Gestionați cheia de criptare

Toate mediile de Microsoft Dataverse utilizează SQL Server Transparent Data Encryption (TDE) pentru a efectua criptarea în timp real a datelor atunci când sunt scrise pe disc. Aceasta este cunoscută și sub denumirea de criptare în repaus.

În mod implicit, Microsoft stochează și gestionează cheile de criptare ale bazei de date pentru mediile dvs., astfel încât nu trebuie să vă ocupați dumneavoastră de acest lucru. Funcția de chei gestionate din centrul de administrare oferă administratorilor posibilitatea de a autogestiona cheia de criptare a bazei de date asociată cu entitatea găzduită. Microsoft Power Platform Dataverse

Important

Începând cu 6 ianuarie 2026, vom întrerupe asistența pentru BYOK. Clienții sunt încurajați să treacă la cheile gestionate de clienți (CMK), o soluție îmbunătățită care oferă funcționalități îmbunătățite, suport mai larg pentru sursele de date și performanțe mai bune. Aflați mai multe în Gestionați cheia de criptare gestionată de client și Migrați mediile bring-your-own-key (BYOK) către chei gestionate de client.

Gestionarea cheilor de criptare este aplicabilă numai bazelor de date de mediu SQL Azure. Următoarele caracteristici și servicii continuă să utilizeze cheia de criptare gestionată de Microsoft pentru a cripta datele lor și nu pot fi criptate cu cheia de criptare autogestionată:

• Copiloți și funcții de inteligență artificială generativă în Microsoft Power Platform și Microsoft Dynamics 365
• Căutare Dataverse
• Mese elastice
• Mobil offline
• Jurnal activitate (portal Microsoft 365)
• Exchange (sincronizare la nivelul serverului)

Notă

• Funcția cheii de criptare a bazei de date autogestionate trebuie să fie activată de Microsoft pentru entitatea găzduită înainte de a putea utiliza funcția.
• Pentru a utiliza funcțiile de gestionare a criptării datelor pentru un mediu, mediul trebuie creat după activarea funcției cheii de criptare a bazei de date autogestionate de către Microsoft.
• După ce funcția este activată în entitatea găzduită, toate mediile noi sunt create doar cu spațiu de stocare Azure SQL. Aceste medii, indiferent dacă sunt criptate cu cheia „bring-your-own-key” (BYOK) sau cu o cheie gestionată de Microsoft, au restricții privind dimensiunea încărcării fișierelor, nu pot utiliza serviciile Azure și Data Lake, iar indexurile de căutare sunt criptate cu o cheie gestionată de Microsoft. Cosmos DB Dataverse Pentru a utiliza aceste servicii, trebuie să migrați la o cheie gestionată de client.
• Fișierele și imaginile cu dimensiuni mai mici de 128 MB pot fi utilizate dacă mediul dvs. este versiunea 9.2.21052.00103 sau o versiune ulterioară.
• Majoritatea mediilor existente au fișiere și jurnal stocate în baze de date SQL non-Azure. Aceste medii nu pot fi înscrise pentru cheia de criptare autogestionată. Doar mediile noi (după ce te înscrii în acest program) pot fi activate cu o cheie de criptare autogestionată.

Introducere în gestionarea cheilor

Cu gestionarea cheilor, administratorii pot furniza propria cheie de criptare sau pot solicita generarea unei chei de criptare care va fi utilizată pentru a proteja baza de date pentru un mediu.

Caracteristica de gestionare a cheilor acceptă fișiere pentru chei de criptare atât PFX cât și BYOK, cum sunt acelea care sunt stocate într-un modul hardware de securitate (HSM). Pentru a utiliza opțiunea de încărcare a cheii de criptare, aveți nevoie atât de cheia de criptare publică, cât și de cea privată.

Caracteristica de gestionare a cheilor preia complexitatea gestionării cheilor de criptare, utilizând Azure Key Vault pentru a stoca în siguranță cheile de criptare. Azure Key Vault ajută la protejarea cheilor criptografice și secretelor utilizate de aplicațiile și serviciile din cloud. Funcția de gestionare a cheilor nu necesită un abonament Azure Key Vault și, în majoritatea situațiilor, nu este nevoie să accesați cheile de criptare utilizate în cadrul seifului. Dataverse

Funcția de chei gestionate vă permite să efectuați următoarele sarcini:

• Activați capacitatea de a administra automat cheile de criptare a bazei de date, care sunt asociate cu medii.

