Gestionați cheia de criptare

Toate mediile din Microsoft Dataverse utilizează Criptarea transparentă a datelor (TDE) SQL Server pentru a efectua criptarea datelor în timp real atunci când sunt scrise pe disc, operațiune cunoscută și sub numele de criptare în stare de repaus.

În mod implicit, Microsoft stochează și gestionează cheile de criptare ale bazei de date pentru mediile dvs., astfel încât nu trebuie să vă ocupați dumneavoastră de acest lucru. Caracteristica de gestionare a cheilor în centrul de administrare Microsoft Power Platform oferă administratorilor capacitatea să administreze automat cheia de criptare a bazei de date, care este asociată cu entitatea găzduită Dataverse.

Important

• Începând cu 2 iunie 2023, acest serviciu este actualizat la cheie de criptare gestionată de client. Clienții noi care trebuie să își gestioneze propria cheie de criptare vor folosi serviciul actualizat, deoarece acest serviciu nu mai este oferit.
• Cheile de criptare a bazelor de date auto-gestionate sunt disponibile numai pentru clienții care au peste 1000 de licențe Power Apps per licențe utilizator sau peste 1000 de licențe Dynamics 365 Enterprise sau peste 1000 de licențe dintr-o combinație a acestora într-o singură entitate găzduită. Pentru a vă înscrie în acest program, trimiteți o Solicitare de asistență.

Gestionarea cheilor de criptare este aplicabilă numai bazelor de date de mediu SQL Azure. Următoarele caracteristici și servicii continuă să utilizeze cheia de criptare gestionată de Microsoft pentru a-și cripta datele și nu pot fi criptate cu cheia de criptare gestionată automat:

• Copiloți și funcții AI generative în Microsoft Power Platform și Microsoft Dynamics 365
• Căutare Dataverse
• Mese elastice
• Mobile Offline
• Jurnal activitate (portal Microsoft 365)
• Exchange (sincronizare la nivelul serverului)

Notă

• Funcția cheie de criptare a bazelor de date auto-gestionate trebuie activată de Microsoft pentru entitatea dvs. găzduită, înainte de a putea utiliza funcția.
• Pentru a utiliza caracteristicile de gestionare a criptării datelor pentru un mediu, mediul trebuie creat după ce caracteristica cheie de criptare a bazei de date autogestionate este activată de Microsoft.
• După ce caracteristica este activată în chiriașul dvs., toate mediile noi sunt create numai cu stocarea Azure SQL. Aceste medii, indiferent dacă sunt criptate cu o cheie de aducere proprie (BYOK) sau o cheie gestionată de Microsoft, au restricții cu dimensiunea de încărcare a fișierelor, nu pot folosi serviciile Cosmos și Datalake și Dataverse Indecșii de căutare sunt criptați cu o cheie gestionată de Microsoft. Pentru a utiliza aceste servicii, trebuie să migrați la cheia gestionată de client.
• Fișierele și Imagini cu dimensiuni mai mici de 128 MB pot fi folosite dacă mediul dvs. este versiunea 9.2.21052.00103 sau mai mare.
• Majoritatea mediilor existente au fișiere și jurnale stocate în bazele de date non-Azure SQL. Aceste medii nu pot fi selectate pentru cheia de criptare autogestionată. Numai noile medii (după ce v-ați înregistrat pentru acest program) pot fi activate cu cheia de criptare autogestionată.

Introducere în gestionarea cheilor

Cu gestionarea cheilor, administratorii pot furniza propria cheie de criptare sau pot solicita generarea unei chei de criptare care va fi utilizată pentru a proteja baza de date pentru un mediu.

Caracteristica de gestionare a cheilor acceptă fișiere pentru chei de criptare atât PFX cât și BYOK, cum sunt acelea care sunt stocate într-un modul hardware de securitate (HSM). Pentru a utiliza opțiunea de încărcare a cheii de criptare, aveți nevoie atât de cheia de criptare publică cât și de cea privată.

Caracteristica de gestionare a cheilor preia complexitatea gestionării cheilor de criptare, utilizând Azure Key Vault pentru a stoca în siguranță cheile de criptare. Azure Key Vault ajută la protejarea cheilor criptografice și secretelor utilizate de aplicațiile și serviciile din cloud. Caracteristica de gestionare a cheilor nu cere să aveți un abonament Azure Key Vault și în cele mai multe situații nu este necesar să accesați cheile de criptare utilizate pentru Dataverse în interiorul seifului.

