Gerir a sua chave de encriptação gerida pelo cliente

Os clientes têm requisitos de privacidade e conformidade de dados para protegerem os seus dados ao encriptarem dados inativos. Isto assegura que os dados não ficam expostos num evento em que uma cópia da base de dados foi roubada. Com a encriptação de dados inativos, os dados da base de dados roubada são protegidos contra a sua restauração num servidor diferente sem a chave de encriptação.

Por predefinição, todos os dados de clientes armazenados no Power Platform são encriptados inativamente com chaves de encriptação gerida pela Microsoft. A Microsoft armazena e gere a chave de encriptação da base de dados de todos os seus dados para que o utilizador não tenha de o fazer. No entanto, o Power Platform fornece-lhe esta chave de encriptação gerida pelo cliente (CMK) para controlo de proteção de dados adicionado onde pode gerir a chave de encriptação da base de dados associada ao seu ambiente Microsoft Dataverse. Isto permite-lhe rodar ou trocar a chave de encriptação a pedido e também prevenir o acesso da Microsoft aos dados dos seus clientes quando revogar a chave de acesso aos seus serviços, em qualquer altura.

Para saber mais sobre a chave gerida pelo cliente no Power Platform, assista ao vídeo da chave gerida pelo cliente.

Estas operações de chave de encriptação estão disponíveis com a chave gerida pelo cliente (CMK):

• Criar uma chave RSA (RSA-HSM) a partir do Azure Key Vault.
• Criar uma política empresarial do Power Platform para a sua chave.
• Conceder a permissão da política empresarial do Power Platform para aceder ao seu cofre de chaves.
• Conceder ao administrador de serviço do Power Platform a leitura da política empresarial.
• Aplicar a chave de encriptação ao seu ambiente.
• Reverter/remover a encriptação CMK do ambiente para a chave gerida pela Microsoft.
• Alterar a chave criando uma nova política empresarial, removendo o ambiente do CMK e voltando a aplicar o CMK à nova política empresarial.
• Bloquear ambientes CMK revogando o cofre de chaves CMK e/ou as permissões de chaves.
• Migrar ambientes bring your own key (BYOK) para CMK ao aplicar uma chave CMK.

Atualmente, todos os dados dos seus clientes armazenados apenas nas seguintes aplicações e serviços podem ser encriptados com chave gerida pelo cliente:

• Dataverse (Soluções personalizadas e serviços Microsoft)
• Dataverse Copilot para aplicações condicionadas por modelo
• Power Automate¹
• Power Apps
• Chat para Dynamics 365
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Finanças e operações)
• Dynamics 365 Intelligent Order Management (Finanças e operações)
• Dynamics 365 Project Operations (Finanças e operações)
• Dynamics 365 Supply Chain Management (Finanças e operações)
• Dynamics 365 Fraud Protection (Finanças e operações)

¹ Quando aplica a chave gerida do cliente a um ambiente que tenha fluxos do Power Automate existentes, os dados de fluxos continuam a ser encriptados com a chave gerida pela Microsoft. Mais informações: Chave gerida pelo cliente do Power Automate.

Nota

O Nuance Conversational IVR e o Conteúdo de boas-vindas para criadores estão excluídos da encriptação da chave gerida pelo cliente.

O Microsoft Copilot Studio armazena os seus dados no seu próprio armazenamento e no Microsoft Dataverse. Quando aplica a chave gerida pelo cliente a esses ambientes, apenas os arquivos de dados no Microsoft Dataverse são encriptados com a sua chave. Os dados não-Microsoft Dataverse continuam a ser encriptados com a chave gerida pela Microsoft.

Nota

As definições de ligação para conectores continuarão a ser encriptados com uma chave gerida pela Microsoft.

Contacte um representante dos serviços não listados acima para obter informações sobre o suporte de chaves geridas pelo cliente.

Nota

Os nomes a apresentar, descrições e metadados de ligação do Power Apps continuam a ser encriptados com uma chave gerida pela Microsoft.

Os ambientes com aplicações de finanças e operações em que a integração com o Power Platform está ativada também podem ser encriptados. Os ambientes de finanças e operações sem integração com o Power Platform irão continuar a utilizar a chave predefinida gerida pela Microsoft para encriptar dados. Mais informações: Encriptação em aplicações de finanças e operações

Introdução à chave gerida pelo cliente

Com a chave gerida pelo cliente, os administradores podem fornecer a sua própria chave de encriptação a partir do Azure Key Vault para os serviços de armazenamento do Power Platform para encriptar os dados dos clientes. A Microsoft não tem acesso direto ao Azure Key Vault. Para que os serviços do Power Platform acedam à chave de encriptação a partir do seu Azure Key Vault, o administrador cria uma política empresarial do Power Platform que referencia a chave de encriptação e concede a esta política empresarial acesso para ler a chave a partir do Azure Key Vault.

