Administrer den kundeadministrerte krypteringsnøkkelen

Kunder har krav til datavern og samsvar for å sikre dataene ved å kryptere dataene i hviletilstand. Dette sikrer at dataene eksponeres i tilfeller der en kopi av databasen blir stjålet. Med datakryptering i hviletilstand er det stjålne databasedataene beskyttet mot å bli gjenopprettet på en annen server uten krypteringsnøkkelen.

Alle kundedata som er lagret i Power Platform, krypteres i hviletilstand med sterke Microsoft-administrerte krypteringsnøkler som standard. Microsoft lagrer og håndterer databasens krypteringsnøkkel for alle dataene dine som standard, slik at du slipper å tenke på det. Power Platform tilbyr imidlertid denne kundestyrte krypteringsnøkkelen (CMK) for den ekstra databeskyttelseskontrollen, der du kan administrere databasekrypteringsnøkkelen som er tilknyttet Microsoft Dataverse-miljøet. Dermed kan du rotere eller bytte krypteringsnøkkelen etter behov og hindre at Microsoft får tilgang til kundedataene dine, når du tilbakekaller nøkkeltilgangen til tjenestene våre.

Se denne videoen for å finne ut mer om kundestyrt nøkkel i Power Platform, se video om kundestyrt nøkkel.

Disse krypteringsnøkkeloperasjonene er tilgjengelige med kundestyrt nøkkel (CMK):

• Opprett en RSA-nøkkel (RSA-HSM) fra Azure Key Vault.
• Opprett en Power Platform-virksomhetspolicy for nøkkelen.
• Gi Power Platform-virksomhetspolicyen tillatelse til å få tilgang til nøkkelhvelvet.
• Gi Power Platform-tjenesteadministratoren tillatelse til å lese virksomhetspolicyen.
• Bruk krypteringsnøkkelen i miljøet ditt.
• Gjenopprett/fjern miljøets CMK-kryptering til Microsoft-administrert nøkkel.
• Bytt nøkkel ved å opprette en ny bedriftspolicy, fjerne miljøet fra CMK og bruke CMK på nytt med ny virksomhetspolicy.
• Lås CMK-miljøer ved å oppheve tilgangen til CMK-nøkkelhvelv og/eller nøkkeltillatelser.
• Overfør miljøer av typen ta med egen nøkkel (BYOK) til CMK ved å bruke CMK-nøkkel.

For øyeblikket kan alle kundedataene som er lagret kun i følgende apper og tjenester, krypteres med kundestyrt nøkkel:

• Dataverse (Egendefinerte løsninger og Microsoft-tjenester)
• Dataverse Copilot for modelldrevne apper
• Power Automate¹
• Power Apps
• Chat for Dynamics 365
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (økonomi og drift)
• Dynamics 365 Intelligent Order Management (økonomi og drift)
• Dynamics 365 Project Operations (økonomi og drift)
• Dynamics 365 Supply Chain Management (økonomi og drift)
• Dynamics 365 Fraud Protection (økonomi og drift)

¹ Når du bruker den kundestyrte nøkkelen i et miljø som har eksisterende Power Automate-flyter, krypteres fortsatt flytdataene med Microsoft-administrert nøkkel. Mer informasjon: Kundestyrt nøkkel for Power Automate.

Merk

Nuance Conversational IVR og Utviklervelkomstinnhold er ekskludert fra kundeadministrert nøkkelkryptering.

Microsoft Copilot Studio lagrer dataene i sin egen lagringsplass og i Microsoft Dataverse. Når du bruker den kundestyrte nøkkelen i disse miljøene, krypteres bare datalagrene i Microsoft Dataverse med nøkkelen. Ikke-Microsoft Dataverse-dataene krypteres fortsatt med den Microsoft-administrerte nøkkelen.

Merk

Tilkoblingsinnstillingene for koblinger fortsetter å krypteres med en Microsoft-administrert nøkkel.

Kontakt en representant for tjenester som ikke er oppført ovenfor, for informasjon om kundestøtte for kundestyrte nøkler.

Merk

Power Apps-visningsnavn, beskrivelser og metadata for tilkobling krypteres fortsatt med en Microsoft-administrert nøkkel.

Miljøer med økonomi- og driftsapper der Power Platform-integrering er aktivert, kan også krypteres. Økonomi- og driftsmiljøer uten Power Platform-integrering vil fortsette å bruke standard Microsoft-administrert nøkkel til å kryptere data. Mer informasjon: Kryptering i økonomi- og driftsapper

Innføring i kundeadministrert nøkkel

Med kundeadministrert nøkkel kan administratorer oppgi sin egen krypteringsnøkkel fra sin egen Azure Key Vault til Power Platform-lagringstjenestene for å kryptere kundedataene. Microsoft har ikke direkte tilgang til Azure Key Vault. For at Power Platform-tjenester skal få tilgang til krypteringsnøkkelen fra Azure Key Vault, oppretter administratoren en Power Platform-virksomhetspolicy, som refererer til krypteringsnøkkelen, og gir denne virksomhetspolicyen tilgang til å lese nøkkelen fra Azure Key Vault.

