Deli z drugimi prek

Upravljajte svoj šifrirni ključ, ki ga upravlja stranka

  • Članek

Stranke imajo zahteve glede zasebnosti podatkov in skladnosti za zaščito svojih podatkov s šifriranjem podatkov v mirovanju. To ščiti podatke pred izpostavljenostjo v primeru kraje kopije baze podatkov. Ko šifriranje podatkov miruje, so ukradeni podatki baze podatkov zaščiteni pred obnovitvijo na drug strežnik brez šifrirnega ključa.

Vsi podatki o strankah, shranjeni v Power Platform so privzeto šifrirani z močnimi šifrirnimi ključi, ki jih upravlja Microsoft. Microsoft shranjuje in upravlja šifrirni ključ baze podatkov za vse vaše podatke, tako da vam tega ni treba. Vendar Power Platform ponuja ta šifrirni ključ, ki ga upravlja stranka (CMK), za vaš dodatni nadzor zaščite podatkov, kjer lahko sami upravljate šifrirni ključ baze podatkov, ki je povezan z vašim Microsoft Dataverse okoljem. To vam omogoča, da na zahtevo obrnete ali zamenjate šifrirni ključ, prav tako pa vam omogoča, da Microsoftu preprečite dostop do podatkov o vaših strankah, ko kadar koli prekličete dostop ključa do naših storitev.

Če želite izvedeti več o ključu, ki ga upravlja stranka v Power Platform, si oglejte videoposnetek o ključu, ki ga upravlja stranka.

Te operacije šifrirnega ključa so na voljo s ključem, ki ga upravlja stranka (CMK):

  • Ustvarite ključ RSA (RSA-HSM) iz vašega trezorja ključev Azure.
  • Ustvarite Power Platform politiko podjetja za svoj ključ.
  • Dodelite Power Platform dovoljenje pravilnika podjetja za dostop do vašega trezorja ključev.
  • Dovolite Power Platform skrbniku storitve, da prebere pravilnik podjetja.
  • Uporabite šifrirni ključ za svoje okolje.
  • Povrni/odstrani šifriranje CMK okolja na ključ, ki ga upravlja Microsoft.
  • Spremenite ključ tako, da ustvarite nov pravilnik podjetja, odstranite okolje iz CMK in znova uporabite CMK z novim pravilnikom podjetja.
  • Zaklenite okolja CMK tako, da prekličete shrambo ključev CMK in/ali dovoljenja za ključe.
  • Preselite prinesite svoj ključ (BYOK) okolja v CMK z uporabo ključa CMK.

Trenutno je mogoče vse vaše podatke o strankah, shranjene samo v naslednjih aplikacijah in storitvah, šifrirati s ključem, ki ga upravlja stranka:

  • Dataverse (Rešitve po meri in Microsoftove storitve)
  • Dataverse Kopilot za aplikacije, ki temeljijo na modelu
  • Power Automate1
  • Power Apps
  • Klepet za Dynamics 365
  • Dynamics 365 Sales
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Finance (Finance in operacije)
  • Dynamics 365 Intelligent Order Management (Finance in poslovanje)
  • Dynamics 365 Project Operations (Finance in poslovanje)
  • Dynamics 365 Supply Chain Management (Finance in poslovanje)
  • Dynamics 365 Fraud Protection (Finance in poslovanje)

1 Ko uporabite ključ, ki ga upravlja stranka, v okolju, ki ima obstoječe Power Automate tokove, so podatki o tokovih še naprej šifrirani s ključem, ki ga upravlja Microsoft. Več informacij: Power Automate ključ, ki ga upravlja stranka.

opomba,

Nuance Conversational IVR in Maker Welcome Content sta izključena iz šifriranja ključev, ki ga upravlja stranka.

Microsoft Copilot Studio hrani svoje podatke v lastni shrambi in v Microsoft Dataverse. Ko za ta okolja uporabite ključ, ki ga upravlja stranka, so z vašim ključem šifrirani samo podatki, shranjeni v Microsoft Dataverse . Podatki, ki niso Microsoft Dataverse , so še naprej šifrirani s ključem, ki ga upravlja Microsoft.

opomba,

Nastavitve povezave za konektorje bodo še naprej šifrirane s ključem, ki ga upravlja Microsoft.

