Uw door de klant beheerde versleutelingssleutel beheren

Klanten hebben vereisten op het gebied van gegevensprivacy en naleving om hun gegevens te beveiligen door hun gegevens in rust te versleutelen. Hiermee worden de gegevens beveiligd tegen blootstelling wanneer een kopie van de database wordt gestolen. Met gegevensversleuteling in rust worden de gestolen databasegegevens beschermd tegen herstel naar een andere server zonder de versleutelingssleutel.

Alle klantgegevens die in Power Platform zijn opgeslagen, worden standaard gecodeerd met sterk Microsoftbeheerde encryptiesleutels. Microsoft slaat de database-encryptiesleutel voor al uw gegevens op en beheert deze, zodat u dat niet hoeft te doen. Power Platform levert deze door de klant beheerde versleutelingssleutel (CMK) echter als extra controle over uw gegevensbescherming, waarbij u zelf de database-versleutelingssleutel kunt beheren die aan uw Microsoft Dataverse-omgeving is gekoppeld. Hiermee kunt u de encryptiesleutel op verzoek roteren of verwisselen. Ook kunt u hiermee voorkomen dat Microsoft toegang heeft tot uw klantgegevens wanneer u op enig moment de sleuteltoegang tot onze diensten intrekt.

Bekijk de video over door klant beheerde sleutel om meer te weten te komen over door de klant beheerde sleutel in Power Platform.

Deze versleutelingssleutelbewerkingen zijn beschikbaar met door de klant beheerde sleutel (CMK):

• Maak een RSA-sleutel (RSA-HSM) vanuit uw Azure-sleutelkluis.
• Maak een Power Platform-bedrijfsbeleid voor uw sleutel.
• Verleen het Power Platform-bedrijfsbeleid toegang tot uw sleutelkluis.
• Geef de Power Platform-servicebeheerder toestemming om het bedrijfsbeleid te lezen.
• Pas de versleutelingssleutel toe op uw omgeving.
• terugkeren/remove omgeving's CMK-encryptie naar Microsoft-beheerde sleutel.
• Wijzig de sleutel door een nieuw ondernemingsbeleid te maken, de omgeving uit CMK te verwijderen en CMK opnieuw toe te passen met een nieuw ondernemingsbeleid.
• Vergrendel CMK-omgevingen door de CMK-sleutelkluis en/of sleutelmachtigingen in te trekken.
• Migreer BYOK-omgevingen (bring-your-own-key) naar CMK door de CMK-sleutel toe te passen.

Momenteel kunnen al uw klantgegevens die uitsluitend in de volgende apps en services zijn opgeslagen, worden versleuteld met een door de klant beheerde sleutel:

• Dataverse (Maatwerkoplossingen en Microsoft diensten)
• Dataverse Copilot voor modelgestuurde apps
• Power Automate¹
• Power Apps
• Chat voor Dynamics 365
• Dynamics 365 Verkoop
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Financiën en bedrijfsactiviteiten)
• Dynamics 365 Intelligent Order Management (Financiën en bedrijfsactiviteiten)
• Dynamics 365 Project Operations (Financiën en bedrijfsactiviteiten)
• Dynamics 365 Supply Chain Management (Financiën en bedrijfsactiviteiten)
• Dynamics 365 Fraud Protection (Financiën en bedrijfsactiviteiten)

¹ Wanneer u de door de klant beheerde sleutel toepast op een terugkeren met bestaande Power Automate stromen, blijven de stroomgegevens gecodeerd met de Microsoft-beheerde sleutel. Meer informatie: Power Automate door klant beheerde sleutel.

Notitie

Nuance Conversational IVR en Welkomstinhoud voor maker zijn uitgesloten van door de klant beheerde sleutelversleuteling.

Microsoft Copilot Studio slaat zijn gegevens op in zijn eigen opslag en in Microsoft Dataverse. Wanneer u de door de klant beheerde sleutel op deze omgevingen toepast, wordt alleen de gegevensopslag in Microsoft Dataverse versleuteld met uw sleutel. De niet-Microsoft Dataverse gegevens blijven gecodeerd met de Microsoft-beheerde sleutel.

Notitie

De verbindingsinstellingen voor connectoren blijven gecodeerd met een door Microsoft beheerde sleutel.

Neem contact op met een vertegenwoordiger voor services die hierboven niet worden vermeld voor informatie over ondersteuning voor door de klant beheerde sleutels.

Notitie

Power Apps Weergavenamen, beschrijvingen en verbindingsmetagegevens worden nog steeds gecodeerd met een door Microsoft beheerde sleutel.

Notitie

De downloadresultaten koppelen en andere gegevens die tijdens een oplossingscontrole door de oplossingscontrole worden gegenereerd, blijven gecodeerd met een Microsoft-beheerde sleutel.

Omgevingen met apps voor financiën en bedrijfsactiviteiten waarbij Power Platform-integratie is ingeschakeld, kunnen eveneens worden versleuteld. Financiële en operationele omgevingen zonder Power Platform integratie blijven de standaard Microsoft beheerde sleutel gebruiken om gegevens te versleutelen. Meer informatie: Versleuteling in apps voor financiën en bedrijfsactiviteiten

Inleiding tot door de klant beheerde sleutel

Met door de klant beheerde sleutel kunnen beheerders vanuit hun eigen Azure Key Vault hun eigen versleutelingssleutel leveren aan de Power Platform-opslagservices om hun klantgegevens te versleutelen. Microsoft heeft geen directe toegang tot uw Azure Key Vault. Om Power Platform-services toegang te bieden tot de versleutelingssleutel vanuit uw Azure Key Vault, stelt de beheerder een Power Platform-bedrijfsbeleid op dat verwijst naar de versleutelingssleutel en verleent dit bedrijfsbeleid toestemming om de sleutel te lezen vanuit uw Azure Key Vault.

