Gerir a chave de encriptação

Todos os ambientes do Microsoft Dataverse utilizam a Encriptação de Dados Transparente (TDE) do SQL Server para proceder à encriptação em tempo real dos dados quando são escritos no disco, também conhecida como encriptação inativa.

Por predefinição, a Microsoft armazena e gere a chave de encriptação da base de dados para os seus ambientes, para você não ter de o fazer. A funcionalidade de gestão de chaves no centro de administração do Microsoft Power Platform permite aos administradores gerir automaticamente a chave de encriptação de base de dados associada ao inquilino do Dataverse.

Importante

• Desde 2 de junho de 2023, este serviço é atualizado para a Chave de encriptação gerida pelo cliente. Os novos clientes que necessitam de gerir a respetiva chave de encriptação utilizarão o serviço atualizado, uma vez que este serviço já não é oferecido.
• As chaves de encriptação de base de dados geridas automaticamente só estão disponíveis para clientes que tenham mais de 1000 licenças do Power Apps por utilizador, ou mais de 1000 licenças do Dynamics 365 Enterprise, ou mais de 1000 licenças de uma combinação de ambos num único inquilino. Para optar ativamente por participar neste programa, envie um pedido de suporte.

A gestão de chaves de encriptação só é aplicável a bases de dados de ambiente SQL do Azure. As caraterísticas e serviços seguintes continuam a utilizar a chave de encriptação gerida pela Microsoft para encriptar os dados e não podem ser encriptados com a chave de encriptação gerida automaticamente:

• Caraterísticas de copilotos e IA generativa no Microsoft Power Platform e Microsoft Dynamics 365
• Pesquisa do Dataverse
• Tabelas elásticas
• Móvel Offline
• Atividade do Registo (portal Microsoft 365)
• Troca (sincronização do lado do servidor)

Nota

• A funcionalidade de encriptação da base de dados de gestão automática tem de ser ativada pela Microsoft para o seu inquilino antes de poder utilizar a funcionalidade.
• Para utilizar as funcionalidades de gestão de encriptação de dados para um ambiente, o ambiente tem de ser criado após a funcionalidade de chave de encriptação da base de dados ser ativada pela Microsoft.
• Depois de a caraterística ser ativada no inquilino, todos os novos ambientes são criados apenas com o armazenamento do SQL do Azure. Estes ambientes, independentemente de serem encriptados com BYOK (Bring Your Own Key) ou uma chave gerida pela Microsoft, têm restrições com o tamanho de carregamento de ficheiros, não podem utilizar os serviços Cosmos nem Datalake e os índices de Pesquisa do Dataverse são encriptados com uma chave gerida pela Microsoft. Para utilizar estes serviços, tem de migrar para a chave gerida pelo cliente.
• Ficheiros e Imagens com tamanhos inferiores a 128 MB pode ser utilizado se o seu ambiente for a versão 9.2.21052.00103 ou posterior.
• A maior parte dos ambientes existentes têm ficheiros e registos armazenados em bases de dados do SQL não pertencentes ao Azure. Estes ambientes não podem ser utilizados por uma chave de encriptação gerida automaticamente. Apenas os novos ambientes (depois de inscrito neste programa) podem ser ativados com a chave de encriptação gerida automaticamente.

Introdução à gestão de chaves

Com a gestão de chave, os administradores podem fornecer a própria chave de encriptação ou gerar uma chave de encriptação automaticamente, que é utilizada para proteger a base de dados para um ambiente.

A funcionalidade de gestão de chaves suporta ficheiros de chave de encriptação PFX e BYOK, tais como as armazenadas num módulo de hardware de segurança (HSM). Para utilizar a opção de chave de encriptação de carregamento, precisa da chave de encriptação pública e privada.

A funcionalidade de gestão de chaves retira a complexidade da gestão da chave de encriptação utilizando o Azure Key Vault para armazenar de forma segura chaves de encriptação. O Azure Key Vault ajuda a salvaguardar chaves criptográficas e segredos utilizados por aplicações cloud e serviços. A caraterística de gestão de chaves não requer que tenha uma subscrição do Azure Key Vault e, para a maioria das situações, não há a necessidade de aceder a chaves de encriptação utilizadas para o Dataverse dentro do cofre.

