Zdieľať cez

Spravujte svoj šifrovací kľúč spravovaný zákazníkom

Zákazníci majú požiadavky na ochranu osobných údajov a dodržiavanie predpisov, aby zabezpečili svoje údaje šifrovaním svojich uložených údajov. Toto chráni dáta pred únikom v prípade krádeže kópie databázy. Vďaka šifrovaniu údajov v pokoji sú ukradnuté databázové údaje chránené pred obnovením na iný server bez šifrovacieho kľúča.

Všetky údaje o zákazníkoch uložené v Power Platform sú v pokoji štandardne šifrované pomocou silných šifrovacích kľúčov spravovaných spoločnosťou Microsoft. Spoločnosť Microsoft ukladá a spravuje šifrovací kľúč databázy pre všetky vaše údaje, aby ste to nemuseli robiť vy. Avšak Power Platform poskytuje tento šifrovací kľúč spravovaný zákazníkom (CMK) pre vašu dodatočnú kontrolu ochrany údajov, kde si môžete sami spravovať šifrovací kľúč databázy, ktorý je priradený k vášmu Microsoft Dataverse prostrediu. To vám umožňuje na požiadanie otočiť alebo vymeniť šifrovací kľúč a tiež vám umožňuje zabrániť spoločnosti Microsoft v prístupe k údajom vašich zákazníkov, keď kedykoľvek zrušíte prístup kľúča k našim službám.

Ak sa chcete dozvedieť viac o kľúči spravovanom zákazníkom v časti Power Platform, pozrite si video o kľúči spravovanom zákazníkom.

Tieto operácie so šifrovacím kľúčom sú k dispozícii s kľúčom spravovaným zákazníkom (CMK):

  • Vytvorte kľúč RSA (RSA-HSM) z trezora kľúčov Azure.
  • Vytvorte pre svoj kľúč podnikovú politiku. Power Platform
  • Udeľte povolenie na prístup k vášmu trezoru kľúčov v rámci podnikovej politiky. Power Platform
  • Udeľte správcovi služby prístup k podnikovým pravidlám. Power Platform
  • Použite šifrovací kľúč na svoje prostredie.
  • Obnoviť/odstrániť šifrovanie CMK prostredia na kľúč spravovaný spoločnosťou Microsoft.
  • Zmeňte kľúč vytvorením novej podnikovej politiky, odstránením prostredia z CMK a opätovným použitím CMK s novou podnikovou politikou.
  • Uzamknite prostredia CMK zrušením trezoru kľúčov CMK a/alebo povolení kľúča.
  • Migrujte prostredia typu „prines si vlastný kľúč“ (BYOK) do CMK použitím kľúča CMK. ...

V súčasnosti je možné všetky údaje o vašich zákazníkoch uložené iba v nasledujúcich aplikáciách a službách šifrovať pomocou kľúča spravovaného zákazníkom:

Poznámka

  • Informácie o podpore kľúčov spravovaných zákazníkom získate od zástupcu v prípade služieb, ktoré nie sú uvedené vyššie.
  • Nuance Konverzačný IVR a uvítací obsah tvorcu sú vylúčené zo šifrovania kľúčov spravovaného zákazníkom.
  • Nastavenia pripojenia pre konektory sú naďalej šifrované kľúčom spravovaným spoločnosťou Microsoft.
  • Power Apps Zobrazované názvy, popisy a metadáta pripojenia sú naďalej šifrované kľúčom spravovaným spoločnosťou Microsoft.
  • Odkaz na stiahnutie výsledkov a ďalšie údaje vytvorené kontrolou riešení počas kontroly riešenia sú naďalej šifrované kľúčom spravovaným spoločnosťou Microsoft.

Prostredia s finančnými a prevádzkovými aplikáciami, kde je povolená integrácia, je tiež možné šifrovať. Power Platform Finančné a prevádzkové prostredia bez integrácie naďalej používajú na šifrovanie údajov predvolený kľúč spravovaný spoločnosťou Microsoft. Power Platform Viac informácií nájdete v časti Šifrovanie vo finančných a prevádzkových aplikáciách. ...

Šifrovací kľúč spravovaný zákazníkom v Power Platform

Úvod do kľúča spravovaného zákazníkom

Vďaka kľúču spravovanému zákazníkom môžu správcovia poskytnúť svoj vlastný šifrovací kľúč zo svojho vlastného trezora kľúčov Azure do úložných služieb na šifrovanie údajov svojich zákazníkov. Power Platform Spoločnosť Microsoft nemá priamy prístup k vášmu Azure Key Vault. Aby služby mohli pristupovať k šifrovaciemu kľúču z vášho Azure Key Vault, správca vytvorí podnikovú politiku, ktorá odkazuje na šifrovací kľúč a udeľuje tejto podnikovej politike prístup na čítanie kľúča z vášho Azure Key Vault. Power Platform Power Platform

Správca služby potom môže do podnikovej politiky pridať prostredia, aby sa všetky údaje o zákazníkoch v prostredí začali šifrovať pomocou vášho šifrovacieho kľúča. Power Platform Dataverse Správcovia môžu zmeniť šifrovací kľúč prostredia vytvorením inej podnikovej politiky a pridaním prostredia (po jeho odstránení) do novej podnikovej politiky. Ak prostredie už nie je potrebné šifrovať pomocou kľúča spravovaného zákazníkom, správca môže odstrániť prostredie z podnikovej politiky, aby sa šifrovanie údajov vrátilo späť na kľúč spravovaný spoločnosťou Microsoft. Dataverse

Správca môže uzamknúť kľúčové prostredia spravované zákazníkom zrušením prístupu kľúča z podnikovej politiky a odomknúť prostredia obnovením prístupu kľúča. Viac informácií: Uzamknutie prostredí zrušením prístupu k trezoru kľúčov a/alebo povolenia na prístup k kľúču

Pre zjednodušenie úloh správy kľúčov sú úlohy rozdelené do troch hlavných oblastí:

  1. Vytvorte šifrovací kľúč.
  2. Vytvorte podnikovú politiku a udeľte prístup.
  3. Spravujte šifrovanie prostredia.

Upozornenie

Keď sú prostredia uzamknuté, nikto k nim nemá prístup, vrátane podpory spoločnosti Microsoft. Uzamknuté prostredia sa deaktivujú a môže dôjsť k strate údajov.

