Kongsi melalui

Urus kekunci penyulitan terurus pelanggan anda

Pelanggan mempunyai keperluan privasi dan pematuhan data untuk melindungi data mereka dengan menyulitkan data mereka dalam keadaan rehat. Ini melindungi data daripada pendedahan sekiranya salinan pangkalan data dicuri. Dengan penyulitan data dalam keadaan rehat, data pangkalan data yang dicuri dilindungi daripada dipulihkan ke pelayan lain tanpa kunci penyulitan.

Semua data pelanggan yang disimpan disulitkan Power Platform semasa rehat dengan kunci penyulitan yang diuruskan Microsoft yang kukuh secara lalai. Microsoft menyimpan dan mengurus kunci penyulitan pangkalan data untuk semua data anda supaya anda tidak perlu berbuat demikian. Walau bagaimanapun, Power Platform menyediakan kunci penyulitan (CMK) yang diuruskan pelanggan ini untuk kawalan perlindungan data tambahan anda di mana anda boleh mengurus sendiri kunci penyulitan pangkalan data yang dikaitkan dengan persekitaran anda Microsoft Dataverse . Ini membolehkan anda memutar atau menukar kunci penyulitan atas permintaan, dan juga membolehkan anda menghalang akses Microsoft kepada data pelanggan anda apabila anda membatalkan akses kunci kepada perkhidmatan kami pada bila-bila masa.

Untuk mengetahui lebih lanjut tentang kunci masuk Power Platform yang diuruskan pelanggan, tonton video kunci yang diuruskan pelanggan.

Operasi kunci penyulitan ini tersedia dengan kunci yang diuruskan pelanggan (CMK):

  • Cipta kunci RSA (RSA-HSM) daripada peti besi Azure Key anda.
  • Cipta Power Platform dasar perusahaan untuk kunci anda.
  • Berikan Power Platform keizinan dasar perusahaan untuk mengakses peti besi kunci anda.
  • Berikan Power Platform pentadbir perkhidmatan untuk membaca dasar perusahaan.
  • Gunakan kunci penyulitan pada persekitaran anda.
  • Kembalikan/alih keluar penyulitan CMK persekitaran kepada kunci yang diuruskan Microsoft.
  • Tukar kunci dengan mencipta dasar perusahaan baharu, mengalih keluar persekitaran daripada CMK dan menggunakan semula CMK dengan dasar perusahaan baharu.
  • Kunci persekitaran CMK dengan membatalkan peti besi kunci CMK dan/atau kebenaran kunci.
  • Pindahkan persekitaran bawa kunci anda sendiri (BYOK) ke CMK dengan menggunakan kunci CMK.

Pada masa ini, semua data pelanggan anda yang disimpan hanya dalam apl dan perkhidmatan berikut boleh disulitkan dengan kunci yang diuruskan pelanggan:

Awan komersial

  • Dataverse (Penyelesaian tersuai dan perkhidmatan Microsoft)
  • Dataverse Copilot untuk apl dipacu model
  • Kuasa Automatik
  • Sembang untuk Dynamics 365
  • Jualan Dynamics 365
  • Perkhidmatan Pelanggan Dynamics 365
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Runcit
  • Dynamics 365 Finance (Kewangan dan operasi)
  • Dynamics 365 Intelligent Order Management (Kewangan dan operasi)
  • Dynamics 365 Project Operations (Kewangan dan operasi)
  • Dynamics 365 Supply Chain Management (Kewangan dan operasi)
  • Dynamics 365 Fraud Protection (Kewangan dan operasi)
  • Copilot Studio

Awan berdaulat - GCC Tinggi

Nota

  • Hubungi wakil untuk perkhidmatan yang tidak disenaraikan di atas untuk mendapatkan maklumat tentang sokongan kunci yang diuruskan pelanggan.
  • Nuance IVR perbualan dan kandungan alu-aluan pembuat dikecualikan daripada penyulitan kunci yang diuruskan pelanggan.
  • Tetapan sambungan untuk penyambung terus disulitkan dengan kunci yang diuruskan Microsoft.
  • Power Apps nama paparan, perihalan dan metadata sambungan terus disulitkan dengan kunci yang diuruskan Microsoft.
  • Pautan hasil muat turun dan data lain yang dihasilkan oleh penguatkuasaan penyemak penyelesaian semasa semakan penyelesaian terus disulitkan dengan kunci yang diuruskan Microsoft.

Persekitaran dengan apl kewangan dan operasi di mana Power Platform penyepaduan didayakan juga boleh disulitkan. Persekitaran kewangan dan operasi tanpa Power Platform penyepaduan terus menggunakan kunci lalai yang diuruskan Microsoft untuk menyulitkan data. Ketahui lebih lanjut dalam Penyulitan dalam apl kewangan dan operasi.

Kunci penyulitan yang diuruskan oleh pelanggan dalam Power Platform

Pengenalan kepada kunci yang diuruskan pelanggan

Dengan kunci yang diuruskan pelanggan, pentadbir boleh menyediakan kunci penyulitan mereka sendiri daripada Azure Key Vault mereka sendiri kepada Power Platform perkhidmatan storan untuk menyulitkan data pelanggan mereka. Microsoft tidak mempunyai akses terus kepada Azure Key Vault anda. Untuk Power Platform perkhidmatan untuk mengakses kunci penyulitan daripada Azure Key Vault anda, pentadbir mencipta Power Platform dasar perusahaan, yang merujuk kunci penyulitan dan memberikan akses dasar perusahaan ini untuk membaca kunci daripada Azure Key Vault anda.

Pentadbir Power Platform perkhidmatan kemudiannya boleh menambah Dataverse persekitaran pada dasar perusahaan untuk mula menyulitkan semua data pelanggan dalam persekitaran dengan kunci penyulitan anda. Pentadbir boleh menukar kunci penyulitan persekitaran dengan mencipta dasar perusahaan lain dan menambah persekitaran (selepas mengalih keluarnya) pada dasar perusahaan baharu. Jika persekitaran tidak lagi perlu disulitkan menggunakan kunci yang diuruskan pelanggan anda, pentadbir boleh mengalih keluar Dataverse persekitaran daripada dasar perusahaan untuk mengembalikan penyulitan data kembali kepada kunci yang diuruskan oleh Microsoft.

