, kas ir saistīta ar jūsu Microsoft Dataverse vidi. Tas ļauj pagriezt vai apmainīt šifrēšanas atslēgu pēc pieprasījuma, kā arī ļauj novērst Microsoft piekļuvi jūsu klientu datiem, kad jebkurā laikā atsaucat atslēgas piekļuvi mūsu pakalpojumiem.

Lai uzzinātu vairāk par klienta pārvaldīto atslēgu, noskatieties Power Platform video par klienta pārvaldīto atslēgu.

Šīs šifrēšanas atslēgas darbības ir pieejamas ar klienta pārvaldītu atslēgu (CMK):

• Izveidojiet atslēgu RSA (RSA-HSM) no sava Azure Key seifa.
• Power Platform Izveidojiet uzņēmuma politiku savai atslēgai.
• Piešķiriet Power Platform uzņēmuma politikas atļauju piekļūt jūsu atslēgu glabātuvei.
• Piešķiriet pakalpojuma administratoram Power Platform izlasīt uzņēmuma politiku.
• Lietojiet šifrēšanas atslēgu savā vidē.
• Atjaunot iepriekšējo versiju/noņemiet vides CMK šifrēšanas atslēgu uz Microsoft pārvaldīto atslēgu.
• Mainiet atslēgu, izveidojot jaunu uzņēmuma politiku, noņemot vidi no CMK un atkārtoti lietojot CMK ar jaunu uzņēmuma politiku.
• Bloķējiet CMK vides, atsaucot CMK atslēgu seifu un/vai atslēgu atļaujas.
• Migrējiet savas atslēgas (BYOK) vides uz CMK, izmantojot CMK atslēgu.

Pašlaik visus jūsu klientu datus, kas tiek glabāti tikai tālāk norādītajās programmās un pakalpojumos, var šifrēt ar klienta pārvaldītu atslēgu.

• Dataverse (Pielāgoti risinājumi un Microsoft pakalpojumi)
• Dataverse Copilot modeļa vadītām lietotnēm
• Power Automate¹
• Power Apps
• Dynamics 365 tērzēšana
• Dynamics 365 Pārdošana
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Finance and operations)
• Dynamics 365 Intelligent Order Management (Finanses un operācijas)
• Dynamics 365 Project Operations (Finanses un operācijas)
• Dynamics 365 Supply Chain Management (Finanses un operācijas)
• Dynamics 365 Fraud Protection (Finanses un operācijas)

1 Kad klienta pārvaldīto atslēgu lietojat videi, kurā ir esošas Power Automate plūsmas, plūsmu dati joprojām tiek šifrēti ar Microsoft pārvaldīto atslēgu. Papildinformācija: Power Automate klienta pārvaldīta atslēga.

Piezīmes

Nuance Sarunvalodas IVR un Maker sveiciena saturs ir izslēgti no klienta pārvaldītas atslēgas šifrēšanas.

Microsoft Copilot Studio glabā savus datus savā krātuvē un iekšā Microsoft Dataverse. Lietojot klienta pārvaldītu atslēgu šīm vidēm, ar jūsu atslēgu tiek šifrētas tikai datu Microsoft Dataverse krātuves. Microsoft Dataverse Nedati joprojām tiek šifrēti ar pārvaldīto Microsoft atslēgu.

Piezīmes

Savienotāju savienojuma iestatījumus turpinās šifrēt ar pārvaldītu Microsoft atslēgu.

Sazinieties ar iepriekš neminētu pakalpojumu pārstāvi, lai iegūtu informāciju par klientu pārvaldīto atslēgu atbalstu.

Piezīmes

Power Apps Parādāmie vārdi, apraksti un savienojuma metadati joprojām tiek šifrēti, izmantojot A Microsoft pārvaldīto atslēgu.

Piezīmes

Lejupielādes rezultāti saistīt un citi dati, ko risinājumu pārbaudītāja ieviešana ģenerē risinājuma pārbaudes laikā, joprojām tiek šifrēti ar Microsoft pārvaldītu atslēgu.

Var šifrēt arī vides ar finanšu un operāciju programmas, kurās Power Platform ir iespējota integrācija. Finance and operations vides bez Power Platform integrācijas turpinās izmantot noklusējuma Microsoft pārvaldīto atslēgu, lai šifrētu datus. PapildinformācijaŠifrēšana finanšu un operāciju programmas

Ievads par klienta pārvaldītu atslēgu

Izmantojot klienta pārvaldītu atslēgu, administratori var nodrošināt savu šifrēšanas atslēgu no sava Azure Key Vault krātuves Power Platform pakalpojumiem, lai šifrētu savus klientu datus. Microsoft nav tiešas piekļuves jūsu Azure Key Vault. Lai Power Platform pakalpojumi varētu piekļūt šifrēšanas atslēgai no jūsu Azure Key Vault, administrators izveido Power Platform uzņēmuma politiku, kas atsaucas uz šifrēšanas atslēgu un piešķir šai uzņēmuma politikai piekļuvi, lai lasītu atslēgu no jūsu Azure Key Vault.

Pēc Power Platform tam pakalpojuma administrators var pievienot Dataverse vides uzņēmuma politikai, lai sāktu šifrēt visus vidē esošos klientu datus, izmantojot jūsu šifrēšanas atslēgu. Administratori var mainīt vides šifrēšanas atslēgu, izveidojot citu uzņēmuma politiku, un pievienot vidi (pēc tās noņemšanas) jaunajai uzņēmuma politikai. Ja vide vairs nav jāšifrē, izmantojot klienta pārvaldītu atslēgu, administrators var noņemt Dataverse vidi no uzņēmuma politikas, lai datu šifrēšanu atjaunot iepriekšējo versiju atpakaļ uz Microsoft pārvaldīto atslēgu.

