Управление управляемым клиентом ключом шифрования

Клиенты предъявляют требования к конфиденциальности данных и соответствию требованиям для защиты своих данных путем шифрования данных в состоянии покоя. Это защищает данные от раскрытия в случае кражи копии базы данных. Благодаря шифрованию данных в состоянии покоя украденные данные базы данных защищены от восстановления на другом сервере без ключа шифрования.

Все данные клиентов, хранящиеся в Power Platform, по умолчанию шифруются в состоянии покоя с помощью надежных ключей шифрования, управляемых корпорацией Майкрософт. По умолчанию Microsoft хранит ключ шифрования баз данных для всех ваших данных и управляет им, так что вам не требуется это делать. Однако Power Platform предоставляет этот управляемый клиентом ключ шифрования (CMK) для дополнительного контроля защиты данных, где вы можете самостоятельно управлять ключом шифрования базы данных, связанным с вашей средой Microsoft Dataverse. Это позволяет вам менять или менять ключ шифрования по требованию, а также позволяет предотвратить доступ Microsoft к вашим данным клиента, когда вы в любое время отменяете ключ доступа к нашим службам.

Чтобы подробнее узнать о ключе, управляемом клиентом, в Power Platform, посмотрите видео об управляемом клиентом ключе.

Эти операции с ключами шифрования доступны с ключом, управляемым клиентом (CMK):

• Создайте ключ RSA (RSA-HSM) из Azure Key Vault.
• Создайте Power Platform политику предприятия для своего ключа.
• Предоставьте политике предприятия Power Platform разрешение на доступ к вашему хранилищу ключей.
• Предоставьте администратору службы Power Platform права на чтение корпоративной политики.
• Применение ключа шифрования к среде.
• Отмена/удаление шифрования CMK среды в ключе, управляемом Microsoft.
• Измените ключ, создав новую политику предприятия, удалив среду из CMK и повторно применив CMK с новой политикой предприятия.
• Блокировка сред CMK путем отзыва разрешений на доступ к ключу или хранилищу ключей CMK.
• Перенесите среды с собственным ключом (BYOK) в CMK, применив ключ CMK.

В настоящее время все данные ваших клиентов, хранящиеся только в следующих приложениях и службах, могут быть зашифрованы с помощью ключа, управляемого клиентом:

• Dataverse (Индивидуальные решения и услуги Microsoft)
• Dataverse Copilot в приложениях на основе модели
• Power Automate¹
• Power Apps
• Чат для Dynamics 365
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (финансы и операции)
• Dynamics 365 Intelligent Order Management (Финансы и операции)
• Dynamics 365 Project Operations (Финансы и операции)
• Dynamics 365 Supply Chain Management (Финансы и операции)
• Dynamics 365 Fraud Protection (Финансы и операции)

¹ При применении ключа, управляемого клиентом, к среде с существующими потоками Power Automate данные потоков продолжают шифроваться с помощью ключа, управляемого Microsoft. Дополнительная информация: Управляемый клиентом ключ Power Automate.

Заметка

Nuance Conversational IVR и приветственное содержимое для создателей исключены из шифрования ключей, управляемых клиентом.

Microsoft Copilot Studio хранит свои данные в собственном хранилище и в Microsoft Dataverse. Когда вы применяете ключ, управляемый клиентом, к этим средам, с помощью вашего ключа шифруются только хранилища данных в Microsoft Dataverse. Данные, отличные от Microsoft Dataverse, продолжают шифроваться с помощью ключа, управляемого Майкрософт.

Заметка

Параметры подключения для соединителей по-прежнему будут шифроваться с помощью ключа, управляемого Майкрософт.

Обратитесь к представителю по услугам, не указанным выше, для получения информации о поддержке ключей, управляемых клиентом.

Заметка

Отображаемые имена, описания и метаданные подключения Power Apps продолжают шифроваться с помощью ключа, управляемого Майкрософт.

Среды с приложениями для управления финансами и операциями, в которых включена интеграция Power Platform, также могут быть зашифрованы. Финансовые и операционные среды без интеграции Power Platform будут по-прежнему использовать управляемый ключ Microsoft по умолчанию для шифрования данных. Дополнительная информация: Шифрование в приложениях для управления финансами и операциями

Знакомство с ключом, управляемым клиентом

С ключом, управляемым клиентом, администраторы могут предоставить собственный ключ шифрования из собственного Azure Key Vault службам хранения Power Platform для шифрования данных своих клиентов. Microsoft не имеет прямого доступа к вашему Azure Key Vault. Чтобы службы Power Platform могли получить доступ к ключу шифрования из Azure Key Vault, администратор создает политику предприятия Power Platform, которая ссылается на ключ шифрования и предоставляет этой политике предприятия доступ для чтения ключа из Azure Key Vault.

