Partajați prin

Gestionarea propriei chei de criptare gestionate de client

Clienții au cerințe de confidențialitate și conformitate a datelor pentru a-și securiza datele prin criptarea datelor stocate. Acest lucru protejează datele de expunere în cazul în care o copie a bazei de date este furată. Cu criptarea datelor în repaus, datele furate din baza de date sunt protejate împotriva restaurării pe un alt server fără cheia de criptare.

Toate datele clienților stocate în Power Platform sunt criptate în stare de repaus, în mod implicit, cu chei de criptare puternice gestionate de Microsoft. Microsoft stochează și gestionează cheia de criptare a bazei de date pentru toate datele dvs., astfel încât dvs. să nu fie nevoie să o faceți. Totuși, Power Platform furnizează această cheie de criptare gestionată de client (CMK) pentru controlul suplimentar al protecției datelor, unde puteți gestiona automat cheia de criptare a bazei de date asociată cu mediul dumneavoastră Microsoft Dataverse . Acest lucru vă permite să rotiți sau să schimbați cheia de criptare la cerere și, de asemenea, vă permite să împiedicați accesul Microsoft la datele clienților dvs. atunci când revocați cheia de acces la serviciile noastre în orice moment.

Pentru a afla mai multe despre cheia gestionată de client în Power Platform, vizionați videoclipul despre cheia gestionată de client.

Aceste operațiuni cu cheile de criptare sunt disponibile cu cheia gestionată de client (CMK):

  • Creați o cheie RSA (RSA-HSM) din seiful de chei Azure.
  • Creați o politică de întreprindere pentru cheia dvs. Power Platform
  • Acordați politicii companiei permisiunea de a accesa seiful de chei. Power Platform
  • Permiteți administratorului serviciului să citească politica întreprinderii. Power Platform
  • Aplicați cheia de criptare mediului dumneavoastră.
  • Restabilește/eliminează criptarea CMK a mediului la cheia gestionată de Microsoft.
  • Schimbați cheia prin crearea unei noi politici de întreprindere, eliminarea mediului din CMK și reaplicarea CMK cu noua politică de întreprindere.
  • Blocați mediile CMK prin revocarea seifului de chei CMK și/sau a permisiunilor pentru chei.
  • Migrați mediile *bring-your-own-key* (BYOK) în CMK prin aplicarea cheii CMK. ...

În prezent, toate datele clienților dvs. stocate doar în următoarele aplicații și servicii pot fi criptate cu o cheie gestionată de client:

Cloud comercial

Cloud suveran - GCC High

Notă

  • Contactați un reprezentant pentru servicii care nu sunt enumerate mai sus pentru informații despre asistența pentru chei gestionate de client.
  • Nuance IVR-ul conversațional și conținutul de bun venit al creatorilor sunt excluse din criptarea cu chei gestionată de client. ...
  • Setările de conexiune pentru conectori continuă să fie criptate cu o cheie gestionată de Microsoft.
  • Power Apps Numele afișate, descrierile și metadatele conexiunii continuă să fie criptate cu o cheie gestionată de Microsoft.
  • Linkul rezultatelor descărcării și alte date produse de aplicarea verificatorului de soluții în timpul unei verificări a soluțiilor continuă să fie criptate cu o cheie gestionată de Microsoft.

Mediile cu aplicații financiare și operaționale unde integrarea este activată pot fi, de asemenea, criptate. Power Platform Mediile financiare și operaționale fără integrare continuă să utilizeze cheia implicită gestionată de Microsoft pentru criptarea datelor. Power Platform Aflați mai multe în Criptarea în aplicațiile financiare și operaționale.

Cheie de criptare gestionată de client în Power Platform

Introducere în cheia gestionată de client

Cu cheia gestionată de client, administratorii pot furniza propria cheie de criptare din propriul Azure Key Vault către serviciile de stocare pentru a cripta datele clienților lor. Power Platform Microsoft nu are acces direct la Azure Key Vault. Pentru ca serviciile să acceseze cheia de criptare din Azure Key Vault, administratorul creează o politică de întreprindere, care face referire la cheia de criptare și acordă acestei politici de întreprindere acces pentru a citi cheia din Azure Key Vault. Power Platform Power Platform

Administratorul serviciului Power Platform poate apoi să adauge Dataverse medii la politica întreprinderii pentru a începe criptarea tuturor datelor clienților din mediu cu cheia dvs. de criptare. Administratorii pot modifica cheia de criptare a mediului creând o altă politică de întreprindere și adăugând mediul (după ce îl elimină) la noua politică de întreprindere. Dacă mediul nu mai trebuie criptat folosind cheia gestionată de client, administratorul poate elimina mediul din politica întreprinderii pentru a reveni la criptarea datelor la cheia gestionată de Microsoft. Dataverse

Administratorul poate bloca mediile cheie gestionate de client prin revocarea accesului la cheie din politica întreprinderii și poate debloca mediile prin restaurarea accesului la cheie. Mai multe informații: Blocarea mediilor prin revocarea accesului la seiful de chei și/sau a permisiunii de acces la cheie

Pentru a simplifica sarcinile cheie de management, acestea sunt împărțite în trei domenii principale:

  1. Creați cheia de criptare.
  2. Creați o politică de întreprindere și acordați acces.
  3. Gestionați criptarea mediului.