Caracteristica de gestionare a cheilor vă permite să efectuați următoarele activități.

• Activați capacitatea de a administra automat cheile de criptare a bazei de date, care sunt asociate cu medii.

• Să generați noi chei de criptare sau să încărcați fișiere existente .PFX sau .BYOK cu chei de criptare.

• Blocați și deblocați mediile entității găzduite.

  Avertisment

  În timp ce o entitate găzduită este blocată, toate mediile din entitatea găzduită nu pot fi accesate de nimeni. Informații suplimentare: Blocați entitatea găzduită.

Înțelegerea riscului potențial atunci când vă gestionați cheile

Ca la orice aplicație vitală de business, personalul din organizație care are acces la nivel de administrator trebuie să fie de încredere. Înainte de a utiliza caracteristica de gestionare a cheilor, ar trebui să înțelegeți riscul asumat atunci când vă gestionați cheile de criptare ale bazei de date. Se poate imagina că un administrator rău intenționat (o persoană căreia i s-a acordat sau care a dobândit acces la nivel de administrator, cu intenția de a dăuna proceselor de securitate sau de afaceri dintr-o organizație) care lucrează în cadrul organizației dvs. ar putea utiliza caracteristica de gestionare a cheilor pentru a crea o cheie și a o utiliza pentru a bloca toate mediile din entitatea găzduită.

Luați în considerare următoarea succesiune de evenimente.

Administratorul rău intenționat se conectează la centrul de administrare Power Platform, accesează fila Medii și selectează Gestionarea cheii de criptare. Administratorul rău intenționat creează apoi o nouă cheie cu o parolă și descarcă cheia de criptare în unitatea locală și activează noua cheie. Acum toate bazele de date de mediu sunt criptate cu noua cheie. Apoi, administratorul rău intenționat blochează entitatea găzduită cu cheia recent descărcată, apoi ia sau șterge cheia de criptare descărcată.

Aceste acțiuni vor duce la dezactivarea tuturor acceselor din entitatea găzduită de la accesul online și va face ca toate copiile de rezervă ale bazei de date să nu fie restaurate.

Important

Pentru a împiedica întreruperea operațiunilor de afaceri prin blocarea bazei de date de către administratorul rău intenționat, caracteristica de gestionare a cheilor nu permite blocarea mediilor entitate găzduită timp de 72 de ore după ce cheia de criptare s-a modificat sau a fost activată. Acest lucru oferă până la 72 de ore pentru ceilalți administratori pentru a reveni asupra modificărilor de cheie neautorizate.

Cerințe pentru cheia de criptare

Dacă furnizați propria cheie de criptare, cheia dvs. trebuie să îndeplinească aceste cerințe care sunt acceptate de Azure Key Vault.

• Formatul de fișier pentru cheia criptare trebuie să fie PFX sau BYOK.
• RSA pe 2048 de biți.
• Tip de cheie RSA-HSM (necesită o solicitare de asistență Microsoft).
• Fișierele PFX pentru cheia de criptare trebuie să fie protejate prin parolă.

Pentru mai multe informații despre generarea și transferarea unei chei protejate prin HSM pe Internet, consultați Cum se generează și se transferă cheile protejate prin HSM pentru Seiful de chei Azure. Numai funcția nCifrați cheia HSM a furnizorului este acceptată. Înainte de a genera cheia HSM, accesați centrul de administrare al Power Platform, fereastra Gestionați cheile de criptare/Creați o cheie nouă pentru a obține ID-ul abonamentului pentru regiunea de mediu. Trebuie să copiați și să inserați acest ID de abonament în HSM pentru a crea cheia. Acest lucru vă va asigura că numai seiful nostru de chei Azure vă poate deschide fișierul.

Activități de gestionare a cheilor

Pentru a simplifica sarcinile de gestionare cheie, sarcinile sunt împărțite în trei domenii:

1. Generați sau încărcați cheia de criptare pentru o entitate găzduită
2. Activați o cheie de criptare pentru o entitate găzduită
3. Gestionați criptarea pentru un mediu

Administratorii pot utiliza centrul de administrare Power Platform sau cmdleturile modulului de administrare Power Platform pentru a efectua sarcinile de gestionare a cheii de protecție a entității găzduite descrise aici.