O administrador do serviço Power Platform pode, então, adicionar ambientes Dataverse à política empresarial para começar a encriptar todos os dados de clientes no ambiente com a sua chave de encriptação. Os administradores podem alterar a chave de encriptação do ambiente criando outra política empresarial e adicionando o ambiente (depois de o remover) à nova política empresarial. Se o ambiente já não precisar de ser encriptado com a chave gerida pelo cliente, o administrador pode remover o ambiente do Dataverse da política empresarial para reverter a encriptação de dados de volta para a chave gerida pela Microsoft.

O administrador pode bloquear os ambientes de chaves geridas pelo cliente ao revogar o acesso da chave à política empresarial e desbloqueando os ambientes, restaurando o acesso da chave. Mais informações: Bloquear ambientes revogando o acesso ao Key Vault e/ou a permissões-chave

Para simplificar as tarefas de gestão de chave, as tarefas são divididas em três áreas principais:

1. Criar a chave de encriptação.
2. Criar a política empresarial e conceder acesso.
3. Gerir a encriptação de um ambiente.

Aviso

Quando os ambientes estão bloqueados, não é possível o acesso de ninguém, incluindo o suporte da Microsoft. Os ambientes bloqueados ficam desativados e pode ocorrer perda de dados.

Requisitos de licenciamento para chave gerida pelo cliente

A política de chave gerida pelo cliente só é imposta em ambientes ativados para Ambientes Geridos. Os Ambientes Geridos são incluídos como um direito em licenças do Power Apps, Power Automate, Power Virtual Agents, Power Pages e do Dynamics 365 que fornecem direitos de utilização premium. Obter mais informações sobre licenciamento do Ambiente Gerido, com a Descrição geral do licenciamento para o Microsoft Power Platform.

Além disso, o acesso a utilizar a chave gerida pelo cliente para o Microsoft Power Platform e o Dynamics 365 requer utilizadores nos ambientes em que a política da chave de encriptação é imposta para ter uma destas subscrições:

• Microsoft 365 ou Office 365 A5/E5/G5
• Conformidade do Microsoft 365 A5/E5/F5/G5
• Segurança & Conformidade do Microsoft 365 F5
• Information Protection e Governação do Microsoft 365 A5/E5/F5/G5
• Gestão de Risco Interno do Microsoft 365 A5/E5/F5/G5

Saber mais sobre estas licenças.

Compreender o risco potencial quando gere a sua chave

Tal como acontece com qualquer aplicação de negócio crítica, o pessoal na organização com acesso de nível de administração tem de ser de confiança. Antes de utilizar a funcionalidade de gestão de chaves, deve compreender o risco quando gere as chaves de encriptação da sua base de dados. É concebível que um administrador malicioso (uma pessoa a quem tenha sido concedido ou tenha obtido acesso de nível de administrador com a intenção de danificar os processos de segurança ou de negócio de uma organização) a trabalhar na sua organização possa utilizar a caraterística de gestão de chaves para criar uma chave e utilizá-la para bloquear os seus ambientes num inquilino.

Considere a seguinte sequência de eventos.

O administrador malicioso do cofre de chaves cria uma chave e uma política empresarial no portal do Azure. O administrador do Azure Key Vault vai para o centro de administração do Power Platform e adiciona ambientes à política empresarial. De seguida, o administrador malicioso volta ao portal do Azure e revoga o acesso à chave à política empresarial bloqueando todos os ambientes. Isto causa interrupções empresariais à medida que todos os ambientes ficam inacessíveis e, se este evento não for resolvido, ou seja, se o acesso chave não for restaurado, os dados do ambiente podem ser potencialmente perdidos.

Nota

• O Azure Key Vault tem salvaguardas incorporadas que ajudam a restaurar a chave, e requerem que as definições Eliminação Recuperável e Proteção contra remoção do cofre de chaves estejam ativadas.
• Outra salvaguarda a ter em consideração é assegurar que existem tarefas de separação onde não é concedido acesso ao administrador do Azure Key Vault ao centro de administração do Power Platform.

Separação do dever para mitigar o risco

Esta secção descreve as responsabilidades da caraterística de chave gerida pelo cliente pelas quais cada função de administrador é responsável. A separação destas tarefas ajuda a mitigar o risco envolvido nas chaves geridas pelo cliente.