Avertisment

Când mediile sunt blocate, acestea nu pot fi accesate de nimeni, inclusiv de asistența Microsoft. Mediile blocate devin dezactivate și se pot produce pierderi de date.

Cerințe de licențiere pentru cheia gestionată de client

Politica privind cheile gestionate de client se aplică numai în mediile care sunt activate pentru Medii gestionate. Mediile gestionate sunt incluse ca drept de utilizare în licențele independente Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages și Dynamics 365 care oferă drepturi de utilizare premium. Aflați mai multe despre licențierea pentru medii gestionate, consultați Prezentarea generală a licențierii pentru Microsoft Power Platform.

În plus, accesul la utilizarea cheii gestionate de client pentru Microsoft Power Platform și Dynamics 365 necesită ca utilizatorii din mediile în care este aplicată politica cheii de criptare să aibă unul dintre aceste abonamente:

  • Microsoft 365 sau Office 365 A5/E5/G5
  • Conformitate Microsoft 365 A5/E5/F5/G5
  • Securitate și conformitate Microsoft 365 F5
  • Protecția informațiilor și guvernanța Microsoft 365 A5/E5/F5/G5
  • Gestionarea riscurilor interne Microsoft 365 A5/E5/F5/G5

Aflați mai multe despre aceste licențe.

Înțelegeți riscul potențial atunci când vă gestionați cheia

Ca la orice aplicație vitală de business, personalul din organizație care are acces la nivel de administrator trebuie să fie de încredere. Înainte de a utiliza caracteristica de gestionare a cheilor, ar trebui să înțelegeți riscul asumat atunci când vă gestionați cheile de criptare ale bazei de date. Este posibil ca un administrator rău intenționat (o persoană căreia i se acordă sau a obținut acces la nivel de administrator cu intenția de a dăuna securității sau proceselor de afaceri ale unei organizații) care lucrează în cadrul organizației dvs. să utilizeze funcția de gestionare a cheilor pentru a crea o cheie și a o utiliza pentru a bloca mediile dvs. în entitatea găzduită.

Luați în considerare următoarea succesiune de evenimente.

Administratorul seifului de chei rău intenționat creează o cheie și o politică de întreprindere pe portalul Azure. Administratorul Azure Key Vault accesează centrul de administrare și adaugă medii la politica de întreprindere. Power Platform Administratorul rău intenționat se întoarce apoi la portalul Azure și revocă accesul cheie la politica întreprinderii, blocând astfel toate mediile. Acest lucru provoacă întreruperi ale activității, deoarece toate mediile devin inaccesibile, iar dacă acest eveniment nu este rezolvat, adică accesul prin cheie nu este restabilit, datele mediului se pot pierde.

Notă

  • Azure Key Vault are măsuri de siguranță încorporate care ajută la restaurarea cheii, ceea ce necesită activarea setărilor Key Seif pentru *Ștergere soft* și *Protecție pentru eliminare*.
  • O altă măsură de siguranță de luat în considerare este asigurarea unei separări a activităților, în care administratorul Azure Key Vault nu are acces la centrul de administrare. Power Platform

Separarea sarcinilor pentru atenuarea riscului

Această secțiune descrie sarcinile principale gestionate de client pentru care este responsabil fiecare rol de administrator. Separarea acestor sarcini ajută la atenuarea riscului implicat de cheile gestionate de client.

Sarcini de administrare a serviciului Azure Key Vault și/Dynamics 365 Power Platform

Pentru a activa cheile gestionate de client, mai întâi administratorul seifului de chei creează o cheie în seiful de chei Azure și creează o *politică de întreprindere*. Power Platform Când este creată politica întreprinderii, este creată o identitate gestionată cu ID special. Microsoft Entra Apoi, administratorul seifului de chei se întoarce la seiful de chei Azure și acordă politicii/identității gestionate a întreprinderii acces la cheia de criptare.

Administratorul seifului de chei acordă apoi administratorului serviciului respectiv/Dynamics 365 acces de citire la politica de întreprindere. Power Platform După ce i se acordă permisiunea de citire, administratorul serviciului/Dynamics 365 poate accesa Centrul de administrare și poate adăuga medii la politica de întreprindere. Power Platform Power Platform Toate datele clienților din mediile adăugate sunt apoi criptate cu cheia gestionată de client, legată de această politică de întreprindere.

Cerințe preliminare
  • Un abonament Azure care include Azure Key Vault sau module de securitate hardware gestionate de Azure Key Vault.
  • Un Microsoft Entra ID cu:
    • Permisiunea de contribuitor pentru abonament. Microsoft Entra
    • Permisiune de a crea un Azure Key Vault și o cheie.
    • Acces pentru a crea un grup de resurse. Acest lucru este necesar pentru a configura seiful de chei.
Creați cheia și acordați acces folosind Azure Key Vault

Administratorul Azure Key Vault efectuează aceste activități în Azure.