Power Platform-tjenesteadministratoren kan deretter legge til Dataverse-miljøer i virksomhetspolicyen for å starte kryptering av alle kundedataene i miljøet med krypteringsnøkkelen. Administratorer kan endre miljøets krypteringsnøkkel ved å opprette en annen virksomhetspolicy og legge til miljøet (etter at det er fjernet) i den nye virksomhetspolicyen. Hvis miljøet ikke lenger trenger å krypteres med den kundestyrte nøkkelen, kan administratoren fjerne Dataverse-miljøet fra virksomhetspolicyen for å tilbakestille datakryptering til Microsoft-administrert nøkkel.

Kunden administrator låse de kundeadministrerte nøkkelmiljøene ved å oppheve nøkkeltilgangen fra virksomhetspolicyen og låse opp miljøene ved å gjenopprette nøkkeltilgangen. Mer informasjon: Lås miljøer ved å oppheve Key Vault og/eller nøkkeltilgang

For å forenkle nøkkelbehandlingsoppgavene deles oppgavene inn i tre hovedområder:

1. Opprett krypteringsnøkkel.
2. Opprett virksomhetspolicy og gi tilgang.
3. Administrer miljøets kryptering.

Advarsel!

Når miljøer er låst, er det ingen som har tilgang til dem, inkludert Microsoft-kundestøtte. Miljøer som er låst, blir deaktivert, og tap av data kan forekomme.

Lisensieringskrav for kundestyrt nøkkel

Policyen for kundestyrt nøkkel håndheves bare i miljøer som er aktivert for administrerte miljøer. Administrerte miljøer er inkludert som en rettighet i frittstående lisenser for Power Apps, Power Automate, Power Virtual Agents, Power Pages og Dynamics 365 som gir Premium-bruksrettigheter. Finn ut mer om lisensiering for administrert miljø med Oversikt over lisensiering for Microsoft Power Platform.

I tillegg må brukere som skal ha tilgang til å bruke kundestyrt nøkkel for Microsoft Power Platform og Dynamics 365 i miljøene der policyen for krypteringsnøkkel håndheves, ha et av disse abonnementene:

• Microsoft 365 eller Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5-samsvar
• Microsoft 365 F5 Sikkerhet og samsvar
• Microsoft 365 A5/E5/F5/G5 informasjonsbeskyttelse og -styring
• Microsoft 365 A5/E5/F5/G5 insider-risikobehandling

Finn ut mer om disse lisensene

Forstå en mulig risiko når du administrerer nøkkelen

Som med alle viktige forretningsprogrammer, må medarbeidere i organisasjonen som har administrativ tilgang klareres. Før du bruker funksjonen Nøkkelbehandling, bør du forstå risikoen når du administrerer databasens krypteringsnøkler. Det er tenkelig at en administrator med uredelige hensikter (en person som er gitt eller har fått tilgang på administratornivå med hensikt til å skade organisasjonens sikkerhet eller prosesser) som jobber i organisasjonen kan bruke funksjonen Nøkkelbehandling til å opprette en nøkkel, og bruke den til å låse miljøene i leieren.

Vurder følgende sekvens av hendelser.

En ondsinnet nøkkelhvelvadministrator oppretter en nøkkel og en virksomhetspolicy på Azure-portalen. Azure Key Vault-administratoren går til Power Platform-administrasjonssenteret og legger til miljøer i virksomhetspolicyen. Den ondsinnede administratoren går deretter tilbake til Azure-portalen og opphever nøkkeltilgang til virksomhetspolicyen og låser dermed alle miljøer. Dette fører til forretningsavbrudd fordi alle miljøer blir utilgjengelige, og hvis denne hendelsen ikke løses, det vil si nøkkeltilgangen som er gjenopprettet, kan miljødataene potensielt gå tapt.

Obs!

• Azure Key Vault har innebygde sikkerhetstiltak som kan hjelpe deg med å gjenopprette nøkkelen, noe som krever at nøkkelhvelvinnstillingene Myk sletting og Tømmingsbeskyttelse er aktivert.
• Et annet sikkerhetstiltak som må vurderes, er å sørge for at det er skille mellom oppgaver der Azure Key Vault-administrator ikke får tilgang til Power Platform-administrasjonssenteret.

Skille av plikter for å redusere risikoen

Denne delen beskriver de kundeadministrerte nøkkelfunksjonene som hver administratorrolle er ansvarlig for. Ved å skille disse oppgavene kan du redusere risikoen som er involvert med kundestyrte nøkler.

