Správa šifrovacieho kľúča spravovaného zákazníkom

Zákazníci majú požiadavky na ochranu osobných údajov a dodržiavanie predpisov, aby zabezpečili svoje údaje šifrovaním svojich uložených údajov. Toto chráni dáta pred únikom v prípade krádeže kópie databázy. Vďaka šifrovaniu údajov v pokoji sú ukradnuté databázové údaje chránené pred obnovením na iný server bez šifrovacieho kľúča.

Všetky údaje o zákazníkoch uložené v Power Platform sú v pokoji štandardne šifrované pomocou silných šifrovacích kľúčov spravovaných spoločnosťou Microsoft. Spoločnosť Microsoft ukladá a spravuje šifrovací kľúč databázy pre všetky vaše údaje, aby ste to nemuseli robiť vy. Power Platform však poskytuje tento zákaznícky spravovaný šifrovací kľúč (CMK) pre vašu dodatočnú ochranu údajov, kde si môžete sami spravovať šifrovací kľúč databázy, ktorý je spojený s vaším prostredím Microsoft Dataverse. To vám umožňuje na požiadanie otočiť alebo vymeniť šifrovací kľúč a tiež vám umožňuje zabrániť spoločnosti Microsoft v prístupe k údajom vašich zákazníkov, keď kedykoľvek zrušíte prístup kľúča k našim službám.

Ak sa chcete dozvedieť viac o kľúči spravovanom zákazníkom v časti Power Platform, pozrite si video o kľúči spravovanom zákazníkom.

Tieto operácie so šifrovacím kľúčom sú k dispozícii s kľúčom spravovaným zákazníkom (CMK):

• Vytvorte si RSA (RSA-HSM) kľúč zo svojho Azure Key vaultu.
• Vytvorte pre svoj kľúč podnikovú politiku. Power Platform
• Udeľte podnikovej politike povolenie na prístup k trezoru kľúčov. Power Platform
• Udeľte správcovi služby prístup k podnikovým pravidlám. Power Platform
• Použite šifrovací kľúč na svoje prostredie.
• Obnoviť/odstrániť šifrovanie CMK prostredia na kľúč spravovaný spoločnosťou Microsoft.
• Zmeňte kľúč vytvorením novej podnikovej politiky, odstránením prostredia z CMK a opätovným použitím CMK s novou podnikovou politikou.
• Uzamknite prostredia CMK zrušením trezoru kľúčov CMK a/alebo povolení kľúča.
• Migrujte prostredia typu „prines si vlastný kľúč“ (BYOK) do CMK použitím kľúča CMK. ...

V súčasnosti je možné všetky údaje o vašich zákazníkoch uložené iba v nasledujúcich aplikáciách a službách šifrovať pomocou kľúča spravovaného zákazníkom:

Komerčný cloud

• Dataverse (Riešenia na mieru a služby spoločnosti Microsoft)
• Dataverse Copilot pre modelovo riadené aplikácie
• Power Automate
• Chat pre Dynamics 365
• Predaj Dynamics 365
• Zákaznícky servis Dynamics 365
• Dynamics 365 Customer Insights - Dáta
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Financie a prevádzka)
• Dynamics 365 Intelligent Order Management (financie a prevádzka)
• Dynamics 365 Project Operations (financie a prevádzka)
• Dynamics 365 Supply Chain Management (Financie a prevádzka)
• Štúdio Copilot

Suverénny cloud - GCC High

• Dataverse (Riešenia na mieru a služby spoločnosti Microsoft)
• Dataverse Copilot pre modelovo riadené aplikácie
• Chat pre Dynamics 365
• Predaj Dynamics 365
• Zákaznícky servis Dynamics 365
• Dynamics 365 Customer Insights - Dáta
• Štúdio Copilot

Poznámka

• Informácie o podpore kľúčov spravovaných zákazníkom získate od zástupcu v prípade služieb, ktoré nie sú uvedené vyššie.
• Nuance Konverzačný IVR a uvítací obsah tvorcu sú vylúčené zo šifrovania kľúčov spravovaného zákazníkom.
• Nastavenia pripojenia pre konektory sú naďalej šifrované kľúčom spravovaným spoločnosťou Microsoft.
• Konfigurovaný CMK nešifruje dáta odoslané zo štúdia Copilot ako súčasť bezpečnostného auditu Agent 365.
• Zobrazovacie mená, popisy a metadáta pripojenia v Power Apps sú naďalej šifrované kľúčom spravovaným Microsoftom.
• Odkaz na stiahnutie výsledkov a ďalšie údaje vytvorené kontrolou riešení počas kontroly riešenia sú naďalej šifrované kľúčom spravovaným spoločnosťou Microsoft.

Prostredia s finančnými a prevádzkovými aplikáciami, kde je povolená integrácia, je tiež možné šifrovať. Power Platform Finančné a prevádzkové prostredia bez integrácie naďalej používajú na šifrovanie údajov predvolený kľúč spravovaný spoločnosťou Microsoft. Power Platform Viac informácií nájdete v časti Šifrovanie vo finančných a prevádzkových aplikáciách. ...

Úvod do kľúča spravovaného zákazníkom

S kľúčom spravovaným zákazníkom môžu administrátori poskytnúť svoj vlastný šifrovací kľúč zo svojho Azure Key Vault do úložiskových služieb Power Platform na šifrovanie zákazníckych dát. Microsoft nemá priamy prístup k vášmu Azure Key Vault. Aby služby Power Platform mohli pristupovať k šifrovaciemu kľúču z vášho Azure Key Vault, administrátor vytvorí podnikovú politiku Power Platform, ktorá odkazuje na šifrovaný kľúč a udeľuje tejto podnikovej politike prístup na čítanie kľúča z vášho Azure Key Vault.