Затем администратор службы Power Platform может добавить среды Dataverse в корпоративную политику, чтобы начать шифрование всех данных клиентов в среде с помощью вашего ключа шифрования. Администраторы могут изменить ключ шифрования среды, создав другую корпоративную политику и добавив среду (после ее удаления) в новую корпоративную политику. В случае, если среда больше не нуждается в шифровании с помощью вашего ключа, управляемого клиентом, администратор может удалить среду Dataverse из корпоративной политики, чтобы вернуться к шифрованию данных с помощью ключа, управляемого корпорацией Майкрософт.

Администратор может заблокировать среды ключей, управляемые клиентом, отменив доступ к ключам из корпоративной политики, и разблокировать среды, восстановив доступ к ключам. Больше информации: Блокировка сред путем отзыва доступа к хранилищу ключей и/или разрешениям ключей

Чтобы упростить задачи управления ключами, они разбиты на три основные области:

1. Создание ключа шифрования.
2. Создание корпоративной политики и предоставление доступа.
3. Управление шифрованием для среды.

Предупреждение

Когда среды заблокированы, никто не может получить к ним доступ, включая службу поддержки Microsoft. Заблокированные среды становятся отключенными, и может произойти потеря данных.

Лицензионные требования для ключа, управляемого клиентом

Политика ключей, управляемых клиентом, применяется только в средах, активированных для управляемых сред. Управляемые среды включены в качестве объема обслуживания в отдельные лицензии Power Apps, Power Automate, Power Virtual Agents, Power Pages и Dynamics 365, которые предоставляют права на использование премиум-уровня. Узнайте больше о лицензировании управляемой среды в разделе Обзор лицензирования для Microsoft Power Platform.

Кроме того, для доступа к использованию управляемого клиентом ключа для Microsoft Power Platform и Dynamics 365 требуется, чтобы пользователи в средах, где применяется политика ключа шифрования, обязательно имели одну из следующих подписок:

• Microsoft 365 или Office 365 A5/E5/G5
• Соответствие Microsoft 365 A5/E5/F5/G5
• Безопасность и соответствие требованиям Microsoft 365 F5
• Защита информации и управление Microsoft 365 A5/E5/F5/G5
• Управление внутренними рисками для Microsoft 365 A5/E5/F5/G5

Подробнее об этих лицензиях

Общие сведения о потенциальном риске при самостоятельном управлении ключом

Как и в любой критичной для бизнеса ситуации, необходимо доверять персоналу внутри организации с доступом на уровне администратора. Прежде чем использовать функцию управления ключами, следует оценить риск самостоятельного управления ключами шифрования баз данных. Возможна ситуация, когда злонамеренный администратор (пользователь, которому предоставлен доступ на уровне администратора или который получил его с целью умышленно навредить безопасности или бизнес-процессам организации), работающий в организации, может использовать функцию управления ключами для создания ключа, с помощью которого можно заблокировать среды в клиенте.

Рассмотрите следующую последовательность событий.

Администратор вредоносного хранилища ключей создает ключ и корпоративную политику на портале Azure. Администратор Azure Key Vault переходит в центр администрирования Power Platform и добавляет среды в корпоративную политику. Затем злонамеренный администратор возвращается на портал Azure и отменяет ключевой доступ к корпоративной политике, тем самым блокируя все среды. Это приводит к перебоям в работе, поскольку все среды становятся недоступными, и если это событие не будет устранено, то есть доступ к ключу восстановлен, данные среды могут быть потенциально потеряны.

Заметка

• Azure Key Vault имеет встроенные средства защиты, помогающие восстановить ключ, для чего требуется включить параметры хранилища ключей Обратимое удаление и Защита от очистки.
• Еще одна мера безопасности, которую следует принять во внимание, — обеспечить разделение задач, когда администратор Azure Key Vault не имеет доступа к центру администрирования Power Platform.