Oppgaver for tjenesteadministrator i Azure Key Vault og Power Platform/Dynamics 365

For å aktivere kundestyrte nøkler må nøkkelhvelvadministratoren først opprette en nøkkel i Azure Key Vault og deretter opprette en Power Platform-virksomhetspolicy. Når bedriftspolicyen er opprettet, opprettes en spesiell Microsoft Entra ID-administrert identitet. Deretter går nøkkelhvelvadministratoren tilbake til Azure Key Vault og gir virksomhetspolicyen eller den administrerte identiteten tilgang til krypteringsnøkkelen.

Nøkkelhvelvadministratoren gir deretter den respektive Power Platform-/Dynamics 365-tjenesteadministratoren lesetilgang til virksomhetspolicyen. Når lesetillatelsen er gitt, kan tjenesteadministratoren for Power Platform / Dynamics 365 gå til Power Platform-administrasjonssenteret og legge til miljøer i virksomhetspolicyen. Alle kundedatamiljøer som er lagt til, krypteres deretter med den kundestyrte nøkkelen som er koblet til denne virksomhetspolicyen.

Forutsetning

• Et Azure-abonnement som omfatter Azure Key Vault eller Azure Key Vault-forvaltede maskinvaresikkerhetsmoduler (forhåndsversjon).
• Global leieradministrator eller en Microsoft Entra ID med følgende:
  • Bidragsytertillatelse til Microsoft Entra-abonnementet.
  • Tillatelse til å opprette en Azure Key Vault og nøkkel.
  • Tilgang til å opprette en ressursgruppe. Dette kreves for å konfigurere nøkkelhvelvet.

Opprett nøkkelen og gi tilgang ved hjelp av Azure Key Vault

Azure Key Vault-administratoren utfører disse oppgavene i Azure.

1. Opprett et betalt Azure-abonnement og et Key Vault. Ignorer dette trinnet hvis du allerede har et abonnement som inkluderer Azure Key Vault.
2. Gå til Azure Key Vault-tjenesten, og opprett en nøkkel. Mer informasjon: Opprett en nøkkel i Key Vault
3. Aktiver Power Platform-tjenesten for virksomhetspolicyer for Azure-abonnementet ditt. Gjør dette kun én gang. Mer informasjon: Aktiver Power Platform-tjenesten for virksomhetspolicyer for Azure-abonnementet ditt
4. Opprett en Power Platform-virksomhetspolicy. Mer informasjon: Opprett virksomhetspolicy
5. Gi virksomhetspolicyen tillatelse til å få tilgang til nøkkelhvelvet. Mer informasjon: Gi virksomhetspolicyen tillatelse til å få tilgang til nøkkelhvelvet
6. Gi Power Platform- og Dynamics 365-administratorer tillatelse til å lese virksomhetspolicyen. Mer informasjon: Gi Power Platform-administratoren tillatelse til å lese virksomhetspolicyen

Power Platform- / Dynamics 365-tjenesteadministrator, oppgaver i Power Platform-administrasjonssenteret

Forutsetning

• Power Platform-administrator må være tilordnet enten rollen som Power Platform-administrator eller Dynamics 365-tjenesteadministrator i Microsoft Entra .

Administrer miljøets kryptering i Power Platform-administrasjonssenteret

Power Platform-administratoren håndterer oppgaver med kundestyrte nøkler relatert til miljøet i Power Platform-administrasjonssenteret.

1. Legg til Power Platform-miljøene i virksomhetspolicyen for å kryptere data med den kundestyrte nøkkelen. Mer informasjon: Legg til et miljø i virksomhetspolicyen for å kryptere data
2. Fjern miljøer fra virksomhetspolicyen for å returnere kryptering til Microsoft-administrert nøkkel. Mer informasjon: Fjern miljøer fra policyen for å returnere til Microsoft-administrert nøkkel
3. Endre nøkkelen ved å fjerne miljøer fra den gamle virksomhetspolicyen og legge til miljøer i en ny virksomhetspolicy. Mer informasjon: Opprett krypteringsnøkkel og gi tilgang
4. Overfør fra BYOK. Hvis du bruker den tidligere funksjonen for selvstyrt krypteringsnøkkel, kan du overføre nøkkelen til kundestyrt nøkkel. Mer informasjon: Overfør Bring Your Own Key-miljøer til kundestyrt nøkkel

Opprett krypteringsnøkkel og gi tilgang

Opprett et betalt Azure-abonnement og et Key Vault

Utfør følgende trinn i Azure:

1. Opprett et abonnement med forbruksbetaling eller et tilsvarende Azure-abonnement. Dette trinnet er ikke nødvendig hvis leieren allerede har et abonnement.

2. Opprett en ressursgruppe. Mer informasjon: Opprett ressursgrupper

   Merk

   Opprett eller bruk en ressursgruppe som har et sted, for eksempel USA, sentralt, som samsvarer med Power Platform-miljøets område, for eksempel USA.