  1. Creați un abonament plătit Azure și un Key Vault. Ignorați acest pas dacă aveți deja un abonament care include Azure Key Vault.
  2. Accesați serviciul Azure Key Vault și creați o cheie. Mai multe informații: Creați o cheie în seiful de chei
  3. Activați serviciul *politici enterprise* pentru abonamentul dvs. Azure. Power Platform Fă asta o singură dată. Mai multe informații: Activați serviciul Power Platform politici enterprise pentru abonamentul dvs. Azure
  4. Creați o politică de întreprindere. Power Platform Mai multe informații: Creați o politică de întreprindere
  5. Acordați permisiuni de politică de întreprindere pentru a accesa seiful de chei. Mai multe informații: Acordarea permisiunilor de acces la seiful de chei în baza politicii întreprinderii
  6. Acordați administratorilor Power Platform și Dynamics 365 permisiunea de a citi politica întreprinderii. Mai multe informații: Acordați privilegiului de administrator Power Platform de a citi politica întreprinderii

Power Platform/Activități centru de administrare pentru serviciul Dynamics 365 admin Power Platform

Cerințe preliminare

Power Platform administratorul trebuie să fie atribuit fie rolului Power Platform , fie rolului de administrator al serviciului Dynamics 365 Microsoft Entra .

Gestionați criptarea mediului în Centrul de administrare Power Platform

Administratorul Power Platform gestionează sarcinile cheie gestionate de client legate de mediu în Power Platform centrul de administrare.

  1. Adăugați mediile la politica întreprinderii pentru a cripta datele cu cheia gestionată de client. Power Platform Mai multe informații: Adăugați un mediu la politica întreprinderii pentru a cripta datele
  2. Eliminați mediile din politica de întreprindere pentru a readuce criptarea la cheia gestionată de Microsoft. Mai multe informații: Eliminați mediile din politică pentru a reveni la cheia gestionată de Microsoft
  3. Schimbați cheia eliminând mediile din vechea politică de întreprindere și adăugând medii la o nouă politică de întreprindere. Mai multe informații: Creați o cheie de criptare și acordați acces
  4. Migrați de la BYOK. Dacă utilizați funcția anterioară de cheie de criptare autogestionată, puteți migra cheia către cheia gestionată de client. Aflați mai multe în Migrarea mediilor de tip „bring-your-own-key” către chei gestionate de client.

Creați cheia de criptare și acordați acces

Creați un abonament plătit Azure și un seif de chei

În Azure, efectuați următorii pași:

  1. Creați un abonament Azure cu plată în funcție de utilizare sau echivalentul acestuia. Acest pas nu este necesar dacă chiriașul are deja un abonament.

  2. Creați un grup de resurse. Mai multe informații: Creați grupuri de resurse

    Notă

    Creați sau utilizați un grup de resurse care are o locație, de exemplu, SUA Centrală, care corespunde regiunii mediului, cum ar fi Statele Unite. Power Platform

  3. Creați un seif de chei utilizând abonamentul plătit care include protecție împotriva ștergerii soft și a eliminării complete cu grupul de resurse creat în pasul anterior.

    Important

    Pentru a vă asigura că mediul dvs. este protejat de ștergerea accidentală a cheii de criptare, seiful de chei trebuie să aibă activată protecția împotriva ștergerii soft și a eliminării. Nu veți putea cripta mediul cu propria cheie fără a activa aceste setări. Mai multe informații: Prezentare generală a ștergerii soft în Azure Key Vault Mai multe informații: Crearea unui seif de chei utilizând portalul Azure

Creați o cheie în seiful de chei

  1. Asigurați-vă că ați îndeplinit cerințele preliminare.
  2. Accesați portalul Azure>Seiful de chei și localizați seiful de chei în care doriți să generați o cheie de criptare.
  3. Verificați setările seifului de chei Azure:
    1. Selectați Proprietăți sub Setări.
    2. Sub Ștergere soft, setați sau verificați dacă este setată la Ștergerea soft a fost activată pentru acest seif de chei .
    3. Sub Protecție împotriva eliminării, setați sau verificați dacă opțiunea Activați protecția împotriva eliminării (aplicați o perioadă obligatorie de păstrare pentru seifurile și obiectele seifului șterse) este activată.
    4. Dacă ați făcut modificări, selectați Salvare.
Creați chei RSA

  1. Creați sau importați o cheie care are aceste proprietăți:

    1. Pe paginile de proprietăți ale Seifului de chei , selectați Chei.
    2. Selectați Generați/Importați.
    3. Pe ecranul Creați o cheie , setați următoarele valori, apoi selectați Creați.
      • Opțiuni: Generează
      • Nume: Furnizați un nume pentru cheie
      • Tip cheie: RSA
      • Dimensiunea cheii RSA: 2048 sau 3072

    Important

    Dacă setați o *dată de expirare* în cheie și cheia a expirat, toate mediile criptate cu această cheie vor fi nefuncționale. Setați o alertă pentru a monitoriza certificatele expirate cu notificări prin e-mail pentru administratorul local și administratorul Azure key seif, ca memento pentru reînnoirea datei de expirare. Power Platform Acest lucru este important pentru a preveni orice întrerupere neplanificată a sistemului.

Importul cheilor protejate pentru modulele de securitate hardware (HSM)

Puteți utiliza cheile protejate pentru modulele de securitate hardware (HSM) pentru a cripta mediile dumneavoastră. Power Platform Dataverse Cheile dvs. protejate prin HSM trebuie importate în seiful de chei pentru a putea fi creată o politică Enterprise. ... Pentru mai multe informații, consultați HSM-uri acceptateImportarea cheilor protejate prin HSM în Key Vault (BYOK).