Разделение обязанностей для снижения риска

В этом разделе описываются основные функции, управляемые клиентом, за которые отвечает каждая роль администратора. Разделение этих задач помогает снизить риск, связанный с ключами, управляемыми клиентом.

Azure Key Vault и Power Platform/задачи администратора службы Dynamics 365

Чтобы включить ключи, управляемые клиентом, сначала администратор хранилища ключей создает ключ в Azure Key Vault, а затем создает политику предприятия Power Platform. При создании политики предприятия создается специальное удостоверение, находящееся под управлением Microsoft Entra ID. Затем администратор хранилища ключей возвращается в хранилище ключей Azure и предоставляет корпоративной политике/управляемому удостоверению доступ к ключу шифрования.

Администратор хранилища ключей затем предоставляет соответствующий доступ для чтения к корпоративной политике администратору службы Power Platform/Dynamics 365. После предоставления разрешения на чтение администратор службы Power Platform/Dynamics 365 может перейти в Центр администрирования Power Platform и добавить среды в корпоративную политику. Затем данные клиентов всех добавленных сред шифруются с помощью управляемого клиентом ключа, связанного с этой корпоративной политикой.

Предварительные условия

• Подписка Azure, включающая Azure Key Vault или управляемые аппаратные модули безопасности Azure Key Vault.
• Глобальный администратор клиента или ИД Microsoft Entra с:
  • Разрешение участника на подписку Microsoft Entra.
  • Разрешение на создание Azure Key Vault и ключа.
  • Доступ для создания группы ресурсов. Это необходимо для настройки хранилища ключей.

Создайте ключ и предоставьте доступ с помощью Azure Key Vault

Администратор Azure Key Vault выполняет эти задачи в Azure.

1. Создание платной подписики Azure и Key Vault. Пропустите этот шаг, если у вас уже есть подписка, включающая Azure Key Vault.
2. Перейдите в службу Azure Key Vault и создайте ключ. Дополниельная информация: Создание ключа в хранилище ключей
3. Включите службу корпоративных политик Power Platform для вашей подписки Azure. Сделайте это только один раз. Дополнительная информация: Включите службу корпоративных политик Power Platform для вашей подписки Azure
4. Создайте корпоративную политику Power Platform. Дополнительные сведения: Создание корпоративной политики
5. Предоставьте политике предприятия разрешения на доступ к хранилищу ключей. Дополнительная информация: Предоставьте политике предприятия разрешения на доступ к хранилищу ключей
6. Предоставьте администраторам Power Platform и Dynamics 365 разрешение на чтение корпоративной политики. Дополнительная информация: Предоставьте права администратора Power Platform для чтения корпоративной политики

Администратор службы Power Platform/Dynamics 365, задачи центра администрирвания Power Platform

Необходимые условия

• Администратору Power Platform должна быть назначен роль Power Platform или Microsoft Entra администратора службы Dynamics 365.

Управление шифрованием среды в центре администрирования Power Platform

Администратор Power Platform управляет ключами, управляемыми клиентом, связанными со средой, в Power Platform центре администрирования.

1. Добавьте среды Power Platform в корпоративную политику для шифрования данных с помощью ключа, управляемого клиентом. Дополнительная информация: Добавление среды в корпоративную политику для шифрования данных
2. Удалите среды из корпоративной политики, чтобы вернуть шифрование на ключ, управляемый Майкрософт. Дополнительная информация: Удалите среды из политики, чтобы вернуть шифрование на ключ, управляемый Майкрософт
3. Измените ключ, удалив среды из старой политики предприятия и добавив среды в новую политику предприятия. Дополнительная информация: Создание ключа шифрования и предоставление доступа
4. Миграция с BYOK. Если вы используете более раннюю функцию ключа шифрования с самостоятельным управлением, вы можете перенести свой ключ на ключ, управляемый клиентом. Дополнительная информация: Перевод сред с собственным ключом на управляемый клиентом ключ

Создание ключа шифрования и предоставление доступа

Создание платной подписки Azure и хранилища ключей.

В Azure выполните следующие действия:

1. Создайте подписку Azure с оплатой по мере использования или ее эквивалент. Этот шаг не требуется, если у клиента уже есть подписка.

2. Создать группу ресурсов. Дополнительные сведения: Создать группы ресурса

   Заметка

   Создайте или используйте группу ресурсов, местоположение которой, например Центральная часть США, соответствует региону среды Power Platform, например США.