Tarefas de administração de serviço do Azure Key Vault e do Power Platform/Dynamics 365

Para ativar chaves geridas pelo cliente, primeiro o administrador do cofre de chaves cria uma chave no Azure Key Vault e cria uma política empresarial do Power Platform. Quando a política empresarial é criada, é criada uma identidade gerida do ID do Microsoft Entra especial. Em seguida, o administrador do cofre de chaves volta ao Azure Key Vault e concede acesso à política empresarial/identidade gerida à chave de encriptação.

De seguida, o administrador do cofre de chaves concede acesso de leitura ao respetivo administrador de serviço do Power Platform/Dynamics 365 à política empresarial. Após a permissão de leitura ser concedida, o administrador do serviço Power Platform/Dynamics 365 pode ir ao Centro de Administração do Power Platform e adicionar ambientes à política empresarial. Todos os dados adicionados de clientes de ambientes são depois encriptados com a chave gerida pelo cliente associada a esta política empresarial.

Pré-requisitos

• Uma subscrição do Azure que inclui o Azure Key Vault ou módulos de segurança de hardware geridos do Azure Key Vault.
• Administrador de inquilino global ou um Microsoft Entra ID com:
  • Permissão de contribuidor para a subscrição do Microsoft Entra.
  • Permissão para criar um Azure Key Vault e uma chave.
  • Aceda para criar um grupo de recursos. Isto é necessário para configurar o cofre de chaves.

Criar a chave e conceder acesso através do Azure Key Vault

O administrador do Azure Key Vault realiza estas tarefas em Azure.

1. Criar uma subscrição paga de Azure e um Key Vault. Ignore este passo se já tiver uma subscrição que inclua o Azure Key Vault.
2. Aceda ao serviço Azure Key Vault e crie uma chave. Mais informações: Criar uma chave no cofre de chaves
3. Ative o serviço de políticas empresariais do Power Platform para a sua subscrição de Azure. Faça-o apenas uma vez. Mais informações: Ativar o serviço de políticas empresariais do Power Platform para a sua subscrição de Azure
4. Criar uma política empresarial do Power Platform. Mais informações: Criar uma política empresarial
5. Conceder permissões à política empresarial para aceder ao cofre de chaves. Mais informações: Conceder permissões à política empresarial para aceder ao cofre de chaves
6. Conceder permissão aos administradores do Power Platform e do Dynamics 365 para ler a política empresarial. Mais informações: Conceder o privilégio de administrador do Power Platform para ler a política empresarial

Tarefas do centro de administração do Power Platform do administrador de serviço do Power Platform/Dynamics 365

Pré-requisito

• Deve ser atribuído ao administrador do Power Platform a função Microsoft Entra de administrador de Serviço do Power Platform ou do Dynamics 365.

Gerir a encriptação do ambiente no centro de administração do Power Platform

O administrador do Power Platform gere tarefas de chave geridas pelo cliente relacionadas com o ambiente no centro de administrador do Power Platform.

1. Adicione os ambientes do Power Platform à política empresarial para encriptar dados com a chave gerida pelo cliente. Mais informações: Adicionar um ambiente à política empresarial para encriptar dados
2. Remover ambientes da política empresarial para devolver a encriptação à chave gerida pela Microsoft. Mias informações: Remover os ambientes da política para devolver à chave gerida pela Microsoft
3. Altere a chave removendo os ambientes da política empresarial antiga e adicionando ambientes a uma nova política empresarial. Mais informações: Criar chave de encriptação e conceder acesso
4. Migre a partir de BYOK. Se estiver a utilizar a caraterística anterior de chave de encriptação auto-gerida, pode migrar a chave para a chave gerida pelo cliente. Mais informações: Migrar ambientes de utilizar a sua própria chave para a chave gerida pelo cliente

Criar chave de encriptação e conceder acesso

Criar uma subscrição paga de Azure e cofre de chaves

Em Azure, execute os seguintes passos:

1. Crie uma subscrição de Azure de crédito pré-pago ou equivalente. Este passo não é necessário se o inquilino já tiver uma subscrição.

2. Crie um grupo de recursos. Mais informações: Criar grupos de recursos

   Nota

   Crie ou utilize um grupo de recursos que tenha uma localização, por exemplo, E.U.A. Central, que corresponda à região do ambiente do Power Platform, como Estados Unidos.

3. Crie um cofre de chaves utilizando a subscrição paga que inclui eliminação recuperável e proteção contra remoção com o grupo de recursos criado no passo anterior.