Za informacije o podpori za ključe, ki jo upravlja stranka, se obrnite na predstavnika storitev, ki niso navedene zgoraj.

opomba,

Power Apps prikazana imena, opisi in metapodatki o povezavi so še naprej šifrirani s ključem, ki ga upravlja Microsoft.

opomba,

Podatki, analizirani z uveljavljanjem preverjalnika rešitev med preverjanjem rešitve, so še naprej šifrirani s ključem, ki ga upravlja Microsoft.

Okolja z aplikacije za finance in postopke, kjer je Power Platform integracija omogočena so lahko tudi šifrirana. Finančna in poslovna okolja brez Power Platform integracije bodo za šifriranje podatkov še naprej uporabljala privzeti ključ, ki ga upravlja Microsoft. Več informacij: Šifriranje v aplikacije za finance in postopke

Šifrirni ključ, ki ga upravlja stranka, v Power Platform

Uvod v ključ, ki ga upravlja stranka

S ključem, ki ga upravlja stranka, lahko skrbniki zagotovijo lasten šifrirni ključ iz lastnega trezorja ključev Azure storitvam za shranjevanje Power Platform za šifriranje podatkov o strankah. Microsoft nima neposrednega dostopa do vašega trezorja ključev Azure. Za Power Platform storitve za dostop do šifrirnega ključa iz vašega trezorja ključev Azure, skrbnik ustvari Power Platform poslovni pravilnik, ki se sklicuje na šifrirni ključ in temu pravilniku podjetja dodeli dostop za branje ključa iz vaš Azure Key Vault.

Skrbnik Power Platform storitve lahko nato doda Dataverse okolja pravilniku podjetja, da začne šifrirati vse podatke o strankah v okolju z vašim šifrirnim ključem. Skrbniki lahko spremenijo šifrirni ključ okolja tako, da ustvarijo drug pravilnik podjetja in dodajo okolje (po njegovi odstranitvi) novemu pravilniku podjetja. Če okolja ni več treba šifrirati s ključem, ki ga upravlja stranka, lahko skrbnik odstrani Dataverse okolje iz pravilnika podjetja, da vrne šifriranje podatkov nazaj na ključ, ki ga upravlja Microsoft.

Skrbnik lahko zaklene ključna okolja, ki jih upravlja stranka, tako da prekliče dostop ključa iz pravilnika podjetja in odklene okolja tako, da obnovi dostop ključa. Več informacij: Zaklepanje okolij s preklicem dostopa do trezorja ključev in/ali dovoljenj za ključe

Za poenostavitev ključnih nalog upravljanja so naloge razdeljene na tri glavna področja:

  1. Ustvarite šifrirni ključ.
  2. Ustvarite pravilnik podjetja in omogočite dostop.
  3. Upravljajte šifriranje okolja.

Opozorilo

Ko so okolja zaklenjena, do njih ne more dostopati nihče, vključno z Microsoftovo podporo. Okolja, ki so zaklenjena, postanejo onemogočena in lahko pride do izgube podatkov.

Licenčne zahteve za ključ, ki ga upravlja stranka

Politika ključev, ki jih upravlja stranka, je uveljavljena samo v okoljih, ki so aktivirana za Upravljana okolja. Upravljana okolja so vključene kot pooblastilo v samostojne licence Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages in licence Dynamics 365, ki dajejo premium pravice uporabe. Izvedite več o licenciranju upravljanega okolja, s pregledom licenciranja za Microsoft Power Platform.

Poleg tega dostop do uporabe ključa, ki ga upravlja stranka, za Microsoft Power Platform in Dynamics 365 zahteva, da imajo uporabniki v okoljih, kjer se uveljavlja pravilnik o šifrirnih ključih, eno od teh naročnin:

  • Microsoft 365 ali Office 365 A5/E5/G5
  • Skladnost za Microsoft 365 A5/E5/F5/G5
  • Varnost in skladnost za Microsoft 365 F5
  • Zaščita in upravljanje informacij za Microsoft 365 A5/E5/F5/G5
  • Upravljanje notranjega tveganja za Microsoft 365 A5/E5/F5/G5

Več o teh licencah.