Generați sau încărcați cheia de criptare pentru o entitate găzduită

Toate cheile de criptare sunt stocate în Azure Key Vault și poate exista o singură cheie activă în orice moment. Întrucât cheia activă este utilizată pentru criptarea tuturor mediilor din entitatea găzduită, gestionarea criptării este operată la nivelul locatarului. Odată ce cheia este activată, fiecare mediu individual poate fi selectat pentru a utiliza cheia pentru criptare.

Utilizați această procedură pentru a seta caracteristica de gestionare a cheilor pentru prima dată pentru un mediu sau pentru a schimba (sau a trece) o cheie de criptare pentru entitate găzduită care este deja cu auto-gestionare.

Avertisment

Când efectuați pașii descriși aici pentru prima dată, optați pentru a vă autogestiona cheile de criptare. Informații suplimentare: Înțelegerea riscului potențial atunci când vă gestionați cheile.

1. conectați-vă la Power Platform centrul de administrare, ca administrator (administrator Dynamics 365 sau Microsoft Power Platform administrator).

2. Selectați fila Medii, apoi, pe bara de instrumente, selectați Gestionați cheile de criptare.

3. Selectați Confirmați pentru a recunoaște riscul cheie de gestionare.

4. În bara de instrumente, selectați Cheie nouă.

5. În panoul din stânga, completați detaliile pentru a genera sau încărca o cheie:

   • Selectați o Regiune. Această opțiune este afișată numai dacă entitatea dvs. găzduită are mai multe regiuni.
   • Introduceți un Nume cheie.
   • Alegeți dintre următoarele opțiuni:
     • Pentru a crea o nouă cheie, selectați Generați nou (.pfx). Informații suplimentare: Generați o nouă cheie (.pfx).
     • Pentru a utiliza propria cheie generată, selectați Încărcați (.pfx sau .byok). Informații suplimentare: Încărcați o cheie (.pfx sau .byok).

6. Selectați Următorul.

Generați o cheie nouă (.pfx)

1. Introduceți o parolă, apoi reintroduceți parola pentru confirmare.
2. Selectați Creare și apoi selectați notificarea fișierului creat pe browserul dvs.
3. Cheia de criptare fișierul .PFX este descărcată în folderul de descărcare implicit al browserului dvs. Salvați fișierul într-o locație sigură (vă recomandăm ca această cheie să fie salvată împreună cu parola sa).

Încărcați o cheie (.pfx sau .byok)

1. Selectați Încărcați cheia, selectați .pfx sau .byok¹, apoi selectați Deschideți.
2. Introduceți parola pentru cheie, apoi selectați Creare.

¹ Pentru fișierele .byok pentru cheie de criptare, asigurați-vă că utilizați ID-ul de abonament așa cum este afișat pe ecran atunci când exportați cheia de criptare din modulul dvs. HSM local. Informații suplimentare: Cum se generează și se transferă cheile protejate HSM pentru Azure Key Vault.

Notă

Pentru a reduce numărul de pași pentru ca administratorul să gestioneze procesul cheii, tasta este activată automat atunci când este încărcată prima dată. Toate încărcările ulterioare de chei necesită un pas suplimentar pentru a activa cheia.

Activați o cheie de criptare pentru o entitate găzduită

Odată ce o cheie de criptare este generată sau încărcată pentru entitatea găzduită, aceasta poate fi activată.

1. conectați-vă la Power Platform centrul de administrare, ca administrator (administrator Dynamics 365 sau Microsoft Power Platform administrator).
2. Selectați fila Medii, apoi, pe bara de instrumente, selectați Gestionați cheile de criptare.
3. Selectați Confirmați pentru a recunoaște riscul cheie de gestionare.
4. Selectați o cheie care are o stare Disponibilă și apoi selectați Cheie de activare pe bara de instrumente.
5. Selectați Confirmați pentru a confirma schimbarea cheii.