   Importante

   • Para garantir que o seu ambiente está protegido contra eliminação acidental da chave de encriptação, o cofre de chaves tem de ter a eliminação recuperável e a proteção contra remoção ativadas. Não irá conseguir encriptar o seu ambiente com a sua própria chave sem ativar estas definições. Mais informações: Descrição geral da eliminação recuperável do Azure Key Vault Mais informações: Criar um cofre de chaves no portal do Azure

Criar uma chave no cofre de chaves

1. Certifique-se de cumpriu os pré-requisitos.

2. Aceda ao portal do Azure>Key Vault e localize o cofre de chaves onde pretende gerar a chave de encriptação.

3. Verifique as definições do Azure Key Vault:

   1. Selecione Propriedades por baixo de Definições.
   2. Por baixo de Eliminação recuperável, defina ou verifique que a opção A eliminação recuperável foi ativada neste cofre de chaves está definida.
   3. Por baixo de Proteção contra remoção, defina ou verifique que Ativar proteção contra remoção (impor um período de retenção obrigatório para cofres e objetos de cofres eliminados) está ativa.
   4. Se efetuou alterações, selecione Guardar.

   

Criar chaves de RSA

1. Criar ou importar uma chave que tenha estas propriedades:
   1. Nas páginas de propriedades do Key Vault, selecione Chaves.
   2. Selecione Gerar/Importar.
   3. No ecrã Criar uma chave defina os seguintes valores e, em seguida, selecione Criar.
      • Opções: Gerar
      • Nome: forneça um nome para a chave
      • Tipo de chave: RSA
      • Dimensão da chave RSA: 2048

Importar chaves protegidas para Módulos de Segurança de Hardware (HSM)

Pode utilizar as suas chaves protegidas para módulos de segurança de hardware (HSM) para encriptar nos seus ambientes Dataverse do Power Platform. As suas chaves protegidas por HSM têm de ser importadas para o cofre de chaves, para que seja possível criar uma política Enterprise. Para mais informações, consulte HSM SuportadosImportar Chaves protegidas por HSM para o Key Vault (BYOK).

Criar uma chave no HSM Gerido do Azure Key Vault

Pode utilizar uma chave de encriptação criada a partir dos HSM Gerido do Azure Key Vault para encriptar os dados do seu ambiente. Isto fornece-lhe suporte FIPS 140-2 Nível 3.

Criar chaves de RSA-HSM

1. Certifique-se de cumpriu os pré-requisitos.

2. Aceda ao portal do Azure.

3. Criar um HSM Gerido:

   1. Aprovisionar o HSM Gerido.
   2. Ativar o HSM Gerido.

4. Ative Remover Proteção no seu HSM Gerido.

5. Conceda a função de Utilizador Cripto do HSM Gerido à pessoa que criou o cofre de chaves do HSM Gerido.

   1. Aceda ao cofre de chaves do HSM Gerido no portal do Azure.
   2. Navegue para RBAC Local e selecione + Adicionar.
   3. Na lista pendente Função, selecione a função de Utilizador Cripto de HSM Gerido na página Atribuição de função.
   4. Selecione Todas as chaves sob Âmbito.
   5. Selecione Selecionar o principal de segurança e, em seguida, selecione o admin na página Adicionar Principal.
   6. Selecione Criar.

6. Criar uma chave RSA-HSM:

   • Opções: Gerar
   • Nome: forneça um nome para a chave
   • Tipo de chave: RSA-HSM
   • Dimensão da chave RSA: 2048

   Nota

   Tamanhos de chave de RSA-HSM suportados: 2048 bits, 3072 bits, 4096 bits.

Encripte o ambiente com chave do Azure Key Vault com ligação privada

Pode atualizar a rede do Azure Key Vault ativando um ponto final privado e utilizar a chave no Key Vault para encriptar os seus ambientes do Power Platform.

Pode criar um novo Key Vault e estabelecer uma ligação à ligação privada ou estabelecer uma ligação à ligação privada para um Key Vault existente e crie uma chave a partir deste Key Vault e utilize-a para encriptar o ambiente. Também pode estabelecer uma ligação privada a um Key Vault existente depois de já ter criado uma chave e de a utilizar para encriptar o ambiente.

Encripte dados com chave do Key Vault com ligação privada

1. Crie um Azure Key Vault com estas opções:

   • Ative a Proteção de Limpeza
   • Tipo de chave: RSA
   • Tamanho da chave: 2048

2. Copie o URL do Key Vault e o URL da chave de encriptação a utilizar para criar a política empresarial.

   Nota

   Depois de adicionar um ponto final privado ao seu Key Vault ou de ter desativado a rede de acesso pública, não conseguirá ver a chave a menos que tenha a permissão adequada.

3. Crie uma rede virtual.

4. Regresse ao Key Vault e adicione ligações do ponto final privado ao Azure Key Vault.

   Nota

   Tem de selecionar a opção de rede Desativar acesso público e ativar a exceção Permitir serviços Microsoft fidedignos para contornar esta firewall.

