Kongsi melalui

Uruskan kunci penyulitan

Semua persekitaran Microsoft Dataverse menggunakan SQL Server Transparent Data Encryption (TDE) untuk melakukan penyulitan data masa nyata apabila ditulis ke cakera. Ini juga dikenali sebagai penyulitan semasa rehat.

Secara lalai, Microsoft stores menguruskan kunci penyulitan pangkalan data untuk persekitaran anda supaya anda tidak perlu berbuat demikian. Ciri kunci terurus dalam Microsoft Power Platform pusat pentadbiran memberi pentadbir keupayaan untuk mengurus sendiri kunci penyulitan pangkalan data yang dikaitkan dengan Dataverse penyewa.

Penting

Mulai 6 Januari 2026, kami akan menghentikan sokongan untuk bawa kunci anda sendiri (BYOK). Pelanggan digalakkan untuk beralih kepada kunci terurus pelanggan (CMK), penyelesaian yang dipertingkatkan yang menawarkan fungsi yang lebih baik, sokongan yang lebih luas untuk sumber data dan prestasi yang lebih baik. Ketahui lebih lanjut dalam Urus kunci penyulitan yang diuruskan pelanggan anda dan Pindahkan persekitaran bawa kunci anda sendiri (BYOK) kepada kunci yang diuruskan pelanggan.

Pengurusan kekunci penyulitan hanya boleh digunakan untuk Azure SQL pangkalan data persekitaran. Ciri dan perkhidmatan berikut terus menggunakan kunci penyulitan yang diuruskan oleh Microsoft untuk menyulitkan data mereka dan tidak boleh disulitkan dengan kunci penyulitan terurus sendiri:

Nota

  • Ciri kunci penyulitan pangkalan data terurus sendiri mesti dihidupkan oleh Microsoft untuk penyewa anda sebelum anda boleh menggunakan ciri tersebut.
  • Untuk menggunakan ciri pengurusan penyulitan data untuk persekitaran, persekitaran mesti dicipta selepas ciri kunci penyulitan pangkalan data terurus sendiri dihidupkan oleh Microsoft.
  • Selepas ciri dihidupkan dalam penyewa anda, semua persekitaran baharu dicipta dengan storan Azure SQL sahaja. Persekitaran ini, tidak kira sama ada ia disulitkan dengan kunci bawa anda sendiri (BYOK) atau kunci yang diuruskan Microsoft, mempunyai sekatan dengan saiz muat naik fail, tidak boleh menggunakan perkhidmatan Azure Cosmos DB dan tasik data dan Dataverse indeks carian disulitkan dengan kunci yang diuruskan oleh Microsoft. Untuk menggunakan perkhidmatan ini, anda mesti berhijrah ke kunci yang diuruskan pelanggan.
  • Fail dan Imej dengan saiz kurang daripada 128 MB boleh digunakan jika persekitaran anda ialah versi 9.2.21052.00103 atau lebih tinggi.
  • Kebanyakan persekitaran sedia ada mempunyai fail dan log yang disimpan dalam pangkalan data SQL bukan Azure. Persekitaran ini tidak boleh ikut serta dalam kunci penyulitan yang diuruskan sendiri. Hanya persekitaran baharu (sebaik sahaja anda mendaftar untuk program ini) boleh didayakan dengan kunci penyulitan yang diuruskan sendiri.

Pengenalan kepada pengurusan kunci

Dengan pengurusan kekunci, pentadbir boleh menyediakan kekunci penyulitan mereka sendiri dan mempunyai kekunci penyulitan yang dijanakan untuk mereka, yang digunakan untuk melindungi pangkalan data bagi persekitaran.

Ciri pengurusan kunci menyokong fail kunci penyulitan PFX dan juga BYOK, seperti yang disimpan dalam modul keselamatan perkakasan (HSM). Untuk menggunakan pilihan kunci penyulitan muat naik, anda memerlukan kedua-dua kunci penyulitan awam dan peribadi.