Administrators var bloķēt klienta pārvaldītās atslēgu vides, atsaucot atslēgu piekļuvi no uzņēmuma politikas, un atbloķēt vides, atjaunojot atslēgas piekļuvi. PapildinformācijaBloķēt vides, atsaucot atslēgu seifu un/vai atslēgu atļauju piekļuvi

Lai vienkāršotu galvenos pārvaldības uzdevumus, uzdevumi ir sadalīti trīs galvenajās jomās:

1. Izveidojiet šifrēšanas atslēgu.
2. Izveidojiet uzņēmuma politiku un piešķiriet piekļuvi.
3. Pārvaldiet vides šifrēšanu.

Brīdinājums.

Ja vides ir bloķētas, tām nevar piekļūt neviens, ieskaitot Microsoft atbalstu. Bloķētas vides tiek atspējotas un var rasties datu zudums.

Licencēšanas prasības klienta pārvaldītai atslēgai

Klienta pārvaldītās atslēgas politika tiek ieviesta tikai vidēs, kas ir aktivizētas Pārvaldītās vides. Pārvaldītās vides ir iekļautas kā tiesības savrupās Power Apps, Power Automate, Microsoft Copilot Studio Power Pages un Dynamics 365 licencēs, kas dod augstākās kvalitātes lietošanas tiesības. Uzziniet vairāk par pārvaldītās vides licencēšanu, izmantojot licencēšanas pārskatu par Microsoft Power Platform.

Turklāt, lai piekļūtu klienta pārvaldītas atslēgas Microsoft Power Platform izmantošanai un Dynamics 365, lietotājiem vidēs, kurās tiek īstenota šifrēšanas atslēgas politika, ir jābūt kādam no šiem abonementiem:

• Microsoft 365 vai Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 atbilstība
• Microsoft 365 F5 drošība un atbilstība
• Microsoft 365 A5/E5/F5/G5 informācijas aizsardzība un pārvaldība
• Microsoft 365 A5/E5/F5/G5 iekšējā riska pārvaldība

Uzziniet vairāk par šīm licencēm.

Izprotiet iespējamo risku, pārvaldot atslēgu

Tāpat kā jebkuras citas kritiskās biznesa programmas gadījumā jūsu organizācijas darbiniekiem, kuriem ir piekļuve administratīvā līmenī, jābūt uzticamiem. Pirms izmantojat atslēgu pārvaldības līdzekli, jums jāizprot risks, veicot datu bāzu šifrēšanas atslēgu pārvaldību. Ir iespējams, ka ļaunprātīgs administrators (persona, kurai ir piešķirta vai kura ir ieguvusi administratora līmeņa piekļuvi ar nolūku kaitēt organizācijas drošības vai biznesa procesiem), kas strādā jūsu organizācijā, var izmantot atslēgu pārvaldības līdzekli, lai izveidotu atslēgu, un izmantot to, lai bloķētu jūsu vidi nomniekā.

Apsveriet šādu scenāriju.

Ļaunprātīgo atslēgu seifu administrators Azure portālā izveido atslēgu un uzņēmuma politiku. Azure Key Vault administrators dodas uz Power Platform administrēšanas centru un pievieno vides uzņēmuma politikai. Pēc tam ļaunprātīgais administrators atgriežas Azure portālā un atsauc atslēgas piekļuvi uzņēmuma politikai, tādējādi bloķējot visas vides. Tas izraisa uzņēmējdarbības pārtraukumus, jo visas vides kļūst nepieejamas, un, ja šis notikums netiek atrisināts, tas ir, tiek atjaunota atslēgas piekļuve, vides dati var tikt zaudēti.

Piezīmes

• Azure Key Vault ir iebūvēti aizsarglīdzekļi, kas palīdz atjaunot atslēgu, kam ir jābūt iespējotiem mīkstās dzēšanas un iztīrīšanas aizsardzības atslēgas seifa iestatījumiem.
• Vēl viens drošības līdzeklis, kas jāņem vērā, ir pārliecināties, vai ir atdalīti uzdevumi, kuros Azure Key Vault administratoram nav piešķirta piekļuve Power Platform administrēšanas centram.

Pienākuma nodalīšana, lai mazinātu risku

Šajā sadaļā ir aprakstīti klienta pārvaldītās atslēgas līdzekļu pienākumi, par kuriem ir atbildīga katra administratora loma. Šo uzdevumu nodalīšana palīdz mazināt risku, kas saistīts ar klienta pārvaldītām atslēgām.

Azure Key Vault un Power Platform/Dynamics 365 pakalpojumu administrēšanas uzdevumi

Lai iespējotu klientu pārvaldītas atslēgas, vispirms atslēgu seifu administrators izveido atslēgu Azure atslēgu seifā un izveido Power Platform uzņēmuma politiku. Kad tiek izveidota uzņēmuma politika, tiek izveidota īpaša Microsoft Entra ID pārvaldīta identitāte. Pēc tam atslēgu seifu administrators atgriežas Azure atslēgu seifā un piešķir uzņēmuma politikai/pārvaldītajai identitātei piekļuvi šifrēšanas atslēgai.

Pēc tam atslēgu seifu administrators attiecīgā Power Platform/Dynamics 365 pakalpojuma administratoram piešķir lasīšanas piekļuvi uzņēmuma politikai. Kad lasīšanas atļauja ir piešķirta, Power Platform Dynamics 365 pakalpojuma administrators var doties uz administrēšanas Power Platform centru un pievienot vides uzņēmuma politikai. Pēc tam visu pievienoto vidi klientu dati tiek šifrēti ar klienta pārvaldītu atslēgu, kas saistīta ar šo uzņēmuma politiku.

Priekšnoteikumi

• Azure abonements, kas ietver Azure Key Vault vai Azure Key Vault pārvaldītus aparatūras drošības moduļus.
• ID Microsoft Entra ar:
  • Līdzstrādnieka atļauja abonementam Microsoft Entra .
  • Atļauja izveidot Azure atslēgu seifu un atslēgu.
  • Piekļuve, lai izveidotu resursu grupu. Tas ir nepieciešams, lai iestatītu atslēgu seifu.