3. Создайте хранилище ключей с помощью платной подписки, включающей защиту от обратимого удаления и очистки с помощью группы ресурсов, созданной на предыдущем шаге.

   Внимание

   • Чтобы ваша среда была защищена от случайного удаления ключа шифрования, в хранилище ключей должна быть включена защита от обратимого удаления и очистки. Без включения этих параметров вы не сможете зашифровать свою среду с помощью собственного ключа. Дополнительные сведения: Обзор обратимого удаления Azure Key Vault Дополнительные сведения: Создание хранилища ключей с помощью портала Azure

Создание ключа в хранилище ключей

1. Убедитесь, что выполнены следующие условия.

2. Перейдите на портал Azure>Key Vault и найдите хранилище ключей, в котором вы хотите сгенерировать ключ шифрования.

3. Проверьте параметры хранилища ключей Azure:

   1. Выберите Свойства в разделе Настройки.
   2. В разделе Обратимое удаление убедитесь, что для этого параметра установлено значение Обратимое удаление включено для этого хранилища ключей.
   3. В разделе Защита от очистки убедитесь, что включен параметр Включить защиту от очистки (установите обязательный период хранения для удаленных хранилищ и объектов хранилища).
   4. Если вы внесли изменения, выберите Сохранить.

   

Создание ключей RSA

1. Создайте или импортируйте ключ со следующими свойствами:
   1. На страницах свойств Хранилище ключей выберите Ключи.
   2. Выберите Создать/импортировать.
   3. На экране Создать ключ введите следующие значения, а затем выберите Создать.
      • Параметры: генерирование
      • Имя: введите имя для ключа
      • Тип ключа: RSA
      • Размер ключа RSA: 2048

Импорт защищенных ключей для аппаратных модулей безопасности (HSM)

Вы можете использовать защищенные ключи для аппаратных модулей безопасности (HSM) для шифрования ваших сред Power Platform Dataverse. Ваши ключи, защищенные HSM, должны быть импортированы в хранилище ключей, чтобы можно было создать корпоративную политику. Для получения дополнительной информации см. разделы Поддерживаемые HSMИмпорт ключей, защищенных с помощью HSM, в Key Vault (BYOK).

Создание ключа в управляемом модуле HSM Azure Key Vault

Вы можете использовать ключ шифрования, созданный из управляемого модуля HSM Azure Key Vault, для шифрования данных вашей среды. Это обеспечивает поддержку FIPS 140-2 уровня 3.

Создание ключей RSA-HSM

1. Убедитесь, что выполнены следующие условия.

2. Переход на портал Azure.

3. Создайте Управляемый модуль HSM:

   1. Подготовка управляемого модуля HSM.
   2. Активация управляемого модуля HSM.

4. Включите Защита от очистки в управляемом модуле HSM.

5. Предоставьте роль Криптопользователь управляемого модуля HSM лицу, создавшему хранилище ключей управляемого модуля HSM.

   1. Получите доступ к хранилищу ключей управляемого модуля HSM на портале Azure.
   2. Перейдите к пункту Локальный RBAC и выберите + Добавить.
   3. В раскрывающемся списке Роль выберите роль Криптопользователь управляемого модуля HSM на странице Назначение ролей.
   4. Выберите Все ключи в разделе Область.
   5. Выберите Выбрать субъект безопасности, затем выберите администратора на странице Добавить субъект.
   6. Выберите Создать.

6. Создание ключа RSA-HSM:

   • Параметры: генерирование
   • Имя: введите имя для ключа
   • Тип ключа: RSA-HSM
   • Размер ключа RSA: 2048

   Заметка

   Поддерживаемые размеры ключей RSA-HSM: 2048 бит, 3072 бита, 4096 бит.

Зашифруйте свою среду с помощью ключа из Azure Key Vault с приватным каналом

Вы можете обновить сеть своего хранилища ключей Azure Key Vault, включив частную конечную точку, и использовать ключ в хранилище ключей для шифрования ваших сред Power Platform.

Вы можете создать новое хранилище ключей и установить подключение по приватному каналу или установить подключение по приватному каналу к существующему хранилищу ключей, а затем создать ключ из этого хранилища ключей и использовать его для шифрования вашей среды. Вы также можете установить подключение по приватному каналу к существующему хранилищу ключей после того, как вы создадите ключ и используете его для шифрования вашей среды.