Ciri pengurusan kunci menyingkirkan kerumitan pengurusan kunci penyulitan menggunakan Azure Key Vault untuk menyimpan kunci penyulitan dengan selamat. Azure Key Vault membantu melindungi kunci dan rahsia kriptografi yang digunakan oleh aplikasi dan perkhidmatan awan. Ciri pengurusan kunci tidak memerlukan anda mempunyai langganan Azure Key Vault dan untuk kebanyakan situasi tidak perlu mengakses kunci penyulitan yang digunakan dalam Dataverse peti besi.

Ciri kekunci terurus membolehkan anda melaksanakan tugas berikut:

  • Mendayakan keupayaan untuk menguruskan sendiri kunci penyulitan pangkalan data yang berkaitan dengan persekitaran .

  • Jana kunci penyulitan baharu atau muat naik fail kunci penyulitan PFX atau BYOK sedia ada.

  • Kunci atau buka kunci persekitaran penyewa.

    Amaran

    Semasa penyewa dikunci, tiada siapa yang boleh mengakses mana-mana persekitaran dalam penyewa. Maklumat lanjut: Kunci penyewa

Memahami risiko yang mungkin wujud apabila anda mengurus kunci anda

Seperti mana-mana aplikasi kritikal perniagaan, kakitangan dalam organisasi anda yang mempunyai akses peringkat pentadbiran mesti dipercayai. Sebelum anda menggunakan ciri pengurusan kunci, anda perlu memahami risiko apabila anda menguruskan kunci penyulitan pangkalan data anda. Adalah boleh dibayangkan bahawa pentadbir berniat jahat (seseorang yang diberikan atau telah memperoleh capaian peringkat pentadbir dengan niat untuk membahayakan keselamatan organisasi atau proses perniagaan) yang bekerja dalam organisasi anda mungkin menggunakan ciri kunci terurus untuk mencipta kunci dan menggunakannya untuk mengunci semua persekitaran dalam penyewa.

Pertimbangkan urutan peristiwa berikut.

Pentadbir berniat jahat mendaftar masuk ke pusat pentadbiran Power Platform, pergi ke halaman Persekitaran dan memilih Urus kunci penyulitan. Pentadbir berniat jahat kemudian mencipta kekunci baharu dengan kata laluan dan memuat turun kunci penyulitan ke cakera tempatan mereka dan mengaktifkan kekunci baharu. Kini semua pangkalan data persekitaran disulitkan dengan kekunci baharu. Seterusnya, pentadbir berniat jahat mengunci penyewa dengan kekunci baharu yang dimuat turun, dan kemudian mengambil atau memadamkan kekunci penyulitan yang dimuat turun.

Tindakan ini mengakibatkan melumpuhkan semua persekitaran dalam penyewa daripada akses dalam talian dan menjadikan semua sandaran pangkalan data tidak boleh dipulihkan.

Penting

Untuk mengelakkan pentadbir berniat jahat daripada mengganggu operasi perniagaan dengan mengunci pangkalan data, ciri kekunci yang diuruskan tidak membenarkan persekitaran penyewa dikunci selama 72 jam selepas kekunci penyulitan telah diubah atau diaktifkan. Ini memberikan masa sehingga 72 jam untuk pentadbir lain membatalkan sebarang perubahan kunci yang tidak dibenarkan.

Keperluan kunci penyulitan

Jika anda menyediakan kunci penyulitan anda sendiri, kunci anda mesti memenuhi keperluan ini yang diterima oleh Azure Key Vault.

  • Format fail kunci penyulitan mestilah FPX atau BYOK.
  • RSA 2048-bit.
  • Jenis kunci RSA-HSM (memerlukan permintaan Sokongan Microsoft).
  • Fail kunci penyulitan PFX mestilah dilindungi kata laluan.

Untuk maklumat lanjut tentang menjana dan memindahkan kunci yang dilindungi HSM melalui internet, lihat Cara menjana dan memindahkan kunci yang dilindungi HSM untuk Azure Key Vault. Hanya kekunci HSM Pembekal nCipher disokong. Sebelum menjana kunci HSM anda, pergi ke Power Platform pusat pentadbiran Urus kunci>penyulitan Cipta tetingkap kunci baharu untuk mendapatkan ID langganan untuk rantau persekitaran anda. Anda perlu menyalin dan menampal ID langganan ini ke dalam HSM anda untuk mencipta kekunci. Ini memastikan bahawa hanya Azure Key Vault kami boleh membuka fail anda.