Atslēgas izveide un piekļuves piešķiršana, izmantojot Azure Key Vault

Azure Key Vault administrators veic šos uzdevumus pakalpojumā Azure.

1. Izveidojiet Azure maksas abonementu un Key Vault. Ignorējiet šo solis, ja jums jau ir abonements, kas ietver Azure Key Vault.
2. Dodieties uz pakalpojumu Azure Key Vault un izveidojiet atslēgu. PapildinformācijaAtslēgas izveide atslēgu glabātuvē
3. Iespējojiet Power Platform uzņēmuma politiku pakalpojumu savam Azure abonementam. Dariet to tikai vienu reizi. Papildinformācija: Uzņēmuma politiku pakalpojuma iespējošana Power Platform savam Azure abonementam
4. Izveidojiet Power Platform uzņēmuma politiku. Papildinformācija: Uzņēmuma politikas izveide
5. Piešķiriet uzņēmuma politikas atļaujas, lai piekļūtu atslēgu glabātuvei. Papildinformācija: Uzņēmuma politikas atļauju piešķiršana, lai piekļūtu atslēgu seifam
6. Piešķiriet Power Platform un Dynamics 365 administratoriem atļauju lasīt uzņēmuma politiku. PapildinformācijaAdministratora Power Platform atļaujas piešķiršana lasīt uzņēmuma politiku

Power Platform/Dynamics 365 pakalpojuma administrēšanas Power Platform centra uzdevumi

Priekšnosacījums

• Power Platform administratoram ir jāpiešķir vai nu Power Platform Dynamics 365 pakalpojuma administratora Microsoft Entra loma.

Vides šifrēšanas pārvaldība administrēšanas Power Platform centrā

Administrators Power Platform pārvalda klienta pārvaldītus galvenos uzdevumus, kas saistīti ar administrēšanas Power Platform centra vidi.

1. Power Platform Pievienojiet vides uzņēmuma politikai, lai šifrētu datus ar klienta pārvaldītu atslēgu. PapildinformācijaVides pievienošana uzņēmuma politikai, lai šifrētu datus
2. Noņemiet vides no uzņēmuma politikas, lai atgrieztu šifrēšanu Microsoft pārvaldītajā atslēgā. PapildinformācijaVides noņemšana no politikas, lai atgrieztos pie Microsoft pārvaldītās atslēgas
3. Mainiet atslēgu, noņemot vides no vecās uzņēmuma politikas un pievienojot vides jaunai uzņēmuma politikai. PapildinformācijaŠifrēšanas atslēgas izveide un piekļuves piešķiršana
4. Migrēt no BYOK. Ja izmantojat agrāku pašu pārvaldītas šifrēšanas atslēgas līdzekli, varat migrēt atslēgu uz klienta pārvaldītu atslēgu. Papildinformācija: Savas atslēgas vides migrēšana uz klienta pārvaldītu atslēgu

Izveidojiet šifrēšanas atslēgu un piešķiriet piekļuvi

Azure maksas abonementa un atslēgu seifa izveide

Pakalpojumā Azure veiciet šādas darbības:

1. Izveidojiet paaudžu solidaritātes vai tam līdzvērtīgu Azure abonementu. Šis solis nav nepieciešams, ja nomniekam jau ir abonements.

2. Izveidojiet resursu grupu. Papildinformācija: Resursu grupu izveide

   Piezīmes

   Izveidojiet vai izmantojiet resursu grupu, kuras atrašanās vieta ir, piemēram, Centrālā ASV, kas atbilst Power Platform vides reģionam, piemēram, Amerikas Savienotās Valstis.

3. Izveidojiet atslēgu seifu, izmantojot maksas abonementu, kas ietver aizsardzību pret mīksto dzēšanu un iztīrīšanu ar resursu grupu, kuru izveidojāt iepriekšējā solis.

   Svarīgi

   • Lai nodrošinātu, ka jūsu vide ir aizsargāta pret nejaušu šifrēšanas atslēgas izdzēšanu, atslēgu seifā jābūt iespējotai mīkstajai dzēšanai un iztīrīšanas aizsardzībai. Jūs nevarēsit šifrēt savu vidi ar savu atslēgu, ja neiespējosit šos iestatījumus. Papildinformācija: Azure Key Vault mīkstās dzēšanas pārskats Papildinformācija: Atslēgu seifa izveide, izmantojot Azure portālu

Atslēgas izveide atslēgu glabātuvē

1. Pārliecinieties, vai esat izpildījis priekšnosacījumus.
2. Dodieties uz Azure portāla>atslēgu seifu un atrodiet atslēgu seifu, kurā vēlaties ģenerēt šifrēšanas atslēgu.
3. Pārbaudiet Azure atslēgu seifu iestatījumus:
   1. Atlasiet Rekvizīti sadaļā Iestatījumi.
   2. Sadaļā Mīkstā dzēšana iestatiet vai pārbaudiet, vai tā ir iestatīta uz Mīkstā dzēšana, ir iespējota šī taustiņu seifa opcija.
   3. Sadaļā Aizsardzība pret tīrīšanu iestatiet vai pārbaudiet, vai ir iespējota aizsardzība pret iztīrīšanu (ieviest obligātu saglabāšanas periodu izdzēstām glabātuvēm un glabātuvju objektiem).
   4. Ja veicāt izmaiņas, atlasiet Saglabāt.