Správca služby potom môže do podnikovej politiky pridať prostredia, aby začal šifrovať všetky údaje zákazníkov v prostredí pomocou vášho šifrovacieho kľúča. Power Platform Dataverse Správcovia môžu zmeniť šifrovací kľúč prostredia vytvorením inej podnikovej politiky a pridaním prostredia (po jeho odstránení) do novej podnikovej politiky. Ak prostredie už nie je potrebné šifrovať pomocou kľúča spravovaného zákazníkom, správca môže odstrániť prostredie z podnikovej politiky, aby sa šifrovanie údajov vrátilo späť na kľúč spravovaný spoločnosťou Microsoft. Dataverse

Správca môže uzamknúť kľúčové prostredia spravované zákazníkom zrušením prístupu ku kľúču z podnikovej politiky a odomknúť prostredia obnovením prístupu ku kľúču. Viac informácií: Uzamknutie prostredí zrušením prístupu k trezoru kľúčov a/alebo povolenia na prístup ku kľúču

Pre zjednodušenie úloh správy kľúčov sú úlohy rozdelené do troch hlavných oblastí:

1. Vytvorte šifrovací kľúč.
2. Vytvorte podnikovú politiku a udeľte prístup.
3. Spravujte šifrovanie prostredia.

Upozornenie

Keď sú prostredia uzamknuté, nikto k nim nemá prístup, vrátane podpory spoločnosti Microsoft. Uzamknuté prostredia sa deaktivujú a môže dôjsť k strate údajov.

Licenčné požiadavky pre kľúč spravovaný zákazníkom

Zásady kľúčov spravovaných zákazníkom sa vynucujú iba v prostrediach, ktoré sú aktivované pre spravované prostredia. Spravované prostredia sú zahrnuté ako nárok v samostatných licenciách Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, ktoré poskytujú prémiové práva na používanie. Viac sa dozviete o Managed Environment licensing v prehľade Licensing pre Microsoft Power Platform.

Okrem toho prístup k používaniu zákaznícky spravovaného kľúča pre Microsoft Power Platform a Dynamics 365 vyžaduje, aby používatelia v prostrediach, kde je politika šifrovacích kľúčov vynucovaná, mali jedno z týchto predplatných:

• Microsoft 365 alebo Office 365 A5/E5/G5
• Súlad s Microsoft 365 A5/E5/F5/G5
• Microsoft 365 F5 Bezpečnosť & Dodržiavanie predpisov
• Microsoft 365 A5/E5/F5/G5 Ochrana a správa informácií
• Microsoft 365 A5/E5/F5/G5 Insider riadenie rizík

Získajte viac informácií o týchto licenciách.

Pochopte potenciálne riziko pri správe kľúčových

Rovnako ako u akejkoľvek kritické aplikácie personálu vo vašej organizácii, ktorí majú prístup na administratívnej úrovni musí byť dôveryhodný. Predtým, ako použijete funkciu riadenia pomocou kľúča, mali by ste pochopiť riziko spojené so spravovaním databázy šifrovacích kľúčov. Je možné, že zlomyseľný správca (osoba, ktorej je udelený alebo získala prístup na úrovni správcu s úmyslom poškodiť bezpečnosť alebo obchodné procesy organizácie) pracujúci vo vašej organizácii by mohol použiť funkciu správy kľúčov na vytvorenie kľúča a použiť ho na uzamknutie vašich prostredí v nájomníkovi.

Zvážte nasledujúci sled udalostí.

Správca škodlivého kľúčového trezoru vytvorí kľúč a podnikovú politiku na portáli Azure. Administrátor Azure Key Vault ide do administrátorského centra Power Platform a pridáva prostredia do podnikovej politiky. Škodlivý administrátor sa potom vráti do Azure portálu a zruší prístup ku firemnej politike, čím zablokuje všetky prostredia. To spôsobuje prerušenia prevádzky, pretože všetky prostredia sa stanú neprístupnými a ak sa táto udalosť nevyrieši, teda neobnoví sa prístup ku kľúčom, údaje o prostredí sa môžu potenciálne stratiť.

Poznámka

• Azure Key Vault má zabudované ochrany, ktoré pomáhajú obnoviť kľúč, vyžadujú zapnuté nastavenia Soft Delete a Purge protection Key Vault.
• Ďalšou ochranou, ktorú treba zvážiť, je zabezpečiť, aby úlohy boli oddelené, kde administrátor Azure Key Vault nemá prístup do administrátorského centra Power Platform.

Oddelenie povinností na zmiernenie rizika

Táto časť popisuje úlohy kľúčových funkcií spravovaných zákazníkom, za ktoré je zodpovedná každá administrátorská rola. Oddelenie týchto úloh pomáha zmierniť riziko spojené s kľúčmi spravovanými zákazníkom.

Azure Key Vault a Power Platform/Dynamics 365 service admin úlohy

Na povolenie kľúčov spravovaných zákazníkmi najprv administrátor vaultu vytvorí kľúč v Azure key vault a vytvorí podnikovú politiku Power Platform. Keď sa vytvorí podniková politika, vytvorí sa špeciálna spravovaná identita Microsoft Entra ID. Následne sa správca kľúčového trezoru vráti do Azure kľúčového trezoru a udelí podnikovej politike/spravovanej identite prístup k šifrovaciemu kľúču.

Správca kľúčového trezoru potom udelí príslušnému administrátorovi služieb Power Platform/Dynamics 365 čitateľný prístup k podnikovej politike. Po udelení povolenia na čítanie môže administrátor služieb Power Platform/Dynamics 365 prejsť do Power Platform Admin Center a pridať prostredia do podnikovej politiky. Všetky pridané údaje zákazníkov v prostrediach sú potom šifrované kľúčom spravovaným zákazníkom, ktorý je prepojený s touto podnikovou politikou.

Požiadavky

• Predplatné Azure, ktoré zahŕňa Azure Key Vault alebo Azure Key Vault spravované hardvérové bezpečnostné moduly.
• Microsoft Entra ID s:
  • Povolenie prispievateľa k predplatnému Microsoft Entra.
  • Povolenie na vytvorenie Azure Key Vault a kľúča.
  • Prístup na vytvorenie skupiny zdrojov. Toto je potrebné na nastavenie trezora kľúčov.