Шифрование данных с помощью ключа из хранилища ключей с приватным каналом

1. Создайте хранилище ключей Azure Key Vault со следующими параметрами:

   • Включите Защиту от очистки
   • Тип ключа: RSA
   • Размер ключа: 2048

2. Скопируйте URL-адрес хранилища ключей, а также URL-адрес ключа шифрования, которые будут использоваться для создания корпоративной политики.

   Заметка

   После того как вы добавите частную конечную точку в свое хранилище ключей или отключите сеть с открытым доступом, вы не сможете увидеть ключ, если у вас нет соответствующего разрешения.

3. Создайте виртуальную сеть.

4. Вернитесь в хранилище ключей и добавьте подключения к частным конечным точкам в хранилище ключей Azure Key Vault.

   Заметка

   Вам необходимо выбрать параметр сети Отключить общий доступ и включить исключение Разрешить доверенным службам Microsoft обходить это исключение брандмауэра.

5. Создайте корпоративную политику Power Platform. Дополнительные сведения: Создание корпоративной политики

6. Предоставьте политике предприятия разрешения на доступ к хранилищу ключей. Дополнительная информация: Предоставьте политике предприятия разрешения на доступ к хранилищу ключей

7. Предоставьте администраторам Power Platform и Dynamics 365 разрешение на чтение корпоративной политики. Дополнительная информация: Предоставьте права администратора Power Platform для чтения корпоративной политики

8. Администратор центра администрирования Power Platform выбирает среду для шифрования и включает управляемую среду. Подробнее: Включение управляемой среды для ее добавления в корпоративную политику

9. Администратор центра администрирования Power Platform добавляет управляемую среду в корпоративную политику. Дополнительная информация: Добавление среды в корпоративную политику для шифрования данных

Включите службу корпоративных политик Power Platform для вашей подписки Azure

Регистрация Power Platform в качестве поставщика ресурсов. Вам нужно выполнить эту задачу только один раз для каждой подписки Azure, в которой находится ваше хранилище ключей Azure Key Vault. Вам необходимо иметь права доступа к подписке, чтобы зарегистрировать поставщика ресурсов.

1. Войдите на портал Azure и перейдите в раздел Подписка>Поставщики ресурсов.
2. В списке Поставщики ресурсов найдите платформу Microsoft.PowerPlatform и зарегистрируйте ее.

Создайте корпоративную политику

1. Установите PowerShell MSI. Дополнительная информация: Установка PowerShell на Windows, Linux и macOS
2. После установки PowerShell MSI вернитесь к развертыванию пользовательского шаблона в Azure.
3. Выберите ссылку Создать собственный шаблон в редакторе.
4. Скопируйте шаблон JSON в текстовый редактор, например Блокнот. Дополнительные сведения: Шаблон корпоративной политики json
5. Замените значения в шаблоне JSON для: EnterprisePolicyName, места, где необходимо создать EnterprisePolicy, keyVaultId и keyName. Дополнительная информация: Определения полей для шаблона json
6. Скопируйте обновленный шаблон из текстового редактора и вставьте его в разделе Изменить шаблон > Пользовательское развертывание в Azure и выберите Сохранить.
7. Выберите Подписка и Группа ресурсов, где должна быть создана корпоративная политика.
8. Выберите Проверить и создать, а затем выберите Создать.

Развертывание запущено. Когда это будет сделано, корпоративная политика будет создана.

JSON-шаблон корпоративной политики

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Определения полей для шаблона JSON

• имя. Название корпоративной политики Это имя политики, которое отображается в центре администрирования Power Platform.

• расположение. Одно из следующих. Это расположение корпоративной политики, и оно должно соответствовать региону среды Dataverse:

  • '"unitedstates"'
  • '"southafrica"'
  • '"uk"'
  • '"japan"'
  • '"india"'
  • '"france"'
  • '"europe"'
  • '"germany"'
  • '"switzerland"'
  • '"canada"'
  • '"brazil"'
  • '"australia"'
  • '"asia"'
  • '"uae"'
  • '"korea"'
  • '"norway"'
  • '"singapore"'
  • '"sweden"'

• Скопируйте эти значения из свойств хранилища ключей на портале Azure.

