Spravujte svoj zákaznícky spravovaný šifrovací kľúč

Zákazníci majú požiadavky na ochranu údajov a súlad s predpismi, aby zabezpečili svoje údaje šifrovaním ich uložených údajov. Tým sú údaje chránené pred prezradením v prípade odcudzenia kópie databázy. Vďaka šifrovaniu údajov v pokoji sú ukradnuté údaje databázy chránené pred obnovením na iný server bez šifrovacieho kľúča.

Všetky údaje zákazníkov uložené v Power Platform sú v predvolenom nastavení v pokoji šifrované pomocou silných Microsoft-spravovaných šifrovacích kľúčov. Microsoft ukladá a spravuje databázový šifrovací kľúč pre všetky vaše údaje, takže vy nemusíte. Avšak Power Platform poskytuje tento zákazníkom spravovaný šifrovací kľúč (CMK) pre vašu pridanú kontrolu ochrany údajov, kde si môžete sami spravovať šifrovací kľúč databázy, ktorý je priradený k vášmu Microsoft Dataverse prostrediu. To vám umožňuje otočiť alebo vymeniť šifrovací kľúč na požiadanie a tiež vám umožní zabrániť prístupu Microsoft k vašim zákazníckym údajom, keď kedykoľvek odvoláte prístup kľúča k našim službám.

Ak sa chcete dozvedieť viac o kľúči spravovanom zákazníkom v Power Platform, pozrite si video kľúč spravovaný zákazníkom.

Tieto operácie so šifrovacím kľúčom sú dostupné s kľúčom spravovaným zákazníkom (CMK):

• Vytvorte kľúč RSA (RSA-HSM) z trezora Azure Key.
• Vytvorte pre svoj kľúč Power Platform podnikovú politiku.
• Udeľte Power Platform podnikovej politike povolenie na prístup k vášmu trezoru kľúčov.
• Udeľte správcovi služby Power Platform , aby si prečítal podnikové pravidlá.
• Použite šifrovací kľúč na svoje prostredie.
• Vrátiť/odstrániť CMK šifrovanie prostredia na Microsoft-spravovaný kľúč.
• Zmeňte kľúč vytvorením novej podnikovej politiky, odstránením prostredia z CMK a znova použite CMK s novou podnikovou politikou.
• Uzamknite prostredia CMK zrušením trezoru kľúčov CMK a/alebo oprávnení kľúčov.
• Migrujte prines si svoj vlastný kľúč (BYOK) prostredia do CMK použitím kľúča CMK.

V súčasnosti možno všetky vaše zákaznícke údaje uložené iba v nasledujúcich aplikáciách a službách zašifrovať pomocou kľúča spravovaného zákazníkom:

• Dataverse (Vlastné riešenia a Microsoft služby)
• Dataverse Druhý pilot pre modelom riadené aplikácie
• Power Automate¹
• Power Apps
• Konverzácia pre Dynamics 365
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Financie a operácie)
• Dynamics 365 Intelligent Order Management (Financie a operácie)
• Dynamics 365 Project Operations (Financie a operácie)
• Dynamics 365 Supply Chain Management (Financie a operácie)
• Dynamics 365 Fraud Protection (Financie a operácie)

¹ Keď použijete kľúč spravovaný zákazníkom na prostredie, ktoré má existujúce Power Automate toky, údaje o tokoch budú naďalej šifrované kľúčom spravovaným Microsoft. Viac informácií: Power Automate kľúč spravovaný zákazníkom.

Poznámka

Nuance Conversational IVR a Maker Welcome Content sú vylúčené zo šifrovania kľúčov spravovaných zákazníkom.

Microsoft Copilot Studio ukladá svoje údaje vo svojom vlastnom úložisku a v Microsoft Dataverse. Keď na tieto prostredia použijete kľúč spravovaný zákazníkom, pomocou vášho kľúča sa zašifrujú iba dátové úložiská v Microsoft Dataverse . Údaje, ktoré nie sú Microsoft Dataverse , sú naďalej šifrované pomocou spravovaného kľúča Microsoft.

Poznámka

Nastavenia pripojenia pre konektory budú naďalej šifrované kľúčom spravovaným Microsoft.

Ak chcete získať informácie o zákazníckej kľúčovej podpore, kontaktujte zástupcu pre služby, ktoré nie sú uvedené vyššie.

Poznámka

Power Apps zobrazované názvy, popisy a metadáta pripojení sú naďalej šifrované pomocou Microsoft-spravovaného kľúča.

Poznámka

Odkaz na výsledky sťahovania a ďalšie údaje vytvorené kontrolou riešenia počas kontroly riešenia sú naďalej šifrované pomocou spravovaného kľúča Microsoft.

Prostredia s aplikácie na riadenie financií a prevádzok, kde Power Platform je povolená integrácia , môžu byť tiež šifrované. Finančné a prevádzkové prostredia bez Power Platform integrácie budú na šifrovanie údajov naďalej používať predvolený spravovaný kľúč Microsoft . Viac informácií: Šifrovanie v aplikácie na riadenie financií a prevádzok

Úvod do kľúča spravovaného zákazníkom

Pomocou kľúča spravovaného zákazníkom môžu správcovia poskytnúť svoj vlastný šifrovací kľúč zo svojho vlastného Azure Key Vault do Power Platform služieb úložiska na šifrovanie údajov svojich zákazníkov. Microsoft nemá priamy prístup do vášho Azure Key Vault. Pre Power Platform služby na prístup k šifrovaciemu kľúču z vášho Azure Key Vault správca vytvorí Power Platform podnikovú politiku, ktorá odkazuje na šifrovací kľúč a udeľuje tejto podnikovej politike prístup na čítanie kľúča z váš Azure Key Vault.

