Deli z drugimi prek

Upravljanje šifrirnega ključa, ki ga upravlja stranka

Stranke imajo zahteve glede zasebnosti podatkov in skladnosti s predpisi, da zaščitijo svoje podatke s šifriranjem podatkov, ki so shranjeni v sistemu. To zaščiti podatke pred razkritjem v primeru kraje kopije baze podatkov. S šifriranjem podatkov v stanju mirovanja so ukradeni podatki baze podatkov zaščiteni pred obnovitvijo na drug strežnik brez šifrirnega ključa.

Vsi podatki strank, shranjeni v Power Platform , so privzeto šifrirani z močnimi šifrirnimi ključi, ki jih upravlja Microsoft. Microsoft shranjuje in upravlja šifrirni ključ baze podatkov za vse vaše podatke, da vam tega ni treba. Vendar pa Power Platform zagotavlja ta šifrirni ključ, ki ga upravlja stranka (CMK), za dodaten nadzor nad zaščito podatkov, kjer lahko sami upravljate šifrirni ključ baze podatkov, ki je povezan z vašim Microsoft Dataverse okoljem. To vam omogoča, da na zahtevo zavrtite ali zamenjate šifrirni ključ, poleg tega pa lahko preprečite Microsoftu dostop do podatkov vaših strank, ko kadar koli prekličete dostop ključa do naših storitev.

Če želite izvedeti več o ključu, ki ga upravlja stranka, v Power Platform, si oglejte videoposnetek o ključu, ki ga upravlja stranka.

Te operacije s šifrirnim ključem so na voljo s ključem, ki ga upravlja stranka (CMK):

  • Ustvarite ključ RSA (RSA-HSM) iz svojega trezorja ključev Azure.
  • Ustvarite pravilnik podjetja za svoj ključ. Power Platform
  • Dodelite dovoljenje za dostop do vašega trezorja ključev v skladu s pravilnikom podjetja. Power Platform
  • Dovolite skrbniku storitve branje pravilnika podjetja. Power Platform
  • Uporabite šifrirni ključ za svoje okolje.
  • Razveljavi/odstrani šifriranje CMK okolja na ključ, ki ga upravlja Microsoft.
  • Spremenite ključ tako, da ustvarite nov pravilnik podjetja, odstranite okolje iz CMK in ponovno uporabite CMK z novim pravilnikom podjetja.
  • Zaklenite okolja CMK tako, da prekličete dovoljenja za trezor ključev CMK in/ali ključe.
  • Preselite okolja, prineseš-svoj-ključ (BYOK), v CMK z uporabo ključa CMK. ...

Trenutno je mogoče vse podatke o vaših strankah, shranjene le v naslednjih aplikacijah in storitvah, šifrirati s ključem, ki ga upravlja stranka:

Komercialni oblak

Suvereni oblak - GCC High

opomba,

  • Za informacije o podpori za ključe, ki jih upravlja stranka, se obrnite na predstavnika za storitve, ki niso navedene zgoraj.
  • Nuance Pogovorni IVR in **vsebina dobrodošlice za ustvarjalce** sta izključena iz šifriranja ključev, ki ga upravlja stranka. ...
  • Nastavitve povezave za povezovalnike so še naprej šifrirane s ključem, ki ga upravlja Microsoft.
  • Power Apps Prikazna imena, opisi in metapodatki povezave so še naprej šifrirani s ključem, ki ga upravlja Microsoft.
  • Povezava do rezultatov prenosa in drugi podatki, ki jih ustvari preverjevalnik rešitev med preverjanjem rešitve, so še naprej šifrirani s ključem, ki ga upravlja Microsoft.

Okolja s finančnimi in operativnimi aplikacijami, kjer je integracija omogočena, je mogoče tudi šifrirati. Power Platform Finančna in operativna okolja brez integracije še naprej uporabljajo privzeti ključ, ki ga upravlja Microsoft, za šifriranje podatkov. Power Platform Več o tem si preberite v razdelku Šifriranje v aplikacijah za finance in poslovanje. ...

Šifrirni ključ, ki ga upravlja stranka, v Power Platform

Uvod v ključ, ki ga upravlja stranka

S ključem, ki ga upravlja stranka, lahko skrbniki posredujejo svoj šifrirni ključ iz lastnega trezorja ključev Azure storitvam shranjevanja za šifriranje podatkov svojih strank. Power Platform Microsoft nima neposrednega dostopa do vašega trezorja ključev Azure. Da bi storitve lahko dostopale do šifrirnega ključa iz vašega trezorja ključev Azure, skrbnik ustvari pravilnik podjetja, ki se sklicuje na šifrirni ključ in temu pravilniku podjetja podeli dostop za branje ključa iz vašega trezorja ključev Azure. Power Platform Power Platform

Skrbnik storitve lahko nato v pravilnik podjetja doda okolja, da začne šifrirati vse podatke strank v okolju z vašim šifrirnim ključem. Power Platform Dataverse Skrbniki lahko spremenijo šifrirni ključ okolja tako, da ustvarijo drug pravilnik podjetja in dodajo okolje (potem ko ga odstranijo) novemu pravilniku podjetja. Če okolja ni več treba šifrirati s ključem, ki ga upravlja stranka, lahko skrbnik odstrani okolje iz pravilnika podjetja, da ponastavi šifriranje podatkov nazaj na ključ, ki ga upravlja Microsoft. Dataverse

Skrbnik lahko zaklene ključna okolja, ki jih upravlja stranka, tako da prekliče dostop do ključa iz pravilnika podjetja, in jih odklene z obnovitvijo dostopa do ključa. Več informacij: Zaklepanje okolij s preklicem dostopa do trezorja ključev in/ali dovoljenja za ključ

Za poenostavitev ključnih nalog upravljanja so naloge razdeljene na tri glavna področja:

  1. Ustvarite šifrirni ključ.
  2. Ustvarite pravilnik podjetja in mu dodelite dostop.
  3. Upravljajte šifriranje okolja.