Razumejte potencialno tveganje, ko upravljate svoj ključ

Tako kot pri vsakem programu z visoko pomembnostjo za poslovanje mora biti osebje vašega podjetja, ki ima skrbniški dostop, vredno zaupanja. Preden uporabite funkcijo za upravljanje ključev, morate razumeti tveganja, povezana z upravljanjem šifrirnih ključev zbirke podatkov. Možno je, da zlonamerni skrbnik (oseba, ki ji je odobren ali je pridobil dostop na ravni skrbnika z namenom škodovati varnosti ali poslovnim procesom organizacije), ki dela v vaši organizaciji, uporabi funkcijo upravljanja ključev, da ustvari ključ in ga uporabi za zaklepanje vaših okolja v najemniku.

Zamislite si naslednje zaporedje dogodkov.

Skrbnik shrambe zlonamernih ključev ustvari ključ in pravilnik podjetja na portalu Azure. Skrbnik Azure Key Vault gre v Power Platform skrbniško središče in doda okolja pravilniku podjetja. Zlonamerni skrbnik se nato vrne na portal Azure in prekliče dostop ključa do pravilnika podjetja in tako zaklene vsa okolja. To povzroči prekinitve poslovanja, saj vsa okolja postanejo nedostopna, in če ta dogodek ni razrešen, to je obnovitev ključnega dostopa, lahko pride do izgube podatkov o okolju.

opomba,

  • Azure Key Vault ima vgrajene zaščitne ukrepe, ki pomagajo pri obnovitvi ključa, kar zahteva zaščito Soft Delete in Purge omogočene nastavitve trezorja ključev.
  • Drug zaščitni ukrep, ki ga je treba upoštevati, je zagotoviti, da obstaja ločitev nalog, kjer skrbniku Azure Key Vault ni odobren dostop do Power Platform skrbniškega središča.

Ločitev dolžnosti za zmanjšanje tveganja

Ta razdelek opisuje naloge ključnih funkcij, ki jih upravljajo stranke in za katere je odgovorna vsaka skrbniška vloga. Ločevanje teh nalog pomaga zmanjšati tveganje, povezano s ključi, ki jih upravlja stranka.

Skrbniške naloge storitve Azure Key Vault in Power Platform/Dynamics 365

Če želite omogočiti ključe, ki jih upravlja stranka, najprej skrbnik sefa ključev ustvari ključ v trezorju ključev Azure in ustvari Power Platform pravilnik podjetja. Ko je pravilnik podjetja ustvarjen, se ustvari posebna Microsoft Entra ID upravljana identiteta. Nato se skrbnik shrambe ključev vrne v shrambo ključev Azure in odobri dostop pravilnika/upravljane identitete podjetja do šifrirnega ključa.

Skrbnik shrambe ključev nato odobri ustreznemu skrbniku storitve Power Platform/Dynamics 365 dostop za branje do pravilnika podjetja. Ko je dovoljenje za branje odobreno, lahko skrbnik storitve Power Platform/Dynamics 365 odpre Power Platform Admin Center in doda okolja pravilniku podjetja. Vsi podatki o strankah v dodanih okoljih so nato šifrirani s ključem, ki ga upravlja stranka in je povezan s tem pravilnikom podjetja.

Zahteve
  • Naročnina na Azure, ki vključuje upravljane varnostne module strojne opreme Azure Key Vault ali Azure Key Vault.
  • A Microsoft Entra ID z:
    • Sodelavec dovoljenje za Microsoft Entra naročnino.
    • Dovoljenje za ustvarjanje trezorja ključev Azure in ključa.
    • Dostop do ustvarjanja skupine virov. To je potrebno za nastavitev trezorja ključev.
Ustvarite ključ in omogočite dostop z Azure Key Vault

Skrbnik Azure Key Vault izvaja te naloge v Azure.