Vytvorte kľúč a udeľte prístup pomocou Azure Key Vault

Administrátor Azure Key Vault vykonáva tieto úlohy v Azure.

1. Vytvorte si platené predplatné Azure a použite Key Vault. Tento krok ignorujte, ak už máte predplatné, ktoré zahŕňa Azure Key Vault.
2. Choďte do služby Azure Key Vault a vytvorte kľúč. Viac informácií: Vytvorenie kľúča v trezore kľúčov
3. Povoľte službu podnikových politík Power Platform pre vaše predplatné Azure. Urobte to iba raz. Viac informácií: Povoľte službu podnikových politík Power Platform pre vaše Azure predplatné
4. Vytvorte podnikovú politiku. Power Platform Viac informácií: Vytvorenie podnikovej politiky
5. Udeľte povolenia podnikovej politiky na prístup k trezoru kľúčov. Viac informácií: Udelenie povolení na prístup k trezoru kľúčov v rámci podnikovej politiky
6. Udeliť administrátorom Power Platform a Dynamics 365 povolenie čítať podnikové pravidlá. Viac informácií: Udeľte Power Platform administrátorské oprávnenie na čítanie podnikových pravidiel

Power Platform/Dynamics 365 administrátor služieb Úlohy v Power Platform admin centre

Predpoklady

Administrátor Power Platform musí byť priradený buď k Power Platform, alebo Dynamics 365 Service administrátorovi Microsoft Entra.

Spravujte šifrovanie prostredia v centre spravovania Power Platform

Administrátor spravuje kľúčové úlohy spravované zákazníkom súvisiace s prostredím v centre spravovania. Power Platform Power Platform

1. Pridajte prostredia do podnikovej politiky na šifrovanie údajov pomocou kľúča spravovaného zákazníkom. Power Platform Viac informácií: Pridajte prostredie do podnikovej politiky na šifrovanie údajov
2. Odstráňte prostredia z podnikovej politiky, aby sa šifrovanie vrátilo na kľúč spravovaný spoločnosťou Microsoft. Viac informácií: Odstránenie prostredí z politiky pre návrat k spravovanému kľúču od spoločnosti Microsoft
3. Zmeňte kľúč odstránením prostredí zo starej podnikovej politiky a pridaním prostredí do novej podnikovej politiky. Viac informácií: Vytvorenie šifrovacieho kľúča a udelenie prístupu
4. Migrujte z BYOK. Ak používate staršiu funkciu samostatne spravovaného šifrovacieho kľúča, môžete svoj kľúč migrovať na kľúč spravovaný zákazníkom. Viac informácií nájdete v časti Migrácia prostredí s vlastným kľúčom na kľúč spravovaný zákazníkom.

Vytvoriť šifrovací kľúč a udeliť prístup

Vytvorte si Azure platené predplatné a kľúč vault

V Azure vykonajte nasledujúce kroky:

1. Vytvorte si predplatné Pay-as-you-go alebo jeho ekvivalent na Azure. Tento krok nie je potrebný, ak už nájomník má predplatné.

2. Vytvorte skupinu zdrojov. Viac informácií: Vytvorenie skupín zdrojov

   Poznámka

   Vytvorte alebo použite skupinu zdrojov, ktorá má lokalitu, napríklad stredné USA, ktorá zodpovedá regiónu prostredia Power Platform, napríklad United States.

3. Vytvorte trezor kľúčov pomocou plateného predplatného, ktoré zahŕňa ochranu pred obnoviteľným odstránením a vymazaním so skupinou zdrojov, ktorú ste vytvorili v predchádzajúcom kroku.

   Dôležité

   Aby bolo vaše prostredie chránené pred náhodným vymazaním šifrovacieho kľúča, musí mať trezor kľúčov povolenú ochranu pred obnoviteľným odstránením a vymazaním. Bez povolenia týchto nastavení nebudete môcť šifrovať svoje prostredie vlastným kľúčom. Viac informácií: Azure Key Vault soft-delete prehľad Viac informácií: Vytvorte kľúčový trezor pomocou Azure portálu

Vytvorenie kľúča v trezore kľúčov

1. Uistite sa, že ste splnili predpoklady. ...
2. Choďte na portál Azure portál>Key Vault a nájdite key vault, kde chcete vygenerovať šifrovací kľúč.
3. Overte nastavenia Azure Key Vault:
   1. V časti Nastavenia vyberte položku Vlastnosti.
   2. V časti Overné odstránenienastavte alebo overte, či je nastavená možnosť V tomto trezore kľúčov bolo povolené overné odstránenie .
   3. V časti Ochrana pred vymazaním nastavte alebo overte, či je povolená možnosť Povoliť ochranu pred vymazaním (vynútiť povinnú dobu uchovávania pre odstránené trezory a objekty trezoru) .
   4. Ak ste vykonali zmeny, vyberte možnosť Uložiť.

Vytvorenie RSA kľúčov

1. Vytvorte alebo importujte kľúč, ktorý má tieto vlastnosti:

   1. Na stránkach vlastností Key Vault vyberte Keys.
   2. Vyberte Generovať/Import.
   3. Na obrazovke Vytvoriť kľúč nastavte nasledujúce hodnoty a potom vyberte možnosť Vytvoriť.
      • Možnosti: Generovať
      • Názov: Zadajte názov kľúča
      • Typ kľúča: RSA
      • Veľkosť kľúča RSA: 2048 alebo 3072

   Dôležité

   Ak nastavíte dátum expirácie v kľúči a platnosť kľúča vyprší, všetky prostredia šifrované týmto kľúčom budú nedostupné. Nastavte upozornenie na sledovanie expiračných certifikátov s e-mailovými upozorneniami pre vášho miestneho administrátora Power Platform a Azure správcu kľúčového trezoru ako pripomienku na obnovenie dátumu expirácie. Toto je dôležité, aby sa predišlo akýmkoľvek neplánovaným výpadkom systému.