• Generați noi chei de criptare sau încărcați fișierele existente cu chei de criptare PFX sau BYOK.

• Blocați și deblocați mediile entității găzduite.

  Avertisment

  În timp ce o entitate chiriașă este blocată, nimeni nu poate accesa mediile din cadrul acesteia. Mai multe informații: Blocarea chiriașului

Înțelegerea riscului potențial atunci când vă gestionați cheile

Ca în cazul oricărei aplicații critice pentru afacere, personalul din cadrul organizației care are acces la nivel administrativ trebuie să fie de încredere. Înainte de a utiliza caracteristica de gestionare a cheilor, ar trebui să înțelegeți riscul asumat atunci când vă gestionați cheile de criptare ale bazei de date. Este posibil ca un administrator rău intenționat (o persoană căreia i se acordă sau a obținut acces la nivel de administrator cu intenția de a dăuna securității sau proceselor de afaceri ale unei organizații) care lucrează în cadrul organizației dvs. să utilizeze funcția de chei gestionate pentru a crea o cheie și a o utiliza pentru a bloca toate mediile din entitatea găzduită.

Luați în considerare următoarea succesiune de evenimente.

Administratorul rău intenționat se conectează la centrul de administrare Power Platform, accesează pagina Medii și selectează Gestionare cheie de criptare. Administratorul rău intenționat creează apoi o nouă cheie cu o parolă și descarcă cheia de criptare în unitatea locală și activează noua cheie. Acum toate bazele de date de mediu sunt criptate cu noua cheie. Apoi, administratorul rău intenționat blochează entitatea găzduită cu cheia recent descărcată, apoi ia sau șterge cheia de criptare descărcată.

Aceste acțiuni duc la dezactivarea accesului online la toate mediile din cadrul entității găzduite și fac ca toate copiile de rezervă ale bazei de date să nu poată fi restaurate.

Important

Pentru a împiedica întreruperea operațiunilor de afaceri prin blocarea bazei de date de către administratorul rău intenționat, caracteristica de gestionare a cheilor nu permite blocarea mediilor entitate găzduită timp de 72 de ore după ce cheia de criptare s-a modificat sau a fost activată. Acest lucru oferă până la 72 de ore pentru ceilalți administratori pentru a reveni asupra modificărilor de cheie neautorizate.

Cerințe pentru cheia de criptare

Dacă furnizați propria cheie de criptare, cheia dvs. trebuie să îndeplinească aceste cerințe care sunt acceptate de Azure Key Vault.

• Formatul de fișier pentru cheia criptare trebuie să fie PFX sau BYOK.
• RSA pe 2048 de biți.
• Tipul de cheie RSA-HSM (necesită o solicitare de asistență Microsoft).
• Fișierele PFX pentru cheia de criptare trebuie să fie protejate prin parolă.

Pentru mai multe informații despre generarea și transferul unei chei protejate prin HSM prin internet, consultați Cum se generează și se transferă chei protejate prin HSM pentru Azure Key Vault. Numai funcția nCifrați cheia HSM a furnizorului este acceptată. Înainte de a genera cheia HSM, accesați fereastra Power Platform Centrul de administrare Gestionarea cheilor de criptare>Crearea unei chei noi pentru a obține ID-ul abonamentului pentru regiunea mediului dvs. Trebuie să copiați și să inserați acest ID de abonament în HSM pentru a crea cheia. Acest lucru asigură că doar Azure Key Vault vă poate deschide fișierul.

Activități de gestionare a cheilor

Pentru a simplifica sarcinile de gestionare cheie, sarcinile sunt împărțite în trei domenii:

• Generați sau încărcați cheia de criptare pentru o entitate găzduită
• Activarea unei chei de criptare pentru o entitate găzduită
• Gestionarea criptării pentru un mediu

Administratorii pot utiliza centrul de administrare Power Platform sau cmdleturile modulului de administrare Power Platform pentru a efectua sarcinile de gestionare a cheii de protecție a entității găzduite descrise aici.

Generați sau încărcați cheia de criptare pentru o entitate găzduită

Toate cheile de criptare sunt stocate în Azure Key Vault și poate exista o singură cheie activă în orice moment. Întrucât cheia activă este utilizată pentru criptarea tuturor mediilor din entitatea găzduită, gestionarea criptării este operată la nivelul locatarului. Odată ce cheia este activată, fiecare mediu individual poate fi selectat pentru a utiliza cheia pentru criptare.