  1. Ustvarite plačljivo naročnino Azure in Key Vault. Prezrite to korak, če že imate naročnino, ki vključuje Azure Key Vault.
  2. Pojdite v storitev Azure Key Vault in ustvarite ključ. Več informacij: Ustvarite ključ v trezorju ključev
  3. Omogočite Power Platform storitev pravilnikov podjetja za svojo naročnino na Azure. Naredite to samo enkrat. Več informacij: Omogočite Power Platform storitev pravilnikov podjetja za svojo naročnino na Azure
  4. Ustvarite Power Platform politiko podjetja. Več informacij: Ustvarite pravilnik podjetja
  5. Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev. Več informacij: Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev
  6. Skrbnikom Power Platform in Dynamics 365 podeli dovoljenje za branje pravilnika podjetja. Več informacij: Dodelite Power Platform skrbniški privilegij za branje pravilnika podjetja

Power Platform/Naloge skrbniškega središča Power Platform Service Dynamics 365

Predpogoj
  • Power Platform skrbnik mora biti dodeljen vlogi Power Platform ali skrbnika storitve Dynamics 365 Microsoft Entra .
Upravljajte šifriranje okolja v Power Platform skrbniškem središču

Administrator Power Platform upravlja ključne naloge, ki jih upravljajo stranke, povezane z okoljem v Power Platform administratorskem središču.

  1. Dodajte Power Platform okolja pravilniku podjetja za šifriranje podatkov s ključem, ki ga upravlja stranka. Več informacij: Dodajte okolje pravilniku podjetja za šifriranje podatkov
  2. Odstranite okolja iz pravilnika podjetja, da vrnete šifriranje na ključ, ki ga upravlja Microsoft. Več informacij: Odstranite okolja iz pravilnika, da se vrnete na ključ, ki ga upravlja Microsoft
  3. Spremenite ključ tako, da odstranite okolja iz starega pravilnika podjetja in dodate okolja v nov pravilnik podjetja. Več informacij: Ustvarite šifrirni ključ in odobrite dostop
  4. Preselitev iz BYOK. Če uporabljate prejšnjo funkcijo samoupravljanega šifrirnega ključa, lahko svoj ključ preselite na ključ, ki ga upravlja stranka. Več informacij: Preselitev okolij »prinesi svoj ključ« na ključ, ki ga upravlja stranka

Ustvari šifrirni ključ in odobri dostop

Ustvarite plačljivo naročnino in trezor ključev Azure

V Azure izvedite naslednje korake:

  1. Ustvarite naročnino Pay-as-you-go ali enakovredno naročnino na Azure. Ta korak ni potreben, če ima najemnik že sklenjeno naročnino.

  2. Ustvarite skupino virov. Več informacij: Ustvarite skupine virov

    opomba,

    Ustvarite ali uporabite skupino virov, ki ima lokacijo, na primer osrednje ZDA, ki se ujema z Power Platform regijo okolja, kot so Združene države.

  3. Ustvarite trezor ključev s plačljivo naročnino, ki vključuje zaščito pred mehkim brisanjem in čiščenjem s skupino virov, ki ste jo ustvarili v prejšnjem korak.

    Pomembno

Ustvarite ključ v trezorju ključev

  1. Prepričajte se, da ste izpolnili predpogoje.

  2. Pojdite na portal Azure>Key Vault in poiščite shrambo ključev, kjer želite ustvariti šifrirni ključ.

  3. Preverite nastavitve trezorja ključev Azure:

    1. Izberite Lastnosti pod Nastavitve.
    2. Pod Mehko brisanje nastavite ali preverite, ali je nastavljeno na Mehko brisanje je bilo omogočeno za to možnost trezorja ključev .
    3. Pod Zaščita pred čiščenjem nastavite ali preverite, da Omogoči zaščito pred čiščenjem (uveljavite obvezno obdobje hrambe za izbrisane trezorje in objekte trezorja) je omogočeno.
    4. Če ste naredili spremembe, izberite Shrani.

    Omogoči zaščito pred čiščenjem v trezorju ključev

Ustvarite ključe RSA

  1. Ustvarite ali uvozite ključ s temi lastnostmi:

    1. Na straneh z lastnostmi Key Vault izberite Ključi.
    2. Izberite možnost Ustvari/uvozi.
    3. Na zaslonu Ustvari ključ nastavite naslednje vrednosti in nato izberite Ustvari.
      • Možnosti: Ustvari
      • Ime: Vnesite ime za ključ
      • Vrsta ključa: RSA
      • Velikost ključa RSA: 2048

    Pomembno

    Če nastavite datum poteka v ključu in je ključ potekel, bodo vsa okolja, ki so šifrirana s tem ključem, nedostopna. Nastavite opozorilo za spremljanje poteka potrdil z e-poštnimi obvestili za vašega lokalnega Power Platform skrbnika in skrbnika trezorja ključev Azure kot opomnik za obnovitev datuma poteka. To je pomembno za preprečitev morebitnih nenačrtovanih izpadov sistema.