Licenčné požiadavky pre kľúč spravovaný zákazníkom

Zásady kľúčov spravovaných zákazníkom sa vynucujú iba v prostrediach, ktoré sú aktivované pre spravované prostredia. Spravované prostredia sú zahrnuté ako nárok v samostatných licenciách Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, ktoré poskytujú prémiové práva na používanie. Získajte viac informácií o licencovaní spravovaného prostredia v prehľade licencovania pre platformu **Managed Environment**. ... Microsoft Power Platform

Okrem toho prístup k používaniu kľúča spravovaného zákazníkom pre Microsoft Power Platform a Dynamics 365 vyžaduje, aby používatelia v prostrediach, kde sa vynucuje politika šifrovacieho kľúča, mali jedno z týchto predplatných:

  • Microsoft 365 alebo Office 365 A5/E5/G5
  • Dodržiavanie súladu pre Microsoft 365 A5/E5/F5/G5
  • Zabezpečenie a dodržiavanie súladu pre Microsoft 365 F5
  • Ochrana a riadenie informácií Microsoft 365 A5/E5/F5/G5
  • Spravovanie rizík zvnútra pre Microsoft 365 A5/E5/F5/G5

Získajte viac informácií o týchto licenciách.

Pochopte potenciálne riziko pri správe kľúčov

Rovnako ako u akejkoľvek kritické aplikácie personálu vo vašej organizácii, ktorí majú prístup na administratívnej úrovni musí byť dôveryhodný. Predtým, ako použijete funkciu riadenia pomocou kľúča, mali by ste pochopiť riziko spojené so spravovaním databázy šifrovacích kľúčov. Je možné, že zlomyseľný správca (osoba, ktorej je udelený alebo získala prístup na úrovni správcu s úmyslom poškodiť bezpečnosť alebo obchodné procesy organizácie) pracujúci vo vašej organizácii by mohol použiť funkciu správy kľúčov na vytvorenie kľúča a použiť ho na uzamknutie vašich prostredí v nájomníkovi.

Zvážte nasledujúci sled udalostí.

Správca škodlivého trezoru kľúčov vytvorí kľúč a podnikovú politiku na portáli Azure. Správca služby Azure Key Vault prejde do centra spravovania a pridá prostredia do podnikovej politiky. Power Platform Zlomyseľný správca sa potom vráti na portál Azure a zruší prístup kľúča k podnikovej politike, čím uzamkne všetky prostredia. To spôsobuje prerušenie prevádzky, pretože všetky prostredia sa stanú neprístupnými a ak sa táto udalosť nevyrieši, teda neobnoví sa prístup ku kľúčom, údaje o prostredí sa môžu potenciálne stratiť.

Poznámka

  • Azure Key Vault má vstavané bezpečnostné opatrenia, ktoré pomáhajú obnoviť kľúč, a ktoré vyžadujú povolené nastavenia Odolné odstránenie a Ochrana pred vymazaním trezora kľúčov.
  • Ďalším ochranným opatrením, ktoré treba zvážiť, je zabezpečiť oddelenie úloh, kde správca služby Azure Key Vault nemá udelený prístup k centru spravovania. Power Platform

Oddelenie povinností na zmiernenie rizika

Táto časť popisuje úlohy kľúčových funkcií spravovaných zákazníkom, za ktoré je zodpovedná každá administrátorská rola. Oddelenie týchto úloh pomáha zmierniť riziko spojené s kľúčmi spravovanými zákazníkom.

Úlohy správcu služby Azure Key Vault a Dynamics 365 Power Platform

Ak chcete povoliť kľúče spravované zákazníkom, správca trezora kľúčov najprv vytvorí kľúč v trezore kľúčov Azure a vytvorí podnikovú politiku. Power Platform Pri vytváraní podnikovej politiky sa vytvorí špeciálna spravovaná identita s ID. Microsoft Entra Správca trezoru kľúčov sa potom vráti do trezoru kľúčov Azure a udelí podnikovej politike/spravovanej identite prístup k šifrovaciemu kľúču.

Správca trezoru kľúčov potom udelí príslušnému správcovi služby **/Dynamics 365** prístup na čítanie k podnikovej politike. Power Platform Po udelení povolenia na čítanie môže správca služby **/Dynamics 365** prejsť do Centra spravovania a pridať prostredia do podnikovej politiky. Power Platform Power Platform Všetky pridané údaje zákazníkov v prostrediach sú potom šifrované kľúčom spravovaným zákazníkom, ktorý je prepojený s touto podnikovou politikou.

Požiadavky
  • Predplatné služby Azure, ktoré zahŕňa moduly zabezpečenia spravovaného hardvéru služby Azure Key Vault alebo služby Azure Key Vault.
  • ID s: Microsoft Entra
    • Povolenie prispievateľa k odberu. Microsoft Entra
    • Povolenie na vytvorenie trezora kľúčov Azure a kľúča.
    • Prístup na vytvorenie skupiny zdrojov. Toto je potrebné na nastavenie trezora kľúčov.
Vytvorte kľúč a udeľte prístup pomocou služby Azure Key Vault

Správca Azure Key Vault vykonáva tieto úlohy v Azure.