Správca služby Power Platform potom môže do podnikovej politiky pridať Dataverse prostredia a začať šifrovať všetky údaje zákazníkov v prostredí pomocou vášho šifrovacieho kľúča. Správcovia môžu zmeniť šifrovací kľúč prostredia vytvorením inej podnikovej politiky a pridať prostredie (po jeho odstránení) do novej podnikovej politiky. Ak už prostredie nie je potrebné šifrovať pomocou vášho kľúča spravovaného zákazníkom, správca môže odstrániť Dataverse prostredie z podnikovej politiky a vrátiť šifrovanie údajov späť na kľúč spravovaný Microsoft.

Správca môže uzamknúť prostredia kľúčov spravované zákazníkom zrušením prístupu kľúča z podnikovej politiky a odomknúť prostredia obnovením prístupu kľúča. Ďalšie informácie: Uzamknite prostredia zrušením prístupu k trezoru kľúčov a/alebo kľúčom

Na zjednodušenie úloh správy kľúčov sú úlohy rozdelené do troch hlavných oblastí:

1. Vytvorte šifrovací kľúč.
2. Vytvorte podnikovú politiku a udeľte prístup.
3. Spravujte šifrovanie prostredia.

Upozornenie

Keď sú prostredia zamknuté, nikto k nim nemá prístup, vrátane podpory Microsoft . Uzamknuté prostredia sa deaktivujú a môže dôjsť k strate údajov.

Licenčné požiadavky na kľúč spravovaný zákazníkom

Politika kľúčov spravovaných zákazníkom sa uplatňuje iba v prostrediach, ktoré sú aktivované pre Spravované prostredia. Spravované prostredia sú zahrnuté ako oprávnenie v samostatných licenciách Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, ktoré poskytujú prémiové práva na používanie. Získajte viac informácií o licencovaní v spravovanom prostredí v prehľade licencií pre Microsoft Power Platform.

Okrem toho prístup k používaniu kľúča spravovaného zákazníkom pre Microsoft Power Platform a Dynamics 365 vyžaduje, aby používatelia v prostrediach, kde sa vynucuje politika šifrovacieho kľúča, mali jedno z týchto predplatných:

• Microsoft 365 alebo Office 365 A5/E5/G5
• Dodržiavanie súladu pre Microsoft 365 A5/E5/F5/G5
• Zabezpečenie a dodržiavanie súladu pre Microsoft 365 F5
• Ochrana a riadenie informácií Microsoft 365 A5/E5/F5/G5
• Spravovanie rizík zvnútra pre Microsoft 365 A5/E5/F5/G5

Získajte viac informácií o týchto licenciách.

Pochopte potenciálne riziko, keď spravujete svoj kľúč

Rovnako ako u akejkoľvek kritické aplikácie personálu vo vašej organizácii, ktorí majú prístup na administratívnej úrovni musí byť dôveryhodný. Predtým, ako použijete funkciu riadenia pomocou kľúča, mali by ste pochopiť riziko spojené so spravovaním databázy šifrovacích kľúčov. Je možné, že škodlivý správca (osoba, ktorej bol udelený alebo získaný prístup na úrovni správcu s úmyslom poškodiť bezpečnosť organizácie alebo obchodné procesy), ktorý pracuje vo vašej organizácii, môže použiť funkciu správy kľúčov na vytvorenie kľúča a použiť ho na uzamknutie prostredia v nájomcovi.

Zvážte nasledujúci sled udalostí.

Škodlivý správca trezoru kľúčov vytvorí kľúč a podnikovú politiku na portáli Azure. Správca Azure Key Vault prejde do Power Platform centra spravovania a pridá prostredia do podnikovej politiky. Škodlivý správca sa potom vráti na portál Azure a zruší kľúčový prístup k podnikovej politike, čím uzamkne všetky prostredia. To spôsobuje prerušenia podnikania, pretože všetky prostredia sa stanú nedostupnými, a ak sa táto udalosť nevyrieši, to znamená, že sa neobnoví kľúčový prístup, údaje o prostredí sa môžu potenciálne stratiť.

Poznámka

• Azure Key Vault má vstavané ochrany, ktoré pomáhajú pri obnove kľúča, ktoré vyžadujú ochranu Soft Delete a Purge povolené nastavenia trezoru kľúčov.
• Ďalšou ochranou, ktorú treba zvážiť, je uistiť sa, že existuje oddelenie úloh, pri ktorých správca Azure Key Vault nemá udelený prístup do Power Platform centra spravovania.

Oddelenie povinností na zmiernenie rizika

Táto časť popisuje úlohy kľúčových funkcií spravovaných zákazníkom, za ktoré je zodpovedná každá rola správcu. Oddelenie týchto úloh pomáha zmierniť riziko spojené s kľúčmi spravovanými zákazníkom.

Úlohy správcu služby Azure Key Vault a Power Platform/Dynamics 365

Ak chcete povoliť kľúče spravované zákazníkom, najprv správca trezoru kľúčov vytvorí kľúč v trezore kľúčov Azure a vytvorí Power Platform podnikovú politiku. Keď sa vytvorí podniková politika, vytvorí sa špeciálna Microsoft Entra ID spravovaná identita. Potom sa správca trezoru kľúčov vráti do trezoru kľúčov Azure a udelí podnikovej politike/spravovanej identite prístup k šifrovaciemu kľúču.