RSA atslēgu izveide

1. Izveidojiet vai importējiet atslēgu, kurai ir šādi rekvizīti:

   1. Key Vault rekvizītu lapās atlasiet Atslēgas.
   2. Atlasiet Ģenerēt/Importēt.
   3. Ekrānā Atslēgas izveide iestatiet tālāk norādītās vērtības un pēc tam atlasiet Izveidot.
      • Opcijas: Ģenerēt
      • Nosaukums: norādiet atslēgas nosaukumu
      • Atslēgas tips: RSA
      • RSA atslēgas izmērs: 2048

   Svarīgi

   Ja atslēgā iestatāt derīguma termiņu un atslēgas derīguma termiņš ir beidzies, visas ar šo atslēgu šifrētās vides nedarbojas. Iestatiet brīdinājumu, lai pārraudzītu derīguma termiņa sertifikātus ar e-pasta paziņojumiem vietējam Power Platform administratoram un Azure atslēgu seifu administratoram kā atgādinājumu par derīguma termiņa atjaunošanu. Tas ir svarīgi, lai novērstu neplānotus sistēmas darbības pārtraukumus.

Aizsargāto atslēgu importēšana aparatūras drošības moduļiem (HSM)

Varat izmantot aizsargātās aparatūras drošības moduļu (HSM) atslēgas, lai šifrētu savas Power Platform Dataverse vides. Jūsu HSM aizsargātās atslēgas ir jāimportē atslēgu glabātuvē , lai varētu izveidot uzņēmuma politiku. Papildinformāciju skatiet sadaļā Atbalstītie HSMsHSM aizsargāto atslēgu importēšana pakalpojumā Key Vault (BYOK).

Atslēgas izveide Azure Key Vault pārvaldītajā HSM

Varat izmantot šifrēšanas atslēgu, kas izveidota no Azure Key Vault Managed HSM, lai šifrētu savus vides datus. Tas nodrošina FIPS 140-2 3. līmeņa atbalstu.

RSA-HSM atslēgu izveide

1. Pārliecinieties, vai esat izpildījis priekšnosacījumus.

2. Dodieties uz Azure portālu.

3. Izveidojiet pārvaldītu HSM:

   1. uzkrājums pārvaldīto HSM.
   2. Aktivizējiet pārvaldīto HSM.

4. Iespējojiet aizsardzību pret tīrīšanu savā pārvaldītajā HSM.

5. Piešķiriet pārvaldītā HSM kriptogrāfijas lietotāja lomu personai, kas izveidoja pārvaldīto HSM atslēgu glabātuvi.

   1. Piekļūstiet pārvaldītās HSM atslēgas seifam Azure portālā.
   2. Naviģējiet uz Local RBAC un atlasiet + Pievienot.
   3. Nolaižamajā sarakstā Role (Loma ) atlasiet lomu Managed HSM Crypto User ( Pārvaldīta HSM kriptogrāfijas lietotāja ) lapā Lomas piešķiršana (Role Assignment ).
   4. Atlasiet Visi taustiņi sadaļā Tvērums.
   5. Atlasiet Atlasīt drošības principālu un pēc tam lapā Pievienot galveno atlasiet administratoru .
   6. Atlasiet Izveidot.

6. Izveidojiet RSA-HSM atslēgu:

   • Opcijas: Ģenerēt
   • Nosaukums: norādiet atslēgas nosaukumu
   • Atslēgas tips: RSA-HSM
   • RSA atslēgas izmērs: 2048

   Piezīmes

   Atbalstītie RSA-HSM taustiņu izmēri: 2048 bitu un 3072 bitu.

Šifrējiet savu vidi, izmantojot atslēgu no Azure Key Vault ar privātiem saistīt

Varat atjaunināt sava Azure Key seifa tīklošanu, iespējojot privātu galapunktu , un izmantot atslēgu atslēgu atslēgu seifā, lai šifrētu savu Power Platform vidi.

Varat izveidot jaunu atslēgu glabātuvi un izveidot privātu saistīt savienojumu vai izveidot privātu saistīt savienojumu ar esošu atslēgu seifu un izveidot atslēgu no šī atslēgu seifa un izmantot to, lai šifrētu savu vidi. Varat arī izveidot privātu saistīt savienojumu ar esošu atslēgu seifu pēc tam, kad jau esat izveidojis atslēgu, un izmantot to, lai šifrētu savu vidi.

Datu šifrēšana ar atslēgu no atslēgu seifa ar privātiem saistīt

1. Izveidojiet Azure atslēgu seifu ar tālāk norādītajām opcijām.

   • Aizsardzības pret izpūšanu iespējošana
   • Atslēgas veids: RSA
   • Atslēgas izmērs: 2048

2. Kopējiet atslēgu seifa vietrādi URL un šifrēšanas atslēgas vietrādi URL, kas jāizmanto uzņēmuma politikas izveidei.

   Piezīmes

   Kad atslēgu glabātuvē būsit pievienojis privātu galapunktu vai atspējojis publiskās piekļuves tīklu, atslēgu nevarēsit redzēt, ja vien jums nebūs atbilstošas atļaujas.

3. Izveidojiet virtuālo tīklu.

4. Atgriezieties savā atslēgu glabātuvē un pievienojiet privātus galapunktu savienojumus savam Azure Key seifam.

   Piezīmes

   Jums ir jāizvēlas opcija Atspējot publiskās piekļuves tīklošanu un jāiespējo Atļaut uzticamiem Microsoft pakalpojumiem apiet šo ugunsmūra izņēmumu.