  • keyVaultId: перейдите в раздел Хранилища ключей> выберите хранилище ключей >Обзор. Рядом с пунктом Essentials выберите Просмотр JSON. Скопируйте идентификатор ресурса в буфер обмена и вставьте все содержимое в свой шаблон JSON.
  • keyName: перейдите в раздел Хранилища ключей> выберите хранилище ключей >Ключи. Обратите внимание на Имя ключа и введите имя в шаблон JSON.

Предоставьте политике предприятия разрешения на доступ к хранилищу ключей

После создания корпоративной политики администратор хранилища ключей предоставляет корпоративной политике/управляемому удостоверению доступ к ключу шифрования.

1. Войдите на портал Azure и перейдите в раздел Хранилища ключей.
2. Выберите хранилище ключей, в котором ключ был назначен корпоративной политике.
3. Выберите вкладку Управление доступом (IAM), затем выберите + Добавить.
4. Выберите Добавить назначение ролей из раскрывающегося списка
5. Найдите Пользователя шифрования службы шифрования Key Vault и выберите его.
6. Выберите Далее.
7. Выберите + Выбрать участников.
8. Найдите созданную вами корпоративную политику.
9. Выберите корпоративную политику, а затем нажмите Выбрать.
10. Выберите Проверить + назначить.

Заметка

Приведенная выше конфигурация разрешений основана на модели разрешенийуправления доступом на основе ролей Azure вашего хранилища ключей. Если для вашего хранилища ключей используется политика доступа хранилища, рекомендуется перейти на модель на основе ролей. Чтобы предоставить корпоративной политике доступ к хранилищу ключей с использованием политики доступа хранилища, создайте политику доступа, выберите Получить в разделе Операции управления ключами, а также Распаковка ключа и Упаковка ключа в разделе Криптографические операции.

Предоставьте права администратора Power Platform для чтения корпоративной политики

Администраторы с глобальными ролями Azure, Dynamics 365 и административными ролями Power Platform могут получить доступ к центру администрирования Power Platform для назначения сред корпоративной политике. Для доступа к политикам предприятия глобальный администратор с доступом к Azure Key Vault должен предоставить роль Читатель администратору Power Platform. После предоставления роли Читатель администратор Power Platform сможет просматривать политики предприятия в центре администрирования Power Platform.

Заметка

Только администраторы Power Platform и Dynamics 365, которым предоставлена роль «Читатель» в политике предприятия, могут добавлять среду в политику. Другие администраторы Power Platform или администраторы Dynamics 365 могут просматривать корпоративную политику, но они получат сообщение об ошибке при попытке Добавить среду в политику.

Предоставление роли «Читатель» администратору Power Platform

1. Войдите на портал Azure.
2. Скопируйте Power Platform или идентификатор объекта администратора Dynamics 365. Для этого:
   1. Перейдите в область Пользователи в Azure.
   2. В списке Все пользователи найдите пользователя с разрешением Power Platform или правами администратора Dynamics 365, используя Поиск пользователей.
   3. Откройте запись пользователя, на вкладке Обзор и скопируйте идентификатор объекта пользователя. Вставьте это в текстовый редактор, например Блокнот.
3. Скопируйте идентификатор ресурса корпоративной политики. Для этого:
   1. Перейдите в раздел Обозреватель Resource Graph в Azure.
   2. Введите microsoft.powerplatform/enterprisepolicies в поле Поиск, а затем выберите ресурс microsoft.powerplatform/enterprisepolicies.
   3. Выберите Выполнить запрос на панели команд. Отображается список всех корпоративных политик Power Platform.
   4. Найдите корпоративную политику, которой вы хотите предоставить доступ.
   5. Прокрутите вправо от корпоративной политики и выберите Подробнее.
   6. На странице Подробности скопируйте ИД.
4. Запустите Azure Cloud Shell и выполните следующую команду, заменив objId ИД объекта пользователя и Идентификатор ресурса EP идентификатором enterprisepolicies, скопированным на предыдущих шагах: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Управление шифрованием для среды

Для управления шифрованием среды вам необходимо следующее разрешение:

• Активный пользователь Microsoft Entra с ролью безопасности администратора Power Platform и/или Dynamics 365.
• Пользователь Microsoft Entra с ролью администратора глобального клиента, Power Platform или администратора службы Dynamics 365.