Opozorilo

Ko so okolja zaklenjena, do njih ne more dostopati nihče, vključno z Microsoftovo podporo. Zaklenjena okolja postanejo onemogočena in lahko pride do izgube podatkov.

Zahteve licenciranja za ključ, ki ga upravlja stranka

Pravilnik o ključih, ki ga upravlja stranka, se uveljavlja samo v okoljih, ki so aktivirana za upravljana okolja. Upravljana okolja so vključena kot upravičenost v samostojne licence Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages in Dynamics 365, ki dajejo pravice do premium uporabe. Več o licenciranju upravljanega okolja izveste v pregledu licenc za. Microsoft Power Platform

Poleg tega dostop do uporabe ključa, ki ga upravlja stranka, za Microsoft Power Platform in Dynamics 365 zahteva, da imajo uporabniki v okoljih, kjer se uveljavlja pravilnik o šifrirnem ključu, eno od teh naročnin:

  • Microsoft 365 ali Office 365 A5/E5/G5
  • Skladnost za Microsoft 365 A5/E5/F5/G5
  • Varnost in skladnost za Microsoft 365 F5
  • Zaščita in upravljanje informacij za Microsoft 365 A5/E5/F5/G5
  • Upravljanje notranjega tveganja za Microsoft 365 A5/E5/F5/G5

Več o teh licencah.

Razumeti je treba potencialno tveganje pri upravljanju ključev

Tako kot pri vsakem programu z visoko pomembnostjo za poslovanje mora biti osebje vašega podjetja, ki ima skrbniški dostop, vredno zaupanja. Preden uporabite funkcijo za upravljanje ključev, morate razumeti tveganja, povezana z upravljanjem šifrirnih ključev zbirke podatkov. Možno je, da zlonamerni skrbnik (oseba, ki ji je odobren ali je pridobila dostop na ravni skrbnika z namenom škodovanja varnosti ali poslovnim procesom organizacije), ki dela v vaši organizaciji, uporabi funkcijo upravljanja ključev za ustvarjanje ključa in ga uporabi za zaklepanje vaših okolij v najemniku.

Zamislite si naslednje zaporedje dogodkov.

Zlonamerni skrbnik trezorja ključev ustvari ključ in pravilnik podjetja na portalu Azure. Skrbnik storitve Azure Key Vault obišče skrbniško središče in doda okolja v pravilnik podjetja. Power Platform Zlonamerni skrbnik se nato vrne na portal Azure in prekliče ključni dostop do pravilnika podjetja, s čimer zaklene vsa okolja. To povzroča prekinitve poslovanja, saj vsa okolja postanejo nedostopna, in če se ta dogodek ne odpravi, torej se ne obnovi dostop do ključev, se lahko podatki o okolju potencialno izgubijo.

opomba,

  • Azure Key Vault ima vgrajene zaščitne ukrepe, ki pomagajo pri obnovi ključa, za katere sta omogočeni nastavitvi mehkega brisanja in zaščite pred čiščenjem .
  • Drug zaščitni ukrep, ki ga je treba upoštevati, je zagotovitev ločitve nalog, kjer skrbnik storitve Azure Key Vault nima dostopa do skrbniškega središča. Power Platform

Ločitev dolžnosti za zmanjšanje tveganja

V tem razdelku so opisane naloge ključnih funkcij, ki jih upravlja stranka in za katere je odgovorna vsaka skrbniška vloga. Ločevanje teh nalog pomaga zmanjšati tveganje, povezano s ključi, ki jih upravljajo stranke.

Skrbniška opravila za Azure Key Vault in **/Dynamics 365** Power Platform

Če želite omogočiti ključe, ki jih upravlja stranka, skrbnik trezorja ključev najprej ustvari ključ v trezorju ključev Azure in ustvari pravilnik podjetja. Power Platform Ko je ustvarjen pravilnik podjetja, se ustvari posebna upravljana identiteta ID. Microsoft Entra Nato se skrbnik trezorja ključev vrne v trezor ključev Azure in podeli dostop do šifrirnega ključa pravilniku podjetja/upravljani identiteti.

Skrbnik shrambe ključev nato ustreznemu skrbniku storitve Power Platform/Dynamics 365 podeli bralni dostop do pravilnika podjetja. Ko je dovoljenje za branje odobreno, lahko skrbnik storitve **/Dynamics 365** obišče skrbniško središče ** in doda okolja v pravilnik podjetja. Power Platform Power Platform Vsi podatki strank v dodanih okoljih so nato šifrirani s ključem, ki ga upravlja stranka in je povezan s tem pravilnikom podjetja.

Zahteve
  • Naročnina na Azure, ki vključuje varnostne module upravljane strojne opreme Azure Key Vault ali Azure Key Vault.
  • ID z: Microsoft Entra
    • Dovoljenje sodelavca za naročnino. Microsoft Entra
    • Dovoljenje za ustvarjanje trezorja ključev Azure in ključa.
    • Dostop za ustvarjanje skupine virov. To je potrebno za nastavitev shrambe ključev.
Ustvarite ključ in mu dodelite dostop z uporabo storitve Azure Key Vault.

Skrbnik storitve Azure Key Vault izvaja ta opravila v storitvi Azure.