Importujte chránené kľúče pre hardvérové bezpečnostné moduly (HSM)

Svoje chránené kľúče pre hardvérové bezpečnostné moduly (HSM) môžete použiť na šifrovanie svojich prostredí. Power Platform Dataverse Vaše kľúče chránené HSM musia byť importované do trezora kľúčov, aby bolo možné vytvoriť podnikovú politiku. ... Pre viac informácií pozri Podporované HSMsImport HSM-chránených kľúčov do Key Vault (BYOK).

Vytvoriť kľúč v Azure Key Vault Managed HSM

Na šifrovanie dát prostredia môžete použiť šifrovací kľúč vytvorený z Azure Key Vault Managed HSM. Vďaka tomu získate podporu pre štandard FIPS 140-2 úrovne 3.

Vytvorenie kľúčov RSA-HSM

1. Uistite sa, že ste splnili predpoklady. ...

2. Choďte do portálu Azure .

3. Vytvorte spravovaný HSM: ...

   1. Zriaďte spravovaný HSM.
   2. Aktivujte spravovaný HSM.

4. Povoľte ochranu pred vymazaním vo vašom spravovanom HSM.

5. Udeľte rolu Používateľ spravovaného kryptomenového systému HSM osobe, ktorá vytvorila trezor kľúčov spravovaného systému HSM.

   1. Prístup k spravovanému HSM kľúčovému trezoru na portáli Azure.
   2. Prejdite na položku Lokálny RBAC a vyberte možnosť + Pridať.
   3. V rozbaľovacom zozname Rola vyberte na stránke Priradenie roly rolu Používateľ spravovaného HSM Crypto.
   4. Vyberte možnosť Všetky kľúče v časti Rozsah.
   5. Vyberte možnosť Vybrať bezpečnostný princíp a potom vyberte správcu na stránke Pridať princíp .
   6. Vyberte položku Vytvoriť.

6. Vytvorte kľúč RSA-HSM:

   • Možnosti: Generovať
   • Názov: Zadajte názov kľúča
   • Typ kľúča: RSA-HSM
   • Veľkosť kľúča RSA: 2048

   Poznámka

   Podporované veľkosti kľúčov RSA-HSM: 2048-bitové a 3072-bitové. ...

Zašifrujte svoje prostredie kľúčom z Azure Key Vault pomocou súkromného odkazu

Sieť vášho Azure Key vaultu môžete aktualizovať povolením private endpoint a použiť kľúč v Key vault na šifrovanie prostredia Power Platform.

Môžete buď vytvoriť nový trezor kľúčov a nadviazať súkromné prepojenie alebo nadviazať súkromné prepojenie s existujúcim trezorom kľúčov, vytvoriť kľúč z tohto trezoru kľúčov a použiť ho na šifrovanie vášho prostredia. Môžete tiež vytvoriť súkromné prepojenie s existujúcim trezorom kľúčov po vytvorení kľúča a použiť ho na šifrovanie vášho prostredia.

Šifrovanie údajov pomocou kľúča z trezoru kľúčov so súkromným prepojením

1. Vytvorte si Azure Key vault s týmito možnosťami:

   • Povoliť ochranu pred vymazaním
   • Typ kľúča: RSA
   • Veľkosť kľúča: 2048 alebo 3072

2. Skopírujte URL adresu trezoru kľúčov a URL adresu šifrovacieho kľúča, ktoré sa majú použiť na vytvorenie podnikovej politiky.

   Poznámka

   Po pridaní súkromného koncového bodu do trezora kľúčov alebo po zakázaní siete s verejným prístupom nebudete môcť kľúč zobraziť, pokiaľ nemáte príslušné povolenie.

3. Vytvorte virtuálnu sieť. ...

4. Vráťte sa do svojho Key vaultu a pridajte private endpoint pripojenia do vášho Azure Key vault.

   Poznámka

   Musíte vybrať možnosť Zakázať verejný prístup k sieti a povoliť výnimku Povoliť dôveryhodným službám spoločnosti Microsoft obísť tento firewall .

5. Vytvorte podnikovú politiku. Power Platform Viac informácií: Vytvorenie podnikovej politiky

6. Udeľte povolenia podnikovej politiky na prístup k trezoru kľúčov. Viac informácií: Udelenie povolení na prístup k trezoru kľúčov v rámci podnikovej politiky

7. Udeliť administrátorom Power Platform a Dynamics 365 povolenie čítať podnikové pravidlá. Viac informácií: Udeľte Power Platform administrátorské oprávnenie na čítanie podnikových pravidiel

8. Power Platform Správca centra spravovania vyberie prostredie na šifrovanie a povolí spravované prostredie. Viac informácií: Povoliť pridanie spravovaného prostredia do podnikovej politiky

9. Power Platform Správca centra spravovania pridá spravované prostredie do podnikovej politiky. Viac informácií: Pridajte prostredie do podnikovej politiky na šifrovanie údajov

Povolte službu podnikových politík Power Platform pre vaše predplatné Azure

Zaregistrujte sa ako poskytovateľ zdrojov. Power Platform Túto úlohu musíte urobiť len raz pre každé Azure predplatné, kde sa nachádza váš Azure Key vault. Na registráciu poskytovateľa zdrojov musíte mať prístupové práva k predplatnému.

1. Prihláste sa do portálu Azure a prejdite na Subscription>Resource providers.
2. V zozname poskytovateľov zdrojov vyhľadajte Microsoft.PowerPlatform a zaregistrujte ho.