3. Opprett et nøkkelhvelv ved hjelp av det betalte abonnementet som inkluderer beskyttelse mot myk sletting og tømming i ressursgruppen du opprettet i forrige trinn.

   Viktig

   • For å sikre at miljøet er beskyttet mot utilsiktet sletting av krypteringsnøkkelen, må nøkkelhvelvet ha beskyttelse mot myk sletting og tømming aktivert. Du kan ikke kryptere miljøet med din egen nøkkel uten å aktivere disse innstillingene. Mer informasjon: Oversikt over myk sletting i Azure Key Vault Mer informasjon: Opprett et Key Vault ved hjelp av Azure-portalen

Opprette en nøkkel i Key Vault

1. Sørg for at du har oppfylt forhåndskravene.

2. Gå til Azure-portalen>Key Vault, og finn nøkkelhvelvet der du vil generere en krypteringsnøkkel.

3. Verifiser innstillingene i Azure Key Vault:

   1. Velg Egenskaper under Innstillinger.
   2. Under Myk sletting angir du eller bekrefter at det er angitt til Myk sletting er aktivert i dette nøkkelhvelvet.
   3. Under Tømmingsbeskyttelse angir eller kontrollerer du at Aktiver tømmingsbeskyttelse (håndhev en obligatorisk oppbevaringsperiode for slettede hvelv og hvelvobjekter) er aktivert.
   4. Velg Lagre hvis du foretok endringer.

   

Opprett RSA-nøkler

1. Opprett eller importer en nøkkel som har disse egenskapene:
   1. På egenskapssidene i Key Vault velger du Nøkler.
   2. Velg Generer/Importer.
   3. På skjermen Opprett en nøkkel angir du følgende verdier og velger deretter Opprett.
      • Alternativer: Generer
      • Navn: Oppgi et navn for nøkkelen
      • Nøkkeltype: RSA
      • RSA-nøkkelstørrelse: 2048

Importer beskyttede nøkler for maskinvaresikkerhetsmoduler (HSM)

Du kan bruke de beskyttede nøklene for maskinvaresikkerhetsmoduler (HSM) til å kryptere Power Platform Dataverse-miljøene. De HSM-beskyttede nøklene må importeres til nøkkelhvelvet, slik at det kan opprettes en bedriftspolicy. Hvis du vil ha mer informasjon, kan du se Støttede HSM-erImporter HSM-beskyttede nøkler til Key Vault (BYOK).

Opprett en nøkkel i Azure Key Vault-forvaltet HSM (forhåndsversjon)

Du kan bruke en krypteringsnøkkel opprettet fra Azure Key Vault-forvaltet HSM til å kryptere miljødataene. Dette gir deg FIPS 140-2-støtte på nivå 3.

Opprett RSA-HSM-nøkler

1. Sørg for at du har oppfylt forhåndskravene.

2. Gå til Azure-portalen.

3. Opprett en forvaltet HSM:

   1. Klargjør den forvaltede HSM-en.
   2. Aktiver den forvaltede HSM-en.

4. Aktiver Tømmebeskyttelse i den forvaltede HSM-en.

5. Gi rollen Forvaltet HSM-kryptobruker til personen som opprettet HSM Key Vault.

   1. Få tilgang til forvaltet HSM Key Vault i Azure-portalen.
   2. Naviger til Lokal RBAC, og velg + Legg til.
   3. Velg rollen Forvaltet HSM-kryptobruker på siden Rolletildeling i rullegardinlisten Rolle.
   4. Velg Alle nøkler under Omfang.
   5. Velg Velg sikkerhetskontohaver, og velg deretter administratoren på siden Legg til sikkerhetskontohaver.
   6. Velg Opprett.

6. Opprett en RSA-HSM-nøkkel:

   • Alternativer: Generer
   • Navn: Oppgi et navn for nøkkelen
   • Nøkkeltype: RSA-HSM
   • RSA-nøkkelstørrelse: 2048

   Obs!

   Støttet RSA-HSM-nøkkelstørrelser: 2048-bit, 3072-bit, 4096-bit.

Kryper miljøet med nøkkel fra Azure Key Vault med Private Link

Du kan oppdatere Azure Key Vault-nettverket ved å aktivere et privat endepunkt og bruke nøkkelen i Key Vault til å kryptere Power Platform-miljøene dine.

Du kan opprette et nytt nøkkelvelv og etablere en Private Link-tilkobling eller establere en Private Link-tilkobling til et eksisterende nøkkelvelv og opprette en nøkkel fra dette nøkkelvelvet og bruke den til å kryptere miljøet ditt. Du kan også opprette en Private Link-tilkobling til et eksisterende nøkkelhvelv etter at du allerede har opprettet en nøkkel og brukt den til å kryptere miljøet.