  1. Ustvarite plačljivo naročnino na Azure in Key Vault. Če že imate naročnino, ki vključuje Azure Key Vault, prezrite ta korak.
  2. Pojdite v storitev Azure Key Vault in ustvarite ključ. Več informacij: Ustvarjanje ključa v trezorju ključev
  3. Omogočite storitev pravilnikov podjetja za svojo naročnino Azure. Power Platform To storite samo enkrat. Več informacij: Omogočite Power Platform storitev pravilnikov podjetja za svojo naročnino na Azure
  4. Ustvarite pravilnik podjetja. Power Platform Več informacij: Ustvarjanje pravilnika podjetja
  5. Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev. Več informacij: Dodelitev dovoljenj pravilniku podjetja za dostop do trezorja ključev
  6. Dodelite skrbnikom Power Platform in Dynamics 365 dovoljenje za branje pravilnika podjetja. Več informacij: Dodelite Power Platform skrbniški privilegij za branje pravilnika podjetja

Power Platform/Naloge skrbniškega središča za skrbnike storitve Dynamics 365 Power Platform

Predpogoj

Power Platform Skrbnik mora biti dodeljen vlogi skrbnika storitve Dynamics 365 ali vlogi skrbnika storitve Dynamics 365. Power Platform Microsoft Entra

Upravljajte šifriranje okolja v skrbniškem središču Power Platform

Skrbnik upravlja ključne naloge, ki jih upravljajo stranke in so povezane z okoljem v skrbniškem središču. Power Platform Power Platform

  1. Dodajte okolja v pravilnik podjetja za šifriranje podatkov s ključem, ki ga upravlja stranka. Power Platform Več informacij: Dodajte okolje pravilniku podjetja za šifriranje podatkov
  2. Odstranite okolja iz pravilnika podjetja, da se šifriranje vrne na ključ, ki ga upravlja Microsoft. Več informacij: Odstranite okolja iz pravilnika, da se vrnete na Microsoftov upravljani ključ
  3. Ključ spremenite tako, da iz starega pravilnika podjetja odstranite okolja in jih dodate v nov pravilnik podjetja. Več informacij: Ustvarjanje šifrirnega ključa in odobritev dostopa
  4. Selitev iz BYOK. Če uporabljate starejšo funkcijo samoupravljanega šifrirnega ključa, lahko svoj ključ preselite na ključ, ki ga upravlja stranka. Več o tem si preberite v razdelku Migracija okolij s ključi, ki jih prinesete s seboj, na ključe, ki jih upravlja stranka.

Ustvarite šifrirni ključ in odobrite dostop

Ustvarjanje plačljive naročnine in trezorja ključev za Azure

V storitvi Azure izvedite naslednje korake:

  1. Ustvarite naročnino na storitev Pay-as-you-go ali enakovredno naročnino na Azure. Ta korak ni potreben, če ima najemnik že naročnino.

  2. Ustvarite skupino virov. Več informacij: Ustvarjanje skupin virov

    opomba,

    Ustvarite ali uporabite skupino virov z lokacijo, na primer osrednja ZDA, ki se ujema z regijo okolja, kot so Združene države Amerike. Power Platform

  3. Ustvarite trezor ključev s plačljivo naročnino, ki vključuje zaščito pred mehkim brisanjem in čiščenjem s skupino virov, ki ste jo ustvarili v prejšnjem koraku.

    Pomembno

    Da bi zagotovili zaščito vašega okolja pred nenamernim brisanjem šifrirnega ključa, mora imeti trezor ključev omogočeno zaščito pred mehkim brisanjem in čiščenjem. Brez omogočanja teh nastavitev ne boste mogli šifrirati svojega okolja s svojim ključem. Več informacij: Pregled mehkega brisanja v storitvi Azure Key Vault Več informacij: Ustvarjanje trezorja ključev s portalom Azure

Ustvarite ključ v trezorju ključev

  1. Prepričajte se, da ste izpolnili predpogoje. ...
  2. Pojdite na portal Azure Trezor ključev>in poiščite trezor ključev, kjer želite ustvariti šifrirni ključ.
  3. Preverite nastavitve trezorja ključev Azure:
    1. V razdelku Nastavitve izberite Lastnosti.
    2. V razdelku Zaščitno brisanjenastavite ali preverite, ali je nastavljeno na Zaščitno brisanje je omogočeno v tem trezorju ključev .
    3. V razdelku Zaščita pred čiščenjem nastavite ali preverite, ali je možnost Omogoči zaščito pred čiščenjem (uveljavi obvezno obdobje hrambe za izbrisane trezorje in predmete trezorja) omogočena.
    4. Če ste naredili spremembe, izberite Shrani.
Ustvarite ključe RSA

  1. Ustvarite ali uvozite ključ s temi lastnostmi:

    1. Na straneh z lastnostmi Key Vault izberite Ključi.
    2. Izberite možnost Ustvari/uvozi.
    3. Na zaslonu Ustvari ključ nastavite naslednje vrednosti in nato izberite Ustvari.
      • Možnosti: Ustvari
      • Ime: Navedite ime za ključ
      • Vrsta ključa: RSA
      • Velikost ključa RSA: 2048 ali 3072

    Pomembno

    Če v ključu nastavite datum poteka veljavnosti in ključ poteče, bodo vsa okolja, šifrirana s tem ključem, nedostopna. Nastavite opozorilo za spremljanje potrdil o poteka veljavnosti z e-poštnimi obvestili za lokalnega skrbnika in skrbnika trezorja ključev Azure kot opomnik za podaljšanje datuma poteka veljavnosti. Power Platform To je pomembno za preprečevanje nenačrtovanih izpadov sistema.

Uvoz zaščitenih ključev za varnostne module strojne opreme (HSM)

Zaščitene ključe za strojno varnostne module (HSM) lahko uporabite za šifriranje svojih okolij. Power Platform Dataverse Vaše ključe, zaščitene s HSM, je treba uvoziti v trezor ključev, da je mogoče ustvariti pravilnik podjetja. ... Za več informacij glejte Podprti HSM-jiUvoz ključev, zaščitenih s HSM, v Key Vault (BYOK).