De Power Platform-servicebeheerder kan vervolgens Dataverse-omgevingen toevoegen aan het bedrijfsbeleid om te beginnen met het versleutelen van alle klantgegevens in de omgeving met uw versleutelingssleutel. Beheerders kunnen de versleutelingssleutel van de omgeving wijzigen door een ander bedrijfsbeleid te maken en de omgeving (na verwijdering) aan het nieuwe bedrijfsbeleid toe te voegen. Als omgeving niet langer hoeft te worden gecodeerd met uw door de klant beheerde sleutel, kan Beheerder de Dataverse omgeving uit het ondernemingsbeleid verwijderen om de gegevenscodering terug te zetten naar de door de Microsoft beheerde sleutel.

De beheerder kan de door de klant beheerde sleutelomgevingen vergrendelen door de sleuteltoegang in te trekken vanuit het bedrijfsbeleid en de omgevingen ontgrendelen door de sleuteltoegang te herstellen. Meer informatie: Omgevingen vergrendelen door toegang tot sleutelkluis en/of sleutelmachtiging in te trekken

Om de sleutelbeheertaken te vereenvoudigen, zijn de taken onderverdeeld in drie hoofdgebieden:

1. Versleutelingssleutel maken.
2. Bedrijfsbeleid maken en toegang verlenen.
3. Versleuteling van omgeving beheren.

Waarschuwing

Wanneer omgevingen vergrendeld zijn, is niemand er toegang toe, ook niet de ondersteuning. Microsoft Vergrendelde omgevingen worden uitgeschakeld en er kan gegevensverlies optreden.

Licentievereisten voor door de klant beheerde sleutel

Door de klant beheerd sleutelbeleid wordt alleen afgedwongen op omgevingen die zijn geactiveerd voor beheerde omgevingen. Beheerde omgevingen zijn als recht inbegrepen bij zelfstandige Power Apps-, Power Automate-, Microsoft Copilot Studio-, Power Pages- en Dynamics 365-licenties die premium gebruiksrechten bieden. Meer informatie over licenties voor beheerde omgevingen, met het Licentieoverzicht voor Microsoft Power Platform.

Daarnaast vereist toegang tot het gebruik van door de klant beheerde sleutel voor Microsoft Power Platform en Dynamics 365 dat gebruikers in de omgevingen waar het versleutelingssleutelbeleid wordt afgedwongen een van deze abonnementen hebben:

• Microsoft 365 of Office 365 A5/E5/G5
• Naleving van Microsoft 365 A5/E5/F5/G5
• Microsoft 365 F5 Beveiliging en naleving
• Microsoft 365 A5/E5/F5/G5 Informatiebescherming en governance
• Microsoft 365 A5/E5/F5/G5 Beheer van insiderrisico's

Meer informatie over deze licenties.

Het potentiële risico wanneer u uw sleutel beheert

Zoals bij elke bedrijfskritieke toepassing moeten de medewerkers binnen de organisatie die beheertoegang hebben, worden vertrouwd. Voordat u de sleutelbeheerfunctie gebruikt, moet u het risico kennen wanneer u uw database-versleutelingssleutels beheert. Het is denkbaar dat een kwaadwillende beheerder (iemand die op beheerdersniveau toegang heeft gekregen of zich toegang heeft verschaft met de bedoeling de beveiliging of de bedrijfsprocessen van een organisatie te schaden) die in uw organisatie werkt, de sleutelbeheerfunctie gebruikt om een sleutel te maken en te gebruiken om uw omgevingen in de tenant te vergrendelen.

Overweeg de volgende reeks gebeurtenissen.

De kwaadwillende sleutelkluisbeheerder maakt een sleutel en een bedrijfsbeleid op de Azure-portal. De Azure Key Vault-beheerder gaat naar het Power Platform-beheercentrum en voegt omgevingen toe aan het ondernemingsbeleid. De kwaadwillende beheerder keert vervolgens terug naar de Azure-portal en trekt de sleuteltoegang tot het bedrijfsbeleid in, waardoor alle omgevingen worden vergrendeld. Dit veroorzaakt bedrijfsonderbrekingen omdat alle omgevingen ontoegankelijk worden en als deze gebeurtenis niet wordt opgelost, dat wil zeggen de sleuteltoegang wordt hersteld, kunnen de omgevingsgegevens mogelijk verloren gaan.

Opmerking

• Azure Key Vault heeft ingebouwde beveiligingen die helpen bij het herstellen van de sleutel, waarvoor de sleutelkluisinstellingen Voorlopig verwijderen en Beveiliging tegen leegmaken moeten zijn ingeschakeld.
• Een andere beveiligingsmaatregel die moet worden overwogen, is zorgen voor een scheiding van taken waarbij de Azure Key Vault-beheerder geen toegang krijgt tot het Power Platform-beheercentrum.

Scheiding van taken om het risico te beperken

In dit gedeelte worden de door de klant beheerde hoofdfuncties beschreven waarvoor elke beheerdersrol verantwoordelijk is. Door deze taken te scheiden, wordt het risico van door de klant beheerde sleutels beperkt.

Azure Key Vault en Power Platform-/Dynamics 365-servicebeheerderstaken

Om door de klant beheerde sleutels in te schakelen, maakt de sleutelkluisbeheerder eerst een sleutel in de Azure-sleutelkluis en vervolgens een Power Platform-bedrijfsbeleid. Wanneer het ondernemingsbeleid wordt gemaakt, wordt er een speciale Microsoft Entra ID-beheerde identiteit gemaakt. Vervolgens keert de sleutelkluisbeheerder terug naar de Azure-sleutelkluis en verleent het bedrijfsbeleid/de beheerde identiteit toegang tot de versleutelingssleutel.