Správca trezoru kľúčov potom udelí príslušnému správcovi služby Power Platform/Dynamics 365 prístup na čítanie podnikovej politiky. Po udelení povolenia na čítanie môže správca služby Power Platform/Dynamics 365 prejsť do centra spravovania Power Platform a pridať prostredia do podnikovej politiky. Všetky pridané údaje o prostrediach zákazníkov sú potom šifrované pomocou kľúča spravovaného zákazníkom prepojeného s touto podnikovou politikou.

Požiadavky

• Predplatné Azure, ktoré zahŕňa moduly hardvérového zabezpečenia spravované Azure Key Vault alebo Azure Key Vault.
• A Microsoft Entra ID s:
  • Povolenie prispievateľa k Microsoft Entra predplatnému.
  • Povolenie na vytvorenie Azure Key Vault a kľúča.
  • Prístup na vytvorenie skupiny prostriedkov. Toto je potrebné na nastavenie trezoru kľúčov.

Vytvorte kľúč a udeľte prístup pomocou Azure Key Vault

Správca Azure Key Vault vykonáva tieto úlohy v Azure.

1. Vytvorte platené predplatné Azure a Key Vault. Toto krok ignorujte, ak už máte predplatné, ktoré zahŕňa Azure Key Vault.
2. Prejdite do služby Azure Key Vault a vytvorte kľúč. Ďalšie informácie: Vytvorte kľúč v trezore kľúčov
3. Povoľte službu Power Platform podnikových zásad pre vaše predplatné Azure. Urobte to iba raz. Ďalšie informácie: Povoľte službu Power Platform podnikových zásad pre vaše predplatné Azure
4. Vytvorte Power Platform podnikovú politiku. Ďalšie informácie: Vytvorte podnikovú politiku
5. Udeľte povolenia podnikovej politiky na prístup k trezoru kľúčov. Ďalšie informácie: Udeľte povolenia podnikovej politike na prístup k trezoru kľúčov
6. Udeľte Power Platform a administrátorom Dynamics 365 povolenie na čítanie podnikovej politiky. Ďalšie informácie: Udeľte Power Platform právo správcu na čítanie podnikových zásad

Power Platform/Dynamics 365 service admin Power Platform úlohy administračného centra

Predpoklady

• Power Platform správca musí mať pridelenú rolu Power Platform alebo administrátor služby Dynamics 365 Microsoft Entra .

Spravujte šifrovanie prostredia v Power Platform centre spravovania

Administrátor Power Platform spravuje kľúčové úlohy spravované zákazníkom súvisiace s prostredím v Power Platform administračnom centre.

1. Pridajte Power Platform prostredia do podnikovej politiky na šifrovanie údajov pomocou kľúča spravovaného zákazníkom. Ďalšie informácie: Pridajte do podnikovej politiky prostredie na šifrovanie údajov
2. Odstráňte prostredia z podnikovej politiky a vráťte šifrovanie na Microsoft spravovaný kľúč. Ďalšie informácie: Odstráňte prostredia z politiky a vráťte sa k Microsoft spravovanému kľúču
3. Zmeňte kľúč odstránením prostredí zo starej podnikovej politiky a pridaním prostredí do novej podnikovej politiky. Ďalšie informácie: Vytvorte šifrovací kľúč a udeľte prístup
4. Migrovať z BYOK. Ak používate staršiu funkciu samospravovaného šifrovacieho kľúča, môžete svoj kľúč migrovať na kľúč spravovaný zákazníkom. Ďalšie informácie: Migrujte prostredia s vlastným kľúčom na kľúč spravovaný zákazníkom

Vytvorte šifrovací kľúč a udeľte prístup

Vytvorte platené predplatné Azure a trezor kľúčov

V Azure vykonajte nasledujúce kroky:

1. Vytvorte si priebežné predplatné alebo jeho ekvivalentné predplatné Azure. Toto krok nie je potrebné, ak nájomník už má predplatné.

2. Vytvorte skupinu prostriedkov. Ďalšie informácie: Vytvorte skupiny zdrojov

   Poznámka

   Vytvorte alebo použite skupinu prostriedkov, ktorá má umiestnenie, napríklad Stredné USA, ktoré zodpovedá Power Platform regiónu prostredia, napríklad Spojené štáty.

3. Vytvorte trezor kľúčov pomocou plateného predplatného, ​​ktoré zahŕňa ochranu proti mäkkému vymazaniu a vymazaniu so skupinou prostriedkov, ktorú ste vytvorili v predchádzajúcom krok.

   Dôležité

   • Aby bolo zaistené, že vaše prostredie je chránené pred náhodným vymazaním šifrovacieho kľúča, trezor kľúčov musí mať povolenú ochranu proti mäkkému vymazaniu a vymazaniu. Bez povolenia týchto nastavení nebudete môcť svoje prostredie zašifrovať vlastným kľúčom. Ďalšie informácie: Prehľad soft-delete Azure Key Vault Ďalšie informácie: Vytvorte trezor kľúčov pomocou Azure Portal

Vytvorte kľúč v trezore kľúčov

1. Uistite sa, že ste splnili predpoklady.
2. Prejdite na Portál Azure>Key Vault a nájdite trezor kľúčov, kde chcete vygenerovať šifrovací kľúč.
3. Overte nastavenia trezoru kľúčov Azure:
   1. Vyberte Vlastnosti v časti Nastavenia.
   2. V časti Soft-delete nastavte alebo overte, či je nastavená na V tejto možnosti trezoru kľúčov bolo povolené mäkké odstránenie.
   3. V časti Ochrana vymazania nastavte alebo overte, či Povoliť ochranu proti vymazaniu (vynútiť povinné obdobie uchovávania pre odstránené trezory a objekty trezoru) je povolené.
   4. Ak ste vykonali zmeny, vyberte Uložiť.