Администратор хранилища ключей уведомляет администратора Power Platform о создании ключа шифрования и корпоративной политики и предоставляет корпоративную политику администратору Power Platform. Чтобы активировать ключ, управляемый клиентом, администратор Power Platform назначает свою среду корпоративной политике. Как только среда назначена и сохранена, Dataverse инициирует процесс шифрования, чтобы установить все данные среды и зашифровать их с помощью ключа, управляемого клиентом.

Включение управляемой среды для ее добавления в корпоративную политику

1. Выполните вход в центр администрирования Power Platform и найдите среду.
2. Выберите и проверьте среду в списке сред.
3. Выберите значок Включить управляемые среды на панели действий.
4. Выберите Включить.

Добавление среды в корпоративную политику для шифрования данных

Внимание

Среда будет отключена, когда она будет добавлена в политику предприятия для шифрования данных.

1. Войдите в центр администрирования Power Platform и перейдите в раздел Политики>Политики предприятия.
2. Выберите политику, затем на панели команд выберите Изменить.
3. Выберите Добавить среды, выберите нужную среду, а затем выберите Продолжить.
4. Выберите Сохранить, затем выберите Подтвердить.

Внимание

• В списке Добавить среды отображаются только среды, находящиеся в том же регионе, что и корпоративная политика.
• Шифрование может занять до четырех дней, но среду можно включить до завершения операции Добавить среды.
• Операция может не завершиться, и в случае сбоя ваши данные продолжат шифроваться с помощью ключа, управляемого Microsoft. Вы можете повторно запустить операцию Добавить среды еще раз.

Заметка

Вы можете добавлять только те среды, которые включены в качестве Управляемых сред. Типы среды "Пробная" и Teams нельзя добавить в корпоративную политику.

Удалите среды из политики, чтобы вернуть ключ, управляемый Майкрософт.

Выполните следующие действия, если хотите вернуться к ключу шифрования, управляемому Майкрософт.

Внимание

Среда будет отключена, когда она будет удалена из корпоративной политики, чтобы вернуть шифрование данных с использованием управляемого ключа Microsoft.

1. Войдите в центр администрирования Power Platform и перейдите в раздел Политики>Политики предприятия.
2. Выберите вкладку Среда с политиками, а затем найдите среду, которую вы хотите удалить из ключа, управляемого клиентом.
3. Выберите вкладку Все политики, выберите среду, проверенную на шаге 2, а затем выберите Изменить политику на панели команд.
4. На панели команд выберите Удалить среду, выберите среду, которую нужно переместить, а затем выберите Продолжить.
5. Выберите Сохранить.

Внимание

Среда будет отключена, когда она удаляется из корпоративной политики, чтобы шифрование данных вернулось к использованию ключа, управляемого Майкрософт. Не удаляйте и не отключайте ключ, не удаляйте и не отключайте хранилище ключей и не удаляйте разрешения корпоративной политики в отношении хранилища ключей. Доступ к ключу и хранилищу ключей необходим для обеспечения возможности восстановления базы данных. Вы можете удалить разрешения корпоративной политики через 30 дней.

Измените ключ шифрования среды, используя новую политику и ключ предприятия

Чтобы изменить ключ шифрования, создайте новый ключ и новую политику предприятия. Затем вы можете изменить корпоративную политику, удалив среды и добавив среды в новую корпоративную политику. Обратите внимание, что система будет отключена 2 раза при переходе на новую политику предприятия: 1) для возврата шифрования к ключу, управляемому Майкрософт, и 2) для применения новой политики предприятия.

[!Рекомендация] Для ротации ключа шифрования мы рекомендуем использовать Новую версию хранилищ ключей или установить политику ротации.

1. На портале Azure создайте новый ключ и новую корпоративную политику. Дополнительная информация: Создание ключа шифрования и предоставление доступа и Создание корпоративной политики
2. После создания нового ключа и корпоративной политики перейдите в раздел Политики>Корпоративные политики.
3. Выберите вкладку Среда с политиками, а затем найдите среду, которую вы хотите удалить из ключа, управляемого клиентом.
4. Выберите вкладку Все политики, выберите среду, проверенную на шаге 2, а затем выберите Изменить политику на панели команд.
5. На панели команд выберите Удалить среду, выберите среду, которую нужно переместить, а затем выберите Продолжить.
6. Выберите Сохранить.
7. Повторяйте шаги 2–6, пока все среды в корпоративной политике не будут удалены.