Când activați o cheie pentru entitatea găzduită, durează un timp pentru ca serviciul de gestionare a cheilor să activeze cheia. Statutul Starea cheii afișează tasta ca Se instalează când tasta nouă sau încărcată este activată. Odată ce tasta este activată, apare următoarea:

• Toate mediile criptate sunt criptate automat cu cheia activă (nu există timp de oprire cu această acțiune).
• Când este activată, cheia de criptare va fi aplicată tuturor mediilor schimbate de la cheia de criptare autogestionată, furnizată de Microsoft.

Important

Pentru a eficientiza procesul de gestionare a cheilor, astfel încât toate mediile să fie gestionate de aceeași cheie, cheia activă nu poate fi actualizată atunci când există medii blocate. Toate mediile blocate trebuie deblocate înainte ca o nouă cheie să poată fi activată. Dacă există medii blocate care nu trebuie deblocate, acestea trebuie șterse.

Notă

După activarea unei chei de criptare, nu puteți activa o altă cheie timp de 24 de ore.

Gestionați criptarea pentru un mediu

În mod implicit, fiecare mediu este criptat cu cheia de criptare furnizată de Microsoft. După ce o cheie de criptare este activată pentru entitatea găzduită, administratorii pot alege să modifice criptarea implicită pentru a utiliza cheia de criptare activată. Pentru a utiliza tasta activată, urmați acești pași.

Aplicați cheia de criptare unui mediu

1. Conectați-vă la centrul de administrare Power Platform, folosind acreditările rolului Administrator de mediu sau Administrator sistem.
2. Selectați fila Medii.
3. Deschideți un mediu criptat furnizat de Microsoft.
4. Selectați Vedeți tot.
5. În secțiunea Criptarea mediului, selectați Gestionați.
6. Selectați Confirmați pentru a recunoaște riscul cheie de gestionare.
7. Selectați Aplicați această cheie pentru a accepta schimbarea criptării pentru a utiliza cheia activată.
8. Selectați Confirmare pentru a recunoaște că gestionați cheia direct și că există o perioadă de oprire pentru această acțiune.

Întoarceți o cheie de criptare gestionată înapoi la cheia de criptare furnizată de Microsoft

Revenind la cheia de criptare furnizată de Microsoft, configurează mediul înapoi la comportamentul implicit unde Microsoft gestionează cheia de criptare pentru dvs.

1. Conectați-vă la centrul de administrare Power Platform, folosind acreditările rolului Administrator de mediu sau Administrator sistem.
2. Selectează fila Medii, apoi selectați un mediu care este criptat cu o cheie autogestionată.
3. Selectați Vedeți tot.
4. În secțiunea Criptarea mediului, selectați Gestionare, apoi selectați Confirmare.
5. Sub Reveniți la gestionarea standard de criptare, selectați Revenire .
6. Pentru mediile de producție, confirmați mediul, introducând numele mediului.
7. Selectați Confirmare pentru a reveni la gestionarea standard a cheii de criptare.

Blocați entitatea găzduită

Întrucât există o singură cheie activă pentru fiecare entitate găzduită, blocând criptarea entității găzduite dezactivează toate mediile care sunt în entitatea găzduită. Toate mediile blocate rămân inaccesibile pentru toată lumea, inclusiv pentru Microsoft, până când un administrator de serviciu Power Platform din cadrul organizației le deblochează utilizând cheia care a fost utilizată pentru a le bloca.

Atenție

Nu trebuie să blocați niciodată mediile entități găzduite ca parte a procesului normal de activitate. Când blocați o entitate găzduită Dataverse, toate mediile vor fi luate complet offline și nu pot fi accesate de nimeni, inclusiv Microsoft. În plus, serviciile precum sincronizarea și întreținerea sunt toate oprite. Dacă decideți să părăsiți serviciul, blocarea entității găzduite vă poate asigura că datele dvs. online nu sunt accesate din nou de nimeni.
Rețineți următoarele despre blocarea mediilor entității găzduite:

• Mediile blocate nu poate fi restaurate din copia de rezervă (backup).
• Mediile blocate sunt șterse dacă nu sunt deblocate după 28 de zile.
• Nu puteți bloca medii timp de 72 de ore după modificarea unei chei de criptare.
• Blocarea unei entități găzduite blochează toate mediile active din cadrul entității găzduite.