Creați o cheie în Azure Key Vault Managed HSM

Puteți utiliza o cheie de criptare creată din Azure Key Vault Managed HSM pentru a cripta datele mediului. Aceasta vă oferă suport pentru FIPS 140-2 Nivelul 3.

Creați chei RSA-HSM

  1. Asigurați-vă că ați îndeplinit cerințele preliminare.

  2. Accesați portalul Azure.

  3. Creați un HSM gestionat:

    1. Aprovizionați HSM-ul gestionat.
    2. Activați HSM-ul gestionat.

  4. Activați Protecția împotriva eliminării în HSM-ul gestionat.

  5. Acordați rolul de *Utilizator criptografic HSM gestionat* persoanei care a creat seiful de chei HSM gestionat.

    1. Accesați seiful de chei HSM gestionat pe portalul Azure. ...
    2. Navigați la RBAC local și selectați + Adăugare.
    3. În lista derulantă Rol , selectați rolul Utilizator criptografic HSM gestionat pe pagina Atribuire rol .
    4. Selectați Toate cheile sub Domeniu de aplicare.
    5. Selectați Selectați principalul de securitate, apoi selectați administratorul pe pagina Adăugați principal .
    6. Selectați Creați.

  6. Creați o cheie RSA-HSM:

    • Opțiuni: Generează
    • Nume: Furnizați un nume pentru cheie
    • Tip cheie: RSA-HSM
    • Dimensiunea cheii RSA: 2048

    Notă

    Dimensiuni de chei RSA-HSM acceptate: 2048 biți și 3072 biți.

Puteți actualiza rețeaua din seiful de chei Azure activând un punct final privat și utilizând cheia din seiful de chei pentru a cripta mediile. Power Platform

Puteți fie să creați un seif de chei nou și să stabiliți o conexiune privată , fie stabiliți o conexiune privată la un seif de chei existent și să creați o cheie din acest seif de chei și să o utilizați pentru a cripta mediul. De asemenea, puteți stabili o conexiune privată la un seif de chei existent după ce ați creat deja o cheie și o puteți utiliza pentru a cripta mediul.

  1. Creați un seif Azure Key cu aceste opțiuni:

    • Activează Protecția împotriva eliminării
    • Tip cheie: RSA
    • Dimensiunea cheii: 2048 sau 3072

  2. Copiați adresa URL a seifului de chei și adresa URL a cheii de criptare care vor fi utilizate pentru crearea politicii de întreprindere.

    Notă

    După ce ați adăugat un punct final privat în seiful de chei sau ați dezactivat rețeaua de acces public, nu veți putea vedea cheia decât dacă aveți permisiunea corespunzătoare.

  3. Creați o rețea virtuală.

  4. Reveniți la seiful de chei și adăugați conexiuni private la endpoint-uri la seiful de chei Azure.

    Notă

    Trebuie să selectați opțiunea *Dezactivare acces public* la rețea și să activați excepția *Permiteți serviciilor Microsoft de încredere să ocolească acest firewall*.

  5. Creați o politică de întreprindere. Power Platform Mai multe informații: Creați o politică de întreprindere

  6. Acordați permisiuni de politică de întreprindere pentru a accesa seiful de chei. Mai multe informații: Acordarea permisiunilor de acces la seiful de chei în baza politicii întreprinderii

  7. Acordați administratorilor Power Platform și Dynamics 365 permisiunea de a citi politica întreprinderii. Mai multe informații: Acordați privilegiului de administrator Power Platform de a citi politica întreprinderii

  8. Power Platform Administratorul din centrul de administrare selectează mediul pentru criptare și activează mediul gestionat. Mai multe informații: Activați adăugarea mediului gestionat la politica întreprinderii

  9. Power Platform Administratorul centrului de administrare adaugă mediul gestionat la politica întreprinderii. Mai multe informații: Adăugați un mediu la politica întreprinderii pentru a cripta datele

Activați serviciul de politici enterprise pentru abonamentul dvs. Azure Power Platform

Înregistrați-vă ca furnizor de resurse. Power Platform Trebuie să efectuați această sarcină o singură dată pentru fiecare abonament Azure în care se află seiful Azure Key. Trebuie să aveți drepturi de acces la abonament pentru a înregistra furnizorul de resurse.

  1. Conectați-vă la portalul Azure și accesați Abonament>Furnizori de resurse.
  2. În lista de Furnizori de resurse, căutați Microsoft.PowerPlatform și înregistrați-l .

Creați o politică de întreprindere

  1. Instalați PowerShell MSI. Mai multe informații: Instalarea PowerShell pe Windows, Linux și macOS
  2. După instalarea fișierului MSI PowerShell, reveniți la Implementarea unui șablon personalizat în Azure.
  3. Selectați linkul Creați-vă propriul șablon în editor .
  4. Copiați acest șablon JSON într-un editor de text precum Notepad. Mai multe informații: Șablon JSON pentru politica de întreprindere
  5. Înlocuiți valorile din șablonul JSON pentru: EnterprisePolicyName, llocația în care trebuie creată EnterprisePolicy , keyVaultId și key>. Mai multe informații: Definiții de câmpuri pentru șablonul JSON
  6. Copiați șablonul actualizat din editorul de text, apoi lipiți-l în secțiunea Editare șablon din Implementare personalizată în Azure și selectați Salvare.
  7. Selectați un Abonament și Grup de resurse unde va fi creată politica de întreprindere.
  8. Selectați Revizuire + creare, apoi selectați Creare.