Pentadbir boleh mengunci persekitaran kunci yang diuruskan pelanggan dengan membatalkan akses kunci daripada dasar perusahaan dan membuka kunci persekitaran dengan memulihkan akses kunci. Maklumat lanjut: Kunci persekitaran dengan membatalkan peti besi kunci dan/atau akses kebenaran kunci

Untuk memudahkan tugas pengurusan utama, tugas-tugas dipecahkan kepada tiga bidang utama:

  1. Cipta kunci penyulitan.
  2. Cipta dasar perusahaan dan berikan akses.
  3. Uruskan penyulitan persekitaran.

Amaran

Apabila persekitaran dikunci, ia tidak boleh diakses oleh sesiapa sahaja, termasuk sokongan Microsoft. Persekitaran yang dikunci menjadi dinyahdayakan dan kehilangan data boleh berlaku.

Keperluan pelesenan untuk kunci yang diuruskan pelanggan

Dasar kunci yang diuruskan pelanggan hanya dikuatkuasakan pada persekitaran yang diaktifkan untuk Persekitaran Terurus. Persekitaran Terurus disertakan sebagai kelayakan dalam lesen kendiri Power Apps, Power Automate,, Microsoft Copilot Studio, Power Pages dan Dynamics 365 yang memberikan hak penggunaan premium. Ketahui lebih lanjut tentang pelesenan Persekitaran Terurus, dengan gambaran keseluruhan Pelesenan untuk Microsoft Power Platform.

Di samping itu, akses kepada menggunakan kunci yang diuruskan pelanggan untuk Microsoft Power Platform dan Dynamics 365 memerlukan pengguna dalam persekitaran di mana dasar kunci penyulitan dikuatkuasakan untuk mempunyai salah satu daripada langganan ini:

  • Microsoft 365 atau Office 365 A5/E5/G5
  • Pematuhan A5/E5/F5/G5 Microsoft 365
  • Keselamatan dan Pematuhan F5 Microsoft 365
  • Microsoft 365 A5/E5/F5/G5 Perlindungan Maklumat dan Tadbir Urus
  • Pengurusan Risiko Orang Dalaman A5/E5/F5/G5 Microsoft 365

Ketahui lebih lanjut tentang lesen ini.

Fahami potensi risiko apabila anda mengurus kunci anda

Seperti juga dengan mana-mana aplikasi kritikal perniagaan, kakitangan dalam organisasi anda yang mempunyai akses peringkat pentadbiran mesti boleh dipercayai. Sebelum anda menggunakan ciri pengurusan kunci, anda perlu memahami risiko apabila anda menguruskan kunci penyulitan pangkalan data anda. Adalah mungkin bahawa pentadbir berniat jahat (seseorang yang diberikan atau telah memperoleh capaian peringkat pentadbir dengan niat untuk membahayakan keselamatan organisasi atau proses perniagaan) yang bekerja dalam organisasi anda mungkin menggunakan ciri urus kunci untuk mencipta kunci dan menggunakannya untuk mengunci persekitaran anda dalam penyewa.

Pertimbangkan urutan peristiwa berikut.

Pentadbir peti besi kunci berniat jahat mencipta kunci dan dasar perusahaan pada portal Microsoft Azure. Pentadbir Azure Key Vault pergi ke Power Platform pusat pentadbiran dan menambah persekitaran pada dasar perusahaan. Pentadbir berniat jahat kemudian kembali ke portal Microsoft Azure dan membatalkan capaian kunci kepada dasar perusahaan sekali gus mengunci semua persekitaran. Ini menyebabkan gangguan perniagaan kerana semua persekitaran menjadi tidak boleh diakses, dan jika peristiwa ini tidak diselesaikan, iaitu, akses utama dipulihkan, data persekitaran berpotensi hilang.

Nota

  • Azure Key Vault mempunyai perlindungan terbina dalam yang membantu memulihkan kunci, yang memerlukan seting peti besi kunci perlindungan Padam Lembut dan Bersihkan didayakan.
  • Satu lagi perlindungan yang perlu dipertimbangkan ialah memastikan bahawa terdapat pemisahan tugas di mana pentadbir Azure Key Vault tidak diberikan akses kepada Power Platform pusat pentadbiran.

Pemisahan tugas untuk mengurangkan risiko

Bahagian ini menerangkan tugas ciri utama yang diuruskan pelanggan yang bertanggungjawab bagi setiap peranan pentadbir. Mengasingkan tugas ini membantu mengurangkan risiko yang terlibat dengan kunci yang diuruskan pelanggan.

Tugas pentadbir perkhidmatan Azure Key Vault dan Power Platform/Dynamics 365

Untuk mendayakan kunci yang diuruskan pelanggan, mula-mula pentadbir peti besi kunci mencipta kunci dalam peti besi kunci Azure dan mencipta Power Platform dasar perusahaan. Apabila dasar perusahaan dicipta, identiti terurus ID khas Microsoft Entra dicipta. Seterusnya, pentadbir peti besi kunci kembali ke peti besi kunci Azure dan memberikan dasar perusahaan/akses identiti terurus kepada kunci penyulitan.

Pentadbir peti besi kunci kemudiannya memberikan Power Platform akses baca pentadbir perkhidmatan berkenaan/Dynamics 365 kepada dasar perusahaan. Setelah kebenaran baca diberikan, Power Platform pentadbir perkhidmatan / Dynamics 365 boleh pergi ke Pusat Pentadbiran Power Platform dan menambah persekitaran pada dasar perusahaan. Semua data pelanggan persekitaran yang ditambah kemudiannya disulitkan dengan kunci yang diuruskan pelanggan yang dipautkan kepada dasar perusahaan ini.