Ustvarjanje ključa v upravljanem HSM-ju Azure Key Vault

Za šifriranje podatkov v okolju lahko uporabite šifrirni ključ, ustvarjen iz upravljanega HSM-ja Azure Key Vault. To vam zagotavlja podporo za FIPS 140-2 raven 3.

Ustvarjanje ključev RSA-HSM

  1. Prepričajte se, da ste izpolnili predpogoje. ...

  2. Pojdite na portal Azure. ...

  3. Ustvarite upravljani HSM: ...

    1. Zagotovite uporabo upravljanega HSM.
    2. Aktivirajte upravljani HSM.

  4. Omogočite zaščito pred čiščenjem v upravljanem HSM-ju.

  5. Dodelite vlogo Upravljani uporabnik kriptovalut HSM osebi, ki je ustvarila trezor ključev upravljanega HSM.

    1. Dostopite do upravljanega trezorja ključev HSM na portalu Azure. ...
    2. Pomaknite se do Lokalni RBAC in izberite + Dodaj.
    3. Na spustnem seznamu Vloga na strani Dodelitev vloge izberite vlogo Upravljani uporabnik HSM Crypto.
    4. Izberite Vsi ključi v razdelku Obseg.
    5. Izberite Izberi varnostno glavno naročnino in nato na strani Dodaj glavno naročnino izberite skrbnika.
    6. izberite Ustvari.

  6. Ustvarite ključ RSA-HSM:

    • Možnosti: Ustvari
    • Ime: Navedite ime za ključ
    • Vrsta ključa: RSA-HSM
    • Velikost ključa RSA: 2048

    opomba,

    Podprte velikosti ključev RSA-HSM: 2048-bitna in 3072-bitna. ...

Omrežje trezorja ključev Azure lahko posodobite tako, da omogočite zasebno končno točko in uporabite ključ v trezorju ključev za šifriranje svojih okolij. Power Platform

Lahko ustvarite nov trezor ključev in vzpostavite zasebno povezavo ali vzpostavite zasebno povezavo z obstoječim trezorjem ključev in ustvarite ključ iz tega trezorja ključev ter ga uporabite za šifriranje svojega okolja. Prav tako lahko vzpostavite zasebno povezavo z obstoječim trezorjem ključev ko že ustvarite ključ in ga uporabite za šifriranje svojega okolja.

  1. Ustvarite trezor ključev Azure s temi možnostmi: ...

    • Omogoči zaščito pred čiščenjem
    • Vrsta ključa: RSA
    • Velikost ključa: 2048 ali 3072

  2. Kopirajte URL trezorja ključev in URL šifrirnega ključa, ki ju želite uporabiti za ustvarjanje pravilnika podjetja.

    opomba,

    Ko v trezor ključev dodate zasebno končno točko ali onemogočite javno dostopno omrežje, ključa ne boste mogli videti, razen če imate ustrezno dovoljenje.

  3. Ustvarite virtualno omrežje. ...

  4. Vrnite se v trezor ključev in dodajte povezave zasebnih končnih točk v trezor ključev Azure.

    opomba,

    Izbrati morate možnost Onemogoči javni dostop do omrežja in omogočiti izjemo Dovoli zaupanja vrednim Microsoftovim storitvam, da obidejo ta požarni zid .

  5. Ustvarite pravilnik podjetja. Power Platform Več informacij: Ustvarjanje pravilnika podjetja

  6. Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev. Več informacij: Dodelitev dovoljenj pravilniku podjetja za dostop do trezorja ključev

  7. Dodelite skrbnikom Power Platform in Dynamics 365 dovoljenje za branje pravilnika podjetja. Več informacij: Dodelite Power Platform skrbniški privilegij za branje pravilnika podjetja

  8. Power Platform Skrbnik v skrbniškem središču izbere okolje za šifriranje in omogoči upravljano okolje. Več informacij: Omogočanje dodajanja upravljanega okolja v pravilnik podjetja

  9. Power Platform Skrbniški center admin doda upravljano okolje v pravilnik podjetja. Več informacij: Dodajte okolje pravilniku podjetja za šifriranje podatkov

Omogočite storitev pravilnikov podjetja za svojo naročnino na Azure Power Platform

Registrirajte se kot ponudnik virov. Power Platform To nalogo morate opraviti samo enkrat za vsako naročnino Azure, kjer se nahaja vaš trezor ključev Azure. Za registracijo ponudnika virov morate imeti pravice dostopa do naročnine.

  1. Prijavite se v portal Azure in pojdite na Naročnina Ponudniki virov>.
  2. Na seznamu ponudnikov virov poiščite Microsoft.PowerPlatform in ga registrirajte.

Ustvari pravilnik podjetja

  1. Namestite PowerShell MSI. Več informacij: Namestitev PowerShell-a v sisteme Windows, Linux in macOS
  2. Ko je nameščen PowerShell MSI, se vrnite na Uvajanje predloge po meri v Azure.
  3. Izberite povezavo Ustvari svojo predlogo v urejevalniku .
  4. Kopirajte to predlogo JSON v urejevalnik besedil, kot je Beležnica. ... Več informacij: Predloga JSON pravilnika podjetja
  5. V predlogi JSON zamenjajte vrednosti za: EnterprisePolicyName, lokacijo, kjer je treba ustvariti EnterprisePolicy, keyVaultId in keyName. Več informacij: Definicije polj za predlogo JSON
  6. Kopirajte posodobljeno predlogo iz urejevalnika besedil in jo prilepite v razdelek Uredi predlogo razdelka Uvajanje po meri v storitvi Azure ter izberite Shrani.
  7. Izberite Naročnino in Skupino virov , kjer želite ustvariti pravilnik podjetja.
  8. Izberite Pregled + ustvarjanje in nato izberite Ustvari.