O implementare este pornită. Când este gata, politica întreprinderii este creată.

Șablon JSON pentru politica de întreprindere

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definiții de câmpuri pentru șablonul JSON

  • nume. Numele politicii întreprinderii. Acesta este numele politicii care apare în Centrul de administrare. Power Platform

  • locaţie. Unul dintre următoarele. Aceasta este locația politicii întreprinderii și trebuie să corespundă cu regiunea mediului Dataverse :

    • Statele Unite
    • „Africa de Sud”
    • '"Regatul Unit"'
    • '"Japonia"'
    • '"India"'
    • '"Franţa"'
    • '"Europa"'
    • '"Germania"'
    • '"Elveţia"'
    • '"Canada"'
    • '"Brazilia"'
    • '"Australia"'
    • '"Asia"'
    • Emiratele Arabe Unite
    • '"Coreea"'
    • '"Norvegia"'
    • Singapore
    • '"Suedia"'

  • Copiați aceste valori din proprietățile seifului de chei din portalul Azure:

    • keyVaultId: Accesați Seifuri de chei> selectați seiful de chei >Prezentare generală. Lângă Essentials selectați JSON View. Copiați ID-ul resursei în clipboard și lipiți întregul conținut în șablonul JSON.
    • keyName: Accesați Seifuri de chei> selectați seiful de chei >Chei. Observați cheia Name și introduceți numele în șablonul JSON.

Acordarea permisiunilor de politică de întreprindere pentru a accesa seiful de chei

După ce politica de întreprindere este creată, administratorul seifului de chei acordă identității gestionate a politicii de întreprindere acces la cheia de criptare.

  1. Conectați-vă la portalul Azure și accesați Seifuri de chei.
  2. Selectați seiful de chei unde cheia a fost atribuită politicii de întreprindere.
  3. Selectați fila Control acces (IAM) , apoi selectați + Adăugare.
  4. Selectați Adăugare atribuire rol din lista derulantă,
  5. Căutați Utilizator de criptare a serviciului de criptografie Key Vault și selectați-l.
  6. Selectați Următorul.
  7. Selectați + Selectați membri.
  8. Căutați politica de întreprindere pe care ați creat-o.
  9. Selectați politica de întreprindere, apoi alegeți Selectare.
  10. Selectați Revizuire + atribuire.

Setarea de permisiuni de mai sus se bazează pe modelul de permisiuni al seifului de chei pentru controlul accesului bazat pe roluri Azure . Dacă seiful de chei este setat la Politica de acces la seif, este recomandat să migrați la modelul bazat pe roluri. Pentru a acorda politicii dvs. de întreprindere acces la seiful de chei utilizând Politica de acces la seif, creați o politică de acces, selectați Obțineți activări Operațiuni de gestionare a cheilor și Despachetați cheia și Încapsulați cheia activări Operațiuni criptografice.

Notă

Pentru a preveni orice întreruperi neplanificate ale sistemului, este important ca politica întreprinderii să aibă acces la cheie. Asigurați-vă că:

  • Seiful de chei este activ.
  • Cheia este activă și nu a expirat.
  • Cheia nu este ștearsă.
  • Permisiunile cheie de mai sus nu sunt revocate.

Mediile care utilizează această cheie sunt dezactivate atunci când cheia de criptare nu este accesibilă.

Acordați privilegiului de administrator pentru a citi politica companiei Power Platform

Administratorii care au roluri Dynamics 365 sau de administrare pot accesa centrul de administrare pentru a atribui medii politicii întreprinderii. Power Platform Power Platform Pentru a accesa politicile companiei, administratorul cu acces la Azure key seif trebuie să acorde rolul de Cititor administratorului. Odată ce rolul de Cititor este acordat, administratorul poate vizualiza politicile companiei în centrul de administrare. Power Platform Power Platform Power Platform

Notă

Numai administratorii Dynamics 365 cărora li s-a acordat rolul de cititor pentru politica de întreprindere pot adăuga un mediu la politică. Power Platform Este posibil ca alți administratori Dynamics 365 să poată vizualiza politica întreprinderii, dar primesc o eroare atunci când încearcă să **adăuge** mediul **la politică. Power Platform

Acordați rolul de cititor unui administrator Power Platform

  1. conectați-vă la portalul Azure .
  2. Copiați ID-ul obiectului administratorului Dynamics 365. Power Platform Pentru a face acest lucru:
    1. Accesați zona Utilizatori din Azure.
    2. În lista Toți utilizatorii , găsiți utilizatorul cu Power Platform sau permisiuni de administrator Dynamics 365 utilizând Căutare utilizatori.
    3. Deschideți înregistrarea utilizatorului, în fila *Prezentare generală*, copiați *ID-ul obiectului* al utilizatorului. Lipiți acest text într-un editor de text, cum ar fi NotePad, pentru mai târziu.
  3. Copiați ID-ul resursei politicii întreprinderii. Pentru a face acest lucru:
    1. Accesați Explorator de grafice de resurse în Azure.
    2. Introduceți microsoft.powerplatform/enterprisepolicies în caseta Căutare , apoi selectați resursa microsoft.powerplatform/enterprisepolicies .
    3. Selectați Executare interogare în bara de comenzi. Se afișează o listă cu toate politicile întreprinderii. Power Platform
    4. Localizați politica de întreprindere căreia doriți să acordați acces.
    5. Derulați la dreapta politicii întreprinderii și selectați Vezi detalii.
    6. Pe pagina Detalii , copiați id-ul.
  4. Porniți Azure Cloud Shell și executați următoarea comandă, înlocuind objId cu ID-ul obiectului utilizatorului și EP Resource ID cu ID-ul enterprisepolicies copiat în pașii anteriori: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Gestionați criptarea mediului