Prasyarat
  • Langganan Azure yang termasuk modul keselamatan perkakasan terurus Azure Key Vault atau Azure Key Vault.
  • Microsoft Entra ID dengan:
    • Keizinan penyumbang untuk Microsoft Entra langganan.
    • Keizinan untuk mencipta Azure Key Vault dan kunci.
    • Akses untuk mencipta kumpulan sumber. Ini diperlukan untuk menyediakan peti besi kunci.
Cipta kunci dan berikan akses menggunakan Azure Key Vault

Pentadbir Azure Key Vault melaksanakan tugas ini dalam Azure.

  1. Cipta langganan berbayar Azure dan Key Vault. Abaikan langkah ini jika anda sudah mempunyai langganan yang termasuk Azure Key Vault.
  2. Pergi ke perkhidmatan Azure Key Vault dan cipta kunci. Maklumat lanjut: Cipta kunci dalam peti besi kunci
  3. Dayakan Power Platform perkhidmatan dasar perusahaan untuk langganan Azure anda. Lakukan ini sekali sahaja. Maklumat lanjut: Dayakan Power Platform perkhidmatan dasar perusahaan untuk langganan Azure anda
  4. Cipta Power Platform dasar perusahaan. Maklumat lanjut: Buat dasar perusahaan
  5. Berikan kebenaran dasar perusahaan untuk mengakses peti besi kunci. Maklumat lanjut: Berikan keizinan dasar perusahaan untuk mengakses peti besi kunci
  6. Keizinan pentadbir Grant Power Platform dan Dynamics 365 untuk membaca dasar perusahaan. Maklumat lanjut: Berikan keistimewaan Power Platform pentadbir untuk membaca dasar perusahaan

Power Platform/Tugas pusat pentadbiran pentadbir Power Platform perkhidmatan /Dynamics 365

Prasyarat

Power Platform pentadbir mesti ditugaskan kepada sama ada Power Platform peranan pentadbir Microsoft Entra atau Dynamics 365 Service.

Urus penyulitan persekitaran dalam Power Platform pusat pentadbiran

Power Platform Pentadbir menguruskan tugas utama yang diuruskan pelanggan yang berkaitan dengan persekitaran dalam Power Platform pusat pentadbiran.

  1. Tambahkan Power Platform persekitaran pada dasar perusahaan untuk menyulitkan data dengan kunci yang diuruskan pelanggan. Maklumat lanjut: Tambah persekitaran pada dasar perusahaan untuk menyulitkan data
  2. Alih keluar persekitaran daripada dasar perusahaan untuk mengembalikan penyulitan kepada kunci yang diuruskan Microsoft. Maklumat lanjut: Alih keluar persekitaran daripada dasar untuk kembali kepada kunci terurus Microsoft
  3. Tukar kunci dengan mengalih keluar persekitaran daripada dasar perusahaan lama dan menambah persekitaran pada dasar perusahaan baharu. Maklumat lanjut: Cipta kunci penyulitan dan berikan akses
  4. Berhijrah daripada BYOK. Jika anda menggunakan ciri kunci penyulitan terurus sendiri yang lebih awal, anda boleh memindahkan kunci anda kepada kunci yang diuruskan pelanggan. Ketahui lebih lanjut dalam Memindahkan persekitaran bawa kunci anda sendiri kepada kunci yang diuruskan pelanggan.

Cipta kunci penyulitan dan berikan akses

Cipta langganan berbayar Azure dan peti besi kunci

Dalam Azure, lakukan langkah berikut:

  1. Cipta langganan Bayar semasa anda pergi atau langganan Azure yang setaraf. Langkah ini tidak diperlukan jika penyewa sudah mempunyai langganan.

  2. Cipta kumpulan sumber. Maklumat lanjut: Cipta kumpulan sumber

    Nota

    Cipta atau gunakan kumpulan sumber yang mempunyai lokasi, contohnya, AS Tengah, yang sepadan Power Platform dengan rantau persekitaran, seperti Amerika Syarikat.

  3. Cipta peti besi kunci menggunakan langganan berbayar yang termasuk perlindungan pemadaman lembut dan pembersihan dengan kumpulan sumber yang anda cipta dalam langkah sebelumnya.

    Penting

    Untuk memastikan persekitaran anda dilindungi daripada pemadaman kunci penyulitan secara tidak sengaja, peti besi kunci mesti mempunyai perlindungan padam lembut dan pembersihan didayakan. Anda tidak akan dapat menyulitkan persekitaran anda dengan kunci anda sendiri tanpa mendayakan tetapan ini. Maklumat lanjut: Gambaran keseluruhan padam lembut Azure Key Vault Maklumat lanjut: Cipta peti besi kunci menggunakan portal Microsoft Azure

Cipta kunci dalam peti besi kunci

  1. Pastikan anda telah memenuhi prasyarat.
  2. Pergi ke portal Azure>Key Vault dan cari peti besi kunci di mana anda mahu menjana kunci penyulitan.
  3. Sahkan seting peti besi kunci Azure:
    1. Pilih Properties di bawah Tetapan .
    2. Di bawah Padam lembut, tetapkan atau sahkan bahawa ia ditetapkan kepada Padam lembut telah didayakan pada pilihan peti besi kunci ini.
    3. Di bawah Bersihkan perlindungan, tetapkan atau sahkan bahawa Dayakan perlindungan pembersihan (kuatkuasakan tempoh pengekalan mandatori untuk peti besi dan objek peti besi yang dipadamkan) didayakan.
    4. Jika anda membuat perubahan, pilih Simpan.
Cipta kunci RSA

  1. Cipta atau import kunci yang mempunyai sifat ini:

    1. Pada halaman sifat Key Vault , pilih Kunci.
    2. Pilih Janakan/Import.
    3. Pada skrin Cipta kekunci setkan nilai berikut, dan kemudian pilih Cipta.
      • Pilihan: Menjana
      • Nama: Berikan nama untuk kunci
      • Jenis kunci: RSA
      • Saiz kunci RSA: 2048 atau 3072

    Penting

    Jika anda menetapkan tarikh luput dalam kunci anda dan kunci telah tamat tempoh, semua persekitaran yang disulitkan dengan kunci ini akan tidak berfungsi. Tetapkan amaran untuk memantau sijil tamat tempoh dengan pemberitahuan e-mel untuk pentadbir tempatan Power Platform anda dan pentadbir peti besi kunci Azure sebagai peringatan untuk memperbaharui tarikh tamat tempoh. Ini penting untuk mengelakkan sebarang gangguan sistem yang tidak dirancang.