Kryper data med nøkkel fra Key Vault med Private Link

1. Opprett et Azure Key Vault med disse alternativene:

   • Aktiver Tømmebeskyttelse
   • Nøkkeltype: RSA
   • Nøkkelstørrelse: 2048

2. Kopier nettadressen til Key Vault og nettadressen til krypteringsnøkkelen som skal brukes til oppretting av virksomhetspolicyen.

   Obs!

   Når du har lagt til et privat endepunkt i nøkkelhvelvet eller deaktivert det offentlige nettverket, kan du ikke se nøkkelen med mindre du har riktig tillatelse.

3. Opprett et virtuelt nettverk.

4. Gå tilbake til nøkkelhvelvet, og legg til private endepunktstilkoblinger til Azure Key Vault.

   Obs!

   Du må velge Deaktiver offentlig nettverk og aktivere unntaket Tillat klarerte Microsoft-tjenester å omgå denne brannmuren.

5. Opprett en Power Platform-virksomhetspolicy. Mer informasjon: Opprett virksomhetspolicy

6. Gi virksomhetspolicyen tillatelse til å få tilgang til nøkkelhvelvet. Mer informasjon: Gi virksomhetspolicyen tillatelse til å få tilgang til nøkkelhvelvet

7. Gi Power Platform- og Dynamics 365-administratorer tillatelse til å lese virksomhetspolicyen. Mer informasjon: Gi Power Platform-administratoren tillatelse til å lese virksomhetspolicyen

8. Administratoren i Power Platform-administrasjonssenteret velger miljøet for å kryptere og aktivere Administrert miljø. Mer informasjon: Aktiver Administrert miljø som skal legges til i bedriftspolicyen

9. Administratoren i Power Platform-administrasjonssenteret legger til Administrert miljø i virksomhetspolicyen. Mer informasjon: Legg til et miljø i virksomhetspolicyen for å kryptere data

Aktiver Power Platform-tjenesten for virksomhetspolicyer for Azure-abonnementet ditt

Registrer Power Platform som en ressursleverandør. Du trenger bare å utføre denne oppgaven én gang for hvert Azure-abonnement der ditt Azure Key Vault er. Du må ha tilgangsrettigheter til abonnementet for å kunne registrere ressursleverandøren.

1. Logg på Azure-portalen, og gå til Abonnement>Ressursleverandører.
2. I listen over ressursleverandører søker du etter Microsoft.PowerPlatform og velger Registrer.

Opprett virksomhetspolicy

1. Installer PowerShell MSI. Mer informasjon: Installer PowerShell på Windows, Linux og macOS
2. Når PowerShell MSI er installert, går du tilbake til Implementer en egendefinert mal i Azure.
3. Velg koblingen Bygg din egen mal i redigeringsprogrammet.
4. Kopier JSON-malen til et tekstredigeringsprogram, for eksempel Notisblokk. Mer informasjon: JSON-mal for virksomhetspolicy
5. Erstatt verdiene i JSON-malen for følgende: EnterprisePolicyName, plassering der EnterprisePolicy må opprettes, keyVaultId og keyName. Mer informasjon: Feltdefinisjoner for JSON-mal
6. Kopier den oppdaterte malen fra tekstredigeringsprogrammet, lim den deretter inn i Rediger mal under Egendefinert distribusjon i Azure, og velg Lagre.
7. Velg et abonnement og en ressursgruppe der virksomhetspolicyen skal opprettes.
8. Velg Se gjennom + opprett, og velg deretter Opprett.

En distribusjon startes. Når den er ferdig, opprettes virksomhetspolicyen.

JSON-mal for virksomhetspolicy

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Feltdefinisjoner for JSON-mal

• navn. Navnet på virksomhetspolicyen. Dette er navnet på policyen som vises i Power Platform-administrasjonssenteret.

• plassering. Én av følgende. Dette er plasseringen for virksomhetspolicyen, og den må samsvare med Dataverse-miljøets område:

  • '"unitedstates"'
  • '"southafrica"'
  • '"uk"'
  • '"japan"'
  • '"india"'
  • '"france"'
  • '"europe"'
  • '"germany"'
  • '"switzerland"'
  • '"canada"'
  • '"brazil"'
  • '"australia"'
  • '"asia"'
  • '"uae"'
  • '"korea"'
  • '"norway"'
  • '"singapore"'
  • '"sweden"'

• Kopier disse verdiene fra nøkkelhvelvegenskapene i Azure-portalen:

  • keyVaultId: Gå til Key Vaults> velg nøkkelhvelvet ditt >Oversikt. Ved siden av Essensielt velger du JSON-visning. Kopier ressurs-ID-en til utklippstavlen, og lim inn hele innholdet i JSON-malen.
  • keyName: Gå til Key Vaults> velg nøkkelhvelvet ditt >Nøkler. Noter deg nøkkelens navn, og skriv inn navnet i JSON-malen.