A funcionalidade de gestão de chaves permite executar as seguintes tarefas.

• Ative a capacidade para gerir automaticamente as chaves de encriptação de base de dados associadas a ambientes.

• Gere novas chaves de encriptação ou carregue os ficheiros de chave de encriptação .PFX ou .BYOK existentes.

• Bloquear e desbloquear ambientes de inquilinos.

  Aviso

  Apesar de um locatário estar bloqueado, os ambientes do inquilino não podem ser acedidos por ninguém. Mais informações: bloquear o inquilino.

Compreender o risco potencial quando gere as suas chaves

Tal como acontece com qualquer aplicação de negócio crítica, o pessoal na organização com acesso de nível de administração tem de ser de confiança. Antes de utilizar a funcionalidade de gestão de chaves, deve compreender o risco quando gere as chaves de encriptação da sua base de dados. É concebível que um administrador malicioso (uma pessoa a quem tenha sido concedido ou tenha obtido acesso de nível de administrador com a intenção de danificar os processos de segurança ou de negócio de uma organização) a trabalhar na sua organização poderá utilizar a funcionalidade de gestão de chaves para criar uma chave e utilizá-la para bloquear todos os ambientes de um inquilino.

Considere a seguinte sequência de eventos.

O administrador malicioso inicia sessão no centro de administração do Power Platform, vai para o separador Ambientes e seleciona Gerir chave de encriptação. O administrador mal-intencionado cria uma nova chave com uma palavra-passe e transfere a chave de encriptação para a unidade local e ativa a nova chave. Agora, todas as bases de dados de ambiente estão encriptadas com a nova chave. Em seguida, o administrador mal-intencionado bloqueia o inquilino com a chave recém transferida e, em seguida, efetua ou elimina a chave de encriptação descarregada.

Estas ações irão resultar na desativação de todos os ambientes do acesso online e tornar todos os backups de base de dados não restauráveis.

Importante

Para impedir que o administrador malicioso interrompa as operações de negócio bloqueando a base de dados, a funcionalidade de chaves geridas não permite que os ambientes do inquilino sejam bloqueados durante 72 horas após a chave de encriptação ser alterada ou ativada. Permite até 72 horas para que outros administradores anulem quaisquer alterações de chave não autorizadas.

Requisitos da chave de encriptação

Se fornecer uma chave de encriptação própria, a sua chave terá de cumprir estes requisitos que serão aceites pelo Azure Key Vault.

• O formato de ficheiro da chave de encriptação tem de ser PFX ou BYOK.
• RSA de 2048 bits.
• Tipo de chave RSA-HSM (requer um pedido de Suporte da Microsoft).
• Os ficheiros de chave de encriptação PFX têm de ser protegidos por palavra-passe.

Para mais informações sobre como gerar e transferir uma chave protegida por HSM através da Internet, consulte Como gerar e transferir chaves protegidas por HSM para o Cofre de Chaves do Azure. Apenas a chave HSM do fornecedor nCipher é suportada. Antes de gerar a sua chave HSM, vá ao centro de administração do Power Platform janela Gerir chaves de encriptação/Criar nova chave para obter o ID de subscrição para a região do ambiente. Tem de copiar e colar este ID de subscrição no seu HSM para criar a chave. Isto garantirá que apenas o nosso Azure Key Vault possa abrir o seu ficheiro.

Tarefas de gestão de dados

Para simplificar as tarefas de gestão de chave, as tarefas são divididas em três áreas:

1. Gerar ou carregar a chave de encriptação para um inquilino
2. Ativar uma chave de encriptação para um inquilino
3. Gerir a encriptação para um ambiente

Os administradores podem usar os cmdlets do centro de administração do Power Platform ou do módulo de administração do Power Platform para executar as tarefas de gestão de chave de proteção do inquilino descritas aqui.