5. Criar uma política empresarial do Power Platform. Mais informações: Criar uma política empresarial

6. Conceder permissões à política empresarial para aceder ao cofre de chaves. Mais informações: Conceder permissões à política empresarial para aceder ao cofre de chaves

7. Conceder permissão aos administradores do Power Platform e do Dynamics 365 para ler a política empresarial. Mais informações: Conceder o privilégio de administrador do Power Platform para ler a política empresarial

8. O centro de administração do Power Platform seleciona o ambiente para encriptar e ativar Ambiente gerido. Mais informações: Permitir que o Ambiente gerido para o ambiente seja adicionado à política empresarial

9. O centro de administração do Power Platform adiciona o Ambiente gerido à política empresarial. Mais informações: Adicionar um ambiente à política empresarial para encriptar dados

Ativar o serviço de políticas empresariais do Power Platform para a sua subscrição de Azure

Registe o Power Platform como fornecedor de recursos. Só necessita de realizar esta tarefa uma vez para cada subscrição do Azure em que o Azure Key Vault reside. É necessário ter direitos de acesso à subscrição para poder registar o fornecedor de recursos.

1. Inicie sessão no portal do Azure e aceda a Subscrição>Fornecedores de recursos.
2. Na lista de Fornecedores de recursos, pesquise por Microsoft.PowerPlatform e escolha Registar.

Criar uma política empresarial

1. Instalar o MSI da PowerShell Mais informações: Instalar o PowerShell em Windows, Linux e macOS
2. Depois de instalar o MSI do PowerShell, volte a Implementar um modelo personalizado em Azure.
3. Selecione a ligação Criar o seu próprio modelo no editor.
4. Copie o modelo JSON para um editor de texto como o Bloco de Notas. Mais informações: Modelo json da política empresarial
5. Substitua os valores no modelo JSON por: EnterprisePolicyName, localização onde EnterprisePolicy precisa de ser criado, keyVaultId e keyName. Mais informações: Definições de campo para o modelo json
6. Copie o modelo atualizado a partir do editor de texto e, em seguida, cole-o em Editar modelo da Implementação personalizada em Azure e selecione Guardar.
7. Selecione uma Subscrição e Grupo de recursos onde a política empresarial deve ser criada.
8. Selecione Rever + criar e, em seguida, selecione Criar.

É iniciada uma implementação. Quando concluída, a política empresarial é criada.

Modelo json de política empresarial

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definições de campo para o modelo JSON

• nome. Nome da política empresarial. Este é o nome da política que aparece no centro de administração do Power Platform.

• localização. Uma dos seguintes. Esta é a localização da política empresarial e tem de corresponder à região do ambiente Dataverse:

  • '"unitedstates"'
  • '"southafrica"'
  • '"uk"'
  • '"japan"'
  • '"india"'
  • '"france"'
  • '"europe"'
  • '"germany"'
  • '"switzerland"'
  • '"canada"'
  • '"brazil"'
  • '"australia"'
  • '"asia"'
  • '"uae"'
  • '"korea"'
  • '"norway"'
  • '"singapore"'
  • '"sweden"'

• Copie estes valores a partir das propriedades do cofre de chaves no portal do Azure:

  • keyVaultId: aceda a Cofres de chaves> selecione o seu cofre de chaves >Descrição geral. Junto a Essentials, selecione Vista JSON. Copie o ID de Recurso para a área de transferência e cole o conteúdo completo no modelo JSON.
  • keyName: aceda a Cofres de chaves> selecione o seu cofre de chaves >Chaves. Repare no Nome da chave e escreva o nome no seu modelo JSON.

Conceder permissões à política empresarial para aceder ao cofre de chaves

Quando a política empresarial está criada, o administrador do cofre de chaves concede à identidade gerida da política empresarial acesso à chave de encriptação.

1. Inicie sessão no portal do Azure e aceda a Cofres de chaves.
2. Selecione o cofre de chaves no qual a chave foi atribuída à política empresarial.
3. Selecione o separador Controlo de acesso (IAM) e, em seguida, selecione + Adicionar.
4. Selecione Adicionar atribuição de função na lista pendente,
5. Pesquise pelo Utilizador de Encriptação do Serviço Crypto do Key Vault e selecione-o.
6. Selecione Seguinte.
7. Selecione + Selecionar membros.
8. Pesquise pela política empresarial que criou.
9. Selecione a política empresarial e, em seguida, escolha Selecionar.
10. Selecione Rever + atribuir.