Gi virksomhetspolicyen tillatelse til å få tilgang til nøkkelhvelvet

Når virksomhetspolicyen er oppretter, gir nøkkelhvelvadministratoren virksomhetspolicyens administrerte identitet tilgang til krypteringsnøkkelen.

1. Logg på Azure-portalen, og gå til Nøkkelhvelv.
2. Velg nøkkelhvelvet der nøkkelen ble tilordnet til virksomhetspolicyen.
3. Velg fanen Access Control (IAM), og velg deretter + Legg til.
4. Velg Legg til rolletilordning fra rullegardinlisten.
5. Søk etter krypteringsbrukeren i Key Vault-kryptotjenesten, og velg den.
6. Velg Neste.
7. Velg + Velg medlemmer.
8. Søk etter virksomhetspolicyen du har opprettet.
9. Velg virksomhetspolicyen, og velg deretter Velg.
10. Velg Se gjennom + tildel.

Obs!

Innstillingen for tillatelsen ovenfor er basert på key vaults Tillatelsesmodell for Azure-rollebasert tilgangskontroll. Hvis nøkkelhvelvet er satt til Tilgangspolicy for Key Vault, anbefales det at du overfører til den rollebaserte modellen. Hvis du vil gi virksomheten policytilgang til nøkkelhvelvet ved hjelp av Vault-tilgangspolicy, oppretter du en tilgangspolicy, velger Hent på Nøkkelbehandlingsoperasjoner og Pakk ut nøkkel og Pakk nøkkel på Kryptografiske operasjoner.

Gi Power Platform-administratoren tillatelse til å lese virksomhetspolicyen

Administratorer som har globale administrasjonsroller i Azure, Dynamics 365 og Power Platform, kan få tilgang til Power Platform-administrasjonssenteret for å tilordne miljøer til virksomhetspolicyen. For å få tilgang til bedriftspolicyene må den globale administratoren med Azure Key Vault-tilgang gi Power Platform-administratoren Leser-rollen. Etter at Leser-rollen er gitt, kan Power Platform-administratoren vise bedriftspolicyene i administrasjonssenteret for Power Platform.

Merk

Bare Power Platform- og Dynamics 365-administratorer som er tildelt leserrollen i virksomhetspolicyen, kan legge til et miljø i policyen. Andre Power Platform- eller Dynamics 365-administratorer kan vise virksomhetspolicyen, men de får en feilmelding når de prøver å legge til et miljø i policyen.

Gi leserrollen til en Power Platform-administrator

1. Logg på Azure-portalen.
2. Kopier objekt-ID-en for Power Platform- eller Dynamics 365-administratoren. Slik gjør du dette:
   1. Gå til Brukere-området i Azure.
   2. I Alle brukere-listen finner du brukeren med Power Platform- eller Dynamics 365-administratortillatelser ved å bruke Søk etter brukere.
   3. Åpne brukeroppføringen, gå til Oversikt-fanen, og kopier brukerens objekt-ID. Lim inn dette i et tekstredigeringsprogram, for eksempel Notisblokk, til senere bruk.
3. Kopier ressurs-ID-en for virksomhetspolicyen. Slik gjør du dette:
   1. Gå til Resource Graph Explorer i Azure.
   2. Skriv inn microsoft.powerplatform/enterprisepolicies i Søk-boksen, og velg deretter ressursen microsoft.powerplatform/enterprisepolicies .
   3. Velg Kjør spørring på kommandolinjen. En liste over alle Power Platform-virksomhetspolicyer vises.
   4. Finn virksomhetspolicyen der du vil gi tilgang.
   5. Rull til høyre for virksomhetspolicyen, og velg Se detaljer.
   6. På Detaljer-siden kopierer du ID-en.
4. Start Azure Cloud Shell, og kjør følgende kommando der du erstatter objId med brukerens objekt-ID og EP Resource Id med enterprisepolicies ID-en som ble kopiert i de forrige trinnene: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Administrer miljøets kryptering

Du må ha følgende tillatelse for å kunne behandle miljøets kryptering:

• Aktiv Microsoft Entra-bruker som har en sikkerhetsrolle som Power Platform og/eller Dynamics 365-administrator.
• Microsoft Entra-bruker som har rollen som global leieradministrator, Power Platform-administrator eller Dynamics 365-tjenesteadministrator.

Nøkkelhvelvadministratoren i varsler Power Platform-administratoren om at det ble opprettet en krypteringsnøkkel og en virksomhetspolicy, og tildeler virksomhetspolicyen til Power Platform-administratoren. For å aktivere den kundestyrte nøkkelen tilordner Power Platform-administratoren miljøene til virksomhetspolicyen. Når miljøet er tilordnet og lagret, starter Dataverse krypteringsprosessen for å angi alle miljødataene og krypterer dem med den kundestyrte nøkkelen.