Gerar ou carregar a chave de encriptação para um inquilino

Todas as chaves de encriptação são armazenadas no Azure Key Vault e só pode existir uma chave ativa em qualquer altura. Uma vez que a chave ativa é utilizada para encriptar todos os ambientes no inquilino, a gestão da encriptação é operada no nível do inquilino. Depois de a chave ser ativada, cada ambiente individual pode ser selecionado para utilizar a chave para encriptação.

Utilize este procedimento para definir a funcionalidade de gestão de chaves pela primeira vez para um ambiente ou para alterar (ou substituir) uma chave de encriptação para um inquilino já gerido automaticamente.

Aviso

Quando efetuar os passos descritos aqui pela primeira vez, está a optar por gerir automaticamente as chaves de encriptação. Mais informações: Compreender o risco potencial quando gere as suas chaves.

1. Inicie sessão no Centro de administração do Power Platform como administrador (administrador do Dynamics 365, administrador global ou administrador do Microsoft Power Platform).

2. Selecione o separador Ambientes e, em seguida, na barra de ferramentas, selecione Gerir chaves de encriptação.

3. Selecione confirmar para confirmar a gestão do risco de chave.

4. Selecione Nova chave na barra de ferramentas.

5. No painel esquerdo, preencha os detalhes para gerar ou carregar uma chave:

   • Selecione uma Região. Esta opção só é mostrada se o seu inquilino tiver várias regiões.
   • Introduza um Nome da chave.
   • Escolha entre as seguintes opções:
     • Para criar uma nova chave, selecione Gerar novo (.pfx). Mais informações: Gerar uma nova chave (.pfx).
     • Para utilizar a sua própria chave gerada, selecione carregar (.pfx ou .byok). Mais informações: Carregar uma chave (.pfx ou .byok).

6. Selecione Seguinte.

Gerar uma nova chave (.pfx)

1. Introduza uma palavra-passe e, em seguida, reintroduza a palavra-passe para confirmar.
2. Selecione criare, em seguida, selecione a notificação do ficheiro criado no browser.
3. O ficheiro .PFX da chave de encriptação é transferido para a pasta de transferência predefinida do browser. Guarde o ficheiro numa localização segura (recomendamos que esta chave seja submetida a backup juntamente com a palavra-passe).

Carregar uma chave (.pfx ou .byok)

1. Selecione carregar a chave, selecione o ficheiro .pfx ou .byok¹ e, em seguida, selecione abrir.
2. Introduza a palavra-passe para a chave e, em seguida, selecione criar.

¹ Para os ficheiros de encriptação .byok, certifique-se de que utiliza o ID de subscrição apresentado no ecrã quando exporta a chave de encriptação a partir do seu HSM local. Mais informações: como gerar e transferir chaves protegidas por HSM para o Azure Key Vault.

Nota

Para reduzir o número de passos para que o administrador faça a gestão do processo chave, a chave é ativada automaticamente quando é carregada pela primeira vez. Todas os carregamentos de chave subsequentes necessitam de um passo adicional para ativar a chave.

Ativar uma chave de encriptação para um inquilino

Depois de gerada ou carregada uma chave de encriptação para o inquilino, esta poderá ser ativada.

1. Inicie sessão no Centro de administração do Power Platform como administrador (administrador do Dynamics 365, administrador global ou administrador do Microsoft Power Platform).
2. Selecione o separador Ambientes e, em seguida, na barra de ferramentas, selecione Gerir chaves de encriptação.
3. Selecione confirmar para confirmar a gestão do risco de chave.
4. Selecione uma chave que tenha um estado disponível e, em seguida, selecione Ativar chave na barra de ferramentas.
5. Selecione Confirmar para confirmar a alteração da chave.

Quando ativa uma chave para o inquilino, o serviço de gestão de chaves demora um pouco para ativar a chave. O estado do estado da chave apresenta a chave como a instalar quando a chave nova ou carregada é ativada. Depois de ativada a chave, ocorre o seguinte:

• Todos os ambientes encriptados são encriptados automaticamente com a chave ativa (não existe tempo de inatividade com esta ação).
• Quando ativada, a chave de encriptação será aplicada a todos os ambientes alterados a partir da chave de encriptação fornecida pela Microsoft e gerida automaticamente.