Nota

A definição de permissão acima é baseada no Modelo de permissão do seu Key Vault do Controlo de acesso baseado em funções do Azure. Se o seu Key Vault estiver definido como Política de acesso do Vault, recomenda-se que migre para o modelo baseado em funções. Para conceder à sua política empresarial acesso ao Key Vault utilizando a Política de acesso do Vault, crie uma Política de acesso, selecione Obter em Operações de gestão de chaves, Desencapsular chave e Encapsular chave em Operações Criptográficas.

Conceder o privilégio de administrador do Power Platform para ler a política empresarial

Os administradores que tenham funções de administração de Azure global, do Dynamics 365 e do Power Platform podem aceder ao centro de administração do Power Platform para atribuir ambientes à política empresarial. Para aceder às políticas empresariais, o administrador global com acesso ao Azure Key Vault é obrigado a conceder a função Leitor ao administrador do Power Platform. Quando a função Leitor for concedida, o administrador do Power Platform pode ver as políticas empresariais no centro de administração do Power Platform.

Nota

Apenas os administradores do Power Platform e do Dynamics 365 a quem foi concedida a função de leitor da política empresarial podem adicionar um ambiente à política. Outros administradores do Power Platform ou do Dynamics 365 podem conseguir ver a política empresarial, mas surgirá um erro quando tentarem Adicionar ambiente à política.

Conceder função de leitor a um administrador do Power Platform

1. Inicie sessão no portal do Azure.
2. Copie o ID de objeto do administrdor do Power Platform ou do Dynamics 365. Para isso:
   1. Aceda à área Utilizadores em Azure.
   2. Na lista Todos os utilizadores , procure o utilizador com permissões de administrador do Power Platform ou do Dynamics 365 através de Pesquisar utilizadores.
   3. Abra o registo de utilizadores, no separador Descrição geral , copie o ID de Objeto do utilizador. Cole-o num editor de texto como o Bloco de Notas para usar mais tarde.
3. Copie o ID do recurso de política empresarial. Para isso:
   1. Aceda a Explorador de Gráficos de Recursos em Azure.
   2. Introduza microsoft.powerplatform/enterprisepolicies na caixa de Pesquisa e, me seguida, selecione o recurso microsoft.powerplatform/enterprisepolicies.
   3. Selecione Executar consulta na barra de comandos. É apresentada uma lista de todas as políticas empresariais do Power Platform.
   4. Localize a política empresarial onde pretende conceder acesso.
   5. Desloque para a direita da política empresarial e selecione Ver detalhes.
   6. Na página Detalhes , copie o id.
4. Inicie o Azure Cloud Shell e execute o comando seguinte, substituindo objId pelo ID de objeto do utilizador e Id de Recursos EP pelo enterprisepolicies ID copiado nos passos anteriores: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Gerir a encriptação de um ambiente

Para gerir a encriptação do ambiente, necessita da seguinte permissão:

• Utilizador ativo do Microsoft Entra que tenha direito de acesso de administrador do Power Platform e/ou do Dynamics 365.
• Utilizador do Microsoft Entra que tenha direito de acesso de administrador global de inquilinos, do serviço Power Platform ou do Dynamics 365.

O administrador do cofre de chaves notifica o administrador do Power Platform de que foram criadas uma chave de encriptação e uma política empresarial, fornecendo a política empresarial ao administrador do Power Platform. Para ativar a chave gerida pelo cliente, o administrador do Power Platform atribui os respetivos ambientes à política empresarial. Depois de o ambiente ser atribuído e guardado, o Dataverse inicia o processo de encriptação para definir todos os dados do ambiente e encriptá-los com a chave gerida pelo cliente.

Permitir que o Ambiente gerido para o ambiente seja adicionado à política empresarial

1. Inicie sessão no centro de administração do Power Platform e localize o ambiente.
2. Selecione e marque o ambiente na lista de ambientes.
3. Selecione o ícone de Ativar Ambientes Geridos na barra de ação.
4. Selecione Ativar.

Adicionar um ambiente à política empresarial para encriptar dados

Importante

O ambiente será desativado quando for adicionado à política empresarial para encriptação de dados.

1. Inicie sessão no centro de administração do Power Platform e aceda a Políticas>Políticas empresariais.
2. Selecione uma política e, em seguida, selecione Editar na barra de comandos.
3. Selecione Adicionar ambientes, selecione o ambiente que pretende e, em seguida, selecione Continuar.
4. Selecione Guardar e, em seguida, selecione Confirmar.

Importante

• Apenas ambientes na mesma região que a política empresarial são apresentados na lista Adicionar ambientes .
• A encriptação pode demorar até quatro dias a ser concluída, mas o ambiente poderá ser ativado antes de a operação Adicionar ambientes ser concluída.
• A operação poderá não ser concluída e, se falhar, os dados continuarão a ser encriptados com a chave gerida da Microsoft. Pode voltar a executar a operação Adicionar ambientes.