Vytvoriť podnikovú politiku

1. Nainštalujte MSI balík PowerShell. Viac informácií: Inštalovať PowerShell na Windows, Linux a macOS
2. Po nainštalovaní PowerShell MSI sa vráťte k Nasadiť vlastnú šablónu v Azure.
3. Vyberte odkaz Vytvoriť si vlastnú šablónu v editore .
4. Skopírujte túto šablónu JSON do textového editora, ako je napríklad Poznámkový blok. Viac informácií: Šablóna JSON pre podnikové pravidlá
5. Nahraďte hodnoty v šablóne JSON pre: EnterprisePolicyName, umiestnenie, kde je potrebné vytvoriť EnterprisePolicy, keyVaultId a keyName. Viac informácií: Definície polí pre šablónu JSON
6. Skopírujte aktualizovanú šablónu z textového editora a vložte ju do šablóny EditCustom deployment v Azure a vyberte Save.
7. Vyberte skupinu predplatného a skupinu zdrojov, kde sa má vytvoriť podniková politika.
8. Vyberte možnosť Skontrolovať + vytvoriť a potom vyberte možnosť Vytvoriť.

Spustí sa nasadenie. Po dokončení sa vytvorí podniková politika.

Šablóna JSON pre podnikové pravidlá

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definície polí pre šablónu JSON

• meno. Názov podnikovej politiky. Toto je názov politiky, ktorá sa zobrazuje v centre spravovania. Power Platform

• umiestnenie. Jeden z nasledujúcich. Toto je umiestnenie podnikovej politiky a musí zodpovedať regiónu prostredia: Dataverse

  • „Spojené štáty“
  • „juhoafrika“
  • „Spojené kráľovstvo“
  • „Japonsko“
  • „India“
  • „francúzsko“
  • „európa“
  • „Nemecko“
  • „švajčiarsko“
  • „Kanada“
  • „brazília“
  • „Austrália“
  • „Ázia“
  • Spojené arabské emiráty
  • „Kórea“
  • „nórsko“
  • Singapur
  • „švédsko“

• Skopírujte tieto hodnoty z vlastností vášho key vaultu v Azure portáli:

  • keyVaultId: Prejdite na Trezory kľúčov> vyberte svoj trezor kľúčov >Prehľad. Vedľa položky Základné informácie vyberte Zobrazenie JSON. Skopírujte ID zdroja do schránky a celý obsah vložte do šablóny JSON.
  • keyName: Prejdite na Trezory kľúčov> vyberte svoj trezor kľúčov >Kľúče. Všimnite si kľúč Názov a zadajte ho do šablóny JSON.

Udeľte povolenia podnikovej politiky na prístup k trezoru kľúčov

Po vytvorení podnikovej politiky správca trezoru kľúčov udelí spravovanej identite podnikovej politiky prístup k šifrovaciemu kľúču.

1. Prihláste sa do portálu Azure a choďte do Key vaults.
2. Vyberte trezor kľúčov, kde bol kľúč priradený k podnikovej politike.
3. Vyberte kartu Riadenie prístupu (IAM) a potom vyberte možnosť + Pridať.
4. V rozbaľovacom zozname vyberte možnosť Pridať priradenie roly .
5. Vyhľadajte Key Vault Crypto Service Encryption User a vyberte ho.
6. Vyberte Ďalej.
7. Vyberte + Vybrať členov.
8. Vyhľadajte podnikovú politiku, ktorú ste vytvorili.
9. Vyberte podnikovú politiku a potom vyberte možnosť Vybrať.
10. Vyberte Skontrolovať + priradiť.

Vyššie uvedené nastavenie povolení je založené na Permission modelAzure roll-based access control vášho Key Vault. Ak je váš trezor kľúčov nastavený na zásady prístupu k trezoru, odporúča sa prejsť na model založený na rolách. Ak chcete udeliť podnikovej politike prístup k trezoru kľúčov pomocou Politiky prístupu k trezoru, vytvorte politiku prístupu, vyberte Získať pri Operácie správy kľúčov a Rozbaliť kľúč a Zabaliť kľúč pri Kryptografické operácie.

Poznámka

Aby sa predišlo neplánovaným výpadkom systému, je dôležité, aby mala podniková politika prístup ku kľúču. Uistite sa, že:

• Trezor kľúčov je aktívny.
• Kľúč je aktívny a jeho platnosť ešte nevypršala.
• Kľúč nie je vymazaný.
• Vyššie uvedené kľúčové povolenia nie sú zrušené.

Prostredia, ktoré používajú tento kľúč, sú deaktivované, keď šifrovací kľúč nie je prístupný.

Udeľte administrátorské oprávnenie na čítanie podnikových pravidiel Power Platform

Administrátori, ktorí majú administrátorské pozície v Dynamics 365 alebo Power Platform, môžu pristupovať k administrátorskému centru Power Platform a priradiť prostredia k podnikovej politike. Na prístup k podnikovým politikám musí administrátor s prístupom do Azure kľúča prideliť rolu Reader administrátorovi Power Platform. Keď je úloha Reader udelená, administrátor Power Platform môže zobraziť podnikové politiky v administrátorskom centre Power Platform.

Poznámka

Len administrátori Power Platform a Dynamics 365, ktorým je pridelená rola čitateľa podnikovej politiky, môžu pridať prostredie do politiky. Iní administrátori Power Platform alebo Dynamics 365 môžu vidieť podnikové pravidlá, ale dostanú chybu, keď sa pokúsia Pridať prostredie do politiky.