  1. Vytvorte si platené predplatné Azure a Key Vault. Ak už máte predplatné, ktoré zahŕňa Azure Key Vault, tento krok ignorujte.
  2. Prejdite do služby Azure Key Vault a vytvorte kľúč. Viac informácií: Vytvorenie kľúča v trezore kľúčov
  3. Povoľte službu podnikových politík pre vaše predplatné Azure. Power Platform Urobte to iba raz. Viac informácií: Povolenie služby Power Platform podnikových politík pre vaše predplatné Azure
  4. Vytvorte podnikovú politiku. Power Platform Viac informácií: Vytvorenie podnikovej politiky
  5. Udeľte povolenia podnikovej politiky na prístup k trezoru kľúčov. Viac informácií: Udelenie povolení na prístup k trezoru kľúčov v rámci podnikovej politiky
  6. Udeľte administrátorom Power Platform a Dynamics 365 povolenie na čítanie podnikovej politiky. Viac informácií: Udeľte Power Platform administrátorské oprávnenie na čítanie podnikových pravidiel

Power Platform/Úlohy centra spravovania administrácie služby Dynamics 365 Power Platform

Predpoklady

Power Platform Správca musí byť priradený buď k role správcu služby Dynamics 365, alebo k role správcu služby Dynamics 365. Power Platform Microsoft Entra

Spravujte šifrovanie prostredia v centre spravovania Power Platform

Administrátor spravuje kľúčové úlohy spravované zákazníkom súvisiace s prostredím v centre spravovania. Power Platform Power Platform

  1. Pridajte prostredia do podnikovej politiky na šifrovanie údajov pomocou kľúča spravovaného zákazníkom. Power Platform Viac informácií: Pridajte prostredie do podnikovej politiky na šifrovanie údajov
  2. Odstráňte prostredia z podnikovej politiky, aby sa šifrovanie vrátilo na kľúč spravovaný spoločnosťou Microsoft. Viac informácií: Odstránenie prostredí z politiky pre návrat k spravovanému kľúču od spoločnosti Microsoft
  3. Zmeňte kľúč odstránením prostredí zo starej podnikovej politiky a pridaním prostredí do novej podnikovej politiky. Viac informácií: Vytvorenie šifrovacieho kľúča a udelenie prístupu
  4. Migrujte z BYOK. Ak používate staršiu funkciu samostatne spravovaného šifrovacieho kľúča, môžete svoj kľúč migrovať na kľúč spravovaný zákazníkom. Viac informácií nájdete v časti Migrácia prostredí s vlastným kľúčom na kľúč spravovaný zákazníkom.

Vytvoriť šifrovací kľúč a udeliť prístup

Vytvorenie plateného predplatného Azure a trezora kľúčov

V Azure vykonajte nasledujúce kroky:

  1. Vytvorte si predplatné s platbou podľa spotreby alebo ekvivalentné predplatné Azure. Tento krok nie je potrebný, ak už nájomník má predplatné.

  2. Vytvorte skupinu zdrojov. Viac informácií: Vytvorenie skupín zdrojov

    Poznámka

    Vytvorte alebo použite skupinu zdrojov s umiestnením, napríklad v strednej časti USA, ktoré zodpovedá regiónu prostredia, napríklad v Spojených štátoch. Power Platform

  3. Vytvorte trezor kľúčov pomocou plateného predplatného, ktoré zahŕňa ochranu pred obnoviteľným odstránením a vymazaním so skupinou zdrojov, ktorú ste vytvorili v predchádzajúcom kroku.

    Dôležité

    Aby bolo vaše prostredie chránené pred náhodným vymazaním šifrovacieho kľúča, musí mať trezor kľúčov povolenú ochranu pred obnoviteľným odstránením a vymazaním. Bez povolenia týchto nastavení nebudete môcť šifrovať svoje prostredie vlastným kľúčom. Viac informácií: Prehľad obnoviteľného odstránenia v Azure Key Vault Viac informácií: Vytvorenie trezora kľúčov pomocou portálu Azure

Vytvorenie kľúča v trezore kľúčov

  1. Uistite sa, že ste splnili predpoklady.
  2. Prejdite na portál Azure Key Vault>a vyhľadajte key v trezore, v ktorom chcete vygenerovať šifrovací kľúč.
  3. Overte nastavenia trezora kľúčov Azure:
    1. V časti Nastavenia vyberte položku Vlastnosti.
    2. V časti Overné odstránenienastavte alebo overte, či je nastavená možnosť V tomto trezore kľúčov bolo povolené overné odstránenie .
    3. V časti Ochrana pred vymazaním nastavte alebo overte, či je povolená možnosť Povoliť ochranu pred vymazaním (vynútiť povinné obdobie uchovávania pre odstránené trezory a objekty trezoru) .
    4. Ak ste vykonali zmeny, vyberte možnosť Uložiť.
Vytvorenie RSA kľúčov

  1. Vytvorte alebo importujte kľúč, ktorý má tieto vlastnosti:

    1. Na stránkach vlastností Key Vault vyberte možnosť Kľúče.
    2. Vyberte Generovať/Import.
    3. Na obrazovke Vytvoriť kľúč nastavte nasledujúce hodnoty a potom vyberte možnosť Vytvoriť.
      • Možnosti: Generovať
      • Názov: Zadajte názov kľúča
      • Typ kľúča: RSA
      • Veľkosť kľúča RSA: 2048 alebo 3072

    Dôležité

    Ak nastavíte dátum expirácie v kľúči a platnosť kľúča vyprší, všetky prostredia šifrované týmto kľúčom budú nedostupné. Nastavte upozornenie na monitorovanie certifikátov s dátumom expirácie s e-mailovými upozorneniami pre vášho lokálneho Power Platform správcu a správcu trezoru kľúčov Azure ako pripomienku na obnovenie dátumu expirácie. Toto je dôležité, aby sa predišlo akýmkoľvek neplánovaným výpadkom systému.

Importujte chránené kľúče pre hardvérové bezpečnostné moduly (HSM)

Svoje chránené kľúče pre hardvérové bezpečnostné moduly (HSM) môžete použiť na šifrovanie svojich prostredí. Power Platform Dataverse Vaše kľúče chránené HSM musia byť importované do trezora kľúčov, aby bolo možné vytvoriť podnikovú politiku. ... Viac informácií nájdete v časti Podporované HSMImport kľúčov chránených HSM do Key Vault (BYOK).