Tugas pengurusan kunci

Untuk memudahkan tugas pengurusan kekunci, tugas dipecahkan kepada tiga bahagian:

Pentadbir boleh menggunakan pusat pentadbir Power Platform atau modul pentadbiran Power Platform cmdlets untuk melaksanakan tugas pengurusan kunci perlindungan penyewa yang diterangkan di sini.

Menjana atau memuat naik kekunci penyulitan untuk penyewa

Semua kekunci penyulitan disimpan dalam ruang simpan Vault Kekunci Azure, dan hanya boleh menjadi satu kekunci aktif pada bila-bila masa. Oleh kerana kekunci aktif digunakan untuk menyulitkan semua persekitaran dalam penyewa, pengurusan penyulitan akan dikendalikan pada peringkat penyewa. Sebaik sahaja kekunci diaktifkan, setiap persekitaran individu boleh dipilih untuk menggunakan kekunci untuk penyulitan.

Gunakan prosedur ini untuk mengesetkan ciri kunci terurus kali pertama untuk persekitaran atau untuk menukar (atau melancarkan) kunci penyulitan untuk penyewa yang telah diuruskan sendiri.

Amaran

Apabila anda melaksanakan langkah yang diterangkan di sini buat kali pertama, anda memilih untuk mengurus sendiri kunci penyulitan anda. Maklumat lanjut: Fahami potensi risiko apabila anda mengurus kunci anda

  1. Log masuk ke Pusat Power Platform Pentadbiran sebagai pentadbir (pentadbir atau Microsoft Power Platform pentadbir Dynamics 365).

  2. Pilih Urus dalam anak tetingkap navigasi.

  3. Dalam anak tetingkap Urus , pilih Persekitaran. Halaman Persekitaran dipaparkan.

  4. Pilih Urus kunci penyulitan pada bar alat.

  5. Pilih Sahkan untuk mengakui risiko kunci terurus.

  6. Pilih Kekunci baharu pada bar alat.

  7. Pada tetingkap kiri, lengkapkan butiran untuk menjana atau memuat naik kekunci:

    • Pilih Rantau. Pilihan ini hanya ditunjukkan jika penyewa anda mempunyai berbilang rantau.
    • Masukkan Nama kekunci.
    • Pilih daripada pilihan berikut:

  8. Pilih Seterusnya.

Jana kekunci baharu (.pfx)

  1. Masukkan kata laluan dan kemudian masukkan semula kata laluan untuk mengesahkan.
  2. Pilih Cipta dan kemudian pilih pemberitahuan fail yang dibuat pada penyemak imbas anda.
  3. Fail .pfx kunci penyulitan dimuat turun ke folder muat turun lalai penyemak imbas web anda. Simpan fail dalam lokasi selamat (kami mengesyorkan bahawa kekunci ini disandarkan bersama kata laluan).

Muat naik kekunci (.pfx atau .byok)

  1. Pilih Muat naik kekunci, pilih fail .pfx atau .byok1, dan kemudian pilih Buka.
  2. Masukkan kata laluan untuk kunci dan kemudian pilih Cipta.

1 Untuk fail kekunci penyulitan .byok, pastikan anda menggunakan ID langganan seperti yang ditunjukkan pada skrin apabila anda mengeksport kekunci penyulitan dari HSM tempatan anda. Maklumat lanjut: Cara menjana dan memindahkan kunci yang dilindungi HSM untuk Azure Key Vault

Nota

Untuk mengurangkan bilangan langkah untuk pentadbir mengurus proses kunci, kunci diaktifkan secara automatik apabila ia dimuat naik buat kali pertama. Semua muat naik kunci berikutnya memerlukan langkah tambahan untuk mengaktifkan kunci.

Aktifkan kekunci penyulitan untuk penyewa

Sebaik sahaja kekunci penyulitan dijana atau dimuat naik untuk penyewa, ia boleh diaktifkan.