Začne se uvajanje. Ko je to končano, je ustvarjena poslovna politika.

Predloga JSON za pravilnik podjetja

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definicije polj za predlogo JSON

  • ime. Ime pravilnika podjetja. To je ime pravilnika, ki se prikaže v skrbniškem središču. Power Platform

  • lokacija. Eno od naslednjih. To je lokacija pravilnika podjetja in mora ustrezati regiji okolja: Dataverse

    • Združene države Amerike
    • "južna Afrika"
    • "VB"
    • "Japonska"
    • "Indija"
    • "francijo"
    • "Evropa"
    • "Nemčija"
    • "švica"
    • "Kanada"
    • "Brazilija"
    • "Avstralija"
    • Azija
    • ZAE
    • "Koreja"
    • "norveška"
    • Singapur
    • "Švedska"

  • Kopirajte te vrednosti iz lastnosti trezorja ključev v portalu Azure:

    • keyVaultId: Pojdite na Trezorji ključev> izberite svoj trezor ključev >Pregled. Zraven možnosti Essentials izberite JSON View. Kopirajte ID vira v odložišče in celotno vsebino prilepite v predlogo JSON.
    • keyName: Pojdite na Trezorji ključev> izberite svoj trezor ključev >Ključi. Bodite pozorni na ključ Name in ga vnesite v svojo predlogo JSON.

Dodelitev dovoljenj pravilniku podjetja za dostop do trezorja ključev

Ko je pravilnik podjetja ustvarjen, skrbnik trezorja ključev podeli upravljani identiteti pravilnika podjetja dostop do šifrirnega ključa.

  1. Prijavite se v portal Azure in pojdite na Trezorji ključev.
  2. Izberite trezor ključev, kjer je bil ključ dodeljen pravilniku podjetja.
  3. Izberite zavihek Nadzor dostopa (IAM) in nato izberite + Dodaj.
  4. Na spustnem seznamu izberite Dodaj dodelitev vloge .
  5. Poiščite Uporabnika šifriranja storitve Key Vault Crypto in ga izberite.
  6. Izberite Naprej.
  7. Izberite + Izberi člane.
  8. Poiščite pravilnik podjetja, ki ste ga ustvarili.
  9. Izberite pravilnik podjetja in nato izberite Izberi.
  10. Izberite Pregled + dodelitev.

Zgornja nastavitev dovoljenj temelji na modelu dovoljenj vašega trezorja ključev za nadzor dostopa na podlagi vlog Azure . Če je vaš trezor ključev nastavljen na Pravilnik dostopa do trezorja, je priporočljivo, da se preselite na model, ki temelji na vlogah. Če želite svojemu pravilniku podjetja dodeliti dostop do trezorja ključev z uporabo pravilnika dostopa do trezorja, ustvarite pravilnik dostopa, izberite Pridobi v Operacije upravljanja ključev in Razpakiraj ključ in Zavij ključ v Kriptografske operacije.

opomba,

Da bi preprečili nenačrtovane izpade sistema, je pomembno, da ima pravilnik podjetja dostop do ključa. Prepričajte se, da:

  • Shramba ključev je aktivna.
  • Ključ je aktiven in ni potekel.
  • Ključ ni izbrisan.
  • Zgornja ključna dovoljenja niso preklicana.

Okolja, ki uporabljajo ta ključ, so onemogočena, ko šifrirni ključ ni dostopen.

Dodelite skrbniški privilegij za branje pravilnika podjetja Power Platform

Skrbniki z vlogo Dynamics 365 ali skrbniško vlogo lahko dostopajo do skrbniškega središča, da dodelijo okolja pravilniku podjetja. Power Platform Power Platform Za dostop do pravilnikov podjetja mora skrbnik z dostopom do trezorja ključev Azure skrbniku dodeliti vlogo bralca. Ko je vloga bralca dodeljena, si lahko skrbnik ogleda pravilnike podjetja v skrbniškem središču. Power Platform Power Platform Power Platform

opomba,

Samo skrbniki sistema Dynamics 365, ki jim je dodeljena vloga bralca pravilnika podjetja, lahko v pravilnik dodajo okolje. Power Platform Drugi skrbniki sistema Dynamics 365 si morda lahko ogledajo pravilnik podjetja, vendar se jim prikaže napaka, ko poskušajo pravilniku dodati okolje. Power Platform

Dodeli vlogo bralca skrbniku Power Platform

  1. Prijavite se v portal Azure.
  2. Kopirajte ID objekta skrbnika Dynamics 365. Power Platform Če želite to narediti:
    1. V storitvi Azure pojdite na območje Uporabniki .
    2. Na seznamu Vsi uporabniki poiščite uporabnika z Power Platform ali skrbniškimi dovoljenji za Dynamics 365 z uporabo Iskanje uporabnikov.
    3. Odprite zapis uporabnika in na zavihku Pregled kopirajte uporabnikov ID objekta. Prilepite to v urejevalnik besedil, kot je Beležnica, za pozneje.
  3. Kopirajte ID vira pravilnika podjetja. Če želite to narediti:
    1. Pojdite na Raziskovalec grafov virov v storitvi Azure.
    2. V iskalno polje vnesite microsoft.powerplatform/enterprisepolicies in nato izberite vir microsoft.powerplatform/enterprisepolicies .
    3. V ukazni vrstici izberite Zaženi poizvedbo . Prikaže se seznam vseh pravilnikov podjetja. Power Platform
    4. Poiščite pravilnik podjetja, ki mu želite odobriti dostop.
    5. Pomaknite se desno od pravilnika podjetja in izberite Oglejte si podrobnosti.
    6. Na strani s podrobnostmi kopirajte ID.
  4. Zaženite Azure Cloud Shell in zaženite naslednji ukaz, pri čemer zamenjajte objId z ID-jem uporabnikovega objekta in ID vira EP z ID-jem enterprisepolicies , kopiranim v prejšnjih korakih: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Upravljanje šifriranja okolja