Import kunci yang dilindungi untuk Modul Keselamatan Perkakasan (HSM)

Anda boleh menggunakan kunci dilindungi anda untuk modul keselamatan perkakasan (HSM) untuk menyulitkan persekitaran anda Power Platform Dataverse . Kunci yang dilindungi HSM anda mesti diimport ke dalam peti besi kunci supaya dasar Enterprise boleh dibuat. Untuk maklumat lanjut, lihat HSMyang disokong Mengimport kunci yang dilindungi HSM ke Key Vault (BYOK).

Cipta kunci dalam HSM Terurus Azure Key Vault

Anda boleh menggunakan kunci penyulitan yang dicipta daripada Azure Key Vault Managed HSM untuk menyulitkan data persekitaran anda. Ini memberi anda sokongan FIPS 140-2 Tahap 3.

Cipta kunci RSA-HSM

  1. Pastikan anda telah memenuhi prasyarat.

  2. Pergi ke portal Microsoft Azure.

  3. Buat HSM Terurus:

    1. Peruntukan HSM Terurus.
    2. Aktifkan HSM Terurus.

  4. Dayakan Perlindungan Pembersihan dalam HSM Terurus anda.

  5. Berikan peranan Pengguna Kripto HSM Terurus kepada orang yang mencipta peti besi kunci HSM Terurus.

    1. Akses peti besi kunci HSM terurus pada portal Microsoft Azure.
    2. Navigasi ke RBAC Tempatan dan pilih + Tambah.
    3. Dalam senarai juntai bawah Peranan , pilih peranan Pengguna Kripto HSM Terurus pada halaman Tugasan peranan.
    4. Pilih Semua kekunci di bawah Skop.
    5. Pilih Pilih Prinsipal keselamatan, dan kemudian pilih pentadbir pada halaman Tambah Prinsipal .
    6. Pilih Cipta.

  6. Buat kunci RSA-HSM:

    • Pilihan: Menjana
    • Nama: Berikan nama untuk kunci
    • Jenis kunci: RSA-HSM
    • Saiz kunci RSA: 2048

    Nota

    Saiz kunci RSA-HSM yang disokong: 2048 -bit dan 3072-bit.

Anda boleh mengemas kini rangkaian peti besi Azure Key anda dengan mendayakan titik akhir peribadi dan menggunakan kunci dalam peti besi kunci untuk menyulitkan persekitaran anda Power Platform .

Anda boleh sama ada mencipta peti besi kunci baharu dan mewujudkan sambungan pautan peribadi atau mewujudkan sambungan pautan peribadi ke peti besi kunci sedia ada dan mencipta kunci daripada peti besi kunci ini dan menggunakannya untuk menyulitkan persekitaran anda. Anda juga boleh mewujudkan sambungan pautan peribadi ke peti besi kunci sedia ada selepas anda telah mencipta kunci dan menggunakannya untuk menyulitkan persekitaran anda.

  1. Cipta peti besi Azure Key dengan pilihan ini:

    • Dayakan Perlindungan Pembersihan
    • Jenis kunci: RSA
    • Saiz kunci: 2048 atau 3072

  2. Salin URL peti besi kunci dan URL kunci penyulitan yang akan digunakan untuk mencipta dasar perusahaan.

    Nota

    Sebaik sahaja anda telah menambah titik akhir peribadi pada peti besi kunci anda atau menyahdayakan rangkaian akses awam, anda tidak akan dapat melihat kunci melainkan anda mempunyai kebenaran yang sesuai.

  3. Buat rangkaian maya.

  4. Kembali ke peti besi kunci anda dan tambahkan sambungan titik akhir peribadi pada peti besi Azure Key anda.

    Nota

    Anda perlu memilih pilihan Lumpuhkan rangkaian akses awam dan dayakan Benarkan perkhidmatan Microsoft yang dipercayai untuk memintas pengecualian tembok api ini.

  5. Cipta Power Platform dasar perusahaan. Maklumat lanjut: Buat dasar perusahaan

  6. Berikan kebenaran dasar perusahaan untuk mengakses peti besi kunci. Maklumat lanjut: Berikan keizinan dasar perusahaan untuk mengakses peti besi kunci

  7. Keizinan pentadbir Grant Power Platform dan Dynamics 365 untuk membaca dasar perusahaan. Maklumat lanjut: Berikan keistimewaan Power Platform pentadbir untuk membaca dasar perusahaan

  8. Power Platform pentadbir pusat pentadbiran memilih persekitaran untuk menyulitkan dan mendayakan persekitaran terurus. Maklumat lanjut: Dayakan persekitaran terurus untuk ditambah pada dasar perusahaan

  9. Power Platform pentadbir pusat pentadbiran menambah persekitaran Terurus pada dasar perusahaan. Maklumat lanjut: Tambah persekitaran pada dasar perusahaan untuk menyulitkan data

Dayakan Power Platform perkhidmatan dasar perusahaan untuk langganan Azure anda

Daftar Power Platform sebagai pembekal sumber. Anda hanya perlu melakukan tugas ini sekali untuk setiap langganan Azure di mana peti besi Azure Key anda berada. Anda perlu mempunyai hak akses kepada langganan untuk mendaftarkan pembekal sumber.

  1. Log masuk ke portal Microsoft Azure dan pergi ke Pembekal> Sumber Langganan.
  2. Dalam senarai pembekal Sumber, cari Microsoft.PowerPlatform dan Daftarkannya .

Buat dasar perusahaan

  1. Pasang PowerShell MSI. Maklumat lanjut: Pasang PowerShell pada Windows, Linux dan macOS
  2. Selepas MSI PowerShell dipasang, kembali ke Gunakan templat tersuai dalam Azure.
  3. Pilih Bina templat anda sendiri dalam pautan editor .
  4. Salin templat JSON ini ke dalam editor teks seperti Notepad. Maklumat lanjut: Templat json dasar perusahaan
  5. Gantikan nilai dalam templat JSON untuk: EnterprisePolicyName,lokasi di mana EnterprisePolicy perlu dicipta,keyVaultId dan keyName. Maklumat lanjut: Definisi medan untuk templat json
  6. Salin templat yang dikemas kini daripada editor teks anda, kemudian tampalkannya ke dalam templat Edit penggunaan Tersuai dalam Azure dan pilih Simpan.
  7. Pilih kumpulan Langganan dan Sumber di mana dasar perusahaan akan dicipta.
  8. Pilih Semak + cipta dan kemudian pilih Cipta.