  1. Log masuk ke Pusat Power Platform Pentadbiran sebagai pentadbir (pentadbir atau Microsoft Power Platform pentadbir Dynamics 365).
  2. Pilih Urus dalam anak tetingkap navigasi.
  3. Dalam anak tetingkap Urus , pilih Persekitaran. Halaman Persekitaran dipaparkan.
  4. Pilih Urus kunci penyulitan pada bar alat.
  5. Pilih Sahkan untuk mengakui risiko kunci terurus.
  6. Pilih kekunci yang mempunyai keadaan Tersedia dan kemudian pilih Aktifkan kekunci pada bar alat.
  7. Pilih Sahkan untuk mengakui perubahan kunci.

Apabila anda mengaktifkan kekunci untuk penyewa, ia mengambil sedikit masa untuk perkhidmatan pengurusan utama untuk mengaktifkan kekunci. Status Keadaan kekunci memaparkan kekunci sebagai Memasang apabila kekunci baharu atau dimuat naik diaktifkan.

Sebaik sahaja kekunci diaktifkan, perkara berikut berlaku:

  • Semua persekitaran yang disulitkan disulitkan secara automatik dengan kunci aktif (tiada masa henti dengan tindakan ini).
  • Apabila diaktifkan, kunci penyulitan digunakan pada semua persekitaran yang ditukar daripada kunci penyulitan yang disediakan oleh Microsoft kepada kunci penyulitan yang diuruskan sendiri.

Penting

Untuk memperkemaskan proses pengurusan utama supaya semua persekitaran diuruskan dengan kekunci yang sama, kekunci aktif tidak boleh dikemas kini apabila terdapat persekitaran yang dikunci. Semua persekitaran yang dikunci mesti dinyahkunci sebelum kekunci baru boleh diaktifkan. Jika terdapat persekitaran yang dikunci yang tidak perlu dinyahkunci, ia mesti dipadamkan.

Nota

Selepas kekunci penyulitan diaktifkan, anda tidak boleh mengaktifkan kekunci lain selama 24 jam.

Urus penyulitan untuk persekitaran

Secara lalai, setiap persekitaran disulitkan dengan kekunci penyulitan yang disediakan oleh Microsoft. Sebaik sahaja kunci penyulitan diaktifkan untuk penyewa, pentadbir boleh memilih untuk mengubah penyulitan lalai untuk menggunakan kekunci penyulitan yang diaktifkan. Untuk menggunakan kekunci aktif, ikuti langkah ini.

Gunakan kekunci penyulitan pada persekitaran

  1. Log masuk ke Pusat Power Platform Pentadbiran sebagai pentadbir (pentadbir atau Microsoft Power Platform pentadbir Dynamics 365).
  2. Pilih Urus dalam anak tetingkap navigasi.
  3. Dalam anak tetingkap Urus , pilih Persekitaran. Halaman Persekitaran dipaparkan.
  4. Buka persekitaran penyulitan Disediakan oleh Microsoft.
  5. Pilih Lihat semua.
  6. Dalam bahagian Penyulitan Persekitaran, pilih Urus.
  7. Pilih Sahkan untuk mengakui risiko kunci terurus.
  8. Pilih Guna kekunci ini untuk menerima perubahan penyulitan untuk menggunakan kekunci aktif.
  9. Pilih Sahkan untuk mengakui bahawa anda mengurus kunci secara langsung dan terdapat masa henti untuk tindakan ini.

Kembali ke pengurusan kekunci penyulitan kembali kepada kekunci penyulitan yang disediakan oleh Microsoft

Kembali ke kunci penyulitan disediakan oleh Microsoft dengan mengkonfigurasi persekitaran kembali kepada tingkah laku lalai di mana Microsoft menguruskan kunci penyulitan untuk anda.