Udeliť rolu čitateľa administrátorovi Power Platform

1. Prihláste sa do portálu Azure.
2. Skopírujte ID objektu administrátora Power Platform alebo Dynamics 365. Ak to chcete urobiť:
   1. Choďte do oblasti Users v Azure.
   2. V zozname Všetci používatelia nájdite používateľa s administrátorskými oprávneniami Power Platform alebo Dynamics 365 pomocou Search users.
   3. Otvorte záznam používateľa a na karte Prehľad skopírujte ID objektu používateľa. Vložte to do textového editora, napríklad do Poznámkového bloku, na neskoršie použitie.
3. Skopírujte ID zdroja podnikovej politiky. Ak to chcete urobiť:
   1. Choďte na Resource Graph Explorer v Azure.
   2. Do vyhľadávacieho poľa zadajte microsoft.powerplatform/enterprisepolicies a potom vyberte zdroj microsoft.powerplatform/enterprisepolicies .
   3. Na paneli príkazov vyberte možnosť Spustiť dotaz. Zobrazí sa zoznam všetkých podnikových politík. Power Platform
   4. Vyhľadajte podnikovú politiku, ktorej chcete udeliť prístup.
   5. Posuňte sa doprava od podnikovej politiky a vyberte možnosť Zobraziť podrobnosti.
   6. Na stránke Podrobnosti skopírujte id.
4. Začnite Azure Cloud Shell a spustite nasledujúci príkaz, ktorý nahrazte objId ID objektu používateľa a EP Resource Id s enterprisepolicies ID skopírovaným v predchádzajúcich krokoch: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Spravovať šifrovanie prostredia

Na správu šifrovania prostredia potrebujete nasledujúce povolenie:

• Microsoft Entra aktívny používateľ s administrátorskou pozíciou v Power Platform a/alebo Dynamics 365 v bezpečnosti.
• Microsoft Entra používateľ, ktorý má buď rolu administrátora služieb v Power Platform alebo Dynamics 365.

Správca trezoru kľúčov upozorní správcu, že bol vytvorený šifrovací kľúč a podniková politika, a poskytne správcovi podnikovú politiku. Aby správca povolil kľúč spravovaný zákazníkom, priradí svoje prostredia k podnikovej politike. Power Platform Power Platform Power Platform Po priradení a uložení prostredia sa spustí proces šifrovania na nastavenie všetkých údajov prostredia a ich zašifrovanie pomocou kľúča spravovaného zákazníkom. Dataverse

Povoliť pridanie spravovaného prostredia do podnikovej politiky

1. Prihláste sa do centra spravovania Power Platform.
2. V navigačnej table vyberte položku Spravovať.
3. V table Spravovať vyberte možnosť Prostredia a potom vyberte prostredie zo zoznamu dostupných prostredí.
4. Vyberte možnosť Povoliť spravované prostredia .
5. Vyberte položku Povoliť.

Pridajte prostredie do podnikovej politiky na šifrovanie údajov

Dôležité

Prostredie je zakázané, keď je pridané do podnikovej politiky pre šifrovanie údajov. Trvanie prestoja systému závisí od veľkosti databázy. Odporúčame vám vykonať skúšobnú prevádzku vytvorením kópie cieľového prostredia do testovacieho prostredia, aby ste určili odhadovaný čas prestoja systému. Prestoje systému možno určiť kontrolou stavu šifrovania prostredia. ... Výpadok systému je medzi stavmi Šifrovanie a Šifrovanie - online . Aby sme skrátili prestoje systému, zmeníme stav šifrovania na Šifrovanie – online po dokončení všetkých základných krokov šifrovania, ktoré vyžadovali nefunkčnosť systému. Systém môžu používať vaši používatelia, zatiaľ čo zostávajúce úložné služby, ako vyhľadávanie a Copilot index, naďalej šifrujú dáta pomocou vášho zákaznícky spravovaného kľúča.

1. Prihláste sa do centra spravovania Power Platform.
2. V navigačnej table vyberte položku Zabezpečenie.
3. V table Zabezpečenie vyberte v časti Údaje a súkromie Nastavenia .
4. Vyberte možnosť Šifrovací kľúč spravovaný zákazníkom a prejdite na stránku Podnikové politiky.
5. Vyberte pravidlá a potom vyberte možnosť Upraviť pravidlá.
6. Vyberte možnosť Pridať prostredia, vyberte požadované prostredie a potom vyberte možnosť Pokračovať.
7. Vyberte možnosť Uložiť a potom vyberte možnosť Potvrdiť.

Dôležité

• V zozname Pridať prostredia sa zobrazujú iba prostredia, ktoré sa nachádzajú v rovnakej oblasti ako podniková politika.
• Dokončenie šifrovania môže trvať až štyri dni, ale prostredie môže byť povolené pred dokončením operácie Pridanie prostredí .
• Operácia sa nemusí dokončiť a ak zlyhá, vaše údaje budú naďalej šifrované kľúčom spravovaným spoločnosťou Microsoft. Operáciu Pridať prostredia môžete spustiť znova.

Poznámka

Môžete pridať iba prostredia, ktoré sú povolené ako spravované prostredia. Typy prostredí Skúšobná verzia a Teams nie je možné pridať do podnikovej politiky.

Odstráňte prostredia z politiky a vráťte sa na kľúč spravovaný spoločnosťou Microsoft

Ak sa chcete vrátiť k šifrovaciemu kľúču spravovanému spoločnosťou Microsoft, postupujte podľa týchto krokov.

Dôležité

Prostredie sa zakáže, keď sa odstráni z podnikovej politiky, aby sa vrátilo šifrovanie údajov pomocou kľúča spravovaného spoločnosťou Microsoft.

1. Prihláste sa do centra spravovania Power Platform.
2. V navigačnej table vyberte položku Zabezpečenie.
3. V table Zabezpečenie vyberte v časti Údaje a súkromie Nastavenia .
4. Vyberte možnosť Šifrovací kľúč spravovaný zákazníkom a prejdite na stránku Podnikové politiky.
5. Vyberte kartu Prostredie s politikami a potom vyhľadajte prostredie, ktoré chcete odstrániť z kľúča spravovaného zákazníkom.
6. Vyberte kartu Všetky politiky , vyberte prostredie, ktoré ste overili v kroku 2, a potom na paneli príkazov vyberte možnosť Upraviť politiku .
7. Na paneli príkazov vyberte možnosť Odstrániť prostredie , vyberte prostredie, ktoré chcete odstrániť, a potom vyberte možnosť Pokračovať.
8. Vyberte položku Uložiť.