Внимание

Среда будет отключена, когда она удаляется из корпоративной политики, чтобы шифрование данных вернулось к использованию ключа, управляемого Майкрософт. Не удаляйте и не отключайте ключ, не удаляйте и не отключайте хранилище ключей и не удаляйте разрешения корпоративной политики в отношении хранилища ключей. Доступ к ключу и хранилищу ключей необходим для обеспечения возможности восстановления базы данных. Вы можете удалить разрешения корпоративной политики через 30 дней.

1. После удаления всех сред из центра администрирования Power Platform перейдите к Политикам предприятия.
2. Выберите новую корпоративную политику, затем выберите Изменить политику.
3. Выберите Добавить среду, выберите нужную среду, а затем выберите Продолжить.

Внимание

Среда будет отключена, когда она будет добавлена в новую политику предприятия.

Поменяйте ключ шифрования среды на новую версию ключа

Можно изменить ключ шифрования среды, создав новую версию ключа. Когда вы создаете новую версию ключа, новая версия ключа автоматически активируется. Все ресурсы хранения обнаруживают новую версию ключа и начинают применять ее для шифрования ваших данных.

При изменении ключа или версии ключа меняется защита корневого ключа шифрования, но данные в хранилище всегда остаются зашифрованными с помощью вашего ключа. С вашей стороны больше не требуется никаких действий для обеспечения защиты ваших данных. Смена версии ключа не влияет на производительность. Ротация версии ключа не требует простоев. Может потребоваться 24 часа, чтобы применить новую версию ключа в фоновом режиме для всех поставщиков ресурсов. Предыдущую версию ключа отключать нельзя, так как она необходима службе для повторного шифрования и поддержки восстановления базы данных.

Чтобы сменить ключ шифрования путем создания новой версии ключа, выполните следующие действия.

1. Перейдите к пункту Портал Azure>Хранилища ключей и найдите хранилище ключей, в котором вы хотите создать новую версию ключа.
2. Перейдите к пункту Ключи.
3. Выберите текущий включенный ключ.
4. Выберите + Новая версия.
5. Обратите внимание, что настройка Включено по умолчанию имеет значение Да, что означает, что новая версия ключа автоматически активируется при создании.
6. Выберите Создать.

[!Рекомендация] Чтобы соответствовать вашей политике ротации ключей, вы можете менять ключ шифрования, используя Политику ротации. Вы можете настроить политику ротации или выполнить ротацию по требованию, вызвав Выполнить ротацию.

Внимание

Новая версия ключа автоматически меняется в фоновом режиме, и никаких действий не требуется от администратора Power Platform. Важно, чтобы предыдущая версия ключа не была отключена или удалена в течение как минимум 28 дней для поддержки восстановления базы данных. Слишком раннее отключение или удаление предыдущей версии ключа может привести к переводу вашей среды в автономный режим.

Просмотр списка зашифрованных сред

1. Войдите в центр администрирования Power Platform и перейдите в раздел Политики>Политики предприятия.
2. На странице Корпоративные политики выберите вкладку Среды с политиками. Отображается список сред, которые были добавлены в политики предприятия.

Заметка

Возможны ситуации, когда в поле Статус среды или Статус шифрования отображается значение Сбой. В этом случае отправьте запрос в службу поддержки Майкрософт.

Операции с базой данных среды

У арендатора клиента могут быть среды, которые зашифрованы с использованием ключа под управлением Microsoft, и среды, которые зашифрованы с помощью управляемого ключа арендатора. Для обеспечения целостности и защиты данных доступны следующие элементы управления при управлении операциями базы данных среды.

• Восстановление Перезаписываемая среда (восстановленная в среду) ограничена той средой, из которой была сделана резервная копия, или другой средой, которая зашифрована тем же ключом, управляемым клиентом.

  

• Копия Перезаписываемая среда (копируемая в среду) ограничена другой средой, которая зашифрована тем же ключом, управляемым клиентом.

  

  Заметка

  Если среда исследования поддержки была создана для решения проблемы поддержки в управляемой клиентом среде, ключ шифрования для среды исследования поддержки должен быть изменен на управляемый клиентом ключ, прежде чем можно будет выполнить операцию копирования среды.

• Сброс Зашифрованные данные среды будут удалены, включая резервные копии. После сброса среды шифрование среды вернется к ключу под управлением Microsoft.

Следующие шаги

Сведения об Azure Key Vault