De sleutelkluisbeheerder verleent vervolgens de respectievelijke Power Platform-/Dynamics 365-servicebeheerder leestoegang tot het bedrijfsbeleid. Zodra leesrechten zijn verleend, kan de Power Platform-/Dynamics 365-servicebeheerder naar het Power Platform-beheercentrum gaan en omgevingen toevoegen aan het bedrijfsbeleid. De klantgegevens van alle toegevoegde omgevingen worden vervolgens versleuteld met de door de klant beheerde sleutel die aan dit bedrijfsbeleid is gekoppeld.

Vereisten

• Een Azure-abonnement dat Azure Key Vault of door Azure Key Vault-beheerde hardwarebeveiligingsmodules omvat.
• Een Microsoft Entra ID met:
  • Machtiging voor inzenders voor een Microsoft Entra-abonnement.
  • Toestemming om een ​​Azure Key Vault en sleutel te maken.
  • Toegang om een resourcegroep te maken. Dit is vereist voor het instellen van de sleutelkluis.

De sleutel maken en toegang verlenen met Azure Key Vault

De Azure Key Vault-beheerder voert deze taken uit in Azure.

1. Maak een betaald Azure-abonnement en Key Vault. Sla deze stap over als u al een abonnement hebt dat Azure Key Vault omvat.
2. Ga naar de Azure Key Vault-service en maak een sleutel. Meer informatie: Een sleutel maken in de sleutelkluis
3. Schakel de Power Platform-bedrijfsbeleidservice voor uw Azure-abonnement in. Doe dit maar één keer. Meer informatie: De Power Platform-bedrijfsbeleidservice inschakelen voor uw Azure-abonnement
4. Maak een Power Platform-bedrijfsbeleid. Meer informatie: Bedrijfsbeleid maken
5. Verleen het bedrijfsbeleid toegang tot de sleutelkluis. Meer informatie: Bedrijfsbeleid toegang verlenen tot de sleutelkluis
6. Verleen Power Platform- en Dynamics 365-beheerders toestemming om het bedrijfsbeleid te lezen. Meer informatie: De Power Platform-beheerder toestemming verlenen om bedrijfsbeleid te lezen

Taken in Power Platform-beheercentrum voor Power Platform-/Dynamics 365-servicebeheerder

Vereiste

• De Power Platform-beheerder moet zijn toegewezen aan de Microsoft Entra-rol Power Platform- of Dynamics 365-servicebeheerder.

Versleutel van omgeving beheren in Power Platform-beheercentrum

De Power Platform-beheerder beheert door taken voor de door de klant beheerde sleutel met betrekking tot de omgeving in het Power Platform-beheercentrum.

1. Voeg de Power Platform-omgevingen toe aan het bedrijfsbeleid om gegevens te versleutelen met de door de klant beheerde sleutel. Meer informatie: Een omgeving toevoegen aan het bedrijfsbeleid om gegevens te versleutelen
2. Verwijder omgevingen uit het bedrijfsbeleid om de encryptie terug te zetten naar de Microsoft beheerde sleutel. Meer informatie: Verwijder omgevingen uit beleid om terug te keren naar Microsoft beheerde sleutel
3. Wijzig de sleutel door omgevingen uit het oude bedrijfsbeleid te verwijderen en omgevingen toe te voegen aan een nieuw bedrijfsbeleid. Meer informatie: Encryptiesleutel maken en toegang verlenen
4. Migreer vanuit BYOK. Als u de eerdere functie voor zelfbeheerde versleutelingssleutels gebruikt, kunt u uw sleutel migreren naar een door de klant beheerde sleutel. Meer informatie: Uw eigen sleutelomgevingen migreren naar een door de klant beheerde sleutel

Versleutelingssleutel maken en toegang verlenen

Een betaald Azure-abonnement en sleutelkluis maken

Voer in Azure de volgende stappen uit:

1. Maak een abonnement voor betalen per gebruik of het equivalente Azure-abonnement. Deze stap is niet nodig als de tenant al een abonnement heeft.

2. Maak een resourcegroep. Meer informatie: Resourcegroepen maken

   Notitie

   Maak of gebruik een resourcegroep met een locatie, bijvoorbeeld Centraal-VS, die overeenkomt met de Power Platform-regio van de omgeving, zoals de Verenigde Staten.

3. Maak een sleutelkluis met behulp van het betaalde abonnement dat voorlopig verwijderen en beveiliging tegen leegmaken bevat met de resourcegroep die u in de vorige stap hebt gemaakt.

   Belangrijk

   • Om ervoor te zorgen dat uw omgeving wordt beschermd tegen het per ongeluk verwijderen van de versleutelingssleutel, moeten voorlopig verwijderen en beveiliging tegen leegmaken zijn ingeschakeld voor de sleutelkluis. U kunt uw omgeving niet versleutelen met uw eigen sleutel zonder deze instellingen in te schakelen. Meer informatie: Overzicht van Voorlopig verwijderen voor Azure Key Vault Meer informatie: Een sleutelkluis maken met Azure Portal

Een sleutel maken in de sleutelkluis

1. Controleer of u aan de vereisten hebt voldaan.
2. Ga naar de Azure-portal>Sleutelkluis en zoek de sleutelkluis waar u een versleutelingssleutel wilt genereren.
3. Controleer de instellingen van de Azure-sleutelkluis:
   1. Selecteer onder Instellingen de optie Eigenschappen.
   2. Stel onder Voorlopig verwijderen de optie Voorlopig verwijderen is ingeschakeld voor deze sleutelkluis in of controleer of deze is ingeschakeld.
   3. Stel onder Beveiliging tegen leegmaken de optie Beveiliging tegen leegmaken inschakelen (een verplichte retentieperiode afdwingen voor verwijderde kluizen en kluisobjecten) in of controleer of deze is ingeschakeld.
   4. Selecteer Opslaan als u wijzigingen hebt aangebracht.