Za upravljanje šifriranja okolja potrebujete naslednje dovoljenje:

  • Microsoft Entra aktivni uporabnik, ki ima varnostno vlogo skrbnika za Dynamics 365 in/ali Dynamics 365. Power Platform
  • Microsoft Entra uporabnik, ki ima vlogo skrbnika storitve Dynamics 365 ali Dynamics 365. Power Platform

Skrbnik trezorja ključev obvesti skrbnika, da sta bila ustvarjena šifrirni ključ in pravilnik podjetja, ter skrbniku posreduje pravilnik podjetja. Da omogoči ključ, ki ga upravlja stranka, skrbnik dodeli svoja okolja pravilniku podjetja. Power Platform Power Platform Power Platform Ko je okolje dodeljeno in shranjeno, Dataverse začne postopek šifriranja za nastavitev vseh podatkov okolja in njihovo šifriranje s ključem, ki ga upravlja stranka.

Omogoči dodajanje upravljanega okolja v pravilnik podjetja

  1. Prijavite se v skrbniški center Power Platform .
  2. V navigacijski plošči izberite Upravljanje.
  3. V podoknu Upravljanje izberite Okolja in nato izberite okolje s seznama razpoložljivih okolij.
  4. Izberite Omogoči upravljana okolja.
  5. Izberite Omogoči.

Dodajte okolje pravilniku podjetja za šifriranje podatkov

Pomembno

Okolje je onemogočeno, ko je dodano pravilniku podjetja za šifriranje podatkov. Trajanje izpada sistema je odvisno od velikosti baze podatkov. Priporočamo, da izvedete poskusno delovanje tako, da ustvarite kopijo ciljnega okolja v testno okolje, da ugotovite ocenjeni čas izpada sistema. Čas izpada sistema je mogoče ugotoviti s preverjanjem stanja šifriranja okolja. ... Čas nedelovanja sistema je med stanjima Šifriranje in Šifriranje - na spletu . Da bi skrajšali čas izpada sistema, spremenimo stanje šifriranja v Šifriranje - na spletu , ko so zaključeni vsi osnovni koraki šifriranja, ki so zahtevali izpad sistema. Sistem lahko uporabljajo vaši uporabniki, medtem ko preostale storitve shranjevanja, kot sta iskanje in indeksiranje Copilot, še naprej šifrirajo podatke z vašim ključem, ki ga upravlja stranka.

  1. Prijavite se v skrbniški center Power Platform .
  2. V navigacijski plošči izberite Varnost.
  3. V podoknu Varnost v razdelku Nastavitve izberite Podatki in zasebnost.
  4. Izberite Šifrirni ključ, ki ga upravlja stranka , da odprete stran Pravilniki podjetja.
  5. Izberite pravilnik in nato izberite Uredi pravilnik.
  6. Izberite Dodaj okolja, izberite želeno okolje in nato izberite Nadaljuj. Dodajanje okolja pravilniku podjetja
  7. Izberite Shrani in nato izberite Potrdi.

Pomembno

  • Na seznamu Dodaj okolja so prikazana samo okolja, ki so v isti regiji kot pravilnik podjetja.
  • Šifriranje lahko traja do štiri dni, vendar je okolje morda omogočeno, preden se postopek Dodaj okolja zaključi.
  • Operacija se morda ne bo dokončala in če ne uspe, bodo vaši podatki še naprej šifrirani s ključem, ki ga upravlja Microsoft. Postopek Dodaj okolja lahko znova zaženete.

opomba,

Dodate lahko samo okolja, ki so omogočena kot upravljana okolja. Vrst preizkusnih okolij in okolij Teams ni mogoče dodati pravilniku podjetja.

Odstranite okolja iz pravilnika, da se vrnete na ključ, ki ga upravlja Microsoft

Če se želite vrniti na šifrirni ključ, ki ga upravlja Microsoft, sledite tem korakom.

Pomembno

Okolje je onemogočeno, ko je odstranjeno iz pravilnika podjetja, da se vrne šifriranje podatkov s ključem, ki ga upravlja Microsoft.

  1. Prijavite se v skrbniški center Power Platform .
  2. V navigacijski plošči izberite Varnost.
  3. V podoknu Varnost v razdelku Nastavitve izberite Podatki in zasebnost.
  4. Izberite Šifrirni ključ, ki ga upravlja stranka , da odprete stran Pravilniki podjetja.
  5. Izberite zavihek Okolje s pravilniki in nato poiščite okolje, ki ga želite odstraniti iz ključa, ki ga upravlja stranka.
  6. Izberite zavihek Vsi pravilniki , izberite okolje, ki ste ga preverili v 2. koraku, in nato v ukazni vrstici izberite Uredi pravilnik . Zavihek Vsi pravilniki
  7. V ukazni vrstici izberite Odstrani okolje , izberite okolje, ki ga želite odstraniti, in nato izberite Nadaljuj.
  8. Izberite možnost Shrani.

Pomembno

Okolje je onemogočeno, ko je odstranjeno iz pravilnika podjetja, da se šifriranje podatkov povrne na ključ, ki ga upravlja Microsoft. Ne izbrišite ali onemogočite ključa, ne izbrišite ali onemogočite trezorja ključev in ne odstranite dovoljenj pravilnika podjetja za trezor ključev. Dostop do ključa in trezorja ključev je potreben za podporo obnovitve baze podatkov. Dovoljenja pravilnika podjetja lahko izbrišete in odstranite po 30 dneh.