Vytvorenie kľúča v spravovanom HSM služby Azure Key Vault

Na šifrovanie údajov prostredia môžete použiť šifrovací kľúč vytvorený zo spravovaného HSM služby Azure Key Vault. Vďaka tomu získate podporu pre štandard FIPS 140-2 úrovne 3.

Vytvorenie kľúčov RSA-HSM

  1. Uistite sa, že ste splnili predpoklady.

  2. Prejdite na portál Azure. ...

  3. Vytvorte spravovaný HSM: ...

    1. Zriaďte spravovaný HSM.
    2. Aktivujte spravovaný HSM.

  4. Povoľte ochranu pred vymazaním vo vašom spravovanom HSM.

  5. Udeľte rolu Používateľ spravovaného krypto HSM osobe, ktorá vytvorila trezor kľúčov spravovaného HSM.

    1. Získajte prístup k spravovanému trezoru kľúčov HSM na portáli Azure. ...
    2. Prejdite na položku Lokálny RBAC a vyberte možnosť + Pridať.
    3. V rozbaľovacom zozname Rola vyberte na stránke Priradenie roly rolu Používateľ spravovaného HSM Crypto.
    4. Vyberte možnosť Všetky kľúče v časti Rozsah.
    5. Vyberte možnosť Vybrať bezpečnostný princíp a potom vyberte správcu na stránke Pridať princíp .
    6. Vyberte položku Vytvoriť.

  6. Vytvorte kľúč RSA-HSM:

    • Možnosti: Generovať
    • Názov: Zadajte názov kľúča
    • Typ kľúča: RSA-HSM
    • Veľkosť kľúča RSA: 2048

    Poznámka

    Podporované veľkosti kľúčov RSA-HSM: 2048-bitové a 3072-bitové. ...

Sieťové pripojenie trezora kľúčov Azure môžete aktualizovať povolením súkromného koncového bodu a použitím kľúča v trezore kľúčov na šifrovanie vašich prostredí. Power Platform

Môžete buď vytvoriť nový trezor kľúčov a nadviazať súkromné prepojenie alebo nadviazať súkromné prepojenie s existujúcim trezorom kľúčov, vytvoriť kľúč z tohto trezoru kľúčov a použiť ho na šifrovanie vášho prostredia. Môžete tiež vytvoriť súkromné prepojenie s existujúcim trezorom kľúčov po vytvorení kľúča a použiť ho na šifrovanie vášho prostredia.

  1. Vytvorte trezor kľúčov Azure s týmito možnosťami: ...

    • Povoliť ochranu pred vymazaním
    • Typ kľúča: RSA
    • Veľkosť kľúča: 2048 alebo 3072

  2. Skopírujte URL adresu trezoru kľúčov a URL adresu šifrovacieho kľúča, ktoré sa majú použiť na vytvorenie podnikovej politiky.

    Poznámka

    Po pridaní súkromného koncového bodu do trezora kľúčov alebo po zakázaní siete s verejným prístupom nebudete môcť kľúč zobraziť, pokiaľ nemáte príslušné povolenie.

  3. Vytvorte virtuálnu sieť. ...

  4. Vráťte sa do trezoru kľúčov a pridajte pripojenia súkromných koncových bodov k trezoru kľúčov Azure.

    Poznámka

    Musíte vybrať možnosť Zakázať verejný prístup k sieti a povoliť výnimku Povoliť dôveryhodným službám spoločnosti Microsoft obísť tento firewall .

  5. Vytvorte podnikovú politiku. Power Platform Viac informácií: Vytvorenie podnikovej politiky

  6. Udeľte povolenia podnikovej politiky na prístup k trezoru kľúčov. Viac informácií: Udelenie povolení na prístup k trezoru kľúčov v rámci podnikovej politiky

  7. Udeľte administrátorom Power Platform a Dynamics 365 povolenie na čítanie podnikovej politiky. Viac informácií: Udeľte Power Platform administrátorské oprávnenie na čítanie podnikových pravidiel

  8. Power Platform Správca centra spravovania vyberie prostredie na šifrovanie a povolí spravované prostredie. Viac informácií: Povoliť pridanie spravovaného prostredia do podnikovej politiky

  9. Power Platform Správca centra spravovania pridá spravované prostredie do podnikovej politiky. Viac informácií: Pridajte prostredie do podnikovej politiky na šifrovanie údajov

Povoľte službu podnikových politík pre vaše predplatné Azure Power Platform

Zaregistrujte sa ako poskytovateľ zdrojov. Power Platform Túto úlohu stačí vykonať iba raz pre každé predplatné Azure, v ktorom sa nachádza váš trezor kľúčov Azure. Na registráciu poskytovateľa zdrojov musíte mať prístupové práva k predplatnému.

  1. Prihláste sa na portál Azure a prejdite na stránku Predplatné Poskytovatelia zdrojov .>
  2. V zozname poskytovateľov zdrojov vyhľadajte Microsoft.PowerPlatform a zaregistrujte ho.

Vytvoriť podnikovú politiku

  1. Nainštalujte MSI balík PowerShell. Viac informácií: Inštalácia PowerShellu v systémoch Windows, Linux a macOS
  2. Po nainštalovaní MSI PowerShellu sa vráťte späť k časti Nasadenie vlastnej šablóny v Azure. ...
  3. Vyberte odkaz Vytvoriť si vlastnú šablónu v editore .
  4. Skopírujte túto šablónu JSON do textového editora, ako je napríklad Poznámkový blok. Viac informácií: Šablóna JSON pre podnikové pravidlá
  5. Nahraďte hodnoty v šablóne JSON pre: EnterprisePolicyName, umiestnenie, kde je potrebné vytvoriť EnterprisePolicy, keyVaultId a keyName. Viac informácií: Definície polí pre šablónu JSON
  6. Skopírujte aktualizovanú šablónu z textového editora a potom ju vložte do sekcie Upraviť šablónu v časti Vlastné nasadenie v Azure a vyberte možnosť Uložiť.
  7. Vyberte skupinu predplatného a skupinu zdrojov, kde sa má vytvoriť podniková politika.
  8. Vyberte možnosť Skontrolovať + vytvoriť a potom vyberte možnosť Vytvoriť.