RSA-sleutels maken

1. Maak of importeer een sleutel met deze eigenschappen:

   1. Selecteer Sleutels op de eigenschappenpagina's van Key Vault.
   2. Selecteer Genereren/Importeren.
   3. Stel op het scherm Een sleutel maken de volgende waarden in en selecteer vervolgens Maken.
      • Opties: Genereren
      • Naam: Geef een naam op voor de sleutel
      • Sleuteltype: RSA
      • RSA-sleutelgrootte: 2048

   Belangrijk

   Als u een vervaldatum instelt voor uw sleutel en de sleutel is verlopen, zijn alle omgevingen die met deze sleutel zijn gecodeerd, offline. Stel een waarschuwing in om verlopende certificaten te controleren met e-mailmeldingen voor uw lokale beheerder en Azure Key Vault-beheerder als herinnering om de vervaldatum te verlengen. Power Platform Dit is belangrijk om ongeplande systeemuitval te voorkomen.

Beveiligde sleutels importeren voor hardwarebeveiligingsmodules (HSM)

U kunt uw beveiligde sleutels voor hardwarebeveiligingsmodules (HSM) gebruiken om uw Power Platform Dataverse-omgevingen te versleutelen. Uw met HSM beveiligde sleutels moeten worden geïmporteerd in de sleutelkluis zodat een Enterprise-beleid kan worden gemaakt. Zie Ondersteunde HSM'sMet HSM beveiligde sleutels importeren in Key Vault (BYOK) voor meer informatie.

Maak een sleutel in de beheerde HSM van Azure Key Vault

U kunt een encryptiesleutel gebruiken die is gemaakt op basis van de door Azure Key Vault beheerde HSM om uw omgevingsgegevens te versleutelen. Hiermee krijgt u FIPS 140-2 niveau 3-ondersteuning.

RSA-HSM-sleutels maken

1. Controleer of u aan de vereisten hebt voldaan.

2. Ga naar de Azure-portal.

3. Maak Beheerde HSM:

   1. reserve de beheerde HSM.
   2. Activeer de beheerde HSM.

4. Schakel Beveiliging opschonen in uw beheerde HSM in.

5. Verleen de rol Crypto-gebruiker beheerde HSM aan de persoon die de sleutelkluis voor beheerde HSM heeft gemaakt.

   1. Toegang tot de sleutelkluis voor beheerde HSM op de Azure Portal.
   2. Navigeer naar Lokale RBAC en selecteer + Toevoegen.
   3. Selecteer in de vervolgkeuzelijst Rol de rol Crypto-gebruiker beheerde HSM op de pagina Roltoewijzing.
   4. Selecteer Alle sleutels onder Bereik.
   5. Selecteer Beveiligingsprincipal selecteren en selecteer vervolgens de beheerder op de pagina Principal toevoegen.
   6. Selecteer Maken.

6. Een RSA-HSM-sleutel maken

   • Opties: Genereren
   • Naam: Geef een naam op voor de sleutel
   • Sleuteltype: RSA-HSM
   • RSA-sleutelgrootte: 2048

   Notitie

   Ondersteunde RSA-HSM-sleutelgroottes: 2048-bits en 3072-bits.

Uw omgeving versleutelen met een sleutel uit Azure Key Vault met privékoppeling (preview)

U kunt het netwerk van uw Azure Key Vault bijwerken door een privé-eindpunt in te schakelen en de sleutel in de sleutelkluis te gebruiken om uw Power Platform-omgevingen te versleutelen.

U kunt ofwel een nieuwe sleutelkluis maken en een private link-verbinding tot stand brengen of een private link-verbinding tot stand brengen met een bestaande sleutelkluis en een sleutel van deze sleutelkluis maken en deze gebruiken om uw omgeving te versleutelen. U kunt ook een private link-verbinding tot stand brengen met een bestaande sleutelkluis nadat u al een sleutel hebt gemaakt en deze gebruiken om uw omgeving te versleutelen.

Gegevens versleutelen met sleutel uit sleutelkluis met private link

1. Maak een Azure Key Vault met deze opties:

   • Purge Protection inschakelen
   • Sleuteltype: RSA
   • Sleutelgrootte: 2048

2. Kopieer de sleutelkluis-URL en de encryptiesleutel-URL die moet worden gebruikt voor het maken van het ondernemingsbeleid.

   Notitie

   Zodra u een privé eindpunt aan uw sleutelkluis hebt toegevoegd of het openbare toegangsnetwerk hebt uitgeschakeld, kunt u de sleutel niet zien tenzij u de juiste machtiging hebt.

3. Maak een virtueel netwerk.

4. Keer terug naar uw sleutelkluis en voeg privé-eindpuntverbindingen toe aan uw Azure Key Vault.

   Notitie

   U moet de optie Openbare toegang tot netwerken uitschakelen selecteren en de uitzondering Vertrouwde services toestaan deze firewall te omzeilen Microsoft inschakelen.