  1. Log masuk ke Pusat Power Platform Pentadbiran sebagai pentadbir (pentadbir atau Microsoft Power Platform pentadbir Dynamics 365).
  2. Pilih Urus dalam anak tetingkap navigasi.
  3. Dalam anak tetingkap Urus , pilih Persekitaran. Halaman Persekitaran dipaparkan.
  4. Pilih persekitaran yang disulitkan dengan kunci terurus sendiri.
  5. Pilih Lihat semua.
  6. Dalam bahagian Penyulitan Persekitaran , pilih Urus dan kemudian pilih Sahkan.
  7. Di bawah Kembali kepada pengurusan penyulitan standard, pilih Kembali.
  8. Untuk persekitaran pengeluaran, sahkan persekitaran dengan memasukkan nama persekitaran.
  9. Pilih Sahkan untuk kembali ke pengurusan kekunci penyulitan standard.

Kunci penyewa

Memandangkan hanya terdapat satu kunci aktif bagi setiap penyewa, mengunci penyulitan untuk penyewa melumpuhkan semua persekitaran yang berada dalam penyewa. Semua persekitaran yang dikunci kekal tidak dapat diakses kepada semua orang, termasuk Microsoft, sehingga pentadbir Power Platform dalam organisasi anda membukanya dengan menggunakan kunci yang digunakan untuk menguncinya.

Awas

Anda tidak perlu mengunci persekitaran penyewa sebagai sebahagian daripada proses perniagaan biasa anda. Apabila anda mengunci penyewa Dataverse , semua persekitaran diambil di luar talian dan ia tidak boleh diakses oleh sesiapa pun, termasuk Microsoft. Selain itu, perkhidmatan seperti penyegerakan dan penyelenggaraan berhenti semuanya. Jika anda memutuskan untuk meninggalkan perkhidmatan ini, penguncian penyewa boleh memastikan data dalam talian anda tidak akan diakses lagi oleh sesiapa.

Nota perkara berikut tentang penguncian persekitaran penyewa:

  • Persekitaran yang dikunci tidak boleh dipulihkan daripada sandaran.
  • Persekitaran yang dikunci dipadamkan jika tidak dinyahkunci selepas 28 hari.
  • Anda tidak boleh mengunci persekitaran selama 72 jam selepas perubahan kekunci penyulitan.
  • Penguncian penyewa kunci semua persekitaran aktif dalam penyewa.

Penting

  • Anda mesti menunggu sekurang-kurangnya satu jam selepas anda mengunci persekitaran aktif sebelum anda boleh membukanya.
  • Sebaik sahaja proses kunci dimulakan, semua kekunci penyulitan dengan sama ada keadaan Aktif atau Tersedia dipadamkan. Proses kunci boleh mengambil masa sehingga satu jam dan pada masa ini membuka kunci persekitaran berkunci tidak dibenarkan.
  1. Log masuk ke Pusat Power Platform Pentadbiran sebagai pentadbir (pentadbir atau Microsoft Power Platform pentadbir Dynamics 365).
  2. Pilih Urus dalam anak tetingkap navigasi.
  3. Dalam anak tetingkap Urus , pilih Persekitaran. Halaman Persekitaran dipaparkan.
  4. Pilih Urus kunci penyulitan pada bar alat.
  5. Pilih kekunci Aktif dan kemudian pilih Kunci persekitaran aktif.
  6. Pada tetingkap kanan pilih Muat naik kekunci aktif, semak imbas dan pilih kekunci, masukkan kata laluan, dan kemudian pilih Kunci.
  7. Apabila digesa, masukkan teks yang dipaparkan pada skrin anda untuk mengesahkan bahawa anda mahu mengunci semua persekitaran dalam rantau ini dan kemudian pilih Sahkan..

Persekitaran dikunci nyahkunci

Untuk membuka kunci persekitaran, anda mesti memuat naik terlebih dahulu dan kemudian mengaktifkan kunci penyulitan penyewa dengan kunci yang sama yang digunakan untuk mengunci penyewa . Persekitaran yang dikunci tidak dibuka kunci secara automatik sebaik sahaja kunci telah diaktifkan. Setiap persekitaran yang dikunci mesti dibuka secara individu.