5. Izveidojiet Power Platform uzņēmuma politiku. Papildinformācija: Uzņēmuma politikas izveide

6. Piešķiriet uzņēmuma politikas atļaujas, lai piekļūtu atslēgu glabātuvei. Papildinformācija: Uzņēmuma politikas atļauju piešķiršana, lai piekļūtu atslēgu seifam

7. Piešķiriet Power Platform un Dynamics 365 administratoriem atļauju lasīt uzņēmuma politiku. PapildinformācijaAdministratora Power Platform atļaujas piešķiršana lasīt uzņēmuma politiku

8. Power Platform administrēšanas centra administrators atlasa vidi, kurā šifrēt un iespējot pārvaldīto vidi. PapildinformācijaPārvaldītas vides pievienošanas iespējošana uzņēmuma politikai

9. Power Platform administrēšanas centra administrators pievieno pārvaldīto vidi uzņēmuma politikai. PapildinformācijaVides pievienošana uzņēmuma politikai, lai šifrētu datus

Uzņēmuma politiku pakalpojuma iespējošana Power Platform savam Azure abonementam

Reģistrējieties Power Platform kā resursu nodrošinātājs. Šis uzdevums ir jāveic tikai vienreiz katram Azure abonementam, kurā atrodas jūsu Azure atslēgu seifs. Lai reģistrētu resursu nodrošinātāju, jums ir jābūt piekļuves tiesībām abonementam.

1. piesakieties Azure portālā un dodieties uz Abonēšanas>resursu nodrošinātāji.
2. Resursu nodrošinātāju sarakstā meklējiet Microsoft. PowerPlatform un reģistrējiet to.

Uzņēmuma politikas izveide

1. Instalējiet PowerShell MSI. Papildinformācija PowerShell instalēšana operētājsistēmās Windows, Linux un macOS
2. Kad PowerShell MSI ir instalēts, atgriezieties sadaļā Pielāgotas veidnes izvietošana pakalpojumā Azure.
3. Redaktorā atlasiet Izveidot savu veidni saistīt .
4. Kopējiet šo JSON veidni teksta redaktorā, piemēram, Notepad. Papildinformācija: Uzņēmuma politikas json veidne
5. Aizstājiet vērtības JSON veidnē uz:EnterprisePolicyName,atrašanās vietu, kur jāizveido EnterprisePolicy,keyVaultId unkeyName . Papildinformācija: JSON veidnes lauku definīcijas
6. Kopējiet atjaunināto veidni no teksta redaktora, pēc tam ielīmējiet to pielāgotā izvietojuma rediģēšanas veidnē pakalpojumā Azure un atlasiet Saglabāt.
7. Atlasiet abonementu un resursu grupu , kurā ir jāizveido uzņēmuma politika.
8. Atlasiet Pārskatīšana + izveidot un pēc tam atlasiet Izveidot.

Tiek sākta izvietošana. Kad tas ir izdarīts, tiek izveidota uzņēmuma politika.

Uzņēmuma politikas json veidne

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON veidnes lauku definīcijas

• nosaukums. Uzņēmuma politikas nosaukums. Šis ir administrēšanas centrā redzamās Power Platform politikas nosaukums.

• atrašanās vieta. Viens no šiem. Šī ir uzņēmuma politikas atrašanās vieta, un tai jāatbilst Dataverse vides reģionam:

  • ''Amerikas Savienotās Valstis''
  • ''Dienvidāfrika''
  • ""UK""
  • ''Japāna''
  • ""Indija""
  • ""Francija""
  • ''Eiropa''
  • ""Vācija""
  • ""Šveice""
  • ''Kanāda''
  • ""Brazīlija""
  • ''Austrālija''
  • ""Āzija""
  • ""AAE""
  • ""Koreja""
  • ''NORVĒĢIJA''
  • ''Singapūra''
  • ""Zviedrija""

• Kopējiet šīs vērtības no atslēgu seifu rekvizītiem Azure portālā:

  • keyVaultId: Dodieties uz Atslēgu glabātuves, atlasiet savu atslēgu seifu> >Pārskats. Blakus Essentials atlasiet JSON View. Kopējiet resursa ID starpliktuvē un ielīmējiet visu saturu savā JSON veidnē.
  • keyName: Dodieties uz Atslēgu glabātuves, atlasiet taustiņu seifu> >Atslēgas. Ievērojiet atslēgas nosaukumu un ierakstiet nosaukumu savā JSON veidnē.

Uzņēmuma politikas atļauju piešķiršana, lai piekļūtu atslēgu seifam

Kad uzņēmuma politika ir izveidota, atslēgu seifu administrators piešķir uzņēmuma politikas pārvaldītajai identitātei piekļuvi šifrēšanas atslēgai.

1. Piesakieties Azure portālā un dodieties uz Atslēgu seifi .
2. Atlasiet atslēgu seifu, kurā atslēga tika piešķirta uzņēmuma politikai.
3. Atlasiet cilni Access control (IAM) un pēc tam atlasiet + Pievienot.
4. Nolaižamajā sarakstā atlasiet Pievienot lomu piešķiršanu ,
5. Meklējiet Key Vault Crypto Service Encryption User un atlasiet to.
6. Atlasiet Tālāk.
7. Atlasīt + atlasīt dalībniekus.
8. Meklējiet izveidoto uzņēmuma politiku.
9. Atlasiet uzņēmuma politiku un pēc tam izvēlieties Atlasīt.
10. Atlasiet Pārskatīt + piešķirt.

Piezīmes

Iepriekš minētais atļauju iestatījums ir balstīts uz jūsu atslēgu seifa atļauju modeli, kas ietver Azure lomu piekļuves kontroli . Ja atslēgas seifam ir iestatīta seifu piekļuves politika, ieteicams migrēt uz modeli, kura pamatā ir lomas. Lai piešķirtu uzņēmuma politikai piekļuvi atslēgu glabātuvei, izmantojot seifu piekļuves politiku, izveidojiet Access politiku, atlasiet Iegūt sadaļā Atslēgu pārvaldības operācijas un Atkodēt atslēgu un sagatavošana atslēgu kriptogrāfijas operācijās.

Piezīmes

Lai novērstu neplānotus sistēmas darbības pārtraukumus, ir svarīgi, lai uzņēmuma politikai būtu piekļuve atslēgai. Pārliecinieties, vai:

• Atslēgu glabātuve ir aktīva.
• Atslēga ir aktīva un tai nav beidzies derīguma termiņš.
• Atslēga netiek izdzēsta.
• Iepriekš minētās atslēgas atļaujas netiek atsauktas.