Penggunaan dimulakan. Apabila ia selesai, dasar perusahaan dibuat.

Templat json dasar perusahaan

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Takrifan medan untuk templat JSON

  • nama. Nama dasar perusahaan. Ini ialah nama dasar yang dipaparkan dalam Power Platform pusat pentadbiran.

  • lokasi. Salah satu daripada yang berikut. Ini adalah lokasi dasar perusahaan dan ia mesti sepadan dengan Dataverse rantau alam sekitar:

    • '"Amerika Syarikat"'
    • '"Afrika Selatan"'
    • '"uk"'
    • '"Jepun"'
    • '"India"'
    • '"Perancis"'
    • '"Eropah"'
    • '"Jerman"'
    • '"Switzerland"'
    • '"Kanada"'
    • '"Brazil"'
    • '"Australia"'
    • '"Asia"'
    • '"UAE"'
    • '"Korea"'
    • '"Norway"'
    • '"Singapura"'
    • '"Sweden"'

  • Salin nilai ini daripada sifat peti besi utama anda dalam portal Microsoft Azure:

    • keyVaultId: Pergi ke Peti besi> utama pilih Gambaran Keseluruhan > peti besiutama anda. Di sebelah Essentials , pilih Paparan JSON. Salin ID Sumber ke papan keratan dan tampal keseluruhan kandungan ke dalam templat JSON anda.
    • keyName: Pergi ke Peti besi> kunci pilih Kunci > peti besikunci anda. Perhatikan kunci Nama dan taipkan nama ke dalam templat JSON anda.

Berikan keizinan dasar perusahaan untuk mengakses peti besi kunci

Setelah dasar perusahaan dicipta, pentadbir peti besi kunci memberikan akses identiti terurus dasar perusahaan kepada kunci penyulitan.

  1. Log masuk ke portal Microsoft Azure dan pergi ke Peti besi utama.
  2. Pilih peti besi kunci di mana kunci ditugaskan kepada dasar perusahaan.
  3. Pilih tab Kawalan akses (IAM), dan kemudian pilih + Tambah.
  4. Pilih Tambah tugasan peranan daripada senarai juntai bawah,
  5. Cari Pengguna Penyulitan Perkhidmatan Kripto Key Vault dan pilihnya.
  6. Pilih Seterusnya.
  7. Pilih + Pilih ahli.
  8. Cari dasar perusahaan yang telah anda buat.
  9. Pilih dasar perusahaan dan kemudian pilih Pilih.
  10. Pilih Semak + tugaskan.

Tetapan keizinan di atas adalah berdasarkan model Keizinan peti besi kunci anda bagi kawalan capaian berasaskan peranan Azure. Jika peti besi kunci anda ditetapkan kepada dasar capaian Vault, anda disyorkan untuk berhijrah ke model berasaskan peranan. Untuk memberikan dasar perusahaan anda akses kepada peti besi kunci menggunakan dasar capaian Vault, cipta dasar Access, pilih Dapatkan pada operasi pengurusan Kunci dan Nyahbungkus kunci dan kunci Balut pada Operasi Kriptografi.

Nota

Untuk mengelakkan sebarang gangguan sistem yang tidak dirancang, adalah penting bahawa dasar perusahaan mempunyai akses kepada kunci. Pastikan bahawa:

  • Peti besi kunci aktif.
  • Kunci aktif dan tidak tamat tempoh.
  • Kunci tidak dipadamkan.
  • Kebenaran utama di atas tidak dibatalkan.

Persekitaran yang menggunakan kunci ini dinyahdayakan apabila kunci penyulitan tidak boleh diakses.

Berikan keistimewaan Power Platform pentadbir untuk membaca dasar perusahaan

Pentadbir yang mempunyai peranan Dynamics 365 atau Power Platform pentadbiran boleh mengakses pusat pentadbiran Power Platform untuk memperuntukkan persekitaran kepada dasar perusahaan. Untuk mengakses dasar perusahaan, pentadbir dengan capaian peti besi kunci Azure dikehendaki memberikan peranan Pembaca kepada Power Platform pentadbir. Setelah peranan Pembaca diberikan, Power Platform pentadbir dapat melihat dasar perusahaan pada Power Platform pusat pentadbiran.

Nota

Hanya Power Platform pentadbir dan Dynamics 365 yang diberikan peranan pembaca kepada dasar perusahaan boleh menambah persekitaran pada dasar. Pentadbir lain Power Platform atau Dynamics 365 mungkin dapat melihat dasar perusahaan, tetapi mereka mendapat ralat apabila mereka cuba Tambah persekitaran pada dasar.

Berikan peranan pembaca kepada pentadbir Power Platform

  1. Log masuk ke portal Microsoft Azure.
  2. Salin Power Platform ID objek pentadbir atau Dynamics 365. Untuk melakukan ini:
    1. Pergi ke kawasan Pengguna dalam Azure.
    2. Dalam senarai Semua pengguna , cari pengguna dengan Power Platform atau keizinan pentadbir Dynamics 365 menggunakan pengguna carian.
    3. Buka rekod pengguna, pada tab Gambaran Keseluruhan salin ID Objek pengguna . Tampal ini ke dalam editor teks seperti NotePad untuk kemudian.
  3. Salin ID sumber dasar perusahaan. Untuk melakukan ini:
    1. Pergi ke Penjelajah Graf Sumber dalam Azure.
    2. Masukkan microsoft.powerplatform/enterprisepolicies dalam kotak Carian , dan kemudian pilih sumber Microsoft.powerplatform/enterprisepolicies .
    3. Pilih Jalankan pertanyaan pada bar perintah. Senarai semua Power Platform dasar perusahaan dipaparkan.
    4. Cari dasar perusahaan tempat anda mahu memberikan akses.
    5. Tatal ke kanan dasar perusahaan dan pilih Lihat butiran.
    6. Pada halaman Butiran , salin id.
  4. Mulakan Azure Cloud Shell dan jalankan arahan berikut menggantikan objId dengan ID objek pengguna dan ID Sumber EP dengan enterprisepolicies ID yang disalin dalam langkah sebelumnya: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Urus penyulitan persekitaran

Untuk mengurus penyulitan persekitaran, anda memerlukan kebenaran berikut:

  • Microsoft Entra pengguna aktif yang mempunyai Power Platform peranan keselamatan pentadbir dan/atau Dynamics 365.
  • Microsoft Entra pengguna yang mempunyai peranan pentadbir perkhidmatan atau Power Platform Dynamics 365.