Uvoz zaščitenih ključev za varnostne module strojne opreme (HSM)

Svoje zaščitene ključe za varnostne module strojne opreme (HSM) lahko uporabite za šifriranje svojega Power Platform Dataverse okolja. Vaše ključe, zaščitene s HSM, je treba uvoziti v shrambo ključev da se lahko ustvari pravilnik podjetja. Za več informacij glejte Podprti HSM-jiUvoz ključev, zaščitenih s HSM, v shrambo ključev (BYOK).

Ustvarite ključ v upravljanem HSM Azure Key Vault

Za šifriranje podatkov svojega okolja lahko uporabite šifrirni ključ, ustvarjen iz upravljanega HSM Azure Key Vault. To vam daje podporo za FIPS 140-2 Level 3.

Ustvarite ključe RSA-HSM

  1. Prepričajte se, da ste izpolnili predpogoje.

  2. Pojdite na portal Azure.

  3. Ustvarite Upravljani HSM:

    1. Zagotavljanje upravljanega HSM.
    2. Aktivirajte upravljani HSM.

  4. Omogočite Purge Protection v svojem upravljanem HSM.

  5. Dodelite vlogo Managed HSM Crypto User osebi, ki je ustvarila trezor ključev Managed HSM.

    1. Dostopajte do upravljanega trezorja ključev HSM na portalu Azure.
    2. Pomaknite se do Lokalni RBAC in izberite + Dodaj.
    3. Na spustnem seznamu Vloga izberite vlogo Managed HSM Crypto User na Dodelitev vlog stran.
    4. Izberite Vsi ključi pod Obseg.
    5. Izberite Select security principalin nato izberite skrbnika na Add Principal strani.
    6. izberite Ustvari.

  6. Ustvarite ključ RSA-HSM:

    • Možnosti: Ustvari
    • Ime: Vnesite ime za ključ
    • Vrsta ključa: RSA-HSM
    • Velikost ključa RSA: 2048

    opomba,

    Podprte velikosti ključev RSA-HSM: 2048-bit in 3072-bit.

Omrežje svojega trezorja ključev Azure lahko posodobite tako, da omogočite zasebno končna točka in uporabite ključ v trezorju ključev za šifriranje svojih Power Platform okolji.

Ustvarite lahko nov shrambo ključev in vzpostavite zasebno povezovalno povezavo ali vzpostavite zasebno povezavo z obstoječim shrambo ključev in ustvarite ključ iz tega trezorja ključev ter ga uporabite za šifriranje vašega okolja. Prav tako lahko vzpostavite zasebno povezovalno povezavo z obstoječim trezorjem ključev ko že ustvarite ključ in ga uporabite za šifriranje svojega okolja.

  1. Ustvarite trezor ključev Azure s temi možnostmi:

    • Omogoči Purge Protection
    • Vrsta ključa: RSA
    • Velikost ključa: 2048

  2. Kopirajte URL trezorja ključev in URL šifrirnega ključa, ki bosta uporabljena za ustvarjanje pravilnika podjetja.

    opomba,

    Ko dodate zasebni končna točka v svoj trezor ključev ali onemogočite javno dostopno omrežje, ne boste mogli videti ključa, razen če imate ustrezno dovoljenje.

  3. Ustvarite navidezno omrežje.

  4. Vrnite se v svoj trezor ključev in dodajte zasebne končna točka povezave v svoj trezor ključev Azure.

    opomba,

    Izbrati morate omrežno možnost Onemogoči javni dostop in omogočiti Dovoli zaupanja vrednim Microsoftovim storitvam, da obidejo to izjemo požarnega zidu .