Vytvorte kľúče RSA

1. Vytvorte alebo importujte kľúč, ktorý má tieto vlastnosti:

   1. Na stránkach vlastností Key Vault vyberte Kľúče.
   2. Vyberte Generovať/Import.
   3. Na obrazovke Vytvoriť kľúč nastavte nasledujúce hodnoty a potom vyberte Vytvoriť.
      • Možnosti: Generovať
      • Názov: Zadajte názov kľúča
      • Typ kľúča: RSA
      • Veľkosť kľúča RSA: 2048

   Dôležité

   Ak v kľúči nastavíte dátum vypršania platnosti a platnosť kľúča vyprší, všetky prostredia, ktoré sú zašifrované týmto kľúčom, budú nefunkčné. Nastavte upozornenie na monitorovanie uplynutia platnosti certifikátov s e-mailovými upozorneniami pre miestneho Power Platform správcu a správcu trezora kľúčov Azure ako pripomienku na obnovenie dátumu vypršania platnosti. Je to dôležité, aby sa predišlo neplánovaným výpadkom systému.

Importovať chránené kľúče pre hardvérové ​​bezpečnostné moduly (HSM)

Svoje chránené kľúče pre hardvérové ​​bezpečnostné moduly (HSM) môžete použiť na šifrovanie svojich Power Platform Dataverse prostredí. Vaše kľúče chránené HSM musia byť importované do trezoru kľúčov , aby bolo možné vytvoriť podnikovú politiku. Ďalšie informácie nájdete v časti Podporované HSMImport kľúčov chránených HSM do Key Vault (BYOK).

Vytvorte kľúč v Azure Key Vault Managed HSM

Na šifrovanie údajov prostredia môžete použiť šifrovací kľúč vytvorený z Azure Key Vault Managed HSM. Získate tak podporu FIPS 140-2 úrovne 3.

Vytvorte kľúče RSA-HSM

1. Uistite sa, že ste splnili predpoklady.

2. Prejdite na portál Azure.

3. Vytvorte Spravovaný HSM:

   1. rezerva spravovaný HSM.
   2. Aktivujte spravovaný HSM.

4. Povoľte Ochranu vyčistenia v spravovanom HSM.

5. Udeľte rolu Používateľa spravovaného HSM Crypto osobe, ktorá vytvorila trezor kľúčov spravovaného HSM.

   1. Získajte prístup k trezoru kľúčov Managed HSM na portáli Azure.
   2. Prejdite na Miestne RBAC a vyberte + Pridať.
   3. V rozbaľovacom zozname Rola vyberte rolu Managed HSM Crypto User v Priradenie roly stránka.
   4. Vyberte Všetky kľúče v časti Rozsah.
   5. Vyberte možnosť Vybrať príkazcu zabezpečenia a potom vyberte správcu na stránke Pridať príkazcu .
   6. Vyberte položku Vytvoriť.

6. Vytvorte kľúč RSA-HSM:

   • Možnosti: Generovať
   • Názov: Zadajte názov kľúča
   • Typ kľúča: RSA-HSM
   • Veľkosť kľúča RSA: 2048

   Poznámka

   Podporované veľkosti kľúčov RSA-HSM: 2048-bit a 3072-bit.

Zašifrujte svoje prostredie kľúčom z Azure Key Vault so súkromným odkazom

Sieť vášho trezora kľúčov Azure môžete aktualizovať povolením súkromného koncového bodu a pomocou kľúča v trezore kľúčov zašifrovať svoje Power Platform prostredia.

Môžete buď vytvoriť nový trezor kľúčov a vytvoriť súkromné ​​prepojenie alebo vytvoriť súkromné ​​prepojenie s existujúcim trezorom kľúčov a vytvorte kľúč z tohto trezoru kľúčov a použite ho na šifrovanie vášho prostredia. Môžete tiež vytvoriť súkromné ​​prepojenie s existujúcim trezorom kľúčov po tom, čo ste už vytvorili kľúč a použili ho na šifrovanie svojho prostredia.

Šifrujte údaje kľúčom z trezoru kľúčov so súkromným odkazom

1. Vytvorte Azure Key trezor s týmito možnosťami:

   • Povoliť Ochranu vyčistenia
   • Typ kľúča: RSA
   • Veľkosť kľúča: 2048

2. Skopírujte adresu URL trezora kľúčov a adresu URL šifrovacieho kľúča, ktoré sa majú použiť na vytvorenie podnikovej politiky.

   Poznámka

   Po pridaní súkromného koncového bodu do trezoru kľúčov alebo deaktivácii siete s verejným prístupom nebudete môcť kľúč vidieť, pokiaľ nemáte príslušné povolenie.

3. Vytvorte virtuálnu sieť.

4. Vráťte sa do svojho trezoru kľúčov a pridajte súkromné ​​pripojenia koncového bodu do svojho trezoru kľúčov Azure.

   Poznámka

   Musíte vybrať možnosť Zakázať verejný prístup sieť a povoliť možnosť Povoliť dôveryhodným Microsoft službám obísť tento firewall výnimka.