Dôležité

Prostredie sa zakáže, keď sa odstráni z podnikovej politiky, aby sa obnovilo šifrovanie údajov na kľúč spravovaný spoločnosťou Microsoft. Neodstraňujte ani nezakazujte kľúč, neodstraňujte ani nezakazujte trezor kľúčov ani neodstraňujte povolenia podnikovej politiky pre trezor kľúčov. Prístup k kľúču a trezoru kľúčov je potrebný na podporu obnovy databázy. Povolenia podnikovej politiky môžete odstrániť a odobrať po 30 dňoch.

Skontrolujte stav šifrovania prostredia

Skontrolujte stav šifrovania z podnikových politík

1. Prihláste sa do centra spravovania Power Platform.

2. V navigačnej table vyberte položku Zabezpečenie.

3. V table Zabezpečenie vyberte v časti Údaje a súkromie Nastavenia .

4. Vyberte možnosť Šifrovací kľúč spravovaný zákazníkom a prejdite na stránku Podnikové politiky.

5. Vyberte politiku a potom na paneli príkazov vyberte možnosť Upraviť politiku .

6. Skontrolujte stav šifrovania prostredia v časti Prostredia s touto politikou.

   Poznámka

   Stav šifrovania prostredia môže byť:

   • Šifrovanie - Proces šifrovania kľúča spravovaného zákazníkom je spustený a systém je zakázaný pre online použitie.

   • Šifrovanie – online – Všetky základné služby šifrované tak, aby vyžadovali prestoje systému, sú kompletné a systém je povolený na online použitie.

   • Šifrované – Šifrovací kľúč podnikovej politiky je aktívny a prostredie je šifrované vaším kľúčom.

   • Vrátenie späť - Šifrovací kľúč sa mení z kľúča spravovaného zákazníkom na kľúč spravovaný spoločnosťou Microsoft a systém je deaktivovaný pre online použitie.

   • Obnovenie – online – Všetky šifrovacie služby základných služieb, ktoré vyžadovali prestoje systému, obnovili kľúč a systém je povolený na online použitie.

   • Kľúč spravovaný spoločnosťou Microsoft – Šifrovanie kľúča spravovaného spoločnosťou Microsoft je aktívne.

   • Zlyhalo - Šifrovací kľúč podnikovej politiky nepoužívajú žiadne Dataverse úložné služby. Ich spracovanie si vyžaduje viac času a operáciu Pridať prostredie môžete spustiť znova. Ak sa operácia opätovného spustenia nepodarí, kontaktujte podporu.

     Stav šifrovania „Neúspešné“ nemá vplyv na dáta vášho prostredia a jeho prevádzku. To znamená, že niektoré úložné služby šifrujú vaše údaje pomocou vášho kľúča a niektoré naďalej používajú kľúč spravovaný spoločnosťou Microsoft. Dataverse Vrátenie sa neodporúča, pretože pri opätovnom spustení operácie Pridať prostredie služba pokračuje od miesta, kde bola prerušená.

   • Upozornenie - Šifrovací kľúč podnikovej politiky je aktívny a jeden z údajov služby je naďalej šifrovaný kľúčom spravovaným spoločnosťou Microsoft. Viac sa dozviete v Power Automate varovné správy aplikácie CMK.

Skontrolujte stav šifrovania na stránke História prostredia

Môžete si pozrieť históriu prostredia.

1. Prihláste sa do centra spravovania Power Platform.

2. V navigačnej table vyberte položku Spravovať.

3. V table Spravovať vyberte možnosť Prostredia a potom vyberte prostredie zo zoznamu dostupných prostredí.

4. Na paneli príkazov vyberte položku História.

5. Vyhľadajte históriu pre Aktualizácia kľúča spravovaného zákazníkom.

   Poznámka

   Stav zobrazuje Spustené , keď prebieha šifrovanie. Zobrazí sa správa *Succeeded* (Úspešné) *Keď je šifrovanie dokončené, zobrazí sa správa *Succeeded* (Úspešné). Stav sa zobrazuje ako Zlyhalo , keď sa vyskytne problém s jednou zo služieb, ktoré nedokážu použiť šifrovací kľúč.

   Stav „Zlyhalo“ môže byť varovaním a nie je potrebné znova spustiť možnosť „Pridať prostredie“. Môžete potvrdiť, či ide o varovanie.

Zmeňte šifrovací kľúč prostredia pomocou novej podnikovej politiky a kľúča

Ak chcete zmeniť šifrovací kľúč, vytvorte nový kľúč a novú podnikovú politiku. Podnikovú politiku potom môžete zmeniť odstránením prostredí a ich pridaním do novej podnikovej politiky. Systém je pri zmene na novú podnikovú politiku dvakrát nefunkčný – 1) kvôli obnoveniu šifrovania na kľúč spravovaný spoločnosťou Microsoft a 2) kvôli použitiu novej podnikovej politiky.

Prepitné

Na rotáciu šifrovacieho kľúča odporúčame použiť novú verziu trezorov kľúčov alebo nastaviť politiku rotácie .

1. V portáli Azure vytvorte nový kľúč a novú podnikovú politiku. Viac informácií: Vytvorenie šifrovacieho kľúča a udelenie prístupu a Vytvorenie podnikovej politiky
2. Udeľte novej podnikovej politike prístup k starému kľúču .
3. Po vytvorení nového kľúča a podnikovej politiky sa prihláste do centra spravovania Power Platform .
4. V navigačnej table vyberte položku Zabezpečenie.
5. V table Zabezpečenie vyberte v časti Údaje a súkromie Nastavenia .
6. Vyberte možnosť Šifrovací kľúč spravovaný zákazníkom a prejdite na stránku Podnikové politiky.
7. Vyberte kartu Prostredie s politikami a potom vyhľadajte prostredie, ktoré chcete odstrániť z kľúča spravovaného zákazníkom.
8. Vyberte kartu Všetky politiky , vyberte prostredie, ktoré ste overili v kroku 2, a potom na paneli príkazov vyberte možnosť Upraviť politiku .
9. Na paneli príkazov vyberte možnosť Odstrániť prostredie , vyberte prostredie, ktoré chcete odstrániť, a potom vyberte možnosť Pokračovať.
10. Vyberte položku Uložiť.
11. Opakujte kroky 2 – 10, kým neodstránite všetky prostredia v podnikovej politike.