  5. Ustvarite Power Platform politiko podjetja. Več informacij: Ustvarite pravilnik podjetja

  6. Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev. Več informacij: Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev

  7. Skrbnikom Power Platform in Dynamics 365 podeli dovoljenje za branje pravilnika podjetja. Več informacij: Dodelite Power Platform skrbniški privilegij za branje pravilnika podjetja

  8. Power Platform Skrbnik skrbniškega središča izbere okolje za šifriranje in omogoči Upravljano okolje. Več informacij: Omogoči, da se upravljano okolje doda pravilniku podjetja

  9. Power Platform Skrbnik skrbniškega središča doda upravljano okolje pravilniku podjetja. Več informacij: Dodajte okolje pravilniku podjetja za šifriranje podatkov

Omogočite Power Platform storitev pravilnikov podjetja za svojo naročnino na Azure

Registrirajte se Power Platform kot ponudnika virov. To nalogo morate opraviti samo enkrat za vsako naročnino na Azure, kjer je vaš trezor ključev Azure. Če želite registrirati ponudnika virov, morate imeti pravice dostopa do naročnine.

  1. Prijavite se na portal Azure in pojdite na Naročnina>Ponudniki virov.
  2. Na seznamu ponudnikov virov poiščite Microsoft.PowerPlatformin registracija to.

Ustvarite pravilnik podjetja

  1. Namestite PowerShell MSI. Več informacij: Namestite PowerShell v Windows, Linux in macOS
  2. Ko je PowerShell MSI nameščen, se vrnite na Uvedba predloge po meri v Azure.
  3. Izberite povezavo Izdelajte lastno predlogo v urejevalniku .
  4. Kopirajte to predlogo JSON v urejevalnik besedila, kot je Beležnica. Več informacij: Predloga pravilnika podjetja json
  5. Zamenjajte vrednosti v predlogi JSON za: EnterprisePolicyName, lokacijo, kjer je treba ustvariti EnterprisePolicy, keyVaultId in keyName. Več informacij: Definicije polj za predlogo json
  6. Kopirajte posodobljeno predlogo iz urejevalnika besedila, nato pa jo prilepite v uredi predlogo razmestitve po meri v Azure, in izberite Shrani.
  7. Izberite Naročnino in Skupino virov kjer naj se ustvari pravilnik podjetja.
  8. Izberite Pregled + ustvari in nato izberite Ustvari.

Razmestitev se začne. Ko je končano, je ustvarjen pravilnik podjetja.

Predloga pravilnika podjetja json

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definicije polj za predlogo JSON

  • ime. Ime pravilnika podjetja. To je ime pravilnika, ki se pojavi v Power Platform skrbniškem središču.

  • lokacija. Eden od naslednjih. To je lokacija pravilnika podjetja in mora ustrezati Dataverse regiji okolja:

    • '"združene države"'
    • '"južna Afrika"'
    • '"uk"'
    • '"japonska"'
    • "Indija"
    • '"franca"'
    • "Evropa"
    • '"nemčija"'
    • '"švica"'
    • '"kanada"'
    • '"brazilija"'
    • '"avstralija"'
    • "azija"
    • '"zae"'
    • '"koreja"'
    • '"norveška"'
    • '"singapur"'
    • '"švedska"'

  • Kopirajte te vrednosti iz lastnosti shrambe ključev na portalu Azure:

    • keyVaultId: Pojdite na Trezorji ključev> izberite svoj trezor ključev >Pregled. Zraven Essentials izberite JSON View. Kopirajte ID vira v odložišče in prilepite celotno vsebino v svojo predlogo JSON.
    • keyName: Pojdite na Key vaults> izberite svoj trezor ključev >Keys. Opazite ključ Ime in vnesite ime v predlogo JSON.

Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev

Ko je pravilnik podjetja ustvarjen, skrbnik trezorja ključev odobri dostop upravljane identitete pravilnika podjetja do šifrirnega ključa.

  1. Prijavite se na portal Azure in pojdite na trezorje ključev.
  2. Izberite trezor ključev, kjer je bil ključ dodeljen pravilniku podjetja.
  3. Izberite zavihek Nadzor dostopa (IAM) in nato izberite + Dodaj.
  4. Na spustnem seznamu izberite Dodaj dodelitev vloge
  5. Poiščite Key Vault Crypto Service Encryption User in ga izberite.
  6. Izberite Naprej.
  7. Izberi + Izberi člane.
  8. Poiščite pravilnik podjetja, ki ste ga ustvarili.
  9. Izberite pravilnik podjetja in nato izberite Izberi.
  10. Izberite Pregled + dodeli.