Pentru a gestiona criptarea mediului, aveți nevoie de următoarele permisiuni:

  • Microsoft Entra utilizator activ care are un rol de securitate de administrator Dynamics 365 și/sau un rol de securitate. Power Platform
  • Microsoft Entra utilizator care are fie un rol de administrator de servicii Dynamics 365, fie un rol de administrator de servicii Dynamics 365. Power Platform

Administratorul seifului de chei notifică administratorul că au fost create o cheie de criptare și o politică de întreprindere și îi furnizează politica de întreprindere. Pentru a activa cheia gestionată de client, administratorul atribuie mediile sale politicii de întreprindere. Power Platform Power Platform Power Platform După ce mediul este atribuit și salvat, Dataverse inițiază procesul de criptare pentru a seta toate datele mediului și a le cripta cu cheia gestionată de client.

Activează adăugarea mediului gestionat la politica întreprinderii

  1. Conectați-vă la Power Platform centrul de administrare.
  2. În panoul de navigare, selectați Gestionare.
  3. În panoul Gestionare , selectați Medii, apoi selectați un mediu din lista de medii disponibile.
  4. Selectați Activați mediile gestionate.
  5. Selectați Activare.

Adăugați un mediu la politica întreprinderii pentru a cripta datele

Important

Mediul este dezactivat atunci când este adăugat la politica întreprinderii pentru criptarea datelor. Durata perioadei de nefuncționare a sistemului depinde de dimensiunea bazei de date. Vă recomandăm să efectuați un test prin crearea unei copii a mediului țintă într-un mediu de testare pentru a determina timpul estimat de nefuncționare a sistemului. Timpul de nefuncționare a sistemului poate fi determinat prin verificarea stării de criptare a mediului . Timpul de nefuncționare a sistemului este între stările *Criptare în curs* și *Criptare - online*. Pentru a reduce timpul de nefuncționare a sistemului, schimbăm starea de criptare la Criptare - online după finalizarea tuturor pașilor de bază ai criptării care necesitau nefuncționarea sistemului. Sistemul poate fi utilizat de utilizatorii dvs. în timp ce restul serviciilor de stocare, cum ar fi căutarea și indexul Copilot, continuă să cripteze datele cu cheia dvs. gestionată de client.

  1. Conectați-vă la Power Platform centrul de administrare.
  2. În panoul de navigare, selectați Securitate.
  3. În panoul Securitate , selectați Date și confidențialitate sub Setări.
  4. Selectați Cheie de criptare gestionată de client pentru a accesa pagina Politici Enterprise.
  5. Selectați o politică, apoi selectați Editați politica.
  6. Selectați Adăugați medii, selectați mediul dorit, apoi selectați Continuați. Adăugarea unui mediu la o politică de întreprindere
  7. Selectați Salvare, apoi selectați Confirmare.

Important

  • Doar mediile care se află în aceeași regiune ca politica întreprinderii sunt afișate în lista Adăugare medii .
  • Criptarea poate dura până la patru zile, dar mediul ar putea fi activat înainte de finalizarea operațiunii *Adăugare medii*.
  • Operațiunea s-ar putea să nu se finalizeze și, dacă eșuează, datele dvs. continuă să fie criptate cu o cheie gestionată de Microsoft. Puteți rula din nou operațiunea *Adăugare medii*.

Notă

Puteți adăuga doar medii care sunt activate ca Medii gestionate. Tipurile de mediu Trial și Teams nu pot fi adăugate la politica de întreprindere.

Eliminați mediile din politică pentru a reveni la cheia gestionată de Microsoft

Urmați acești pași dacă doriți să reveniți la o cheie de criptare gestionată de Microsoft.

Important

Mediul este dezactivat atunci când este eliminat din politica de întreprindere pentru a returna criptarea datelor utilizând cheia gestionată de Microsoft.

  1. Conectați-vă la Power Platform centrul de administrare.
  2. În panoul de navigare, selectați Securitate.
  3. În panoul Securitate , selectați Date și confidențialitate sub Setări.
  4. Selectați Cheie de criptare gestionată de client pentru a accesa pagina Politici Enterprise.
  5. Selectați fila Mediu cu politici , apoi găsiți mediul pe care doriți să îl eliminați din cheia gestionată de client.
  6. Selectați fila Toate politicile , selectați mediul pe care l-ați verificat la pasul 2, apoi selectați Editați politica în bara de comenzi. Fila Toate politicile
  7. Selectați Eliminare mediu în bara de comenzi, selectați mediul pe care doriți să îl eliminați, apoi selectați Continuare.
  8. Selectați Salvați.

Important

Mediul este dezactivat atunci când este eliminat din politica de întreprindere pentru a reveni la criptarea datelor la cheia gestionată de Microsoft. Nu ștergeți și nu dezactivați cheia, nu ștergeți și nu dezactivați seiful de chei și nu eliminați permisiunile politicii întreprinderii pentru seiful de chei. Accesul la cheie și la seiful de chei este necesar pentru a facilita restaurarea bazei de date. Puteți șterge și elimina permisiunile politicii întreprinderii după 30 de zile.