Utilizați această procedură pentru a seta funcția de cheie gestionată pentru prima dată pentru un mediu sau pentru a modifica (sau a transfera) o cheie de criptare pentru o entitate găzduită deja autogestionată.

Avertisment

Când efectuați pașii descriși aici pentru prima dată, optați pentru autogestionarea cheilor de criptare. Mai multe informații: Înțelegeți riscul potențial atunci când vă gestionați cheile

1. Conectați-vă la Power Platform centrul de administrare ca administrator (administrator Dynamics 365 sau Microsoft Power Platform administrator).

2. Selectați Gestionare în panoul de navigare.

3. În panoul Gestionare , selectați Medii. Se afișează pagina *Medii*.

4. Selectați Gestionare chei de criptare în bara de instrumente.

5. Selectați Confirmare pentru a confirma riscul cheii gestionate.

6. În bara de instrumente, selectați Cheie nouă.

7. În panoul din stânga, completați detaliile pentru a genera sau încărca o cheie:

   • Selectați o Regiune. Această opțiune este afișată numai dacă entitatea dvs. găzduită are mai multe regiuni.
   • Introduceți un Nume cheie.
   • Alegeți dintre următoarele opțiuni:
     • Pentru a crea o nouă cheie, selectați Generați nou (.pfx). Mai multe informații: Generarea unei chei noi (.pfx)
     • Pentru a utiliza propria cheie generată, selectați Încărcați (.pfx sau .byok). Mai multe informații: Încărcați o cheie (.pfx sau .byok)

8. Selectați Următorul.

Generați o cheie nouă (.pfx)

1. Introduceți o parolă, apoi introduceți-o din nou pentru a confirma.
2. Selectați Creați și apoi selectați notificarea fișierului creat în browser.
3. Fișierul .pfx cu cheia de criptare este descărcat în folderul implicit de descărcare al browserului web. Salvați fișierul într-o locație sigură (vă recomandăm ca această cheie să fie salvată împreună cu parola sa).

Încărcați o cheie (.pfx sau .byok)

1. Selectați Încărcați cheia, selectați .pfx sau .byok¹, apoi selectați Deschideți.
2. Introduceți parola pentru cheie și apoi selectați Creare.

¹ Pentru fișierele .byok pentru cheie de criptare, asigurați-vă că utilizați ID-ul de abonament așa cum este afișat pe ecran atunci când exportați cheia de criptare din modulul dvs. HSM local. Mai multe informații: Cum se generează și se transferă chei protejate prin HSM pentru Azure Key Vault

Notă

Pentru a reduce numărul de pași pe care administratorul îi are nevoie pentru a gestiona procesul cheii, cheia este activată automat la prima încărcare. Toate încărcările ulterioare ale cheii necesită un pas suplimentar pentru activarea cheii.

Activați o cheie de criptare pentru o entitate găzduită

Odată ce o cheie de criptare este generată sau încărcată pentru entitatea găzduită, aceasta poate fi activată.

1. Conectați-vă la Power Platform centrul de administrare ca administrator (administrator Dynamics 365 sau Microsoft Power Platform administrator).
2. Selectați Gestionare în panoul de navigare.
3. În panoul Gestionare , selectați Medii. Se afișează pagina *Medii*.
4. Selectați Gestionare chei de criptare în bara de instrumente.
5. Selectați Confirmare pentru a confirma riscul cheii gestionate.
6. Selectați o cheie care are o stare Disponibilă și apoi selectați Cheie de activare pe bara de instrumente.
7. Selectați Confirmare pentru a confirma modificarea cheii.

Când activați o cheie pentru entitatea găzduită, durează un timp pentru ca serviciul de gestionare a cheilor să activeze cheia. Statutul Starea cheii afișează tasta ca Se instalează când tasta nouă sau încărcată este activată.

Odată ce tasta este activată, apare următoarea:

• Toate mediile criptate sunt criptate automat cu cheia activă (nu există perioade de nefuncționare în urma acestei acțiuni).
• Când este activată, cheia de criptare se aplică tuturor mediilor care sunt modificate de la cheia de criptare furnizată de Microsoft la cheia de criptare autogestionată.

Important

Pentru a eficientiza procesul de gestionare a cheilor, astfel încât toate mediile să fie gestionate de aceeași cheie, cheia activă nu poate fi actualizată atunci când există medii blocate. Toate mediile blocate trebuie deblocate înainte ca o nouă cheie să poată fi activată. Dacă există medii blocate care nu trebuie deblocate, acestea trebuie șterse.