5. Vytvorte Power Platform podnikovú politiku. Ďalšie informácie: Vytvorte podnikovú politiku

6. Udeľte povolenia podnikovej politiky na prístup k trezoru kľúčov. Ďalšie informácie: Udeľte povolenia podnikovej politike na prístup k trezoru kľúčov

7. Udeľte Power Platform a administrátorom Dynamics 365 povolenie na čítanie podnikovej politiky. Ďalšie informácie: Udeľte Power Platform právo správcu na čítanie podnikových zásad

8. Power Platform admin center admin vyberie prostredie na šifrovanie a povolenie spravovaného prostredia. Ďalšie informácie: Povoľte pridanie spravovaného prostredia do podnikovej politiky

9. Power Platform admin centra admin pridáva spravované prostredie do podnikovej politiky. Ďalšie informácie: Pridajte do podnikovej politiky prostredie na šifrovanie údajov

Povoľte službu Power Platform podnikových zásad pre vaše predplatné Azure

Zaregistrujte sa Power Platform ako poskytovateľ zdrojov. Túto úlohu musíte vykonať iba raz pre každé predplatné Azure, kde sa nachádza váš trezor kľúčov Azure. Ak chcete zaregistrovať poskytovateľa zdrojov, musíte mať prístupové práva k odberu.

1. Prihláste sa na portál Azure a prejdite na Predplatné>Poskytovatelia zdrojov.
2. V zozname Poskytovateľov zdrojov vyhľadajte Microsoft.PowerPlatform a Registrovať it.

Vytvorte podnikovú politiku

1. Nainštalujte PowerShell MSI. Ďalšie informácie: Nainštalujte PowerShell na Windows, Linux a macOS
2. Po nainštalovaní PowerShell MSI sa vráťte na Nasadenie vlastnej šablóny v Azure.
3. Vyberte odkaz Vytvoriť vlastnú šablónu v editore .
4. Skopírujte túto šablónu JSON do textového editora, ako je napríklad Poznámkový blok. Ďalšie informácie: Šablóna json podnikovej politiky
5. Nahraďte hodnoty v šablóne JSON za: EnterprisePolicyName, umiestnenie, kde je potrebné vytvoriť EnterprisePolicy, keyVaultId a keyName. Ďalšie informácie: Definície polí pre šablónu json
6. Skopírujte aktualizovanú šablónu z textového editora a potom ju prilepte do Upraviť šablónu v Vlastné nasadenie v Azure, a vyberte Uložiť.
7. Vyberte Predplatné a Skupinu zdrojov , kde sa má vytvoriť podniková politika.
8. Vyberte Skontrolovať + vytvoriť a potom vyberte Vytvoriť.

Spustí sa nasadenie. Po dokončení sa vytvorí podniková politika.

Šablóna json podnikovej politiky

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definície polí pre šablónu JSON

• meno. Názov podnikovej politiky. Toto je názov pravidiel, ktoré sa zobrazujú v Power Platform centre spravovania.

• umiestnenie. Jeden z nasledujúcich. Toto je umiestnenie podnikovej politiky a musí zodpovedať Dataverse regiónu prostredia:

  • '"Spojené štáty americké"'
  • '"Južná Afrika"'
  • '"uk"'
  • '"japonsko"'
  • '"India"'
  • '"francúzsko"'
  • '"európa"'
  • '"nemecko"'
  • '"švajčiarsko"'
  • '"Kanada"'
  • '"brazília"'
  • '"Austrália"'
  • '"ázia"'
  • '"uae"'
  • "Kórea""
  • '"nórsko"'
  • '"singapur"'
  • '"švédsko"'

• Skopírujte tieto hodnoty z vlastností vášho trezora kľúčov na portáli Azure:

  • keyVaultId: Prejdite na Bezpečnosti kľúčov> vyberte svoj trezor kľúčov >Prehľad. Vedľa položky Essentials vyberte Zobrazenie JSON. Skopírujte ID zdroja do schránky a vložte celý obsah do svojej šablóny JSON.
  • keyName: Prejdite na Trezory kľúčov> vyberte svoj trezor kľúčov >Kľúče. Všimnite si kľúč Názov a zadajte názov do šablóny JSON.

Udeľte povolenia podnikovej politiky na prístup k trezoru kľúčov

Po vytvorení podnikovej politiky správca trezoru kľúčov udelí prístup k identite spravovanej podnikovej politiky k šifrovaciemu kľúču.

1. Prihláste sa na portál Azure a prejdite na Kľúčové trezory.
2. Vyberte trezor kľúčov, ku ktorému bol kľúč priradený k podnikovej politike.
3. Vyberte kartu Ovládanie prístupu (IAM) a potom vyberte + Pridať.
4. V rozbaľovacom zozname vyberte možnosť Pridať priradenie roly ,
5. Vyhľadajte používateľa Key Vault Crypto Service Encryption a vyberte ho.
6. Vyberte Ďalej.
7. Vybrať + Vybrať členov.
8. Vyhľadajte podnikovú politiku, ktorú ste vytvorili.
9. Vyberte podnikovú politiku a potom vyberte Vybrať.
10. Vyberte Skontrolovať + priradiť.

Poznámka

Vyššie uvedené nastavenie povolení je založené na modelu povolení Azure riadenia prístupu na základe roly vášho trezora kľúčov. Ak je váš trezor kľúčov nastavený na Pravidlá prístupu k trezoru, odporúča sa migrovať na model založený na rolách. Ak chcete svojej podnikovej politike udeliť prístup k trezoru kľúčov pomocou Pravidlá prístupu k trezoru, vytvorte politiku prístupu, vyberte Získať na Operácie správy kľúčov a Rozbaliť kľúč a Zabaliť kľúč na Kryptografické operácie.