Important

• Trebuie să așteptați cel puțin o oră după ce blocați mediile active înainte de a le putea debloca.
• Odată ce procesul de blocare începe, toate cheile de criptare cu o stare Active sau Disponibile sunt șterse. Procesul de blocare poate dura până la o oră și în acest timp deblocarea mediilor blocate nu este permisă.

1. conectați-vă la Power Platform centrul de administrare, ca administrator (administrator Dynamics 365 sau Microsoft Power Platform administrator).
2. Selectați fila Medii, apoi, pe bara de comenzi, selectați Gestionați cheile de criptare.
3. Selectați cheia Activ și apoi selectați Blocați mediile active.
4. În panoul din dreapta selectați Încărcați cheia activă, răsfoiți și selectați cheia, introduceți parola, apoi selectați Blocare.
5. Când vi se solicită, introduceți textul afișat pe ecran pentru a confirma dacă doriți să blocați toate mediile din regiune, apoi selectați Confirmați.

Deblocați mediile blocate

Pentru a debloca medii trebuie mai întâi să încărcați și apoi activați cheia de criptare a entității găzduite cu aceeași cheie cu care blocați entitatea găzduită. Vă rugăm să rețineți că mediile blocate nu sunt deblocate automat odată ce cheia a fost activată. Fiecare mediu blocat trebuie să fie deblocat individual.

Important

• Trebuie să așteptați cel puțin o oră după ce blocați mediile active înainte de a le putea debloca.
• Procesul de deblocare poate dura până la o oră. După deblocarea cheii, puteți utiliza cheia pentru Gestionarea criptării pentru un mediu.
• Nu puteți genera o nouă sau încărca o cheie existentă până când nu sunt deblocate toate mediile blocate.

Deblocați cheia de criptare

1. conectați-vă la Power Platform centrul de administrare, ca administrator (administrator Dynamics 365 sau Microsoft Power Platform administrator).
2. Selectați fila Medii, apoi selectați Gestionați cheile de criptare.
3. Selectați cheia care are o stare Blocată și apoi pe bara de instrumente selectați Deblocați cheia.
4. Selectați Încărcați cheia de blocare, răsfoiți și apoi selectați cheia care a fost utilizată pentru a bloca entitatea găzduită, introduceți parola și apoi selectați Deblocare. Cheia intră într-o stare de instalare. Trebuie să așteptați până când cheia este în starea Activă înainte să puteți debloca medii blocate.
5. Pentru a debloca un mediu, consultați secțiunea următoare.

Deblocați mediile

1. Selectați fila Medii, apoi selectați numele mediului blocat.

   Sfat

   Nu selectați rândul. Selectați numele mediului.

2. În secțiunea Detalii, selectați Vedeți toate pentru a afișa panoul Detalii din dreapta.

3. În secțiunea de criptare a Mediului pe panoul Detalii selectați Gestionare.

   

4. Pe pagina Criptarea mediului selectați Deblocare.

   

5. Selectați Confirmare pentru a confirma că doriți să deblocați mediul.

6. Repetați pașii precedenți pentru a debloca medii suplimentare.

Operațiunile bazei de date de mediu

O entitate găzduită poate avea medii criptate folosind cheia gestionată Microsoft și medii care sunt criptate cu cheia gestionată de client. Pentru a menține integritatea și protecția datelor, următoarele controale sunt disponibile la gestionarea operațiunilor bazei de date de mediu.

1. Restabiliți Mediul de suprascris (restaurat la mediu) este restricționat la același mediu pe care a fost preluat backup-ul sau la un alt mediu care este criptat cu aceeași cheie gestionată de client.

   

2. Copiați Mediul de suprascris (copiat în mediu) este restricționat la un alt mediu care este criptat cu aceeași cheie gestionată de client.

   

   Notă

   Dacă a fost creat un mediu de investigație de asistență pentru a rezolva problema de asistență într-un mediu gestionat de client, cheia de criptare a mediului de investigații de asistență trebuie schimbată în cheia gestionată de client înainte de a putea fi efectuată operația Copiați mediul.

3. Resetați Datele criptate ale mediului vor fi șterse, inclusiv copiile de rezervă. După resetarea mediului, criptarea mediului va reveni la cheia gestionată Microsoft.

Consultați și

SQL Server: criptare transparentă a datelor (TDE)