Penting

  • Anda mesti menunggu sekurang-kurangnya satu jam selepas anda mengunci persekitaran aktif sebelum anda boleh membukanya.
  • Proses untuk membuka kunci boleh mengambil masa sejam. Sebaik sahaja kekunci dibuka, anda boleh menggunakan kekunci untuk Mengurus penyulitan untuk persekitaran.
  • Anda tidak boleh menjana baharu atau memuat naik kekunci sedia ada sehingga semua persekitaran yang dikunci telah dinyahkunci.
Nyahkunci kekunci penyulitan

  1. Log masuk ke Pusat Power Platform Pentadbiran sebagai pentadbir (pentadbir atau Microsoft Power Platform pentadbir Dynamics 365).

  2. Pilih Urus dalam anak tetingkap navigasi.

  3. Dalam anak tetingkap Urus , pilih Persekitaran. Halaman Persekitaran dipaparkan.

  4. Pilih Urus kunci penyulitan pada bar alat.

  5. Pilih kekunci yang mempunyai keadaan Dikunci, dan kemudian pada bar perintah pilih Nyahkunci kekunci.

  6. Pilih Muat naik kekunci dikunci, semak imbas dan pilih kekunci yang digunakan untuk mengunci penyewa, masukkan kata laluan, dan kemudian pilih Nyahkunci.

    Kekunci masuk ke dalam keadaan pemasangan. Anda mesti menunggu sehingga kekunci berada dalam keadaan Aktif sebelum anda boleh menyahkunci persekitaran yang dikunci.

  7. Untuk menyahkunci persekitaran, lihat bahagian seterusnya.

Persekitaran nyahkunci

  1. Pergi ke halaman Persekitaran dan kemudian pilih nama persekitaran yang dikunci.

    Tip

    Jangan pilih baris. Pilih nama persekitaran.

  2. Dalam bahagian Butiran, pilih Lihat semua untuk memaparkan tetingkap Butiran di sebelah kanan.

  3. Dalam bahagian Penyulitan persekitaran pada anak tetingkap Butiran , pilih Urus.

  4. Pada halaman Penyulitan Persekitaran , pilih Buka Kunci .

  5. Pilih Sahkan untuk mengesahkan bahawa anda mahu menyahkunci persekitaran.

  6. Ulangi langkah sebelumnya untuk membuka kunci persekitaran lain.

Operasi pangkalan data persekitaran

Penyewa pelanggan boleh mempunyai persekitaran yang disulitkan menggunakan kunci terurus Microsoft dan persekitaran yang disulitkan dengan kunci terurus pelanggan. Untuk mengekalkan integriti data dan perlindungan data, kawalan berikut tersedia apabila mengurus operasi pangkalan data persekitaran.

  1. Ambil semula

    Persekitaran untuk menimpa (persekitaran yang dipulihkan) adalah terhad kepada persekitaran yang sama yang sandaran diambil atau ke persekitaran lain yang disulitkan dengan kunci yang diuruskan pelanggan yang sama. Selain itu, sandaran lepas yang diambil apabila persekitaran disulitkan dengan kunci yang diuruskan Microsoft tidak boleh dipulihkan ke persekitaran yang sedang disulitkan dengan kunci yang diuruskan pelanggan. Dalam erti kata lain, memulihkan sandaran kepada persekitaran dibenarkan apabila keadaan penyulitan persekitaran semasa (sama ada kunci yang diuruskan Microsoft atau kunci yang diuruskan pelanggan) sepadan dengan keadaan penyulitan persekitaran pada masa sandaran diambil.

  2. Menyalin

    Persekitaran untuk menimpa (yang disalin ke persekitaran) adalah terhad kepada persekitaran lain yang disulitkan dengan kunci yang diuruskan pelanggan yang sama.

    Nota

    Jika persekitaran Penyiasatan Sokongan telah dicipta untuk menyelesaikan isu sokongan dalam persekitaran yang diuruskan pelanggan, kunci penyulitan untuk persekitaran Penyiasatan Sokongan mesti ditukar kepada kunci yang diuruskan pelanggan sebelum operasi Persekitaran Salin boleh dilakukan.

  3. Set semula

    Data yang disulitkan persekitaran dipadamkan, termasuk sandaran. Selepas persekitaran ditetapkan semula, penyulitan persekitaran akan kembali kepada kunci yang diuruskan Microsoft.

Kandungan berkaitan

SQL Server: Penyulitan Data Telus (TDE)

  • Last updated on