Aktiver Administrert miljø som skal legges til i bedriftspolicyen

1. Logg deg på administrasjonssenteret for Power Platform, og finn miljøet.
2. Velg og kontroller miljøet i listen over miljøer.
3. Velg ikonet Aktiver administrerte miljøer på handlingslinjen.
4. Velg Aktiver.

Legg til et miljø i virksomhetspolicyen for å kryptere data

Viktig

Miljøet blir deaktivert når det legges til i virksomhetspolicyen for datakryptering.

1. Logg på Power Platform-administrasjonssenteret, og gå til Policyer>Virksomhetspolicyer.
2. Velg en policy, og velg deretter Rediger på kommandolinjen.
3. Velg Legg til miljøer, velg ønsket miljø, og velg deretter Fortsett.
4. Velg Lagre og deretter Bekreft.

Viktig

• Bare miljøer som er i samme område som virksomhetspolicyen, vises i listen Legg til miljøer.
• Det kan ta opptil fire dager før krypteringen fullføres, men miljøet kan bli aktivert før operasjonen Legg til miljøer er fullført.
• Det kan hende at operasjonen ikke fullføres, og hvis den mislykkes, er dataene fortsatt kryptert med Microsoft-forvaltet nøkkel. Du kan kjøre operasjonen Legg til miljøer på nytt.

Obs!

Du kan bare legge til miljøer som er aktivert som administrerte miljøer. Miljøtypene for prøveversjon og Teams kan ikke legges til i virksomhetspolicyen.

Fjern miljøer fra policyen for å returnere til Microsoft-administrert nøkkel

Følg denne fremgangsmåten hvis du vil gå tilbake til en Microsoft-administrert krypteringsnøkkel.

Viktig

Miljøet blir deaktivert når det fjernes fra virksomhetspolicyen for å returnere datakryptering ved hjelp av den Microsoft-administrerte nøkkelen.

1. Logg på Power Platform-administrasjonssenteret, og gå til Policyer>Virksomhetspolicyer.
2. Velg fanen Miljø med policyer, og finn deretter miljøet du vil fjerne fra kundestyrt nøkkel.
3. Velg fanen Alle policyer, velg miljøet du verifiserte i trinn 2, og velg deretter Rediger policy på kommandolinjen.
4. Velg Fjern miljø på kommandolinjen, velg miljøet du vil fjerne, og velg deretter Fortsett.
5. Velg Lagre.

Viktig

Miljøet blir deaktivert når det fjernes fra virksomhetspolicyen for å tilbakestille datakryptering til den Microsoft-administrerte nøkkelen. Ikke slett eller deaktiver nøkkelen, slett eller deaktiver nøkkelhvelvet, eller fjern tillatelsene til den gjeldende policyen til nøkkelhvelvet. Tilgangen til nøkkel og nøkkelhvelv er nødvendig for å støtte gjenoppretting av databasen. Du kan slette og fjerne tillatelsene for virksomhetspolicyen etter 30 dager.

Endre miljøets krypteringsnøkkel med en ny virksomhetspolicy og nøkkel

Hvis du vil endre krypteringsnøkkelen, oppretter du en ny nøkkel og en ny bedriftspolicy. Du kan deretter endre virksomhetspolicyen ved å fjerne miljøene og legge til miljøene i den nye virksomhetspolicyen. Merk at systemet er nede to ganger ved bytte til en ny bedriftspolicy, først for å gjenopprette krypteringen til Microsoft-administrert nøkkel og deretter for å gjøre den nye bedriftspolicyen gjeldende.

[!Anbefaling] Vi anbefaler at du bruker Ny versjon i Key Vault eller angir en Rotasjonspolicy for å rotere krypteringsnøkkelen.

1. I Azure-portalen oppretter du en ny nøkkel og en ny virksomhetspolicy. Mer informasjon: Opprett krypteringsnøkkel og gi tilgang og Opprett en virksomhetspolicy
2. Når den nye nøkkelen og virksomhetspolicyen er opprettet, går du til Policyer>Virksomhetspolicyer.
3. Velg fanen Miljø med policyer, og finn deretter miljøet du vil fjerne fra kundestyrt nøkkel.
4. Velg fanen Alle policyer, velg miljøet du verifiserte i trinn 2, og velg deretter Rediger policy på kommandolinjen.
5. Velg Fjern miljø på kommandolinjen, velg miljøet du vil fjerne, og velg deretter Fortsett.
6. Velg Lagre.
7. Gjenta trinn 2–6 til alle miljøer i virksomhetspolicyen er fjernet.

Viktig

Miljøet blir deaktivert når det fjernes fra virksomhetspolicyen for å tilbakestille datakryptering til den Microsoft-administrerte nøkkelen. Ikke slett eller deaktiver nøkkelen, slett eller deaktiver nøkkelhvelvet, eller fjern tillatelsene til den gjeldende policyen til nøkkelhvelvet. Tilgangen til nøkkel og nøkkelhvelv er nødvendig for å støtte gjenoppretting av databasen. Du kan slette og fjerne tillatelsene for virksomhetspolicyen etter 30 dager.