Nota

Só pode adicionar ambientes que estão ativados como Ambientes Geridos. Não é possível adicionar tipos de ambiente de Avaliação e do Teams à política empresarial.

Remover ambientes da política para devolver à chave gerida pela Microsoft

Siga estes passos se pretende regressar a uma chave de encriptação gerida pela Microsoft.

Importante

O ambiente será desativado quando for removido da política empresarial para devolver a encriptação de dados utilizando a chave gerida pela Microsoft.

1. Inicie sessão no centro de administração do Power Platform e aceda a Políticas>Políticas empresariais.
2. Selecione o separador Ambiente com políticas e, em seguida, localize o ambiente que pretende remover da chave gerida pelo cliente.
3. Selecione o separador Todas as políticas, selecione o ambiente que verificou no passo 2 e, em seguida, selecione Editar política na barra de comandos.
4. Selecione Remover ambiente na barra de comandos, selecione o ambiente que pretende remover e, em seguida, selecione Continuar.
5. Selecione Guardar.

Importante

O ambiente será desativado quando for removido da política empresarial para reverter a encriptação de dados para a chave gerida pela Microsoft. Não elimine nem desative a chave, elimine nem desative o Key Vault ou remova as permissões da política empresarial para o Key Vault. O acesso da chave e do Key Vault é necessário para suportar o restauro da base de dados. Poderá eliminar e remover as permissões da política empresarial após 30 dias.

Rever o estado de encriptação do ambiente

Rever o estado de encriptação das políticas Enterprise

1. Inicie sessão no centro de administração do Power Platform.

2. Selecione Políticas>Políticas empresariais.

3. Selecione uma política e, em seguida, selecione Editar na barra de comandos.

4. Reveja o Estado de encriptação do ambiente na secção Ambientes com esta política.

   Nota

   O estado de encriptação do ambiente pode ser:

   • Encriptado : a chave de encriptação da política Enterprise está ativa e o ambiente está encriptado com a sua chave.
   • Falha - a chave de encriptação da política Enterprise não é utilizada e o ambiente continua a ser encriptado com a chave gerida pela Microsoft.
   • Aviso - a chave de encriptação da política Enterprise está ativa e um dos dados do serviço continua a ser encriptado com a chave gerida pela Microsoft. Saber mais: Mensagens de aviso da aplicação CMK do Power Automate

   Pode voltar a executar a opção Adicionar ambiente para o ambiente que tenha um estado de encriptação Falha .

Rever o estado de encriptação a partir da página Histórico do Ambiente

Pode ver o histórico do ambiente.

1. Inicie sessão no centro de administração do Power Platform.

2. Selecione Ambientes no painel de navegação e, em seguida, selecione um ambiente a partir da lista.

3. Na barra de comandos, selecione Histórico.

4. Localize o histórico para Atualizar Chave Gerida pelo Cliente.

   Nota

   O Estado mostra Em execução quando a encriptação está em curso. Mostra Com êxito quando a criptografia é concluída. O estado mostra Falha quando existe algum problema com um dos serviços que não consegue aplicar a chave de encriptação.

   O estado Falha pode ser um aviso e não precisa de executar novamente a opção Adicionar ambiente . Pode confirmar se se trata de um aviso.

Alterar a chave de encriptação do ambiente com uma nova política e chave empresarial

Para alterar a sua chave de encriptação, crie uma nova chave e uma nova política empresarial. Pode, então, alterar a política empresarial ao remover os ambientes e, em seguida, adicionar os ambientes a uma nova política empresarial. O sistema fica inativo 2 vezes quando mudar para uma nova política empresarial - 1) para reverter a encriptação para a chave gerida pela Microsoft e 2) para aplicar a nova política empresarial.

[! Recomendação] Para rodar a chave de encriptação, recomendamos a utilização da Nova versão dos cofres de chaves ou a definição de uma Política de rotação.

1. No portal do Azure, crie uma nova chave e uma nova política empresarial. Mais informações: Criar chave de encriptação e conceder acesso e Criar uma política empresarial
2. Após a criação da nova chave e política empresarial, aceda a Políticas>Políticas empresariais.
3. Selecione o separador Ambiente com políticas e, em seguida, localize o ambiente que pretende remover da chave gerida pelo cliente.
4. Selecione o separador Todas as políticas, selecione o ambiente que verificou no passo 2 e, em seguida, selecione Editar política na barra de comandos.
5. Selecione Remover ambiente na barra de comandos, selecione o ambiente que pretende remover e, em seguida, selecione Continuar.
6. Selecione Guardar.
7. Repita os passos 2 a 6 até que todos os ambientes da política empresarial tenham sido removidos.