Poznámka

Aby sa predišlo akýmkoľvek neplánovaným výpadkom systému, je dôležité, aby podniková politika mala prístup ku kľúču. Uistite sa, že:

• Trezor kľúčov je aktívny.
• Kľúč je aktívny a nevypršala platnosť.
• Kľúč nie je vymazaný.
• Vyššie uvedené kľúčové povolenia nie sú odvolané.

Prostredia, ktoré používajú tento kľúč, budú deaktivované, keď šifrovací kľúč nebude dostupný.

Udeľte Power Platform právo správcu na čítanie podnikových zásad

Správcovia, ktorí majú roly správcu Dynamics 365 alebo Power Platform , môžu pristupovať do Power Platform centra spravovania a priradiť prostredia k podnikovej politike. Na prístup k podnikovým pravidlám sa vyžaduje, aby správca s prístupom k trezoru kľúčov Azure udelil rolu Čítateľ správcovi Power Platform . Po udelení roly Čítateľ správca Power Platform môže prezerať podnikové pravidlá v Power Platform centre spravovania.

Poznámka

Iba správcovia Power Platform a Dynamics 365, ktorí majú pridelenú rolu čitateľa k podnikovej politike, môžu do politiky pridať prostredie. Iní Power Platform alebo správcovia Dynamics 365 môžu mať možnosť zobraziť podnikovú politiku, ale pri pokuse o Pridať prostredie do politika.

Udeľte rolu čitateľa Power Platform správcovi

1. Prihláste sa na portál Azure.
2. Skopírujte Power Platform alebo ID objektu správcu Dynamics 365. Postup:
   1. Prejdite do oblasti Používatelia v Azure.
   2. V zozname Všetci používatelia nájdite používateľa s Power Platform alebo oprávneniami správcu Dynamics 365 pomocou Hľadať používateľov.
   3. Otvorte záznam používateľa a na karte Prehľad skopírujte ID objektu používateľa. Prilepte ho do textového editora, ako je napríklad Poznámkový blok na neskôr.
3. Skopírujte ID prostriedku podnikovej politiky. Postup:
   1. Prejdite do Resource Graph Explorer v Azure.
   2. Zadajte microsoft.powerplatform/enterprisepolicies do poľa Hľadať a potom vyberte microsoft.powerplatform/enterprisepolicies zdroj.
   3. Na paneli príkazov vyberte Spustiť dotaz . Zobrazí sa zoznam všetkých Power Platform podnikových zásad.
   4. Nájdite podnikovú politiku, ktorej chcete udeliť prístup.
   5. Posuňte sa napravo od podnikovej politiky a vyberte Zobraziť podrobnosti.
   6. Na stránke Podrobnosti skopírujte id.
4. Spustite Azure Cloud Shell a spustite nasledujúci príkaz, ktorý nahradí objId ID objektu používateľa a ID zdroja EP s enterprisepolicies ID skopírovaným v predchádzajúcich krokoch: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Spravujte šifrovanie prostredia

Ak chcete spravovať šifrovanie prostredia, potrebujete nasledujúce povolenie:

• Microsoft Entra aktívny používateľ, ktorý má správcu Power Platform a/alebo Dynamics 365 rola zabezpečenia.
• Microsoft Entra používateľa, ktorý má rolu správcu služby Power Platform alebo Dynamics 365.

Správca trezoru kľúčov upozorní správcu Power Platform , že bol vytvorený šifrovací kľúč a podniková politika, a poskytne podnikovú politiku Power Platform správcovi. Ak chcete povoliť kľúč spravovaný zákazníkom, Power Platform admin priradí ich prostrediam podnikovej politike. Po priradení a uložení prostredia Dataverse spustí proces šifrovania na nastavenie všetkých údajov prostredia a zašifruje ich kľúčom spravovaným zákazníkom.

Povoľte pridanie spravovaného prostredia do podnikovej politiky

1. Prihláste sa do Power Platform centra spravovania a nájdite prostredie.
2. Vyberte a skontrolujte prostredie v zozname prostredí.
3. Vyberte ikonu Povoliť Spravované prostredia na paneli akcií.
4. Vyberte položku Povoliť.

Pridajte prostredie do podnikovej politiky na šifrovanie údajov

Dôležité

Prostredie bude deaktivované, keď sa pridá do podnikovej politiky pre šifrovanie údajov.

1. Prihláste sa do Power Platform centra spravovania a prejdite na Pravidlá>Podnikové pravidlá.
2. Vyberte politiku a potom na paneli príkazov vyberte Upraviť.
3. Vyberte Pridať prostredia, vyberte požadované prostredie a potom vyberte Pokračovať.
4. Vyberte Uložiť a potom vyberte Potvrdiť.

Dôležité

• V zozname Pridať prostredia sa zobrazujú iba prostredia, ktoré sa nachádzajú v rovnakej oblasti ako podniková politika.
• Dokončenie šifrovania môže trvať až štyri dni, ale prostredie môže byť povolené pred dokončením operácie Pridať prostredia .
• Operácia sa nemusí dokončiť a ak zlyhá, vaše údaje budú naďalej šifrované pomocou Microsoft spravovaného kľúča. Operáciu Pridať prostredia môžete znova spustiť.

Poznámka

Môžete pridať iba prostredia, ktoré sú povolené ako Spravované prostredia. Typy prostredia Trial a Teams nie je možné pridať do podnikovej politiky.