Pentadbir peti besi kunci memberitahu pentadbir Power Platform bahawa kunci penyulitan dan dasar perusahaan telah dicipta dan menyediakan dasar perusahaan kepada Power Platform pentadbir. Untuk mendayakan kunci yang diuruskan pelanggan, Power Platform pentadbir memperuntukkan persekitaran mereka kepada dasar perusahaan. Sebaik sahaja persekitaran ditugaskan dan disimpan, Dataverse memulakan proses penyulitan untuk menetapkan semua data persekitaran, dan menyulitkannya dengan kunci yang diuruskan pelanggan.

Dayakan persekitaran terurus untuk ditambah pada dasar perusahaan

  1. Log masuk ke Pusat Pentadbiran Power Platform .
  2. Dalam anak tetingkap navigasi, pilih Urus.
  3. Dalam anak tetingkap Urus , pilih Persekitaran, dan kemudian pilih persekitaran daripada senarai persekitaran yang tersedia.
  4. Pilih Dayakan Persekitaran Terurus.
  5. Pilih Dayakan.

Tambah persekitaran pada dasar perusahaan untuk menyulitkan data

Penting

Persekitaran dilumpuhkan apabila ia ditambahkan pada dasar perusahaan untuk penyulitan data. Tempoh masa henti sistem bergantung kepada saiz pangkalan data. Kami mengesyorkan agar anda melakukan ujian dengan membuat salinan persekitaran sasaran ke dalam persekitaran ujian untuk menentukan anggaran masa henti sistem. Masa henti sistem boleh ditentukan dengan menyemak status penyulitan persekitaran. Masa henti sistem adalah antara Penyulitan dan Penyulitan - status dalam talian . Untuk mengurangkan masa henti sistem, kami menukar status penyulitan kepada Penyulitan - dalam talian apabila semua langkah penyulitan teras yang memerlukan sistem tidak berfungsi selesai. Sistem ini boleh digunakan oleh pengguna anda manakala perkhidmatan storan yang tinggal, seperti carian dan indeks Copilot, terus menyulitkan data dengan kunci yang diuruskan pelanggan anda.

  1. Log masuk ke Pusat Pentadbiran Power Platform .
  2. Dalam anak tetingkap navigasi, pilih Keselamatan.
  3. Dalam anak tetingkap Keselamatan , pilih Data dan Privasi di bawah Tetapan.
  4. Pilih Kunci penyulitan yang diuruskan pelanggan untuk pergi ke halaman Dasar Perusahaan.
  5. Pilih dasar dan kemudian pilih Edit dasar.
  6. Pilih Tambah persekitaran, pilih persekitaran yang anda mahu dan kemudian pilih Teruskan. Tambah persekitaran pada dasar perusahaan
  7. Pilih Simpan, dan kemudian pilih Sahkan.

Penting

  • Hanya persekitaran yang berada di rantau yang sama dengan dasar perusahaan dipaparkan dalam senarai Tambah persekitaran .
  • Penyulitan boleh mengambil masa sehingga empat hari untuk diselesaikan, tetapi persekitaran mungkin didayakan sebelum operasi Tambah persekitaran selesai.
  • Operasi mungkin tidak selesai dan jika gagal, data anda terus disulitkan dengan kunci yang diuruskan Microsoft. Anda boleh menjalankan semula operasi Tambah persekitaran sekali lagi.

Nota

Anda hanya boleh menambah persekitaran yang didayakan sebagai Persekitaran Terurus. Jenis persekitaran percubaan dan Pasukan tidak boleh ditambah pada dasar perusahaan.

Alih keluar persekitaran daripada dasar untuk kembali kepada kunci yang diuruskan Microsoft

Ikut langkah ini jika anda mahu kembali kepada kunci penyulitan yang diuruskan oleh Microsoft.

Penting

Persekitaran dinyahdayakan apabila ia dialih keluar daripada dasar perusahaan untuk mengembalikan penyulitan data menggunakan kunci yang diuruskan Microsoft.

  1. Log masuk ke Pusat Pentadbiran Power Platform .
  2. Dalam anak tetingkap navigasi, pilih Keselamatan.
  3. Dalam anak tetingkap Keselamatan , pilih Data dan Privasi di bawah Tetapan.
  4. Pilih Kunci penyulitan yang diuruskan pelanggan untuk pergi ke halaman Dasar Perusahaan.
  5. Pilih tab Persekitaran dengan dasar dan kemudian cari persekitaran yang anda mahu alih keluar daripada kunci yang diuruskan pelanggan.
  6. Pilih tab Semua dasar , pilih persekitaran yang anda sahkan dalam langkah 2 dan kemudian pilih Edit dasar pada bar perintah. Tab Semua Dasar
  7. Pilih Alih keluar persekitaran pada bar perintah, pilih persekitaran yang anda mahu alih keluar dan kemudian pilih Teruskan.
  8. Pilih Simpan.

Penting

Persekitaran dinyahdayakan apabila ia dialih keluar daripada dasar perusahaan untuk mengembalikan penyulitan data kepada kunci yang diuruskan Microsoft. Jangan padamkan atau lumpuhkan kunci, padamkan atau lumpuhkan peti besi kunci atau alih keluar keizinan dasar perusahaan kepada peti besi kunci. Akses kunci dan peti besi kunci diperlukan untuk menyokong pemulihan pangkalan data. Anda boleh memadam dan mengalih keluar keizinan dasar perusahaan selepas 30 hari.