Verificați starea de criptare a mediului

Verificați starea criptării din politicile Enterprise

  1. Conectați-vă la Power Platform centrul de administrare.

  2. În panoul de navigare, selectați Securitate.

  3. În panoul Securitate , selectați Date și confidențialitate sub Setări.

  4. Selectați Cheie de criptare gestionată de client pentru a accesa pagina Politici Enterprise.

  5. Selectați o politică, apoi, în bara de comenzi, selectați Editați politica.

  6. Verificați starea de criptare a mediului în secțiunea Medii cu această politică.

    Notă

    Starea de criptare a mediului poate fi:

    • Criptare - Procesul de criptare a cheii gestionate de client rulează, iar sistemul este dezactivat pentru utilizare online.

    • Criptare - online - Toate criptările serviciilor principale care au necesitat o întrerupere a sistemului sunt complete, iar sistemul este activat pentru utilizare online.

    • Criptat - Cheia de criptare a politicii întreprinderii este activă, iar mediul este criptat cu cheia dvs.

    • Revenirea la starea inițială - Cheia de criptare este modificată din cheie gestionată de client în cheie gestionată de Microsoft, iar sistemul este dezactivat pentru utilizare online.

    • Revenire - online - Toate criptările serviciilor principale care necesitau o nefuncționare a sistemului au restabilit cheia, iar sistemul este activat pentru utilizare online.

    • Cheie gestionată de Microsoft - Criptarea cheii gestionate de Microsoft este activă.

    • Eșuat - Cheia de criptare a politicii întreprinderii nu este utilizată de toate serviciile de stocare. Dataverse Acestea necesită mai mult timp pentru procesare și puteți rula din nou operațiunea *Adăugare mediu*. Contactați Asistența dacă operațiunea de reluare eșuează.

      O stare de criptare eșuată nu are impact asupra datelor din mediul dvs. și asupra operațiunilor aferente. Aceasta înseamnă că unele dintre serviciile de stocare vă criptează datele cu cheia dvs., iar altele continuă să utilizeze cheia gestionată de Microsoft. Dataverse Nu se recomandă o revenire la starea inițială, deoarece atunci când rulați din nou operațiunea *Adăugare mediu*, serviciul se reia de unde a rămas.

    • Avertisment - Cheia de criptare a politicii de întreprindere este activă, iar unul dintre datele serviciului continuă să fie criptat cu cheia gestionată de Microsoft. Aflați mai multe în Power Automate mesajele de avertizare ale aplicației CMK.

Verificați starea criptării din pagina Istoric mediu

Puteți vedea istoricul mediului.

  1. Conectați-vă la Power Platform centrul de administrare.

  2. În panoul de navigare, selectați Gestionare.

  3. În panoul Gestionare , selectați Medii, apoi selectați un mediu din lista de medii disponibile.

  4. În bara de comenzi, selectați Istoric.

  5. Găsiți istoricul pentru Actualizarea cheii gestionate de client.

    Notă

    Stare afișează Rulează când criptarea este în desfășurare. Arată Reușit când criptarea este completă. Starea este afișată Eșuat când există o problemă cu unul dintre servicii care nu poate aplica cheia de criptare.

    O stare *Eșuat* poate fi un *avertisment* și nu este nevoie să rulați din nou opțiunea *Adăugare mediu*. Puteți confirma dacă este un avertisment.

Schimbați cheia de criptare a mediului cu o nouă politică și cheie de întreprindere

Pentru a schimba cheia de criptare, creați o cheie nouă și o politică de întreprindere nouă. Apoi, puteți modifica politica întreprinderii eliminând mediile și adăugându-le la noua politică a întreprinderii. Sistemul se întrerupe de două ori la trecerea la o nouă politică de întreprindere - 1) pentru a reveni la criptarea la cheia gestionată de Microsoft și 2) pentru a aplica noua politică de întreprindere.

Sfat

Pentru a roti cheia de criptare, vă recomandăm să utilizați Versiunea nouă din seifurile de chei sau să setați o Politică de rotație.

  1. În portalul Azure, creați o cheie nouă și o politică de întreprindere nouă. Mai multe informații: Creați o cheie de criptare și acordați acces și Creați o politică de întreprindere
  2. Acordați noii politici enterprise acces la vechea cheie.
  3. După ce noua cheie și politica de întreprindere sunt create, conectați-vă la Power Platform centrul de administrare.
  4. În panoul de navigare, selectați Securitate.
  5. În panoul Securitate , selectați Date și confidențialitate sub Setări.
  6. Selectați Cheie de criptare gestionată de client pentru a accesa pagina Politici Enterprise.
  7. Selectați fila Mediu cu politici , apoi găsiți mediul pe care doriți să îl eliminați din cheia gestionată de client.
  8. Selectați fila Toate politicile , selectați mediul pe care l-ați verificat la pasul 2, apoi selectați Editați politica în bara de comenzi. Editați politicile companiei
  9. Selectați Eliminare mediu în bara de comenzi, selectați mediul pe care doriți să îl eliminați, apoi selectați Continuare.
  10. Selectați Salvați.
  11. Repetați pașii 2-10 până când toate mediile din politica întreprinderii au fost eliminate.