Ak sa chcete vrátiť k Microsoft spravovanému kľúču, odstráňte prostredia z politiky

Ak sa chcete vrátiť k Microsoft spravovanému šifrovaciemu kľúču, postupujte podľa týchto krokov.

Dôležité

Prostredie bude deaktivované, keď bude odstránené z podnikovej politiky, aby sa vrátilo šifrovanie údajov pomocou spravovaného kľúča Microsoft .

1. Prihláste sa do Power Platform centra spravovania a prejdite na Pravidlá>Podnikové pravidlá.
2. Vyberte kartu Prostredie s politikami a potom nájdite prostredie, ktoré chcete odstrániť z kľúča spravovaného zákazníkom.
3. Vyberte kartu Všetky pravidlá , vyberte prostredie, ktoré ste overili v krok 2, a potom vyberte možnosť Upraviť politiku na príkazový riadok.
4. Na paneli príkazov vyberte Odstrániť prostredie , vyberte prostredie, ktoré chcete odstrániť, a potom vyberte Pokračovať.
5. Vyberte položku Uložiť.

Dôležité

Prostredie bude deaktivované, keď bude odstránené z podnikovej politiky, aby sa vrátilo šifrovanie údajov na Microsoft-spravovaný kľúč. Neodstraňujte ani nedeaktivujte kľúč, neodstraňujte ani nevypínajte trezor kľúčov ani neodstraňujte povolenia podnikovej politiky k trezoru kľúčov. Prístup ku kľúčom a trezoru kľúčov je potrebný na podporu obnovy databázy. Po 30 dňoch môžete vymazať a odstrániť povolenia podnikovej politiky.

Skontrolujte stav šifrovania prostredia

Skontrolujte stav šifrovania z podnikových politík

1. Prihláste sa do centra spravovania Power Platform.

2. Vyberte Pravidlá>Podnikové pravidlá.

3. Vyberte politiku a potom na paneli príkazov vyberte Upraviť.

4. Skontrolujte Stav šifrovania prostredia v sekcii Prostredia s touto politikou .

   Poznámka

   Stav šifrovania prostredia môže byť:

   • Šifrované – šifrovací kľúč podnikovej politiky je aktívny a prostredie je zašifrované vaším kľúčom.
   • Zlyhalo – šifrovací kľúč podnikovej politiky nepoužívajú všetky Dataverse služby úložiska. Ich spracovanie si vyžaduje viac času a môžete znova spustiť operáciu Pridať prostredie . Ak opätovné spustenie zlyhá, kontaktujte podporu.
   • Upozornenie – šifrovací kľúč podnikovej politiky je aktívny a jedno z údajov služby je naďalej šifrované pomocou spravovaného kľúča Microsoft. Ďalšie informácie: Power Automate Varovná hlásenia aplikácie CMK

   Môžete znova spustiť možnosť Pridať prostredie pre prostredie, ktoré má stav šifrovania Zlyhalo .

Skontrolujte stav šifrovania na stránke História prostredia

Môžete si pozrieť históriu prostredia.

1. Prihláste sa do centra spravovania Power Platform.

2. Na navigačnej table vyberte Prostredia a potom vyberte prostredie zo zoznamu.

3. Na paneli príkazov vyberte História.

4. Vyhľadajte históriu Aktualizovať kľúč spravovaný zákazníkom.

   Poznámka

   Stav zobrazuje Spustené , keď prebieha šifrovanie. Po dokončení šifrovania sa zobrazí Úspešné . Stav zobrazuje Zlyhalo , keď sa vyskytol problém s niektorou zo služieb, ktorá nedokáže použiť šifrovací kľúč.

   A Zlyhanie môže byť varovanie a nemusíte znova spúšťať Pridať možnosť prostredia . Môžete potvrdiť, či ide o varovanie.

Zmeňte šifrovací kľúč prostredia pomocou novej podnikovej politiky a kľúča

Ak chcete zmeniť svoj šifrovací kľúč, vytvorte nový kľúč a novú podnikovú politiku. Potom môžete zmeniť podnikovú politiku odstránením prostredí a pridaním prostredí do novej podnikovej politiky. Pri prechode na novú podnikovú politiku sa systém dvakrát nestihol – 1) vrátiť šifrovanie na Microsoft Spravovaný kľúč a 2) použiť novú podnikovú politiku.

Prepitné

Ak chcete otočiť šifrovací kľúč, odporúčame použiť Nová verzia Trezory kľúčov alebo nastaviť Politiku rotácie.

1. Na portáli Azure vytvorte nový kľúč a novú podnikovú politiku. Ďalšie informácie: Vytvorte šifrovací kľúč a udeľte prístup a Vytvorte podnikovú politiku
2. Po vytvorení nového kľúča a podnikovej politiky prejdite na Pravidlá>Podnikové pravidlá.
3. Vyberte kartu Prostredie s politikami a potom nájdite prostredie, ktoré chcete odstrániť z kľúča spravovaného zákazníkom.
4. Vyberte kartu Všetky pravidlá , vyberte prostredie, ktoré ste overili v krok 2, a potom vyberte možnosť Upraviť politiku na príkazový riadok.
5. Na paneli príkazov vyberte Odstrániť prostredie , vyberte prostredie, ktoré chcete odstrániť, a potom vyberte Pokračovať.
6. Vyberte položku Uložiť.
7. Opakujte kroky 2-6, kým sa neodstránia všetky prostredia v podnikovej politike.