Spustí sa nasadenie. Po dokončení sa vytvorí podniková politika.

Šablóna JSON pre podnikové pravidlá

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definície polí pre šablónu JSON

  • meno. Názov podnikovej politiky. Toto je názov politiky, ktorá sa zobrazuje v centre spravovania. Power Platform

  • umiestnenie. Jeden z nasledujúcich. Toto je umiestnenie podnikovej politiky a musí zodpovedať regiónu prostredia: Dataverse

    • „Spojené štáty“
    • „juhoafrická republika“
    • „Spojené kráľovstvo“
    • „Japonsko“
    • „India“
    • „francúzsko“
    • „európa“
    • „Nemecko“
    • „švajčiarsko“
    • „Kanada“
    • „brazília“
    • „Austrália“
    • „Ázia“
    • Spojené arabské emiráty
    • „Kórea“
    • „nórsko“
    • Singapur
    • „švédsko“

  • Skopírujte tieto hodnoty z vlastností trezora kľúčov v portáli Azure:

    • keyVaultId: Prejdite na Trezory kľúčov> vyberte svoj trezor kľúčov >Prehľad. Vedľa položky Základné informácie vyberte Zobrazenie JSON. Skopírujte ID zdroja do schránky a celý obsah vložte do šablóny JSON.
    • keyName: Prejdite na Trezory kľúčov> vyberte svoj trezor kľúčov >Kľúče. Všimnite si kľúč Názov a zadajte ho do šablóny JSON.

Udeľte povolenia podnikovej politiky na prístup k trezoru kľúčov

Po vytvorení podnikovej politiky správca trezoru kľúčov udelí spravovanej identite podnikovej politiky prístup k šifrovaciemu kľúču.

  1. Prihláste sa do portálu Azure a prejdite do sekcie Trezory kľúčov .
  2. Vyberte trezor kľúčov, kde bol kľúč priradený k podnikovej politike.
  3. Vyberte kartu Riadenie prístupu (IAM) a potom vyberte možnosť + Pridať.
  4. V rozbaľovacom zozname vyberte možnosť Pridať priradenie roly .
  5. Vyhľadajte používateľa šifrovacej služby Key Vault Crypto a vyberte ho.
  6. Vyberte Ďalej.
  7. Vyberte + Vybrať členov.
  8. Vyhľadajte podnikovú politiku, ktorú ste vytvorili.
  9. Vyberte podnikovú politiku a potom vyberte možnosť Vybrať.
  10. Vyberte Skontrolovať + priradiť.

Vyššie uvedené nastavenie povolení je založené na modeli povolení vášho trezora kľúčov pre riadenie prístupu na základe rolí Azure. Ak je váš trezor kľúčov nastavený na zásady prístupu k trezoru, odporúča sa prejsť na model založený na rolách. Ak chcete udeliť podnikovej politike prístup k trezoru kľúčov pomocou politiky prístupu k trezoru Vault access policy, vytvorte politiku prístupu, vyberte možnosti Get on Key management operations a Rozbaliť kľúč a Wrap key on Cryptografic Operations.

Poznámka

Aby sa predišlo neplánovaným výpadkom systému, je dôležité, aby mala podniková politika prístup ku kľúču. Uistite sa, že:

  • Trezor kľúčov je aktívny.
  • Kľúč je aktívny a jeho platnosť ešte nevypršala.
  • Kľúč nie je vymazaný.
  • Vyššie uvedené kľúčové povolenia nie sú zrušené.

Prostredia, ktoré používajú tento kľúč, sú deaktivované, keď šifrovací kľúč nie je dostupný.

Udeľte administrátorské oprávnenie na čítanie podnikových pravidiel Power Platform

Správcovia s rolami Dynamics 365 alebo administrátora majú prístup k centru spravovania a môžu priradiť prostredia k podnikovej politike. Power Platform Power Platform Na prístup k podnikovým politikám musí správca s prístupom k trezoru kľúčov Azure udeliť správcovi rolu Čitateľ. Po udelení roly Čitateľ si správca môže zobraziť podnikové politiky v centre spravovania. Power Platform Power Platform Power Platform

Poznámka

Iba správcovia systému Dynamics 365 a systémov s rolou čitateľa podnikovej politiky môžu do politiky pridať prostredie. Power Platform Iní správcovia alebo správcovia systému Dynamics 365 si môžu zobraziť podnikovú politiku, ale pri pokuse o pridanie prostredia do politiky sa im zobrazí chyba. Power Platform

Udeliť rolu čitateľa administrátorovi Power Platform

  1. Prihláste sa do portálu Azure .
  2. Skopírujte ID objektu správcu systému Dynamics 365. Power Platform Ak to chcete urobiť:
    1. Prejdite do oblasti Používatelia v službe Azure.
    2. V zozname Všetci používatelia nájdite používateľa s oprávneniami Power Platform alebo správcu Dynamics 365 pomocou funkcie Vyhľadať používateľov.
    3. Otvorte záznam používateľa a na karte Prehľad skopírujte ID objektu používateľa. Vložte to do textového editora, napríklad do Poznámkového bloku, na neskoršie použitie.
  3. Skopírujte ID zdroja podnikovej politiky. Ak to chcete urobiť:
    1. Prejdite do časti **Prieskumník grafov zdrojov** v službe Azure.
    2. Do vyhľadávacieho poľa zadajte microsoft.powerplatform/enterprisepolicies a potom vyberte zdroj microsoft.powerplatform/enterprisepolicies .
    3. Na paneli príkazov vyberte možnosť Spustiť dotaz. Zobrazí sa zoznam všetkých podnikových politík. Power Platform
    4. Vyhľadajte podnikovú politiku, ktorej chcete udeliť prístup.
    5. Posuňte sa doprava od podnikovej politiky a vyberte možnosť Zobraziť podrobnosti.
    6. Na stránke Podrobnosti skopírujte id.
  4. Spustite Azure Cloud Shell a spustite nasledujúci príkaz, v ktorom nahradíte objId ID objektu používateľa a ID zdroja EP ID enterprisepolicies skopírované v predchádzajúcich krokoch: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Spravovať šifrovanie prostredia