1. Når alle miljøene er fjernet, går du til Power Platform-administrasjonssenteret og deretter til Virksomhetspolicyer.
2. Velg den nye virksomhetspolicyen, og velg deretter Rediger policy.
3. Velg Legg til miljø, velg miljøene du vil legge til, og velg deretter Fortsett.

Viktig

Miljøet blir deaktivert når det legges til i den nye virksomhetspolicyen.

Roter miljøets krypteringsnøkkel med en ny nøkkelversjon

Du kan endre miljøets krypteringsnøkkel med ved å opprette en ny nøkkelversjon. Når du oppretter en ny nøkkelversjon, aktiveres den nye nøkkelversjonen automatisk. Alle lagringsressursene registrerer den nye nøkkelversjonen og begynner å bruke den til å kryptere dataene.

Når du endrer nøkkelen eller nøkkelversjonen, endres beskyttelsen for rotkrypteringsnøkkelen, men dataene på lagringsplassen forblir alltid kryptert med nøkkelen. Du trenger ikke gjøre noe annet for å sikre at dataene er beskyttet. Rotering av nøkkelversjonen påvirker ikke ytelsen. Det er ikke knyttet noe nedetid til rotering av nøkkelversjonen. Det kan ta 24 timer før alle ressursleverandørene bruker den nye nøkkelversjonen i bakgrunnen. Den forrige nøkkelversjonen skal ikke deaktiveres, fordi tjenesten må bruke den til ny kryptering og for å støtte gjenoppretting av databasen.

Bruk fremgangsmåten nedenfor til å rotere krypteringsnøkkelen ved å opprette en ny nøkkelversjon.

1. Gå til Azure Portal>Key Vaults, og finn Key Vault der du vil opprette en ny nøkkelversjon.
2. Naviger til Nøkler.
3. Velg gjeldende aktiverte nøkkel.
4. Velg + Ny versjon.
5. Vær oppmerksom på at innstillingen Aktivert settes til Ja som standard, som betyr at den nye nøkkelversjonen aktiveres automatisk når den opprettes.
6. Velg Opprett.

[!Anbefaling] Du kan følge nøkkelroteringspolicyen ved å rotere krypteringsnøkkelen ved hjelp av Roteringspolicy. Du kan enten konfigurere en roteringspolicy eller rotere ved behov ved å aktivere Roter nå.

Viktig

Den nye nøkkelversjonen roteres automatisk i bakgrunnen, og Power Platform-administratoren trenger ikke å gjøre noe. Det er viktig at den forrige nøkkelversjonen ikke deaktiveres eller slettes før det har gått minst 28 dager, for å støtte gjenoppretting av databasen. Hvis du deaktiverer eller sletter den forrige nøkkelversjonen for tidlig, kan miljøet bli frakoblet.

Vis listen over krypterte miljøer

1. Logg på Power Platform-administrasjonssenteret, og gå til Policyer>Virksomhetspolicyer.
2. På siden Virksomhetspolicyer velger du fanen Miljøer med policyer. Listen over miljøer som er lagt til i virksomhetspolicyer, vises.

Obs!

Det kan oppstå situasjoner der Miljøstatus eller Krypteringsstatus viser statusen Mislykket. Hvis dette skjer, må du sende inn en støtteforespørsel til Microsoft for å få hjelp.

Handlinger i miljødatabase

En kundeleier kan ha miljøer som er kryptert ved hjelp av Microsofts administrerte nøkkel, og miljøer som er kryptert med kundens administrerte nøkkel. Hvis du vil vedlikeholde dataintegritet og databeskyttelse, er følgende kontroller tilgjengelige når du administrerer operasjoner for miljødatabasen.

• Gjenopprett Miljøet for å overskrive (det gjenopprettede til miljøet) er begrenset til det samme miljøet som sikkerhetskopien ble Hentet fra, eller til et annet miljø som er kryptert med den samme kundeadministrerte nøkkelen.

  

• Kopier Miljøet for å overskrive (det kopierte til miljøet) er begrenset til et annet miljø som er kryptert med den samme kundeadministrerte nøkkelen.

  

  Obs!

  Hvis et kundestøtteundersøkelsesmiljø ble opprettet for å løse kundestøtteproblemer i et kundeadministrert miljø, må krypteringsnøkkelen for kundestøtteundersøkelsesmiljøet endres til kundeadministrert nøkkel før Kopier miljø-operasjonen kan utføres.

• Tilbakestill Miljøets krypterte data, slettes, inkludert sikkerhetskopier. Når miljøet er tilbakestilt, vil miljøkrypteringen gå tilbake til Microsoft-administrert nøkkel.

Neste trinn

Om Azure Key Vault