Preglejte stanje šifriranja okolja

Preglejte stanje šifriranja iz pravilnikov podjetja

  1. Prijavite se v skrbniški center Power Platform .
  2. V navigacijski plošči izberite Varnost.
  3. V podoknu Varnost v razdelku Nastavitve izberite Podatki in zasebnost.
  4. Izberite Šifrirni ključ, ki ga upravlja stranka , da odprete stran Pravilniki podjetja.
  5. Izberite pravilnik in nato v ukazni vrstici izberite Uredi pravilnik.
  6. Preglejte stanje šifriranja okolja v razdelku Okolja s tem pravilnikom.

opomba,

Stanje šifriranja okolja je lahko:

  • Šifriranje - Postopek šifriranja ključa, ki ga upravlja stranka, se izvaja in sistem je onemogočen za spletno uporabo.

  • Šifriranje – na spletu – Šifriranje vseh osnovnih storitev, ki je zahtevalo izpad sistema, je končano in sistem je omogočen za spletno uporabo.

  • Šifrirano – Ključ za šifriranje pravilnika podjetja je aktiven in okolje je šifrirano z vašim ključem.

  • Razveljavljanje - Šifrirni ključ se spreminja iz ključa, ki ga upravlja stranka, v ključ, ki ga upravlja Microsoft, in sistem je onemogočen za spletno uporabo.

  • Razveljavitev – spletna različica – Vse šifriranje osnovnih storitev, ki je zahtevalo izpad sistema, je razveljavilo ključ in sistem je omogočen za spletno uporabo.

  • Ključ, ki ga upravlja Microsoft – Šifriranje ključa, ki ga upravlja Microsoft, je aktivno.

  • Ni uspelo - Ključa za šifriranje pravilnika podjetja ne uporabljajo vse Dataverse storitve shranjevanja. Za njihovo obdelavo je potrebno več časa in lahko znova zaženete operacijo Dodaj okolje . Če ponovni zagon ne uspe, se obrnite na podporo.

    Stanje šifriranja »Neuspešno« ne vpliva na podatke vašega okolja in njegovo delovanje. To pomeni, da nekatere storitve shranjevanja šifrirajo vaše podatke z vašim ključem, nekatere pa še naprej uporabljajo ključ, ki ga upravlja Microsoft. Dataverse Razveljavitev ni priporočljiva, saj se pri ponovnem zagonu operacije Dodaj okolje storitev nadaljuje tam, kjer je bila prekinjena.

  • Opozorilo - Šifrirni ključ pravilnika podjetja je aktiven in eden od podatkov storitve je še vedno šifriran s ključem, ki ga upravlja Microsoft. Več o tem si preberite v Power Automate opozorilnih sporočilih aplikacije CMK.

Preglejte stanje šifriranja na strani Zgodovina okolja

Ogledate si lahko zgodovino okolja.

  1. Prijavite se v skrbniški center Power Platform .
  2. V navigacijski plošči izberite Upravljanje.
  3. V podoknu Upravljanje izberite Okolja in nato izberite okolje s seznama razpoložljivih okolij.
  4. V ukazni vrstici izberite Zgodovina.
  5. Poiščite zgodovino za Posodobitev ključa, ki ga upravlja stranka.

opomba,

Stanje prikazuje stanje »Izvaja se«, ko je šifriranje v teku. Ko je šifriranje končano, se prikaže sporočilo *Succeeded* (Uspešno). Stanje se prikaže kot Neuspešno , ko pride do težave z eno od storitev, ki ne more uporabiti šifrirnega ključa.

Stanje »Neuspešno« je lahko opozorilo in vam ni treba znova zagnati možnosti »Dodaj okolje«. Lahko potrdite, ali gre za opozorilo. ...

Spremenite šifrirni ključ okolja z novo politiko in ključem podjetja

Če želite spremeniti šifrirni ključ, ustvarite nov ključ in nov pravilnik podjetja. Nato lahko spremenite pravilnik podjetja tako, da odstranite okolja in jih nato dodate novemu pravilniku podjetja. Sistem je pri prehodu na nov pravilnik podjetja dvakrat izpadel – 1) zaradi ponastavitve šifriranja na ključ, ki ga upravlja Microsoft, in 2) zaradi uporabe novega pravilnika podjetja.

Nasvet

Za rotacijo šifrirnega ključa priporočamo uporabo nove različice trezorja ključev ali nastavitev pravilnika rotacije.

  1. V portalu Azure ustvarite nov ključ in nov pravilnik podjetja. Več informacij: Ustvarjanje šifrirnega ključa in odobritev dostopa in Ustvarjanje pravilnika podjetja
  2. Dodelite novemu pravilniku podjetja dostop do starega ključa.
  3. Ko ustvarite nov ključ in pravilnik podjetja, se prijavite v Power Platform skrbniško središče.
  4. V navigacijski plošči izberite Varnost.
  5. V podoknu Varnost v razdelku Nastavitve izberite Podatki in zasebnost.
  6. Izberite Šifrirni ključ, ki ga upravlja stranka , da odprete stran Pravilniki podjetja.
  7. Izberite zavihek Okolje s pravilniki in nato poiščite okolje, ki ga želite odstraniti iz ključa, ki ga upravlja stranka.
  8. Izberite zavihek Vsi pravilniki , izberite okolje, ki ste ga preverili v 2. koraku, in nato v ukazni vrstici izberite Uredi pravilnik . Urejanje pravilnikov podjetja
  9. V ukazni vrstici izberite Odstrani okolje , izberite okolje, ki ga želite odstraniti, in nato izberite Nadaljuj.
  10. Izberite možnost Shrani.
  11. Ponavljajte korake od 2 do 10, dokler ne odstranite vseh okolij v pravilniku podjetja.