Vides, kas izmanto šo atslēgu, tiks atspējotas, ja šifrēšanas atslēga nebūs pieejama.

Administratora Power Platform privilēģijas piešķiršana lasīt uzņēmuma politiku

Administratori, kuriem ir Dynamics 365 vai Power Platform administrēšanas lomas, var piekļūt administrēšanas centram Power Platform , lai piešķirtu vides uzņēmuma politikai. Lai piekļūtu uzņēmuma politikām, administratoram ar Azure atslēgu seifu piekļuvi ir jāpiešķir administratoram lasītāja loma. Power Platform Kad lasītāja loma ir piešķirta, Power Platform administrators administrēšanas centrā var skatīt uzņēmuma politikas Power Platform .

Piezīmes

Tikai Power Platform Dynamics 365 administratori, kuriem uzņēmuma politikai ir piešķirta lasītāja loma, var pievienot politiku videi. Citi Power Platform vai Dynamics 365 administratori, iespējams, varēs skatīt uzņēmuma politiku, taču, mēģinot politikai pievienot vidi , tiks parādīts kļūdas ziņojums.

Lasītāja lomas piešķiršana administratoram Power Platform

1. piesakieties Azure portālā.
2. Kopējiet Power Platform administratora objekta ID vai Dynamics 365 to. Lai to izdarītu:
   1. Dodieties uz apgabalu Lietotāji pakalpojumā Azure.
   2. Sarakstā Visi lietotāji atrodiet lietotāju ar Power Platform vai Dynamics 365 administratora atļaujas, izmantojot meklēšanas lietotājus.
   3. Atveriet lietotāja ierakstu, cilnē Pārskats kopējiet lietotāja objekta ID. Ielīmējiet to teksta redaktorā, piemēram, NotePad vēlākam laikam.
3. Kopējiet uzņēmuma politikas resursa ID. Lai to izdarītu:
   1. Dodieties uz resursu grafiku pārlūku pakalpojumā Azure.
   2. Ievadiet microsoft.powerplatform/enterprisepolicies meklēšanas lodziņā un pēc tam atlasiet resursu Microsoft.powerplatform/enterprisepolicies .
   3. Komandjoslā atlasiet Izpildīt vaicājumu . Tiek parādīts visu Power Platform uzņēmuma politiku saraksts.
   4. Atrodiet uzņēmuma politiku, kurai vēlaties piešķirt piekļuvi.
   5. Ritiniet pa labi no uzņēmuma politikas un atlasiet Skatīt detalizētu informāciju.
   6. Lapā Detalizēta informācija nokopējiet ID.
4. Startējiet Azure Cloud Shell un palaidiet tālāk norādīto komandu, aizstājot objId ar lietotāja objekta ID un EP Resource Id ar ID, kas kopēts, enterprisepolicies veicot iepriekšējās darbības: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Vides šifrēšanas pārvaldība

Lai pārvaldītu vides šifrēšanu, jums ir nepieciešama šāda atļauja:

• Microsoft Entra aktīvs lietotājs, kuram ir un/vai Dynamics 365 administratora Power Platform drošības loma.
• Microsoft Entra Lietotājs, kuram ir pakalpojuma administratora Power Platform vai Dynamics 365 loma.

Atslēgu seifu administrators paziņo administratoram, Power Platform ka ir izveidota šifrēšanas atslēga un uzņēmuma politika, un nodrošina uzņēmuma politiku administratoram Power Platform . Lai iespējotu klienta pārvaldīto atslēgu, Power Platform administrators piešķir savas vides uzņēmuma politikai. Kad vide ir piešķirta un saglabāta, Dataverse tiek uzsākts šifrēšanas process, lai iestatītu visus vides datus un šifrētu tos ar klienta pārvaldītu atslēgu.

Iespējot pārvaldītas vides pievienošanu uzņēmuma politikai

1. Piesakieties administrēšanas Power Platform centrā un atrodiet vidi.
2. Atlasiet un pārbaudiet vidi vides sarakstā.
3. Darbību joslā atlasiet ikonu Enable Pārvaldītās vides .
4. Atlasiet Iespējot.

Vides pievienošana uzņēmuma politikai, lai šifrētu datus

Svarīgi

Vide tiks atspējota, kad tā tiks pievienota uzņēmuma datu šifrēšanas politikai.

1. Piesakieties administrēšanas Power Platform centrā un dodieties uz Politikas>Uzņēmuma politikas.
2. Atlasiet politiku un pēc tam komandjoslā atlasiet Rediģēt.
3. Atlasiet Pievienot vides, atlasiet vajadzīgo vidi un pēc tam atlasiet Turpināt.
4. Atlasiet Saglabāt un pēc tam atlasiet Apstiprināt.

Svarīgi

• Sarakstā Pievienot vides tiek rādītas tikai tās vides, kas atrodas tajā pašā reģionā, kur atrodas uzņēmuma politika.
• Šifrēšanas pabeigšana var ilgt līdz četrām dienām, taču vide var tikt iespējota , pirms tiek pabeigta darbība Pievienot vides.
• Darbība var netikt pabeigta, un, ja tā neizdodas, jūsu dati joprojām tiek šifrēti ar Microsoft pārvaldīto atslēgu. Varat atkārtoti palaist darbību Pievienot vides vēlreiz.

Piezīmes

Varat pievienot tikai tādas vides, kas ir iespējotas kā Pārvaldītās vides. Izmēģinājumversijas un Teams vides tipus nevar pievienot uzņēmuma politikai.

Vides noņemšana no politikas, lai atgrieztos pie Microsoft pārvaldītās atslēgas

Izpildiet šīs darbības, ja vēlaties atgriezties pie pārvaldītas šifrēšanas atslēgas Microsoft .