Importante

Para simplificar o processo de gestão de chaves para que todos os ambientes sejam geridos pela mesma chave, a chave ativa não pode ser atualizada quando existem ambientes bloqueados. Todos os ambientes bloqueados têm de ser desbloqueados para que uma nova chave possa ser ativada. Se não for necessário desbloquear ambientes bloqueados, estes terão de ser eliminados.

Nota

Depois de ativada uma chave de encriptação, não é possível ativar outra chave durante 24 horas.

Gerir a encriptação para um ambiente

Por predefinição, cada ambiente é encriptado com a chave de encriptação fornecida pela Microsoft. Depois de a chave de encriptação ser ativada para o inquilino, os administradores podem optar por alterar a encriptação predefinida para utilizar a chave de encriptação ativada. Para utilizar a chave ativada, siga estes passos.

Aplicar a chave de encriptação a um ambiente

1. Inicie sessão no Centro de administração do Power Platform com as credenciais de função Administrador de Ambiente ou Administrador de Sistema.
2. Selecione o separador Ambientes.
3. Abra um ambiente encriptado fornecido pela Microsoft.
4. Selecione Ver tudo.
5. Na secção encriptação do ambiente, selecione gerir.
6. Selecione confirmar para confirmar a gestão do risco de chave.
7. Selecione aplicar esta chave para aceitar a alteração da encriptação para utilizar a chave ativada.
8. Selecione confirmar para confirmar que está a gerir a chave diretamente e que existe tempo de inatividade para esta ação.

Devolver uma chave de encriptação gerida à chave de encriptação fornecida pela Microsoft

A reversão para a chave de encriptação fornecida pela Microsoft configura o ambiente novamente para o comportamento predefinido onde a Microsoft gere a chave de encriptação por si.

1. Inicie sessão no Centro de administração do Power Platform com as credenciais de função Administrador de Ambiente ou Administrador de Sistema.
2. Selecione o separador ambientes e, em seguida, selecione um ambiente que esteja encriptado com uma chave gerida automaticamente.
3. Selecione Ver tudo.
4. Na secção encriptação do ambiente, selecione gerir e, em seguida, selecione confirmar.
5. Em Voltar à gestão de chaves de encriptação padrão, selecione Voltar .
6. Para ambientes de produção, confirme o ambiente introduzindo o nome do ambiente.
7. Selecione Confirmar para voltar à gestão de chave de encriptação padrão.

Bloquear o inquilino

Uma vez que existe apenas uma chave ativa por inquilino, o bloqueio da encriptação para o inquilino desativa todos os ambientes que se encontram no inquilino. Todos os ambientes bloqueados permanecem inacessíveis a todos, incluindo a Microsoft, até um admin do Power Platform na sua organização os desbloquear com a chave utilizada para a bloquear.

Atenção

Nunca deve bloquear os ambientes do inquilino como parte do processo de negócio normal. Quando bloqueia um inquilino Dataverse, todos os ambientes são colocados completamente offline e não podem ser acedidos por ninguém, incluindo a Microsoft. Além disso, os serviços como a sincronização e a manutenção são todos parados. Se optar por deixar o serviço bloqueado, o bloqueio do inquilino pode assegurar que os seus dados online nunca serão novamente acedidos por qualquer pessoa.
Tenha em atenção o seguinte sobre os ambientes de inquilinos que bloqueiam:

• Não é possível restaurar os ambientes bloqueados a partir de uma cópia de segurança.
• Os ambientes bloqueados são eliminados se não forem desbloqueados após 28 dias.
• Não é possível bloquear ambientes durante 72 horas após alteração da chave de encriptação.
• O bloqueio de um inquilino bloqueia todos os ambientes ativos do inquilino.

Importante

• Tem de aguardar pelo menos uma hora depois de bloquear ambientes ativos antes de poder desbloqueá-los.
• Após o início do processo de bloqueio, todas as chaves de encriptação com um estado ativo ou disponível são eliminadas. O processo de bloqueio pode demorar até uma hora e durante este período o desbloqueio de ambientes bloqueados não é permitido.