opomba,

Zgornja nastavitev dovoljenj temelji na modelu dovoljenj nadzora dostopa Azure na podlagi vloge vašega trezorja ključev. Če je vaš shramba ključev nastavljena na Politiko dostopa do trezorja, priporočamo, da preselite na model, ki temelji na vlogah. Če želite svojemu pravilniku podjetja omogočiti dostop do trezorja ključev z uporabo Politike dostopa do trezorja, ustvarite pravilnik o dostopu in izberite Get on Operacije upravljanja ključev in Odvijanje ključa in Zavijanje ključ na Kriptografske operacije.

opomba,

Za preprečitev morebitnih nenačrtovanih izpadov sistema je pomembno, da ima pravilnik podjetja dostop do ključa. Prepričajte se, da:

  • Shramba ključev je aktivna.
  • Ključ je aktiven in ni potekel.
  • Ključ ni izbrisan.
  • Zgornja ključna dovoljenja niso preklicana.

Okolja, ki uporabljajo ta ključ, bodo onemogočena, ko šifrirni ključ ni dostopen.

Dodelite Power Platform skrbniški privilegij za branje pravilnika podjetja

Skrbniki, ki imajo Dynamics 365 ali Power Platform skrbniške vloge, lahko dostopajo do Power Platform skrbniškega središča za dodelitev okolij pravilniku podjetja. Za dostop do pravilnikov podjetja mora skrbnik z dostopom do trezorja ključev Azure dodeliti Uporabnik z dovoljenjem za branje vlogo Power Platform skrbniku. Ko je vloga Uporabnik z dovoljenjem za branje dodeljena, si lahko Power Platform skrbnik ogleda pravilnike podjetja v Power Platform skrbniškem središču.

opomba,

Samo Power Platform in skrbniki Dynamics 365, ki jim je dodeljena vloga Uporabnik z dovoljenjem za branje za pravilnik podjetja, lahko pravilniku dodajo okolje. Drugi Power Platform ali skrbniki Dynamics 365 si morda lahko ogledajo pravilnik podjetja, vendar bodo prejeli napako, ko bodo poskušali Dodati okolje v politika.

Podeli Uporabnik z dovoljenjem za branje vlogo Power Platform skrbniku

  1. Prijavite se na portal Azure.
  2. Kopirajte ID objekta Power Platform ali skrbnika Dynamics 365. Če želite to narediti:
    1. Pojdite na območje Uporabniki v Azure.
    2. Na seznamu Vsi uporabniki poiščite uporabnika z Power Platform ali skrbniškimi dovoljenji Dynamics 365 z Iskanjem uporabnikov.
    3. Odprite zapis uporabnika, na zavihku Pregled kopirajte uporabnikov ID predmeta. Prilepite to v urejevalnik besedila, kot je Beležnica za pozneje.
  3. Kopirajte ID vira pravilnika podjetja. Če želite to narediti:
    1. Pojdite na Resource Graph Explorer v Azure.
    2. Vnesite microsoft.powerplatform/enterprisepolicies v Iskalno polje in nato izberite microsoft.powerplatform/enterprisepolicies vir.
    3. V ukazni vrstici izberite Zaženi poizvedbo . Prikaže se seznam vseh Power Platform pravilnikov podjetja.
    4. Poiščite pravilnik podjetja, kjer želite odobriti dostop.
    5. Pomaknite se desno od pravilnika podjetja in izberite Glej podrobnosti.
    6. Na strani Podrobnosti kopirajte id.
  4. Zaženite Azure Cloud Shell in zaženite naslednji ukaz ter zamenjajte objId z uporabnikovim ID-jem predmeta in ID vira EP z enterprisepolicies ID-jem, kopiranim v prejšnjih korakih: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Upravljajte šifriranje okolja

Za upravljanje šifriranja okolja potrebujete naslednje dovoljenje:

  • Microsoft Entra aktivni uporabnik, ki ima Power Platform in/ali skrbnika Dynamics 365 varnostna vloga.
  • Microsoft Entra uporabnik, ki ima vlogo skrbnika storitve Power Platform ali Dynamics 365.