5. Maak een Power Platform-bedrijfsbeleid. Meer informatie: Bedrijfsbeleid maken

6. Verleen het bedrijfsbeleid toegang tot de sleutelkluis. Meer informatie: Bedrijfsbeleid toegang verlenen tot de sleutelkluis

7. Verleen Power Platform- en Dynamics 365-beheerders toestemming om het bedrijfsbeleid te lezen. Meer informatie: De Power Platform-beheerder toestemming verlenen om bedrijfsbeleid te lezen

8. Beheerder van Power Platform-beheercentrum selecteert de omgeving om de beheerde omgeving te versleutelen en in te schakelen. Meer informatie: Beheerde omgeving inschakelen om de omgeving toe te voegen aan het ondernemingsbeleid

9. Beheerder van Power Platform-beheercentrum voegt de beheerde omgeving toe aan het ondernemingsbeleid. Meer informatie: Een omgeving toevoegen aan het bedrijfsbeleid om gegevens te versleutelen

De Power Platform-bedrijfsbeleidservice voor uw Azure-abonnement inschakelen

Registreer Power Platform als resourceprovider. U hoeft deze taak slechts één keer uit te voeren voor elk Azure-abonnement waar uw Azure Key Vault zich bevindt. U moet toegangsrechten voor het abonnement hebben om de resourceprovider te kunnen registreren.

1. Meld u aan bij de Azure-portal en ga naar Abonnement>Resourceproviders.
2. Zoek in de lijst met Resourceproviders naar Microsoft.PowerPlatform en registreer het.

Bedrijfsbeleid maken

1. Installeer PowerShell MSI. Meer informatie: PowerShell installeren op Windows, Linux en macOS
2. Ga, nadat de PowerShell MSI is geïnstalleerd, terug naar Een aangepaste sjabloon implementeren in Azure.
3. Selecteer de koppeling Maak uw eigen sjabloon in de editor.
4. Kopieer deze JSON-sjabloon naar een teksteditor zoals Kladblok. Meer informatie: JSON-sjabloon voor bedrijfsbeleid
5. Vervang de waarden in de JSON-sjabloon voor: EnterprisePolicyName, locatie waar EnterprisePolicy moet worden gemaakt, keyVaultId en keyName. Meer informatie: Velddefinities voor JSON-sjabloon
6. Kopieer de bijgewerkte sjabloon vanuit uw teksteditor en plak deze vervolgens in Sjabloon bewerken van de Aangepaste implementatie in Azure en selecteer Opslaan.
7. Selecteer een abonnement en resourcegroep waar het bedrijfsbeleid moet worden gemaakt.
8. Selecteer Controleren en maken en selecteer vervolgens Maken.

Er wordt een implementatie gestart. Als dit gedaan is, wordt het bedrijfsbeleid gemaakt.

JSON-sjabloon voor bedrijfsbeleid

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Velddefinities voor JSON-sjabloon

• naam. Naam van het bedrijfsbeleid. Dit is de naam van het beleid dat wordt weergegeven in het Power Platform-beheercentrum.

• locatie. Een van de volgende. Dit is de locatie van het bedrijfsbeleid en moet overeenkomen met de regio van de Dataverse-omgeving:

  • '"verenigde staten"'
  • '"zuid-afrika"'
  • '"vk"'
  • '"japan"'
  • '"india"'
  • '"frankrijk"'
  • '"europa"'
  • '"duitsland"'
  • '"zwitserland"'
  • '"canada"'
  • '"brazilië"'
  • '"australië"'
  • '"azië"'
  • '"vae"'
  • '"korea"'
  • '"noorwegen"'
  • '"singapore"'
  • '"zweden"'

• Kopieer deze waarden vanuit uw sleutelkluiseigenschappen in de Azure-portal:

  • keyVaultId: Ga naar Sleutelkluizen> selecteer uw sleutelkluis >Overzicht. Selecteer naast Essentials de optie JSON View. Kopieer de resource-id naar het klembord en plak de volledige inhoud in uw JSON-sjabloon.
  • keyName: Ga naar Sleutelkluizen> selecteer uw sleutelkluis >Sleutels. Bekijk de sleutel Name en typ de naam in uw JSON-sjabloon.

Het bedrijfsbeleid toegang tot de sleutelkluis verlenen

Nadat het bedrijfsbeleid is gemaakt, verleent de sleutelkluisbeheerder de beheerde identiteit van het bedrijfsbeleid toegang tot de versleutelingssleutel.

1. Meld u aan bij de Azure-portal en ga naar Key vaults.
2. Selecteer de sleutelkluis waaraan de sleutel is toegewezen aan het bedrijfsbeleid.
3. Selecteer het tabblad Toegangscontrole (IAM) en selecteer vervolgens + Toevoegen.
4. Selecteer Roltoewijzing toevoegen in de vervolgkeuzelijst.
5. Zoek Key Vault Crypto Service Encryption-gebruiker en selecteer deze.
6. Selecteer Volgende.
7. Selecteer + Leden selecteren.
8. Zoek naar het ondernemingsbeleid dat u hebt gemaakt.
9. Selecteer het ondernemingsbeleid en kies vervolgens Selecteren.
10. Selecteer Controleren + toewijzen.

Notitie

De bovenstaande machtigingsinstelling is gebaseerd op het machtigingsmodel van op Azure-rollen gebaseerd toegangsbeheer van uw sleutelkluis. Als uw sleutelkluis is ingesteld op Vault-toegangsbeleid, is het raadzaam om te migreren naar het op rollen gebaseerde model. Om uw ondernemingsbeleid toegang tot de sleutelkluis te verlenen met behulp van Vault-toegangsbeleid maakt u een toegangsbeleid en selecteert u Ophalen bij Sleutelbeheerbewerkingen en Sleutel uitpakken en Sleutel inpakken bij Cryptografische bewerkingen.

Notitie

Om ongeplande systeemuitval te voorkomen, is het belangrijk dat het bedrijfsbeleid toegang heeft tot de sleutel. Controleer het volgende:

• De sleutelkluis is actief.
• De sleutel is actief en niet verlopen.
• De sleutel is niet verwijderd.
• De bovenstaande sleutelmachtigingen worden niet ingetrokken.

De omgevingen die deze sleutel gebruiken, worden uitgeschakeld wanneer de encryptiesleutel niet toegankelijk is.