Pomembno

Okolje je onemogočeno, ko je odstranjeno iz pravilnika podjetja, da se šifriranje podatkov povrne na ključ, ki ga upravlja Microsoft. Ne izbrišite ali onemogočite ključa, ne izbrišite ali onemogočite trezorja ključev in ne odstranite dovoljenj pravilnika podjetja za trezor ključev. Dodelite nov pravilnik podjetja staremu trezorju ključev. Dostop do ključa in trezorja ključev je potreben za podporo obnovitve baze podatkov. Dovoljenja pravilnika podjetja lahko izbrišete in odstranite po 30 dneh.

  1. Ko so vsa okolja odstranjena, v skrbniškem središču Power Platform pojdite na Pravilniki podjetja.
  2. Izberite nov pravilnik podjetja in nato izberite Uredi pravilnik.
  3. Izberite Dodaj okolje, izberite okolja, ki jih želite dodati, in nato izberite Nadaljuj.

Pomembno

Okolje je onemogočeno, ko je dodano novemu pravilniku podjetja.

Zamenjajte šifrirni ključ okolja z novo različico ključa

Šifrirni ključ okolja lahko spremenite tako, da ustvarite novo različico ključa. Ko ustvarite novo različico ključa, se ta samodejno omogoči. Vsi viri za shranjevanje zaznajo novo različico ključa in jo začnejo uporabljati za šifriranje vaših podatkov.

Ko spremenite ključ ali različico ključa, se zaščita korenskega šifrirnega ključa spremeni, vendar podatki v shrambi vedno ostanejo šifrirani z vašim ključem. Za zagotovitev zaščite vaših podatkov vam ni treba storiti ničesar več. Zamenjava različice ključa ne vpliva na delovanje. Z menjavo različice ključa ni izpadov. Uporabitev nove različice ključa v ozadju lahko traja 24 ur. Prejšnje različice ključa ne smete onemogočiti , saj jo storitev potrebuje za ponovno šifriranje in za podporo obnovitve baze podatkov.

Če želite šifrirni ključ zamenjati z ustvarjanjem nove različice ključa, sledite naslednjim korakom.

  1. Pojdite na portal Azure>Trezorji ključev in poiščite trezor ključev, kjer želite ustvariti novo različico ključa.
  2. Pomaknite se do Tipke.
  3. Izberite trenutno omogočeno tipko.
  4. Izberite + Nova različica.
  5. Nastavitev Omogočeno je privzeto nastavljena na Da, kar pomeni, da je nova različica ključa ob ustvarjanju samodejno omogočena.
  6. izberite Ustvari.

Nasvet

Če želite upoštevati pravilnik o rotaciji ključev, lahko šifrirni ključ zavrtite z uporabo pravilnika o rotaciji . Konfigurirate lahko pravilnik rotacije ali pa rotirate na zahtevo tako, da zaženete ukaz Zavrti zdaj.

Pomembno

Nova različica ključa se samodejno zamenja v ozadju in skrbnik ne mora ukrepati. Pomembno je, da prejšnja različica ključa ne sme biti onemogočena ali izbrisana vsaj 28 dni, da se podpre obnovitev baze podatkov. Power Platform Če prezgodaj onemogočite ali izbrišete prejšnjo različico ključa, lahko vaše okolje onemogočite.

Oglejte si seznam šifriranih okolij

  1. Prijavite se v skrbniški center Power Platform .
  2. V navigacijski plošči izberite Varnost.
  3. V podoknu Varnost v razdelku Nastavitve izberite Podatki in zasebnost.
  4. Izberite Šifrirni ključ, ki ga upravlja stranka , da odprete stran Pravilniki podjetja.
  5. Na strani Pravilniki podjetja izberite zavihek Okolja s pravilniki . Prikazan je seznam okolij, ki so bila dodana pravilnikom podjetja.

opomba,

Lahko se zgodi, da Stanje okolja ali Stanje šifriranja prikažeta stanje Neuspešno . Ko se to zgodi, lahko poskusite znova zagnati operacijo Dodaj okolje ali pa pošljete zahtevo za pomoč Microsoftovi podpori.

Postopki zbirke podatkov okolja

Najemnik stranke ima lahko okolja, ki so šifrirana s ključem, ki ga upravlja Microsoft, in okolja, ki so šifrirana s ključem, ki ga upravlja stranka. Za ohranjanje integritete podatkov in varstva podatkov so pri upravljanju postopkov zbirke podatkov okolja na voljo naslednji kontrolniki.

  • Obnovitev Okolje, ki ga želite prepisati (okolje, v katerega želite obnoviti), je omejeno na isto okolje, iz katerega je bila varnostna kopija vzeta, ali na drugo okolje, ki je šifrirano z istim ključem, ki ga upravlja stranka.

    Obnovitev varnostne kopije

  • Kopiraj

    Okolje, ki ga je treba prepisati (okolje, v katerega se kopira), je omejeno na drugo okolje, ki je šifrirano z istim ključem, ki ga upravlja stranka.

    Kopirajte okolje.

    opomba,

    Če je bilo okolje za preiskavo podpore ustvarjeno za reševanje težav s podporo v okolju, ki ga upravlja stranka, je treba šifrirni ključ za okolje za preiskavo podpore spremeniti v ključ, ki ga upravlja stranka, preden je mogoče izvesti operacijo kopiranja okolja.

  • Ponastavi Šifrirani podatki okolja, vključno z varnostnimi kopijami, so izbrisani. Po ponastavitvi okolja se bo šifriranje okolja vrnilo nazaj na ključ, ki ga upravlja Microsoft.

Naslednji koraki

O Azure Key Vaultu

  • Last updated on