Dôležité

Prostredie bude deaktivované, keď bude odstránené z podnikovej politiky, aby sa vrátilo šifrovanie údajov na Microsoft-spravovaný kľúč. Neodstraňujte ani nedeaktivujte kľúč, neodstraňujte ani nedeaktivujte trezor kľúčov ani neodstraňujte povolenia podnikovej politiky k trezoru kľúčov. Prístup ku kľúčom a trezoru kľúčov je potrebný na podporu obnovy databázy. Po 30 dňoch môžete vymazať a odstrániť povolenia podnikovej politiky.

1. Po odstránení všetkých prostredí prejdite z Power Platform centra spravovania na Podnikové pravidlá.
2. Vyberte novú podnikovú politiku a potom vyberte Upraviť politiku.
3. Vyberte Pridať prostredie, vyberte prostredia, ktoré chcete pridať, a potom vyberte Pokračovať.

Dôležité

Prostredie bude deaktivované, keď bude pridané do novej podnikovej politiky.

Otočte šifrovací kľúč prostredia novou verziou kľúča

Šifrovací kľúč prostredia môžete zmeniť vytvorením novej verzie kľúča. Keď vytvoríte novú verziu kľúča, nová verzia kľúča sa automaticky povolí. Všetky prostriedky úložiska zistia novú verziu kľúča a začnú ju používať na šifrovanie vašich údajov.

Keď upravíte kľúč alebo verziu kľúča, zmení sa ochrana koreňového šifrovacieho kľúča, ale údaje v úložisku vždy zostanú šifrované vaším kľúčom. Z vašej strany nie sú potrebné žiadne ďalšie kroky na zabezpečenie ochrany vašich údajov. Otočenie verzie kľúča nemá vplyv na výkon. S otáčaním verzie kľúča nie sú spojené žiadne prestoje. Môže trvať 24 hodín, kým všetci poskytovatelia zdrojov použijú novú verziu kľúča na pozadí. Predchádzajúca verzia kľúča nesmie byť zakázaná , pretože sa vyžaduje, aby ju služba použila na opätovné zašifrovanie a na podporu obnovy databázy.

Ak chcete otočiť šifrovací kľúč vytvorením novej verzie kľúča, postupujte podľa nasledujúcich krokov.

1. Prejdite na portál Azure>Key Vaults a nájdite trezor kľúčov, kde chcete vytvoriť novú verziu kľúča.
2. Prejdite na Kľúče.
3. Vyberte aktuálny povolený kľúč.
4. Vyberte + Nová verzia.
5. Nastavenie Povolené je predvolene Áno, čo znamená, že nová verzia kľúča sa po vytvorení automaticky povolí.
6. Vyberte položku Vytvoriť.

Prepitné

Ak chcete dodržať zásady striedania kľúčov, môžete šifrovací kľúč otáčať pomocou Zásady striedania. Môžete buď nakonfigurovať politiku rotácie, alebo rotovať na požiadanie vyvolaním Otočiť teraz.

Dôležité

Nová verzia kľúča sa automaticky otáča na pozadí a admin nevyžaduje žiadnu akciu. Je dôležité, že predchádzajúca verzia kľúča nesmie byť zakázaná alebo vymazaná aspoň 28 dní, aby sa podporila obnova databázy. Power Platform Zakázanie alebo odstránenie predchádzajúcej verzie kľúča príliš skoro môže previesť vaše prostredie do režimu offline.

Pozrite si zoznam šifrovaných prostredí

1. Prihláste sa do Power Platform centra spravovania a prejdite na Pravidlá>Podnikové pravidlá.
2. Na stránke Podnikové pravidlá vyberte kartu Prostredia s pravidlami . Zobrazí sa zoznam prostredí, ktoré boli pridané do podnikových politík.

Poznámka

Môžu nastať situácie, keď Stav prostredia alebo Stav šifrovania zobrazuje Zlyhalo stav. Keď k tomu dôjde, môžete skúsiť znova spustiť operáciu Pridať prostredie alebo odoslať žiadosť o pomoc Microsoft na podporu.

Operácie s prostrediami databázy

Nájomník zákazníka môže mať prostredia, ktoré sú šifrované pomocou spravovaného kľúča Microsoft , a prostredia, ktoré sú šifrované kľúčom spravovaným zákazníkom. Na zachovanie integrity údajov a ochrany údajov sú pri riadení operácií databázy prostredia k dispozícii nasledujúce ovládacie prvky.

• Obnoviť Prostredie, ktoré sa má prepísať (obnovené do prostredia), je obmedzené na rovnaké prostredie, z ktorého bola záloha prevzatá, alebo do iného prostredia, ktoré je zašifrované rovnakým kľúčom spravovaným zákazníkom.

  

• Kopírovať Prostredie, ktoré sa má prepísať (skopírované do prostredia), je obmedzené na iné prostredie, ktoré je zašifrované rovnakým kľúčom spravovaným zákazníkom.

  

  Poznámka

  Ak bolo vytvorené prostredie na skúmanie podpory na vyriešenie problému podpory v prostredí riadenom zákazníkom, musí sa šifrovací kľúč pre prostredie na skúmanie podpory zmeniť na kľúč spravovaný zákazníkom predtým, ako bude možné vykonať operáciu kopírovania prostredia.

• Obnoviť Zašifrované údaje prostredia sa odstránia vrátane záloh. Po resetovaní prostredia sa šifrovanie prostredia vráti späť na Microsoft spravovaný kľúč.

Ďalšie kroky

O Azure Key Vault