De Power Platform-beheerder toestemming verlenen om bedrijfsbeleid te lezen

Beheerders met Dynamics 365- of Power Platform beheerdersrollen kunnen toegang krijgen tot Power Platform Beheercentrum om omgevingen toe te wijzen aan het ondernemingsbeleid. Om toegang te krijgen tot het ondernemingsbeleid, moet de beheerder met Azure Key Vault-toegang de rol Lezer toekennen aan de Power Platform beheerder. Zodra de rol Lezer is toegekend, kan de Power Platform Beheerder het ondernemingsbeleid bekijken op de Power Platform Beheercentrum.

Notitie

Alleen Power Platform- en Dynamics 365-beheerders aan wie de rol Lezer voor het bedrijfsbeleid is toegekend, kunnen een omgeving aan het beleid toevoegen. Andere Power Platform- of Dynamics 365-beheerders kunnen mogelijk het bedrijfsbeleid bekijken, maar krijgen een foutmelding wanneer ze proberen een omgeving toe te voegen aan de beleid.

Rol Lezer toekennen aan een Power Platform-beheerder

1. Meld u aan bij de Azure-portal.
2. Kopieer de object-id van de Power Platform- of Dynamics 365-beheerder. Dit doet u als volgt:
   1. Ga naar het gedeelte Gebruikers in Azure.
   2. Zoek in de lijst Alle gebruikers de gebruiker met Power Platform- of Dynamics 365-beheerdersmachtigingen met behulp van Gebruikers zoeken.
   3. Open de gebruikersrecord en kopieer op het tabblad Overzicht de object-id van de gebruiker. Plak deze in een teksteditor, zoals Kladblok voor later gebruik.
3. Kopieer de resource-id van het bedrijfsbeleid. Dit doet u als volgt:
   1. Ga naar Resource Graph Explorer in Azure.
   2. Typ microsoft.powerplatform/enterprisepolicies in het zoekvak en selecteer vervolgens de resource microsoft.powerplatform/enterprisepolicies.
   3. Selecteer Query uitvoeren op de opdrachtbalk. Er wordt een lijst met alle Power Platform-bedrijfsbeleidsregels weergegeven.
   4. Zoek het bedrijfsbeleid waartoe u toegang wilt verlenen.
   5. Scrol naar rechts van het bedrijfsbeleid en selecteer Details bekijken.
   6. Kopieer op de pagina Details de id.
4. Start Azure Cloud Shell en voer de volgende opdracht uit waarbij objId wordt vervangen door de object-id van de gebruiker en EP Resource Id door de enterprisepolicies-id die u hebt gekopieerd in de vorige stappen: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Versleuteling van omgeving beheren

Als u de versleuteling van de omgeving wilt beheren, hebt u de volgende machtiging nodig:

• Actieve Microsoft Entra-gebruiker die een beveiligingsrol Power Platform- en/of Dynamics 365-beheerder heeft.
• Microsoft Entra gebruiker die de rol van Power Platform servicebeheerder of Dynamics 365 heeft.

De sleutelkluisbeheerder informeert de Power Platform-beheerder dat er een versleutelingssleutel en een bedrijfsbeleid zijn gemaakt en geeft het bedrijfsbeleid door aan de Power Platform-beheerder. Om de door de klant beheerde sleutel in te schakelen, wijst de Power Platform-beheerder hun omgevingen toe aan het bedrijfsbeleid. Zodra de omgeving is toegewezen en opgeslagen, start Dataverse het versleutelingsproces om alle omgevingsgegevens in te stellen en te coderen met de door de klant beheerde sleutel.

Beheerde omgeving inschakelen om de omgeving toe te voegen aan het ondernemingsbeleid

1. Meld u aan bij het Power Platform-beheercentrum en zoek de omgeving.
2. Selecteer een controleer de omgeving in de lijst met omgevingen.
3. Selecteer het pictogram Beheerde omgevingen inschakelen op de actiebalk.
4. Selecteer Inschakelen.

Een omgeving toevoegen aan het bedrijfsbeleid om gegevens te versleutelen

Belangrijk

De omgeving wordt uitgeschakeld wanneer deze wordt toegevoegd aan het bedrijfsbeleid voor gegevensversleuteling.

1. Meld u aan bij het Power Platform-beheercentrum en ga naar Beleid>Bedrijfsbeleid.
2. Selecteer een beleid en selecteer vervolgens Bewerken op de opdrachtbalk.
3. Selecteer Omgevingen toevoegen, selecteer de gewenste omgeving en selecteer vervolgens Doorgaan.
4. Selecteer Opslaan en selecteer vervolgens Bevestigen.

Belangrijk

• Alleen omgevingen die zich in dezelfde regio bevinden als het bedrijfsbeleid, worden weergegeven in de lijst Omgevingen toevoegen.
• Het kan tot vier dagen duren voordat de encryptie is voltooid, maar de omgeving kan worden ingeschakeld voordat de bewerking Omgevingen toevoegen is voltooid.
• Het is mogelijk dat de bewerking niet wordt voltooid. Als deze mislukt, worden uw gegevens nog steeds gecodeerd met een Microsoft beheerde sleutel. U kunt de bewerking Omgevingen toevoegen opnieuw uitvoeren.

Notitie

U kunt alleen omgevingen toevoegen die zijn ingeschakeld als beheerde omgevingen. Proef- en Teams-omgevingstypen kunnen niet worden toegevoegd aan het ondernemingsbeleid.

Verwijder omgevingen uit beleid om terug te keren naar Microsoft beheerde sleutel

Volgen volg deze stappen als u wilt terugkeren naar een Microsoft beheerde encryptiesleutel.