Important

Mediul este dezactivat atunci când este eliminat din politica de întreprindere pentru a reveni la criptarea datelor la cheia gestionată de Microsoft. Nu ștergeți și nu dezactivați cheia, nu ștergeți și nu dezactivați seiful de chei și nu eliminați permisiunile politicii întreprinderii pentru seiful de chei. Acordați noua politică de întreprindere vechiului seif de chei. Accesul la cheie și la seiful de chei este necesar pentru a facilita restaurarea bazei de date. Puteți șterge și elimina permisiunile politicii întreprinderii după 30 de zile.

  1. După ce toate mediile sunt eliminate, din centrul de administrare, accesați Politicile Enterprise Power Platform .
  2. Selectați noua politică de întreprindere, apoi selectați Editați politica.
  3. Selectați Adăugați mediu, selectați mediile pe care doriți să le adăugați, apoi selectați Continuați.

Important

Mediul este dezactivat atunci când este adăugat la noua politică de întreprindere.

Rotiți cheia de criptare a mediului cu o nouă versiune de cheie

Puteți schimba cheia de criptare a mediului creând o nouă versiune de cheie. Când creați o nouă versiune de cheie, noua versiune de cheie este activată automat. Toate resursele de stocare detectează noua versiune a cheii și încep să o aplice pentru a cripta datele.

Când modificați cheia sau versiunea cheii, protecția cheii de criptare rădăcină se schimbă, dar datele din spațiul de stocare rămân întotdeauna criptate cu cheia dvs. Nu mai este nevoie de nicio altă acțiune din partea dumneavoastră pentru a vă asigura că datele dumneavoastră sunt protejate. Rotirea versiunii cheii nu afectează performanța. Nu există timp de nefuncționare asociat cu rotirea versiunii cheii. Poate dura 24 de ore pentru ca toți furnizorii de resurse să aplice noua versiune a cheii în fundal. Versiunea anterioară a cheii nu trebuie dezactivată deoarece este necesară pentru ca serviciul să o utilizeze pentru recriptare și pentru a sprijini restaurarea bazei de date.

Pentru a roti cheia de criptare prin crearea unei noi versiuni de cheie, urmați pașii următori.

  1. Accesați portalul Azure>Seifurile de chei și localizați seiful de chei în care doriți să creați o nouă versiune de cheie.
  2. Navigați la Chei.
  3. Selectați tasta curentă, activată.
  4. Selectați + Versiune nouă.
  5. Setarea Activat este implicită la Da, ceea ce înseamnă că noua versiune a cheii este activată automat la creare.
  6. Selectați Creați.

Sfat

Pentru a respecta politica de rotație a cheilor, puteți roti cheia de criptare utilizând Politica de rotație. Puteți fie să configurați o politică de rotație, fie să rotiți, la cerere, invocând Rotire acum.

Important

Noua versiune de cheie este rotită automat în fundal și nu este necesară nicio acțiune din partea administratorului. Este important ca versiunea anterioară de cheie să nu fie dezactivată sau ștearsă timp de cel puțin 28 de zile pentru a facilita restaurarea bazei de date. Power Platform Dezactivarea sau ștergerea prea devreme a versiunii anterioare a cheii poate duce mediul dvs. offline.

Vizualizați lista mediilor criptate

  1. Conectați-vă la Power Platform centrul de administrare.
  2. În panoul de navigare, selectați Securitate.
  3. În panoul Securitate , selectați Date și confidențialitate sub Setări.
  4. Selectați Cheie de criptare gestionată de client pentru a accesa pagina Politici Enterprise.
  5. Pe pagina Politici de întreprindere , selectați fila Medii cu politici . Se afișează lista mediilor care au fost adăugate la politicile de întreprindere.

Notă

Pot exista situații în care starea mediului sau starea criptării să afișeze starea Eșuat . Când se întâmplă acest lucru, puteți încerca să rulați din nou operațiunea *Adăugare mediu* sau puteți trimite o solicitare de asistență Microsoft.

Operațiunile bazei de date de mediu

O entitate găzduită client poate avea medii criptate folosind cheia gestionată de Microsoft și medii criptate cu cheia gestionată de client. Pentru a menține integritatea și protecția datelor, următoarele controale sunt disponibile la gestionarea operațiunilor bazei de date de mediu.

  • Restaurare Mediul care va fi suprascris (mediul restaurat) este restricționat la același mediu din care a fost realizată copia de rezervă sau la un alt mediu criptat cu aceeași cheie gestionată de client.

    Restaurați backupul

  • Copie

    Mediul care va fi suprascris (mediul în care s-a copiat) este restricționat la un alt mediu criptat cu aceeași cheie gestionată de client.

    Copierea mediului

    Notă

    Dacă a fost creat un mediu de investigare a asistenței pentru a rezolva o problemă de asistență într-un mediu gestionat de client, cheia de criptare pentru mediul de investigare a asistenței trebuie modificată în cheie gestionată de client înainte de a putea fi efectuată operațiunea de copiere a mediului.

  • Resetare Datele criptate ale mediului sunt șterse, inclusiv copiile de rezervă. După resetarea mediului, criptarea mediului va reveni la cheia gestionată de Microsoft.

Pașii următori

Despre Azure Key Vault

  • Last updated on