Importante

O ambiente será desativado quando for removido da política empresarial para reverter a encriptação de dados para a chave gerida pela Microsoft. Não elimine nem desative a chave, elimine nem desative o Key Vault ou remova as permissões da política empresarial para o Key Vault. O acesso da chave e do Key Vault é necessário para suportar o restauro da base de dados. Poderá eliminar e remover as permissões da política empresarial após 30 dias.

1. Depois de todos os ambientes ser removidos, vá do centro de administração do Power Platform para Políticas empresariais.
2. Seleccione a nova política empresarial e, em seguida, seleccione Editar política.
3. Selecione Adicionar ambientes, selecione os ambientes que pretende adicionar e, em seguida, selecione Continuar.

Importante

O ambiente será desativado quando for adicionado à nova política empresarial.

Rodar a chave de encriptação do ambiente com uma nova versão de chave

Pode alterar a chave de encriptação do ambiente criando uma nova versão de chave. Quando cria uma nova versão de chave, esta é ativada automaticamente. Todos os recursos de armazenamento detetam a nova versão de chave e começam a aplicá-la para encriptar os dados.

Quando modifica a chave ou a versão de chave, a proteção da chave de encriptação de raiz muda, mas os dados no armazenamento permanecem sempre encriptados com a sua chave. Não é necessária qualquer ação da sua parte para garantir que os dados estão protegidos. A rotação da versão da chave não afeta o desempenho. Não existe nenhum tempo de inatividade associado à rotação da versão da chave. A aplicação da nova versão da chave em fundo a todos os fornecedores de recursos poderá demorar 24 horas. A versão da chave anterior não pode estar desativada, uma vez que é necessário que o serviço a utilize para voltar a encriptar e para o suporte de restauro de bases de dados.

Para rodar a chave de encriptação ao criar uma nova versão de chave, utilize os passos que se seguem.

1. Aceda ao portal do Azure>Cofres de Chaves e localize o cofre de chaves onde pretende criar uma nova versão de chave.
2. Navegue para Chaves.
3. Selecione a chave ativada e atual.
4. Selecione + Nova Versão.
5. A definição Ativado assume a predefinição de Sim, o que significa que a nova versão de chave é ativada automaticamente após a criação.
6. Selecione Criar.

[! Recomendação] Para estar em conformidade com a sua política de rotação de chaves, pode girar a chave de encriptação utilizando a Política de rotação. Pode configurar uma política de rotação ou rodar, a pedido, invocando Rodar agora.

Importante

A nova versão de chave é automaticamente rodada em fundo e não é necessária qualquer ação do admin do Power Platform. É importante que a versão de chave anterior não seja desativada ou eliminada durante, pelo menos, 28 dias para suportar o restauro da base de dados. A desativação ou eliminação demasiado cedo da versão de chave anterior pode fazer com que o ambiente fique offline.

Ver a lista de ambientes encriptados

1. Inicie sessão no centro de administração do Power Platform e aceda a Políticas>Políticas empresariais.
2. Na página Políticas empresariais , selecione o separador Ambientes com políticas . É apresentada a lista de ambientes que foram adicionados às políticas empresariais.

Nota

Poderão haver situações em que o Estado do ambiente ou o Estado de encriptação são mostrados com um estado Falhado. Quando isto ocorrer, submeta um pedido de Suporte da Microsoft para pedir ajuda.

Operações da base de dados do ambiente

Um inquilino de cliente pode ter ambientes que são encriptados utilizando a chave e os ambientes geridos pela Microsoft que são criptografados com a chave gerida pelo cliente. Para manter a integridade de dados e a proteção de dados, os seguintes controlos estão disponíveis ao gerir operações de base de dados de ambiente.

• Restaurar O ambiente para substituir (o restaurado para ambiente) está restrito ao mesmo ambiente em que a cópia de segurança foi tirada ou para outro ambiente que esteja encriptado com a mesma chave gerida pelo cliente.

  

• Copiar O ambiente a substituir (o copiado para ambiente) está restrito a outro ambiente que esteja encriptado com a mesma chave gerida pelo cliente.

  

  Nota

  Se tiver sido criado um ambiente de investigação de suporte para resolver o problema de suporte num ambiente gerido pelo cliente, a chave de encriptação para o ambiente de investigação de suporte tem de ser alterada para a chave gerida pelo cliente antes da operação de cópia do ambiente ser efetuada.

• Repor Os dados encriptados do ambiente são eliminados, incluindo as cópias de segurança. Depois do ambiente ser reiniciado, a encriptação de ambiente será revertida para a chave gerida da Microsoft.

Próximos passos

Sobre o Azure Key Vault