Na správu šifrovania prostredia potrebujete nasledujúce povolenie:

  • Microsoft Entra aktívny používateľ, ktorý má bezpečnostnú rolu správcu systému Dynamics 365 a/alebo systém Dynamics 365. Power Platform
  • Microsoft Entra používateľ, ktorý má buď rolu správcu služby Dynamics 365, alebo rolu správcu služby Dynamics 365. Power Platform

Správca trezoru kľúčov upozorní správcu, že bol vytvorený šifrovací kľúč a podniková politika, a poskytne správcovi podnikovú politiku. Aby správca povolil kľúč spravovaný zákazníkom, priradí svoje prostredia k podnikovej politike. Power Platform Power Platform Power Platform Po priradení a uložení prostredia sa spustí proces šifrovania na nastavenie všetkých údajov prostredia a ich zašifrovanie pomocou kľúča spravovaného zákazníkom. Dataverse

Povoliť pridanie spravovaného prostredia do podnikovej politiky

  1. Prihláste sa do Power Platform centra administrácie.
  2. V navigačnej table vyberte položku Spravovať.
  3. V table Spravovať vyberte možnosť Prostredia a potom vyberte prostredie zo zoznamu dostupných prostredí.
  4. Vyberte možnosť Povoliť spravované prostredia.
  5. Vyberte položku Povoliť.

Pridajte prostredie do podnikovej politiky na šifrovanie údajov

Dôležité

Prostredie je zakázané, keď je pridané do podnikovej politiky pre šifrovanie údajov. Trvanie prestoja systému závisí od veľkosti databázy. Odporúčame vám vykonať skúšobnú prevádzku vytvorením kópie cieľového prostredia do testovacieho prostredia, aby ste určili odhadovaný čas prestoja systému. Prestoje systému možno určiť kontrolou stavu šifrovania prostredia. ... Výpadok systému je medzi stavmi Šifrovanie a Šifrovanie - online . Aby sme skrátili prestoje systému, zmeníme stav šifrovania na Šifrovanie – online po dokončení všetkých základných krokov šifrovania, ktoré vyžadovali nefunkčnosť systému. Systém môžu používať vaši používatelia, zatiaľ čo ostatné úložné služby, ako napríklad vyhľadávanie a indexovanie Copilot, naďalej šifrujú údaje pomocou kľúča spravovaného vaším zákazníkom.

  1. Prihláste sa do Power Platform centra administrácie.
  2. V navigačnej table vyberte položku Zabezpečenie.
  3. V table Zabezpečenie vyberte v časti Údaje a súkromie Nastavenia .
  4. Vyberte možnosť Šifrovací kľúč spravovaný zákazníkom a prejdite na stránku Podnikové politiky.
  5. Vyberte pravidlá a potom vyberte možnosť Upraviť pravidlá.
  6. Vyberte možnosť Pridať prostredia, vyberte požadované prostredie a potom vyberte možnosť Pokračovať. Pridanie prostredia do podnikovej politiky
  7. Vyberte možnosť Uložiť a potom vyberte možnosť Potvrdiť.

Dôležité

  • V zozname Pridať prostredia sa zobrazujú iba prostredia, ktoré sa nachádzajú v rovnakej oblasti ako podniková politika.
  • Dokončenie šifrovania môže trvať až štyri dni, ale prostredie môže byť povolené pred dokončením operácie Pridanie prostredí .
  • Operácia sa nemusí dokončiť a ak zlyhá, vaše údaje budú naďalej šifrované kľúčom spravovaným spoločnosťou Microsoft. Operáciu Pridať prostredia môžete spustiť znova.

Poznámka

Môžete pridať iba prostredia, ktoré sú povolené ako spravované prostredia. Typy prostredí Skúšobná verzia a Teams nie je možné pridať do podnikovej politiky.

Odstráňte prostredia z politiky a vráťte sa na kľúč spravovaný spoločnosťou Microsoft

Ak sa chcete vrátiť k šifrovaciemu kľúču spravovanému spoločnosťou Microsoft, postupujte podľa týchto krokov.

Dôležité

Prostredie sa zakáže, keď sa odstráni z podnikovej politiky, aby sa vrátilo šifrovanie údajov pomocou kľúča spravovaného spoločnosťou Microsoft.

  1. Prihláste sa do Power Platform centra administrácie.
  2. V navigačnej table vyberte položku Zabezpečenie.
  3. V table Zabezpečenie vyberte v časti Údaje a súkromie Nastavenia .
  4. Vyberte možnosť Šifrovací kľúč spravovaný zákazníkom a prejdite na stránku Podnikové politiky.
  5. Vyberte kartu Prostredie s politikami a potom vyhľadajte prostredie, ktoré chcete odstrániť z kľúča spravovaného zákazníkom.
  6. Vyberte kartu Všetky politiky , vyberte prostredie, ktoré ste overili v kroku 2, a potom na paneli príkazov vyberte možnosť Upraviť politiku . Karta Všetky pravidlá
  7. Na paneli príkazov vyberte možnosť Odstrániť prostredie , vyberte prostredie, ktoré chcete odstrániť, a potom vyberte možnosť Pokračovať.
  8. Vyberte položku Uložiť.

Dôležité

Prostredie sa zakáže, keď sa odstráni z podnikovej politiky, aby sa obnovilo šifrovanie údajov na kľúč spravovaný spoločnosťou Microsoft. Neodstraňujte ani nevypínajte kľúč, neodstraňujte ani nevypínajte trezor kľúčov ani neodstraňujte povolenia podnikovej politiky pre trezor kľúčov. Prístup k kľúču a trezoru kľúčov je potrebný na podporu obnovy databázy. Povolenia podnikovej politiky môžete odstrániť a odobrať po 30 dňoch.