1. Inicie sessão no Centro de administração do Power Platform como administrador (administrador do Dynamics 365, administrador global ou administrador do Microsoft Power Platform).
2. Selecione o separador Ambientes e, em seguida, na barra de comando, selecione Gerir chaves de encriptação.
3. Selecione a chave ativa e, em seguida, selecione bloquear ambientes ativos.
4. No painel da direita, selecione carregar chave ativa, procure e selecione a chave, introduza a palavra-passe e, em seguida, selecione bloquear.
5. Quando lhe for pedido, introduza o texto que é apresentado no ecrã para confirmar que pretende bloquear todos os ambientes na região e, em seguida, selecione confirmar.

Desbloquear ambientes bloqueados

Para desbloquear ambientes primeiro tem de carregar e em seguida ativar a chave de encriptação de inquilinos com a mesma chave que foi utilizada para bloquear o inquilino. Note que os ambientes bloqueados não são desbloqueados automaticamente após a chave ser ativada. Cada ambiente bloqueado tem de ser desbloqueado individualmente.

Importante

• Tem de aguardar pelo menos uma hora depois de bloquear ambientes ativos antes de poder desbloqueá-los.
• O processo de desbloqueio pode demorar até uma hora. Depois de a chave ser desbloqueada, pode utilizar a tecla para gerir a encriptação para um ambiente.
• Não pode gerar uma nova ou carregar uma chave existente até que todos os ambientes bloqueados sejam desbloqueados.

Desbloquear chave de encriptação

1. Inicie sessão no Centro de administração do Power Platform como administrador (administrador do Dynamics 365, administrador global ou administrador do Microsoft Power Platform).
2. Selecione o separador Ambientes e, em seguida, selecione Gerir chaves de encriptação.
3. Selecione a chave que tenha um estado bloqueado e, em seguida, na barra de comando selecione desbloquear chave.
4. Selecione carregar chave bloqueada, procure e selecione a chave usada para bloquear o inquilino, introduza a palavra-passe e, em seguida, selecione desbloquear. A chave é enviada para um estado de instalação. Tem de aguardar até que a chave esteja num estado ativo antes de poder desbloquear ambientes bloqueados.
5. Para desbloquear um ambiente, consulte a secção seguinte.

Desbloquear ambientes

1. Selecione o separador ambientes e, em seguida, selecione o nome do ambiente bloqueado.

   Gorjeta

   Não selecione a coluna. Selecione o nome do ambiente.

2. Na secção detalhes, selecione ver tudo para apresentar o painel detalhes à direita.

3. Na secção encriptação do ambiente, no painel detalhes selecione gerir.

   

4. Na página encriptação do ambiente, selecione desbloquear.

   

5. Selecione Confirmar para confirmar que pretende desbloquear o ambiente.

6. Repita os passos anteriores para desbloquear ambientes adicionais.

Operações da base de dados do ambiente

Um inquilino de cliente pode ter ambientes que são encriptados utilizando a chave e os ambientes geridos pela Microsoft que são criptografados com a chave gerida pelo cliente. Para manter a integridade de dados e a proteção de dados, os seguintes controlos estão disponíveis ao gerir operações de base de dados de ambiente.

1. Restaurar O ambiente para substituir (o restaurado para ambiente) está restrito ao mesmo ambiente em que a cópia de segurança foi tirada ou para outro ambiente que esteja encriptado com a mesma chave gerida pelo cliente.

   

2. Copiar O ambiente a substituir (o copiado para ambiente) está restrito a outro ambiente que esteja encriptado com a mesma chave gerida pelo cliente.

   

   Nota

   Se tiver sido criado um ambiente de investigação de suporte para resolver o problema de suporte num ambiente gerido pelo cliente, a chave de encriptação para o ambiente de investigação de suporte tem de ser alterada para a chave gerida pelo cliente antes da operação de cópia do ambiente ser efetuada.

3. Repor Os dados encriptados do ambiente serão eliminados, incluindo as cópias de segurança. Depois do ambiente ser reiniciado, a encriptação de ambiente será revertida para a chave gerida da Microsoft.

Consulte também

SQL Server: Encriptação de Dados Transparente (TDE)