Notă

După activarea unei chei de criptare, nu puteți activa o altă cheie timp de 24 de ore.

Gestionați criptarea pentru un mediu

În mod implicit, fiecare mediu este criptat cu cheia de criptare furnizată de Microsoft. După ce o cheie de criptare este activată pentru entitatea găzduită, administratorii pot alege să modifice criptarea implicită pentru a utiliza cheia de criptare activată. Pentru a utiliza tasta activată, urmați acești pași.

Aplicați cheia de criptare unui mediu

1. Conectați-vă la Power Platform centrul de administrare ca administrator (administrator Dynamics 365 sau Microsoft Power Platform administrator).
2. Selectați Gestionare în panoul de navigare.
3. În panoul Gestionare , selectați Medii. Se afișează pagina *Medii*.
4. Deschideți un mediu criptat furnizat de Microsoft.
5. Selectați Vedeți tot.
6. În secțiunea Criptarea mediului, selectați Gestionați.
7. Selectați Confirmare pentru a confirma riscul cheii gestionate.
8. Selectați Aplicați această cheie pentru a accepta schimbarea criptării pentru a utiliza cheia activată.
9. Selectați Confirmare pentru a confirma că gestionați direct cheia și că există o perioadă de nefuncționare pentru această acțiune.

Întoarceți o cheie de criptare gestionată înapoi la cheia de criptare furnizată de Microsoft

Revenind la cheia de criptare furnizată de Microsoft, configurează mediul înapoi la comportamentul implicit unde Microsoft gestionează cheia de criptare pentru dvs.

1. Conectați-vă la Power Platform centrul de administrare ca administrator (administrator Dynamics 365 sau Microsoft Power Platform administrator).
2. Selectați Gestionare în panoul de navigare.
3. În panoul Gestionare , selectați Medii. Se afișează pagina *Medii*.
4. Selectați un mediu care este criptat cu o cheie autogestionată.
5. Selectați Vedeți tot.
6. În secțiunea Criptare mediu , selectați Gestionare și apoi selectați Confirmare.
7. Sub Reveniți la gestionarea standard a criptării, selectați Reveniți.
8. Pentru mediile de producție, confirmați mediul, introducând numele mediului.
9. Selectați Confirmare pentru a reveni la gestionarea standard a cheii de criptare.

Blocați entitatea găzduită

Întrucât există o singură cheie activă per entitate găzduită, blocarea criptării pentru entitatea găzduită dezactivează toate mediile care se află în entitatea găzduită. Toate mediile blocate rămân inaccesibile pentru toată lumea, inclusiv pentru Microsoft, până când un administrator de serviciu Power Platform din cadrul organizației le deblochează utilizând cheia care a fost utilizată pentru a le bloca.

Atenție

Nu trebuie să blocați niciodată mediile entități găzduite ca parte a procesului normal de activitate. Când blocați un chiriaș, toate mediile sunt scoase offline și nu pot fi accesate de nimeni, inclusiv de Microsoft. Dataverse În plus, serviciile precum sincronizarea și întreținerea sunt toate oprite. Dacă decideți să părăsiți serviciul, blocarea entității găzduite vă poate asigura că datele dvs. online nu sunt accesate din nou de nimeni.

Rețineți următoarele despre blocarea mediilor entității găzduite:

• Mediile blocate nu poate fi restaurate din copia de rezervă (backup).
• Mediile blocate sunt șterse dacă nu sunt deblocate după 28 de zile.
• Nu puteți bloca medii timp de 72 de ore după modificarea unei chei de criptare.
• Blocarea unei entități găzduite blochează toate mediile active din cadrul entității găzduite.

Important

• Trebuie să așteptați cel puțin o oră după ce blocați mediile active înainte de a le putea debloca.
• Odată ce procesul de blocare începe, toate cheile de criptare cu o stare Active sau Disponibile sunt șterse. Procesul de blocare poate dura până la o oră, iar în acest timp nu este permisă deblocarea mediilor blocate.