Belangrijk

De sleutel omgeving wordt uitgeschakeld wanneer deze uit het bedrijfsbeleid wordt verwijderd om gegevensversleuteling te retourneren met behulp van de Microsoft beheerde sleutel.

1. Meld u aan bij het Power Platform-beheercentrum en ga naar Beleid>Bedrijfsbeleid.
2. Selecteer het tabblad Omgeving met beleid en zoek de omgeving die u wilt verwijderen uit de door de klant beheerde sleutel.
3. Selecteer het tabblad Alle beleidsregels, selecteer de omgeving die u in stap 2 hebt geverifieerd en selecteer vervolgens Beleid bewerken op de opdrachtbalk.
4. Selecteer Omgeving verwijderen op de opdrachtbalk, selecteer de omgeving die u wilt verwijderen en selecteer vervolgens Doorgaan.
5. Selecteer Opslaan.

Belangrijk

Omgeving wordt uitgeschakeld wanneer deze uit het ondernemingsbeleid wordt verwijderd om de gegevensversleuteling naar de door Microsoft beheerde sleutel te terugkeren. Verwijder de sleutel niet en schakel deze niet uit, verwijder de sleutelkluis niet en schakel deze niet uit en verwijder de machtigingen van het ondernemingsbeleid voor de sleutelkluis niet. De toegang tot de sleutel en de sleutelkluis is nodig om databaseherstel te ondersteunen. U kunt de machtigingen van het ondernemingsbeleid na 30 dagen verwijderen.

De versleutelingsstatus van de omgeving controleren

De versleutelingsstatus van ondernemingsbeleid controleren

1. Meld u aan bij het Power Platform-beheercentrum.

2. Selecteer Beleid>Ondernemingsbeleid.

3. Selecteer een beleid en selecteer vervolgens Bewerken op de opdrachtbalk.

4. Bekijk de Versleutelingsstatus van de omgeving in de sectie Omgevingen met dit beleid.

   Notitie

   De versleutelingsstatus van de omgeving kan het volgende zijn:

   • Versleuteld - de encryptiesleutel van het Enterprise-beleid is actief en omgeving is versleuteld met uw sleutel.
   • Mislukt - de encryptiesleutel van het Enterprise-beleid wordt niet door alle Dataverse opslagservices gebruikt. Ze hebben meer tijd nodig om te verwerken en u kunt de bewerking omgeving toevoegen opnieuw uitvoeren. Neem contact op met de ondersteuning als het opnieuw uitvoeren mislukt.
   • Waarschuwing - De encryptiesleutel van het Enterprise-beleid is actief en een van de gegevens van de service wordt nog steeds gecodeerd met de Microsoft-beheerde sleutel. Meer informatie: Waarschuwingsberichten van de Power Automate CMK-toepassing

   U kunt de optie Omgeving toevoegen opnieuw uitvoeren voor de omgeving met de versleutelingsstatus Mislukt.

De versleutelingsstatus controleren op de pagina Omgevingsgeschiedenis

U kunt de omgevingsgeschiedenis zien.

1. Meld u aan bij het Power Platform-beheercentrum.

2. Selecteer in het navigatiedeelvenster Omgevingen en selecteer vervolgens een omgeving in de lijst.

3. Selecteer Geschiedenis op de opdrachtbalk.

4. Zoek de geschiedenis voor Door de klant beheerde sleutel bijwerken.

   Notitie

   Bij Status wordt Wordt uitgevoerd weergegeven wanneer de versleuteling wordt uitgevoerd. Er wordt Geslaagd weergegeven wanneer de versleuteling is voltooid. De status toont Mislukt wanneer er een probleem is met een van de services die de versleutelingssleutel niet kan toepassen.

   De status Mislukt kan een waarschuwing zijn en u hoeft de optie Omgeving toevoegen niet opnieuw uit te voeren. U kunt bevestigen dat het een waarschuwing is.

Wijzig de encryptiesleutel van de omgeving met een nieuw ondernemingsbeleid en een nieuwe sleutel

Als u uw coderingssleutel wilt wijzigen, maakt u een nieuwe sleutel en een nieuw ondernemingsbeleid. U kunt vervolgens het bedrijfsbeleid wijzigen door de omgevingen te verwijderen en vervolgens de omgevingen toe te voegen aan het nieuwe bedrijfsbeleid. Het systeem is twee keer down bij het wijzigen naar een nieuw bedrijfsbeleid: 1) om de encryptie naar een Microsoft beheerde sleutel te wijzigen in terugkeren en 2) om het nieuwe bedrijfsbeleid toe te passen.

Fooi

Om de encryptiesleutel te roteren, raden we aan de Nieuwe versie van de sleutelkluizen te gebruiken of een Rotatiebeleid in te stellen.

1. Maak in Azure-portal een nieuwe sleutel en een nieuw bedrijfsbeleid. Meer informatie: Encryptiesleutel maken en toegang verlenen en Een bedrijfsbeleid maken.
2. Nadat de nieuwe sleutel en het nieuwe bedrijfsbeleid zijn gemaakt, gaat u naar Beleid>Bedrijfsbeleid.
3. Selecteer het tabblad Omgeving met beleid en zoek de omgeving die u wilt verwijderen uit de door de klant beheerde sleutel.
4. Selecteer het tabblad Alle beleidsregels, selecteer de omgeving die u in stap 2 hebt geverifieerd en selecteer vervolgens Beleid bewerken op de opdrachtbalk.
5. Selecteer Omgeving verwijderen op de opdrachtbalk, selecteer de omgeving die u wilt verwijderen en selecteer vervolgens Doorgaan.
6. Selecteer Opslaan.
7. Herhaal stappen 2-6 totdat alle omgevingen in het bedrijfsbeleid zijn verwijderd.