Skontrolujte stav šifrovania prostredia

Skontrolujte stav šifrovania z podnikových politík

  1. Prihláste sa do Power Platform centra administrácie.
  2. V navigačnej table vyberte položku Zabezpečenie.
  3. V table Zabezpečenie vyberte v časti Údaje a súkromie Nastavenia .
  4. Vyberte možnosť Šifrovací kľúč spravovaný zákazníkom a prejdite na stránku Podnikové politiky.
  5. Vyberte politiku a potom na paneli príkazov vyberte položku Upraviť politiku.
  6. Skontrolujte stav šifrovania prostredia v časti Prostredia s touto politikou.

Poznámka

Stav šifrovania prostredia môže byť:

  • Šifrovanie - Proces šifrovania kľúča spravovaného zákazníkom je spustený a systém je zakázaný pre online použitie.

  • Šifrovanie – online – Všetky základné služby šifrované tak, aby vyžadovali prestoje systému, sú kompletné a systém je povolený na online použitie.

  • Šifrované – Šifrovací kľúč podnikovej politiky je aktívny a prostredie je šifrované vaším kľúčom.

  • Vrátenie späť - Šifrovací kľúč sa mení z kľúča spravovaného zákazníkom na kľúč spravovaný spoločnosťou Microsoft a systém je deaktivovaný pre online použitie.

  • Obnovenie – online – Všetky šifrovacie služby základných služieb, ktoré vyžadovali prestoje systému, obnovili kľúč a systém je povolený na online použitie.

  • Kľúč spravovaný spoločnosťou Microsoft – Šifrovanie kľúča spravovaného spoločnosťou Microsoft je aktívne.

  • Zlyhalo - Šifrovací kľúč podnikovej politiky nepoužívajú všetky Dataverse úložné služby. Ich spracovanie si vyžaduje viac času a operáciu Pridať prostredie môžete spustiť znova. Ak sa operácia opätovného spustenia nepodarí, kontaktujte podporu.

    Stav šifrovania „Neúspešné“ nemá vplyv na dáta vášho prostredia a jeho prevádzku. To znamená, že niektoré úložné služby šifrujú vaše údaje pomocou vášho kľúča a niektoré naďalej používajú kľúč spravovaný spoločnosťou Microsoft. Dataverse Vrátenie sa neodporúča, pretože pri opätovnom spustení operácie Pridať prostredie služba pokračuje od miesta, kde bola prerušená.

  • Upozornenie - Šifrovací kľúč podnikovej politiky je aktívny a jeden z údajov služby je naďalej šifrovaný kľúčom spravovaným spoločnosťou Microsoft. Viac informácií nájdete v časti Power Automate Varovné správy aplikácie CMK.

Skontrolujte stav šifrovania na stránke História prostredia

Môžete si pozrieť históriu prostredia.

  1. Prihláste sa do Power Platform centra administrácie.
  2. V navigačnej table vyberte položku Spravovať.
  3. V table Spravovať vyberte možnosť Prostredia a potom vyberte prostredie zo zoznamu dostupných prostredí.
  4. Na paneli príkazov vyberte položku História.
  5. Vyhľadajte históriu pre Aktualizácia kľúča spravovaného zákazníkom.

Poznámka

Stav Stav zobrazuje Spustené , keď prebieha šifrovanie. Zobrazí sa správa *Succeeded* (Úspešné) *Keď je šifrovanie dokončené, zobrazí sa správa *Succeeded* (Úspešné). Stav sa zobrazuje ako Zlyhalo , keď sa vyskytne problém s jednou zo služieb, ktoré nedokážu použiť šifrovací kľúč.

Stav „Zlyhalo“ môže byť varovaním a nie je potrebné znova spustiť možnosť „Pridať prostredie“. Môžete potvrdiť, či ide o upozornenie. ...

Zmeňte šifrovací kľúč prostredia pomocou novej podnikovej politiky a kľúča

Ak chcete zmeniť šifrovací kľúč, vytvorte nový kľúč a novú podnikovú politiku. Podnikovú politiku potom môžete zmeniť odstránením prostredí a ich pridaním do novej podnikovej politiky. Systém je pri zmene na novú podnikovú politiku dvakrát nefunkčný – 1) kvôli obnoveniu šifrovania na kľúč spravovaný spoločnosťou Microsoft a 2) kvôli použitiu novej podnikovej politiky.

Prepitné

Na rotáciu šifrovacieho kľúča odporúčame použiť novú verziu trezorov kľúčov alebo nastaviť zásady rotácie.

  1. Na portáli Azure vytvorte nový kľúč a novú podnikovú politiku. Viac informácií: Vytvorenie šifrovacieho kľúča a udelenie prístupu a Vytvorenie podnikovej politiky
  2. Udeľte novej podnikovej politike prístup k starému kľúču .
  3. Po vytvorení nového kľúča a podnikovej politiky sa prihláste do centra spravovania Power Platform .
  4. V navigačnej table vyberte položku Zabezpečenie.
  5. V table Zabezpečenie vyberte v časti Údaje a súkromie Nastavenia .
  6. Vyberte možnosť Šifrovací kľúč spravovaný zákazníkom a prejdite na stránku Podnikové politiky.
  7. Vyberte kartu Prostredie s politikami a potom vyhľadajte prostredie, ktoré chcete odstrániť z kľúča spravovaného zákazníkom.
  8. Vyberte kartu Všetky politiky , vyberte prostredie, ktoré ste overili v kroku 2, a potom na paneli príkazov vyberte možnosť Upraviť politiku . Upraviť podnikové politiky
  9. Na paneli príkazov vyberte možnosť Odstrániť prostredie , vyberte prostredie, ktoré chcete odstrániť, a potom vyberte možnosť Pokračovať.
  10. Vyberte položku Uložiť.
  11. Opakujte kroky 2 – 10, kým neodstránite všetky prostredia v podnikovej politike.