Semak status penyulitan persekitaran

Semak status penyulitan daripada dasar Perusahaan

  1. Log masuk ke Pusat Pentadbiran Power Platform .

  2. Dalam anak tetingkap navigasi, pilih Keselamatan.

  3. Dalam anak tetingkap Keselamatan , pilih Data dan Privasi di bawah Tetapan.

  4. Pilih Kunci penyulitan yang diuruskan pelanggan untuk pergi ke halaman Dasar Perusahaan.

  5. Pilih dasar, dan kemudian pada bar perintah, pilih Edit dasar.

  6. Semak status Penyulitan persekitaran dalam bahagian Persekitaran dengan dasar ini.

    Nota

    Status penyulitan persekitaran boleh:

    • Penyulitan - Proses penyulitan kunci yang diuruskan pelanggan sedang berjalan dan sistem dilumpuhkan untuk kegunaan dalam talian.

    • Penyulitan - dalam talian - Semua penyulitan perkhidmatan teras yang memerlukan masa henti sistem telah selesai dan sistem didayakan untuk kegunaan dalam talian.

    • Disulitkan - Kunci penyulitan dasar perusahaan aktif dan persekitaran disulitkan dengan kunci anda.

    • Mengembalikan - Kunci penyulitan sedang ditukar daripada kunci yang diuruskan pelanggan kepada kunci yang diuruskan oleh Microsoft dan sistem dilumpuhkan untuk kegunaan dalam talian.

    • Mengembalikan - dalam talian - Semua penyulitan perkhidmatan teras yang memerlukan masa henti sistem telah mengembalikan kunci dan sistem didayakan untuk kegunaan dalam talian.

    • Kunci Terurus Microsoft- Penyulitan kunci yang diuruskan Microsoft aktif.

    • Gagal - Kunci penyulitan dasar perusahaan tidak digunakan oleh semua Dataverse perkhidmatan storan. Ia memerlukan lebih banyak masa untuk diproses dan anda boleh menjalankan semula operasi Tambah persekitaran . Hubungi Sokongan jika operasi dijalankan semula gagal.

      Status penyulitan gagal tidak memberi kesan kepada data persekitaran anda dan operasinya. Ini bermakna sesetengah perkhidmatan storan Dataverse menyulitkan data anda dengan kunci anda dan sesetengahnya terus menggunakan kunci yang diuruskan Microsoft. Pengembalian tidak disyorkan kerana apabila anda menjalankan semula operasi Tambah persekitaran , perkhidmatan disambung semula dari tempat ia berhenti.

    • Amaran - Kunci penyulitan dasar perusahaan aktif dan salah satu data perkhidmatan terus disulitkan dengan kunci yang diuruskan Microsoft. Ketahui lebih lanjut dalam Power Automate mesej amaran aplikasi CMK.

Semak status penyulitan daripada halaman Sejarah Alam Sekitar

Anda boleh melihat sejarah persekitaran.

  1. Log masuk ke Pusat Pentadbiran Power Platform .

  2. Dalam anak tetingkap navigasi, pilih Urus.

  3. Dalam anak tetingkap Urus , pilih Persekitaran, dan kemudian pilih persekitaran daripada senarai persekitaran yang tersedia.

  4. Pada bar perintah, pilih Sejarah.

  5. Cari sejarah untuk Kemas kini Kunci Terurus Pelanggan.

    Nota

    Status menunjukkan Berjalan apabila penyulitan sedang dijalankan. Ia menunjukkan Berjaya apabila penyulitan selesai. Status menunjukkan Gagal apabila terdapat beberapa masalah dengan salah satu perkhidmatan yang tidak dapat menggunakan kunci penyulitan.

    Keadaan Gagal boleh menjadi amaran dan anda tidak perlu menjalankan semula pilihan Tambah persekitaran . Anda boleh mengesahkan sama ada ia adalah amaran.

Tukar kunci penyulitan persekitaran dengan dasar dan kunci perusahaan baharu

Untuk menukar kunci penyulitan anda, cipta kunci baharu dan dasar perusahaan baharu. Anda kemudian boleh mengubah dasar perusahaan dengan mengalih keluar persekitaran dan kemudian menambah persekitaran pada dasar perusahaan baharu. Sistem tidak berfungsi dua kali apabila bertukar kepada dasar perusahaan baharu - 1) untuk mengembalikan penyulitan kepada kunci yang diuruskan Microsoft dan 2) untuk menggunakan dasar perusahaan baharu.

Tip

Untuk memutar kunci penyulitan, kami mengesyorkan menggunakan Peti besi Kunci'Versi baharu atau menetapkan dasar Putaran.

  1. Dalam portal Microsoft Azure, cipta kunci baharu dan dasar perusahaan baharu. Maklumat lanjut: Cipta kunci penyulitan dan berikan akses dan Cipta dasar perusahaan
  2. Berikan dasar perusahaan baharu akses kepada kunci lama.
  3. Selepas kunci baharu dan dasar perusahaan dibuat, log masuk ke Power Platform pusat pentadbiran.
  4. Dalam anak tetingkap navigasi, pilih Keselamatan.
  5. Dalam anak tetingkap Keselamatan , pilih Data dan Privasi di bawah Tetapan.
  6. Pilih Kunci penyulitan yang diuruskan pelanggan untuk pergi ke halaman Dasar Perusahaan.
  7. Pilih tab Persekitaran dengan dasar dan kemudian cari persekitaran yang anda mahu alih keluar daripada kunci yang diuruskan pelanggan.
  8. Pilih tab Semua dasar , pilih persekitaran yang anda sahkan dalam langkah 2 dan kemudian pilih Edit dasar pada bar perintah. Edit dasar perusahaan
  9. Pilih Alih keluar persekitaran pada bar perintah, pilih persekitaran yang anda mahu alih keluar dan kemudian pilih Teruskan.
  10. Pilih Simpan.
  11. Ulangi langkah 2-10 sehingga semua persekitaran dalam dasar perusahaan telah dialih keluar.