1. Conectați-vă la Power Platform centrul de administrare ca administrator (administrator Dynamics 365 sau Microsoft Power Platform administrator).
2. Selectați Gestionare în panoul de navigare.
3. În panoul Gestionare , selectați Medii. Se afișează pagina *Medii*.
4. Selectați Gestionare chei de criptare în bara de instrumente.
5. Selectați cheia Activ și apoi selectați Blocați mediile active.
6. În panoul din dreapta selectați Încărcați cheia activă, răsfoiți și selectați cheia, introduceți parola, apoi selectați Blocare.
7. Când vi se solicită, introduceți textul afișat pe ecran pentru a confirma dacă doriți să blocați toate mediile din regiune, apoi selectați Confirmați.

Deblocați mediile blocate

Pentru a debloca mediile, trebuie mai întâi să încărcați și apoi activați cheia de criptare a entității găzduite cu aceeași cheie care a fost utilizată pentru blocarea entității găzduite. Mediile blocate nu se deblochează automat odată ce cheia a fost activată. Fiecare mediu blocat trebuie să fie deblocat individual.

Important

• Trebuie să așteptați cel puțin o oră după ce blocați mediile active înainte de a le putea debloca.
• Procesul de deblocare poate dura până la o oră. După deblocarea cheii, puteți utiliza cheia pentru Gestionarea criptării pentru un mediu.
• Nu puteți genera o nouă sau încărca o cheie existentă până când nu sunt deblocate toate mediile blocate.

Deblocați cheia de criptare

1. Conectați-vă la Power Platform centrul de administrare ca administrator (administrator Dynamics 365 sau Microsoft Power Platform administrator).

2. Selectați Gestionare în panoul de navigare.

3. În panoul Gestionare , selectați Medii. Se afișează pagina *Medii*.

4. Selectați Gestionare chei de criptare în bara de instrumente.

5. Selectați cheia care are o stare Blocată și apoi pe bara de instrumente selectați Deblocați cheia.

6. Selectați Încărcați cheia de blocare, răsfoiți și apoi selectați cheia care a fost utilizată pentru a bloca entitatea găzduită, introduceți parola și apoi selectați Deblocare.

   Cheia intră într-o stare de instalare. Trebuie să așteptați până când cheia este în starea Activă înainte să puteți debloca medii blocate.

7. Pentru a debloca un mediu, consultați secțiunea următoare.

Deblocați mediile

1. Accesați pagina Medii , apoi selectați numele mediului blocat.

   Sfat

   Nu selectați rândul. Selectați numele mediului.

2. În secțiunea Detalii, selectați Vedeți toate pentru a afișa panoul Detalii din dreapta.

3. În secțiunea *Mediu*, criptare din panoul *Detalii*, selectați *Gestionare*.

4. Pe pagina Criptare mediu , selectați Deblocare.

5. Selectați Confirmare pentru a confirma că doriți să deblocați mediul.

6. Repetați pașii anteriori pentru a debloca alte medii.

Operațiunile bazei de date de mediu

O entitate găzduită poate avea medii criptate folosind cheia gestionată Microsoft și medii care sunt criptate cu cheia gestionată de client. Pentru a menține integritatea și protecția datelor, următoarele controale sunt disponibile la gestionarea operațiunilor bazei de date de mediu.

1. Restabili

   Mediul care va fi suprascris (mediul în care s-a restaurat) este restricționat la același mediu din care a fost realizată copia de rezervă sau la un alt mediu criptat cu aceeași cheie gestionată de client. În plus, o copie de rezervă anterioară efectuată atunci când mediul a fost criptat cu cheia gestionată de Microsoft nu poate fi restaurată într-un mediu care este criptat în prezent cu cheia gestionată de client. Cu alte cuvinte, restaurarea unei copii de rezervă într-un mediu este permisă atunci când starea curentă de criptare a mediului (indiferent dacă este o cheie gestionată de Microsoft sau o cheie gestionată de client) se potrivește cu starea de criptare a mediului în momentul în care a fost efectuată backup-ul.

2. Copie

   Mediul care va fi suprascris (mediul în care s-a copiat) este restricționat la un alt mediu criptat cu aceeași cheie gestionată de client.

   Notă

   Dacă a fost creat un mediu de investigare a asistenței pentru a rezolva o problemă de asistență într-un mediu gestionat de client, cheia de criptare pentru mediul de investigare a asistenței trebuie modificată în cheie gestionată de client înainte de a putea fi efectuată operațiunea de copiere a mediului.

3. Resetare

   Datele criptate ale mediului sunt șterse, inclusiv copiile de rezervă. După resetarea mediului, criptarea mediului va reveni la cheia gestionată de Microsoft.

Conținut asociat

SQL Server: Criptare transparentă a datelor (TDE)