Belangrijk

Omgeving wordt uitgeschakeld wanneer deze uit het ondernemingsbeleid wordt verwijderd om de gegevensversleuteling naar de door Microsoft beheerde sleutel te terugkeren. Verwijder of schakel de sleutel niet uit, verwijder of schakel de sleutelkluis niet uit en verwijder de machtigingen van het ondernemingsbeleid voor de sleutelkluis niet. De toegang tot de sleutel en de sleutelkluis is nodig om databaseherstel te ondersteunen. U kunt de machtigingen van het ondernemingsbeleid na 30 dagen verwijderen.

1. Zodra alle omgevingen zijn verwijderd, gaat u vanuit het Power Platform-beheercentrum naar Bedrijfsbeleid.
2. Selecteer het nieuwe bedrijfsbeleid en selecteer vervolgens Beleid bewerken.
3. Selecteer Omgeving toevoegen, selecteer de omgevingen die u wilt toevoegen en selecteer vervolgens Doorgaan.

Belangrijk

De omgeving wordt uitgeschakeld wanneer deze wordt toegevoegd aan het nieuwe bedrijfsbeleid.

Roteer de coderingssleutel van de omgeving met een nieuwe sleutelversie

U kunt de encryptiesleutel van de omgeving wijzigen door een nieuwe sleutelversie te maken. Wanneer u een nieuwe sleutelversie maakt, wordt de nieuwe sleutelversie automatisch ingeschakeld. Alle opslagresources detecteren de nieuwe sleutelversie en beginnen deze toe te passen om uw gegevens te versleutelen.

Wanneer u de sleutel of de sleutelversie wijzigt, verandert de bescherming van de root-encryptiesleutel, maar blijven de gegevens in de opslag altijd gecodeerd met uw sleutel. U hoeft geen actie meer te ondernemen om ervoor te zorgen dat uw gegevens worden beschermd. Het rouleren van de sleutelversie heeft geen invloed op de prestaties. Er is geen downtime verbonden aan het roteren van de sleutelversie. Het kan 24 uur duren voordat alle resourceproviders de nieuwe sleutelversie op de achtergrond hebben toegepast. De vorige sleutelversie mag niet worden uitgeschakeld, omdat deze nodig is voor de service om deze te gebruiken voor de nieuwe encryptie en ter ondersteuning van databaseherstel.

Gebruik de volgende stappen om de encryptiesleutel te rouleren door een nieuwe sleutelversie te maken.

1. Ga naar de Azure Portal>Sleutelkluizen en zoek de sleutelkluis waar u een nieuwe sleutelversie wilt maken.
2. Navigeer naar Sleutels.
3. Selecteer de huidige ingeschakelde sleutel.
4. Selecteer + Nieuwe versie.
5. De instelling Ingeschakeld is standaard ingesteld op Ja, wat betekent dat de nieuwe sleutelversie automatisch wordt ingeschakeld wanneer deze wordt gemaakt.
6. Selecteer Maken.

Fooi

Om te voldoen aan uw sleutelrotatiebeleid, kunt u de encryptiesleutel roteren met behulp van het Rotatiebeleid. U kunt een rotatiebeleid configureren of op verzoek roteren door Nu roteren aan te roepen.

Belangrijk

De nieuwe sleutelversie wordt automatisch op de achtergrond gerouleerd en er is geen actie vereist door de Power Platform-beheerder. Het is belangrijk dat de vorige sleutelversie gedurende ten minste 28 dagen niet wordt uitgeschakeld of verwijderd om databaseherstel te ondersteunen. Als u de vorige sleutelversie te vroeg uitschakelt of verwijdert, kan uw omgeving offline komen.

De lijst met versleutelde omgevingen bekijken

1. Meld u aan bij het Power Platform-beheercentrum en ga naar Beleid>Bedrijfsbeleid.
2. Selecteer op de pagina Bedrijfsbeleid het tabblad Omgevingen met beleid. De lijst met omgevingen die zijn toegevoegd aan bedrijfsbeleid wordt weergegeven.

Notitie

Er kunnen situaties zijn waarin de omgevingsstatus of de versleutelingsstatus de status Mislukt aangeeft. Wanneer dit gebeurt, kunt u proberen de bewerking omgeving toevoegen opnieuw uit te voeren of een ondersteuningsverzoek voor hulp indienen. Microsoft

Bewerkingen voor omgevingsdatabase

Een klanttenant kan omgevingen hebben die zijn gecodeerd met de Microsoft beheerde sleutel en omgevingen die zijn gecodeerd met de door de klant beheerde sleutel. Om de gegevensintegriteit en gegevensbescherming te behouden, zijn de volgende opties beschikbaar bij het beheren van omgevingsdatabasebewerkingen.

• Herstellen De terugkeren die moet worden overschreven (het herstelde naar terugkeren) is beperkt tot dezelfde terugkeren waarvan de back-up is gemaakt of naar een andere terugkeren die is gecodeerd met dezelfde door de klant beheerde sleutel.

  

• Kopiëren De omgeving die moet worden overschreven (de gekopieerde naar omgeving) is beperkt tot een andere omgeving die is gecodeerd met dezelfde door de klant beheerde sleutel.

  

  Opmerking

  Als er een ondersteuningsonderzoeksomgeving is gemaakt om het ondersteuningsprobleem in een door de klant beheerde omgeving op te lossen, moet de coderingssleutel voor de ondersteuningsonderzoeksomgeving worden gewijzigd in een door de klant beheerde sleutel voordat de kopieeromgeving kan worden uitgevoerd.

• Reset De gecodeerde gegevens van omgeving worden verwijderd, inclusief back-ups. Nadat omgeving is gereset, wordt de omgeving-encryptie teruggezet naar de Microsoft beheerde sleutel.

Volgende stappen

Over Azure Key Vault