Dôležité

Prostredie sa zakáže, keď sa odstráni z podnikovej politiky, aby sa obnovilo šifrovanie údajov na kľúč spravovaný spoločnosťou Microsoft. Neodstraňujte ani nezakazujte kľúč, neodstraňujte ani nezakazujte trezor kľúčov ani neodstraňujte povolenia podnikovej politiky pre trezor kľúčov. Udeľte novú podnikovú politiku starému trezoru kľúčov. Prístup k kľúču a trezoru kľúčov je potrebný na podporu obnovy databázy. Povolenia podnikovej politiky môžete odstrániť a odobrať po 30 dňoch.

  1. Po odstránení všetkých prostredí prejdite z centra spravovania do časti Podnikové politiky. Power Platform
  2. Vyberte novú podnikovú politiku a potom vyberte možnosť Upraviť politiku.
  3. Vyberte možnosť Pridať prostredie, vyberte prostredia, ktoré chcete pridať, a potom vyberte možnosť Pokračovať.

Dôležité

Prostredie je zakázané po pridaní do novej podnikovej politiky.

Otočte šifrovací kľúč prostredia s novou verziou kľúča

Šifrovací kľúč prostredia môžete zmeniť vytvorením novej verzie kľúča. Keď vytvoríte novú verziu kľúča, nová verzia kľúča sa automaticky aktivuje. Všetky úložné zdroje zistia novú verziu kľúča a začnú ju používať na šifrovanie vašich údajov.

Keď upravíte kľúč alebo verziu kľúča, ochrana koreňového šifrovacieho kľúča sa zmení, ale dáta v úložisku vždy zostanú šifrované vaším kľúčom. Na zabezpečenie ochrany vašich údajov nie sú z vašej strany potrebné žiadne ďalšie kroky. Otáčanie verzie kľúča nemá vplyv na výkon. S rotáciou verzie kľúča nie sú spojené žiadne prestoje. Všetkým poskytovateľom zdrojov môže trvať 24 hodín, kým na pozadí aplikujú novú verziu kľúča. Predchádzajúca verzia kľúča nesmie byť deaktivovaná , pretože je potrebná na to, aby ju služba mohla použiť na opätovné šifrovanie a na podporu obnovy databázy.

Ak chcete rotovať šifrovací kľúč vytvorením novej verzie kľúča, postupujte podľa nasledujúcich krokov.

  1. Prejdite na portál Azure Key Vaults>a vyhľadajte key vault, v ktorom chcete vytvoriť novú verziu kľúča.
  2. Prejdite na Kľúče.
  3. Vyberte aktuálny, povolený kľúč.
  4. Vyberte + Nová verzia.
  5. Predvolené nastavenie Povolené je Áno, čo znamená, že nová verzia kľúča sa po vytvorení automaticky povolí.
  6. Vyberte položku Vytvoriť.

Prepitné

Aby ste dodržali zásady rotácie kľúčov, môžete šifrovací kľúč rotovať pomocou Zásad rotácie. Môžete buď nakonfigurovať politiku rotácie, alebo rotovať na požiadanie spustením funkcie Rotovať teraz.

Dôležité

Nová verzia kľúča sa automaticky otáča na pozadí a správca nevyžaduje žiadnu akciu. Je dôležité, aby predchádzajúca verzia kľúča nebola deaktivovaná ani odstránená aspoň 28 dní, aby sa podporila obnova databázy. Power Platform Príliš skoré zakázanie alebo odstránenie predchádzajúcej verzie kľúča môže vaše prostredie prepnúť do režimu offline.

Zobraziť zoznam šifrovaných prostredí

  1. Prihláste sa do centra spravovania Power Platform.
  2. V navigačnej table vyberte položku Zabezpečenie.
  3. V table Zabezpečenie vyberte v časti Údaje a súkromie Nastavenia .
  4. Vyberte možnosť Šifrovací kľúč spravovaný zákazníkom a prejdite na stránku Podnikové politiky.
  5. Na stránke Podnikové politiky vyberte kartu Prostredia s politikami . Zobrazí sa zoznam prostredí, ktoré boli pridané do podnikových politík.

Poznámka

Môžu nastať situácie, keď stav prostredia alebo stav šifrovania zobrazuje stav Zlyhalo. Keď k tomu dôjde, môžete skúsiť znova spustiť operáciu Pridať prostredie alebo odoslať žiadosť o pomoc oddeleniu technickej podpory spoločnosti Microsoft.

Operácie s prostrediami databázy

Nájomník zákazníka môže mať prostredia šifrované pomocou kľúča spravovaného spoločnosťou Microsoft a prostredia šifrované kľúčom spravovaným zákazníkom. Na zachovanie integrity údajov a ochrany údajov sú pri riadení operácií databázy prostredia k dispozícii nasledujúce ovládacie prvky.

  • Obnoviť Prostredie, ktoré sa má prepísať (prostredie obnovené do), je obmedzené na to isté prostredie, z ktorého bola záloha prevzatá, alebo na iné prostredie, ktoré je šifrované rovnakým kľúčom spravovaným zákazníkom.

    Obnoviť zálohu

  • Kopírovať

    Prostredie, ktoré sa má prepísať (prostredie skopírované do), je obmedzené na iné prostredie, ktoré je šifrované rovnakým kľúčom spravovaným zákazníkom.

    Kopírovať prostredie

    Poznámka

    Ak bolo prostredie vyšetrovania podpory vytvorené na vyriešenie problému s podporou v prostredí spravovanom zákazníkom, šifrovací kľúč pre prostredie vyšetrovania podpory musí byť pred vykonaním operácie kopírovania prostredia zmenený na kľúč spravovaný zákazníkom.

  • Obnoviť Šifrované údaje prostredia vrátane záloh sa vymažú. Po resetovaní prostredia sa šifrovanie prostredia vráti späť na kľúč spravovaný spoločnosťou Microsoft.

Ďalšie kroky

Informácie o trezore kľúčov Azure