Penting

Persekitaran dinyahdayakan apabila ia dialih keluar daripada dasar perusahaan untuk mengembalikan penyulitan data kepada kunci yang diuruskan Microsoft. Jangan padamkan atau lumpuhkan kunci, padamkan atau lumpuhkan peti besi kunci atau alih keluar keizinan dasar perusahaan kepada peti besi kunci. Berikan dasar perusahaan baharu kepada peti besi kunci lama. Akses kunci dan peti besi kunci diperlukan untuk menyokong pemulihan pangkalan data. Anda boleh memadam dan mengalih keluar kebenaran dasar perusahaan selepas 30 hari.

  1. Selepas semua persekitaran dialih keluar, dari pusat pentadbiran Power Platform pergi ke Dasar perusahaan.
  2. Pilih dasar perusahaan baharu dan kemudian pilih Edit dasar.
  3. Pilih Tambah persekitaran, pilih persekitaran yang anda mahu tambah dan kemudian pilih Teruskan.

Penting

Persekitaran dilumpuhkan apabila ia ditambahkan pada dasar perusahaan baharu.

Putar kunci penyulitan persekitaran dengan versi kunci baharu

Anda boleh menukar kunci penyulitan persekitaran dengan mencipta versi kunci baharu. Apabila anda mencipta versi kunci baharu, versi kunci baharu didayakan secara automatik. Semua sumber storan mengesan versi kunci baharu dan mula menggunakannya untuk menyulitkan data anda.

Apabila anda mengubah suai kunci atau versi kunci, perlindungan kunci penyulitan akar berubah, tetapi data dalam storan sentiasa kekal disulitkan dengan kunci anda. Tiada lagi tindakan diperlukan di pihak anda untuk memastikan data anda dilindungi. Memutar versi utama tidak memberi kesan kepada prestasi. Tiada masa henti yang berkaitan dengan memutar versi utama. Ia boleh mengambil masa 24 jam untuk semua pembekal sumber menggunakan versi kunci baharu di latar belakang. Versi kunci sebelumnya tidak boleh dilumpuhkan kerana ia diperlukan untuk perkhidmatan menggunakannya untuk penyulitan semula dan untuk sokongan pemulihan pangkalan data.

Untuk memutar kunci penyulitan dengan mencipta versi kunci baharu, gunakan langkah berikut.

  1. Pergi ke portal Azure>Key Vaults dan cari peti besi kunci tempat anda mahu mencipta versi kunci baharu.
  2. Navigasi ke Kunci.
  3. Pilih kekunci semasa yang didayakan.
  4. Pilih + Versi Baru.
  5. Tetapan Didayakan lalai kepada Ya, yang bermaksud bahawa versi kunci baharu didayakan secara automatik semasa penciptaan.
  6. Pilih Cipta.

Tip

Untuk mematuhi dasar penggiliran kunci anda, anda boleh memutar kunci penyulitan menggunakan dasar Putaran. Anda boleh sama ada mengkonfigurasi dasar putaran atau memutar, atas permintaan, dengan menggunakan Putar sekarang.

Penting

Versi kunci baharu diputar secara automatik di latar belakang dan tiada tindakan diperlukan oleh Power Platform pentadbir. Adalah penting bahawa versi kunci sebelumnya tidak boleh dilumpuhkan atau dipadamkan untuk, sekurang-kurangnya, 28 hari untuk menyokong pemulihan pangkalan data. Melumpuhkan atau memadamkan versi kunci sebelumnya terlalu awal boleh membawa persekitaran anda ke luar talian.

Lihat senarai persekitaran yang disulitkan

  1. Log masuk ke Pusat Pentadbiran Power Platform .
  2. Dalam anak tetingkap navigasi, pilih Keselamatan.
  3. Dalam anak tetingkap Keselamatan , pilih Data dan Privasi di bawah Tetapan.
  4. Pilih Kunci penyulitan yang diuruskan pelanggan untuk pergi ke halaman Dasar Perusahaan.
  5. Pada halaman dasar perusahaan, pilih tab Persekitaran dengan dasar . Senarai persekitaran yang telah ditambahkan pada dasar perusahaan dipaparkan.

Nota

Mungkin terdapat situasi di mana status Persekitaran atau status Penyulitan menunjukkan status Gagal . Apabila ini berlaku, anda boleh cuba menjalankan semula operasi Tambah persekitaran atau menyerahkan permintaan Sokongan Microsoft untuk bantuan.

Operasi pangkalan data persekitaran

Penyewa pelanggan boleh mempunyai persekitaran yang disulitkan menggunakan kunci terurus Microsoft dan persekitaran yang disulitkan dengan kunci yang diuruskan pelanggan. Untuk mengekalkan integriti data dan perlindungan data, kawalan berikut tersedia apabila mengurus operasi pangkalan data persekitaran.

  • Pulihkan Persekitaran untuk menimpa (persekitaran yang dipulihkan kepada persekitaran) adalah terhad kepada persekitaran yang sama yang sandaran diambil daripada atau ke persekitaran lain yang disulitkan dengan kunci yang diuruskan pelanggan yang sama.

    Pulihkan sandaran

  • Menyalin

    Persekitaran untuk menimpa (yang disalin ke persekitaran) adalah terhad kepada persekitaran lain yang disulitkan dengan kunci yang diuruskan pelanggan yang sama.

    Salin persekitaran

    Nota

    Jika persekitaran Penyiasatan Sokongan telah dicipta untuk menyelesaikan isu sokongan dalam persekitaran yang diuruskan pelanggan, kunci penyulitan untuk persekitaran Penyiasatan Sokongan mesti ditukar kepada kunci yang diuruskan pelanggan sebelum operasi Persekitaran Salin boleh dilakukan.

  • Tetapkan semula Data yang disulitkan persekitaran dipadamkan termasuk sandaran. Selepas persekitaran ditetapkan semula, penyulitan persekitaran akan kembali kepada kunci yang diuruskan Microsoft.

Langkah-langkah berikutnya

Perihal Azure Key Vault

  • Last updated on