Svarīgi

Vide tiks atspējota, kad tā tiks noņemta no uzņēmuma politikas, lai atgrieztu datu šifrēšanu, izmantojot pārvaldīto Microsoft atslēgu.

1. Piesakieties administrēšanas Power Platform centrā un dodieties uz Politikas>Uzņēmuma politikas.
2. Atlasiet cilni Vide ar politikām un pēc tam atrodiet vidi, kuru vēlaties noņemt no klienta pārvaldītās atslēgas.
3. Atlasiet cilni Visas politikas , atlasiet vidi, kuru verificējāt solis 2, un pēc tam komandjoslā atlasiet Rediģēt politiku .
4. Komandjoslā atlasiet Noņemt vidi , atlasiet vidi, kuru vēlaties noņemt, un pēc tam atlasiet Turpināt.
5. Atlasiet vienumu Saglabāt.

Svarīgi

Vide tiks atspējota, kad tā tiks noņemta no uzņēmuma politikas, lai atjaunot iepriekšējo versiju datu šifrēšanu uz Microsoft pārvaldīto atslēgu. Neizdzēsiet un neatspējojiet atslēgu, nedzēsiet vai neatspējojiet atslēgu seifu, kā arī nenoņemiet uzņēmuma politikas atļaujas atslēgu seifā. Atslēgas un atslēgas seifa piekļuve ir nepieciešama, lai atbalstītu datu bāzes atjaunošanu. Pēc 30 dienām varat dzēst un noņemt uzņēmuma politikas atļaujas.

Vides šifrēšanas statusa pārskatīšana

Šifrēšanas statusa pārskatīšana no uzņēmuma politikām

1. Pierakstieties Power Platform administrēšanas centrā.

2. Atlasiet Politikas>Uzņēmuma politikas.

3. Atlasiet politiku un pēc tam komandjoslā atlasiet Rediģēt.

4. Pārskatiet vides šifrēšanas statusu sadaļā Vides, izmantojot šo politikas sadaļu.

   Piezīmes

   Vides šifrēšanas statuss var būt:

   • Šifrēts - uzņēmuma politikas šifrēšanas atslēga ir aktīva, un vide tiek šifrēta ar jūsu atslēgu.
   • Neizdevās — uzņēmuma politikas šifrēšanas atslēgu neizmanto visi Dataverse krātuves pakalpojumi. To apstrāde prasa vairāk laika, un jūs varat atkārtoti palaist darbību Pievienot vidi . Sazinieties ar atbalsta dienestu, ja atkārtota palaišana neizdodas.
   • Brīdinājums — uzņēmuma politikas šifrēšanas atslēga ir aktīva, un viens no pakalpojuma datiem joprojām tiek šifrēts ar pārvaldīto Microsoft atslēgu. Uzzināt vairāk: Power Automate CMK lietojumprogrammas brīdinājuma ziņojumi

   Varat atkārtoti palaist opciju Pievienot vidi videi, kurai ir statuss Neveiksmīga šifrēšana.

Šifrēšanas statusa pārskatīšana lapā Vides vēsture

Jūs varat redzēt vides vēsturi.

1. Pierakstieties Power Platform administrēšanas centrā.

2. Navigācijas rūtī atlasiet Vides un pēc tam sarakstā atlasiet vidi.

3. Komandjoslā atlasiet Vēsture.

4. Atrodiet klienta pārvaldītās atslēgas atjaunināšanasvēsturi.

   Piezīmes

   Statuss rāda Darbojas , kad notiek šifrēšana. Tas parāda Izdevās , kad šifrēšana ir pabeigta. Statuss tiek rādīts kā neizdevās , ja ir radusies problēma ar kādu no pakalpojumiem, kas nevar lietot šifrēšanas atslēgu.

   Stāvoklis Neizdevās var būt brīdinājums , un jums nav atkārtoti jāpalaiž opcija Pievienot vidi . Jūs varat apstiprināt, vai tas ir brīdinājums.

Vides šifrēšanas atslēgas maiņa, izmantojot jaunu uzņēmuma politiku un atslēgu

Lai mainītu šifrēšanas atslēgu, izveidojiet jaunu atslēgu un jaunu uzņēmuma politiku. Pēc tam varat mainīt uzņēmuma politiku, noņemot vides un pēc tam pievienojot vides jaunajai uzņēmuma politikai. Pārejot uz jaunu uzņēmuma politiku, sistēma nedarbojas divas reizes - 1) lai atjaunot iepriekšējo versiju šifrēšanu uz Microsoft pārvaldīto atslēgu un 2) lai piemērotu jauno uzņēmuma politiku.

Padoms

Lai pagrieztu šifrēšanas atslēgu, ieteicams izmantot Key vaults'Jauna versija vai iestatīt pagriešanas politiku.

1. Azure portālā izveidojiet jaunu atslēgu un jaunu uzņēmuma politiku. PapildinformācijaŠifrēšanas atslēgas izveide, piekļuves piešķiršana un Uzņēmuma politikas izveide
2. Kad jaunā atslēga un uzņēmuma politika ir izveidota, dodieties uz sadaļu Politikas>Uzņēmuma politikas.
3. Atlasiet cilni Vide ar politikām un pēc tam atrodiet vidi, kuru vēlaties noņemt no klienta pārvaldītās atslēgas.
4. Atlasiet cilni Visas politikas , atlasiet vidi, kuru verificējāt solis 2, un pēc tam komandjoslā atlasiet Rediģēt politiku .
5. Komandjoslā atlasiet Noņemt vidi , atlasiet vidi, kuru vēlaties noņemt, un pēc tam atlasiet Turpināt.
6. Atlasiet vienumu Saglabāt.
7. Atkārtojiet 2.–6. darbību, līdz visas uzņēmuma politikas vides ir noņemtas.