Dôležité

Prostredie sa zakáže, keď sa odstráni z podnikovej politiky, aby sa obnovilo šifrovanie údajov na kľúč spravovaný spoločnosťou Microsoft. Neodstraňujte ani nezakazujte kľúč, neodstraňujte ani nezakazujte trezor kľúčov ani neodstraňujte povolenia podnikovej politiky pre trezor kľúčov. Udeľte novú podnikovú politiku starému trezoru kľúčov. Prístup k kľúču a trezoru kľúčov je potrebný na podporu obnovy databázy. Povolenia podnikovej politiky môžete odstrániť a odobrať po 30 dňoch.

12. Po odstránení všetkých prostredí prejdite z centra spravovania do časti Podnikové politiky. Power Platform
13. Vyberte novú podnikovú politiku a potom vyberte možnosť Upraviť politiku.
14. Vyberte možnosť Pridať prostredie, vyberte prostredia, ktoré chcete pridať, a potom vyberte možnosť Pokračovať.

Dôležité

Prostredie je zakázané po pridaní do novej podnikovej politiky.

Otočte šifrovací kľúč prostredia s novou verziou kľúča

Šifrovací kľúč prostredia môžete zmeniť vytvorením novej verzie kľúča. Keď vytvoríte novú verziu kľúča, nová verzia kľúča sa automaticky aktivuje. Všetky úložné zdroje zistia novú verziu kľúča a začnú ju používať na šifrovanie vašich údajov.

Keď upravíte kľúč alebo verziu kľúča, ochrana koreňového šifrovacieho kľúča sa zmení, ale dáta v úložisku vždy zostanú šifrované vaším kľúčom. Na zabezpečenie ochrany vašich údajov nie sú z vašej strany potrebné žiadne ďalšie kroky. Otáčanie verzie kľúča nemá vplyv na výkon. S rotáciou verzie kľúča nie sú spojené žiadne prestoje. Všetkým poskytovateľom zdrojov môže trvať 24 hodín, kým na pozadí aplikujú novú verziu kľúča. Predchádzajúca verzia kľúča nesmie byť deaktivovaná , pretože je potrebná na to, aby ju služba mohla použiť na opätovné šifrovanie a na podporu obnovy databázy.

Ak chcete rotovať šifrovací kľúč vytvorením novej verzie kľúča, postupujte podľa nasledujúcich krokov.

1. Choď do portálu Azure portál>Key Vaults a nájdi Key Vault, kde chceš vytvoriť novú verziu kľúča.
2. Prejdite na Kľúče.
3. Vyberte aktuálny, povolený kľúč.
4. Vyberte + Nová verzia.
5. Predvolené nastavenie Povolené je Áno, čo znamená, že nová verzia kľúča sa po vytvorení automaticky povolí.
6. Vyberte položku Vytvoriť.

Prepitné

Aby ste dodržali zásady rotácie kľúčov, môžete šifrovací kľúč rotovať pomocou Zásad rotácie. Môžete buď nakonfigurovať politiku rotácie, alebo rotovať na požiadanie spustením funkcie Otočiť teraz.

Dôležité

Nová verzia kľúča sa automaticky otáča na pozadí a správca nevyžaduje žiadnu akciu. Je dôležité, aby predchádzajúca verzia kľúča nebola deaktivovaná ani odstránená aspoň 28 dní, aby sa podporila obnova databázy. Power Platform Príliš skoré zakázanie alebo odstránenie predchádzajúcej verzie kľúča môže vaše prostredie prepnúť do režimu offline.

Zobraziť zoznam šifrovaných prostredí

1. Prihláste sa do centra spravovania Power Platform.
2. V navigačnej table vyberte položku Zabezpečenie.
3. V table Zabezpečenie vyberte v časti Údaje a súkromie Nastavenia .
4. Vyberte možnosť Šifrovací kľúč spravovaný zákazníkom a prejdite na stránku Podnikové politiky.
5. Na stránke Podnikové politiky vyberte kartu Prostredia s politikami . Zobrazí sa zoznam prostredí, ktoré boli pridané do podnikových politík.

Poznámka

Môžu nastať situácie, keď stav prostredia alebo stav šifrovania zobrazuje stav Zlyhalo. Keď sa to stane, môžete skúsiť znovu spustiť operáciu Add environment alebo podať Microsoft Support žiadosť o pomoc.

Operácie s prostrediami databázy

Nájomník zákazníka môže mať prostredia šifrované pomocou kľúča spravovaného spoločnosťou Microsoft a prostredia šifrované kľúčom spravovaným zákazníkom. Na zachovanie integrity údajov a ochrany údajov sú pri riadení operácií databázy prostredia k dispozícii nasledujúce ovládacie prvky.

• Obnoviť Prostredie, ktoré sa má prepísať (prostredie obnovené do), je obmedzené na to isté prostredie, z ktorého bola záloha prevzatá, alebo na iné prostredie, ktoré je šifrované rovnakým kľúčom spravovaným zákazníkom.

  

• Kopírovať

  Prostredie, ktoré sa má prepísať (prostredie skopírované do), je obmedzené na iné prostredie, ktoré je šifrované rovnakým kľúčom spravovaným zákazníkom.

  

  Poznámka

  Ak bolo prostredie vyšetrovania podpory vytvorené na vyriešenie problému s podporou v prostredí spravovanom zákazníkom, šifrovací kľúč pre prostredie vyšetrovania podpory musí byť pred vykonaním operácie kopírovania prostredia zmenený na kľúč spravovaný zákazníkom.

• Obnoviť Šifrované údaje prostredia vrátane záloh sa vymažú. Po resetovaní prostredia sa šifrovanie prostredia vráti späť na kľúč spravovaný spoločnosťou Microsoft.

Ďalšie kroky

Približne Azure Key Vault