Svarīgi

Vide tiks atspējota, kad tā tiks noņemta no uzņēmuma politikas, lai atjaunot iepriekšējo versiju datu šifrēšanu uz Microsoft pārvaldīto atslēgu. Neizdzēsiet un neatspējojiet atslēgu, nedzēsiet vai neatspējojiet atslēgu seifu, kā arī nenoņemiet uzņēmuma politikas atļaujas atslēgu seifā. Atslēgas un atslēgas seifa piekļuve ir nepieciešama, lai atbalstītu datu bāzes atjaunošanu. Pēc 30 dienām varat dzēst un noņemt uzņēmuma politikas atļaujas.

1. Kad visas vides ir noņemtas, no administrēšanas Power Platform centra dodieties uz sadaļu Uzņēmuma politikas.
2. Atlasiet jauno uzņēmuma politiku un pēc tam atlasiet Rediģēt politiku.
3. Atlasiet Pievienot vidi, atlasiet vides, kuras vēlaties pievienot, un pēc tam atlasiet Turpināt.

Svarīgi

Vide tiks atspējota, kad tā tiks pievienota jaunajai uzņēmuma politikai.

Pagrieziet vides šifrēšanas atslēgu, izmantojot jaunu atslēgas versiju

Vides šifrēšanas atslēgu var mainīt, izveidojot jaunu atslēgas versiju. Izveidojot jaunu atslēgas versiju, jaunā atslēgas versija tiek automātiski iespējota. Visi krātuves resursi nosaka jauno atslēgas versiju un sāk to lietot, lai šifrētu datus.

Modificējot atslēgu vai atslēgas versiju, saknes šifrēšanas atslēgas aizsardzība mainās, bet krātuves dati vienmēr paliek šifrēti ar jūsu atslēgu. Jums vairs nav jāveic nekādas darbības, lai nodrošinātu jūsu datu aizsardzību. Galvenās versijas pagriešana neietekmē veiktspēju. Ar atslēgas versijas pagriešanu nav saistīta dīkstāve. Var paiet 24 stundas, līdz visi resursu nodrošinātāji fonā lietos jauno atslēgas versiju. Iepriekšējo atslēgas versiju nedrīkst atspējot , jo tā ir nepieciešama, lai pakalpojums to izmantotu atkārtotai šifrēšanai un datu bāzes atjaunošanas atbalstam.

Lai pagrieztu šifrēšanas atslēgu, izveidojot jaunu atslēgas versiju, veiciet tālāk norādītās darbības.

1. Dodieties uz Azure portāla>Key Vaults un atrodiet atslēgu seifu, kurā vēlaties izveidot jaunu atslēgu versiju.
2. Naviģējiet uz taustiņiem.
3. Atlasiet pašreizējo, iespējoto taustiņu.
4. Atlasīt + Jaunā versija.
5. Iestatījuma Iespējots noklusējuma iestatījums ir Jā, kas nozīmē, ka izveides brīdī jaunā atslēgas versija tiek automātiski iespējota.
6. Atlasiet Izveidot.

Padoms

Lai ievērotu atslēgu pagriešanas politiku, varat pagriezt šifrēšanas atslēgu, izmantojot pagriešanas politiku. Varat konfigurēt pagriešanas politiku vai pagriezt pēc pieprasījuma, izsaucot opciju Pagriezt tūlīt.

Svarīgi

Jaunā atslēgas versija tiek automātiski pagriezta fonā, un administratoram Power Platform nav jāveic nekādas darbības. Ir svarīgi, lai iepriekšējā atslēgas versija netiktu atspējota vai izdzēsta vismaz 28 dienas, lai atbalstītu datu bāzes atjaunošanu. Pārāk agra iepriekšējās atslēgas versijas atspējošana vai dzēšana var padarīt jūsu vidi bezsaistē.

Šifrēto vides saraksta skatīšana

1. Piesakieties administrēšanas Power Platform centrā un dodieties uz Politikas>Uzņēmuma politikas.
2. Lapā Uzņēmuma politikas atlasiet cilni Vides ar politikām . Tiek parādīts to vides saraksts, kas tika pievienotas uzņēmuma politikām.

Piezīmes

Var būt situācijas, kad statuss Vides vai Šifrēšanas statuss rāda statusu Kļūme . Ja tā notiek, varat mēģināt atkārtoti palaist darbību Pievienot vidi vai iesniegt atbalsta pieprasījumu, Microsoft lai saņemtu palīdzību.

Vides datubāzes operācijas

Klienta nomniekam var būt vides, kas ir šifrētas, izmantojot pārvaldīto atslēgu, Microsoft un vides, kas ir šifrētas ar klienta pārvaldīto atslēgu. Lai saglabātu datu integritāti un aizsardzību, pārvaldot vides datu bāzu operācijas, ir pieejami šādi kontroles pasākumi:

• Atjaunot Pārrakstāmā vide (atjaunotā vide) ir ierobežota tajā pašā vidē, no kuras tika ņemts dublējums, vai citā vidē, kas ir šifrēta ar to pašu klienta pārvaldīto atslēgu.

  

• Kopēt Pārrakstāmā vide (kopētā vide) ir ierobežota ar citu vidi, kas ir šifrēta ar to pašu klienta pārvaldīto atslēgu.

  

  Piezīmes

  Tika izveidota Atbalsta izpētes vide, lai atrisinātu atbalsta problēmu klienta pārvaldītā vidē, šifrēšanas atslēga Atbalsta izpētes videi ir jāmaina uz klienta pārvaldītu atslēgu iekams var veikt vides kopēšanas darbību.

• Atiestatīt Vides šifrētie dati tiek dzēsti, ieskaitot dublējumus. Pēc vides atiestatīšanas vides šifrēšana atjaunot iepriekšējo versiju atpakaļ uz Microsoft pārvaldīto atslēgu.

Nākamās darbības

Par Azure Key Vault