Skrbnik trezorja ključev obvesti Power Platform skrbnika, da sta bila ustvarjena šifrirni ključ in pravilnik podjetja, ter posreduje pravilnik podjetja Power Platform skrbniku. Če želite omogočiti ključ, ki ga upravlja stranka, Power Platform skrbnik dodeli svoja okolja pravilniku podjetja. Ko je okolje dodeljeno in shranjeno, Dataverse sproži postopek šifriranja za nastavitev vseh podatkov okolja in njihovo šifriranje s ključem, ki ga upravlja stranka.

Omogočite dodajanje upravljanega okolja v pravilnik podjetja

  1. Prijavite se v Power Platform skrbniško središče in poiščite okolje.
  2. Izberite in preverite okolje na seznamu okolij.
  3. V vrstici z dejanji izberite ikono Omogoči Upravljana okolja .
  4. Izberite Omogoči.

V pravilnik podjetja dodajte okolje za šifriranje podatkov

Pomembno

Okolje bo onemogočeno, ko bo dodano pravilniku podjetja za šifriranje podatkov.

  1. Prijavite se v Power Platform skrbniško središčein pojdite na Pravilnike>Pravilnike podjetja.
  2. Izberite pravilnik in nato v ukazni vrstici izberite Uredi.
  3. Izberite Dodaj okolja, izberite želeno okolje in nato izberite Nadaljuj. Dodajte okolje pravilniku podjetja v Power Platform skrbniškem središču
  4. Izberite Shrani in nato izberite Potrdi.

Pomembno

  • Na seznamu Dodaj okolja so prikazana samo okolja, ki so v isti regiji kot pravilnik podjetja.
  • Šifriranje lahko traja do štiri dni, vendar bo okolje morda omogočeno, preden se zaključi operacija Dodaj okolja .
  • Operacija se morda ne bo dokončala in če ne uspe, bodo vaši podatki še naprej šifrirani s ključem, ki ga upravlja Microsoft. Znova lahko zaženete operacijo Dodaj okolja znova.

opomba,

Dodate lahko samo okolja, ki so omogočena kot Upravljana okolja. Tipov okolja Trial in Teams ni mogoče dodati v pravilnik podjetja.

Odstranite okolja iz pravilnika, da se vrnete na ključ, ki ga upravlja Microsoft

Sledite tem korakom, če se želite vrniti na šifrirni ključ, ki ga upravlja Microsoft.

Pomembno

Okolje bo onemogočeno, ko bo odstranjeno iz pravilnika podjetja za vrnitev šifriranja podatkov z Microsoftovim upravljanim ključem.

  1. Prijavite se v Power Platform skrbniško središčein pojdite na Pravilnike>Pravilnike podjetja.
  2. Izberite zavihek Okolje s pravilniki in nato poiščite okolje, ki ga želite odstraniti iz ključa, ki ga upravlja stranka.
  3. Izberite zavihek Vsi pravilniki , izberite okolje, ki ste ga preverili v korak 2, in nato izberite Uredi pravilnik on ukazno vrstico. Odstranite okolje iz ključa, ki ga upravlja stranka
  4. Izberite Odstrani okolje v ukazni vrstici, izberite okolje, ki ga želite odstraniti, in nato izberite Nadaljuj.
  5. Izberite možnost Shrani.

Pomembno

Okolje bo onemogočeno, ko bo odstranjeno iz pravilnika podjetja za povrnitev šifriranja podatkov na ključ, ki ga upravlja Microsoft. Ne izbrišite ali onemogočite ključa, ne izbrišite ali onemogočite sefa ključev in ne odstranite dovoljenj pravilnika podjetja za shrambo ključev. Ključ in dostop do trezorja ključev sta potrebna za podporo obnovitve baze podatkov. Po 30 dneh lahko izbrišete in odstranite dovoljenja pravilnika podjetja.

Preglejte stanje šifriranja okolja

Oglejte si stanje šifriranja iz pravilnikov podjetja

  1. Vpišite se v skrbniško središče za Power Platform.

  2. Izberite Pravilniki>Pravilniki podjetja.

  3. Izberite pravilnik in nato v ukazni vrstici izberite Uredi.

  4. Preglejte Stanje šifriranja okolja v razdelku Okolja s tem pravilnikom .

    opomba,

    Stanje šifriranja okolja je lahko:

    • Šifrirano - šifrirni ključ pravilnika podjetja je aktiven in okolje je šifrirano z vašim ključem.
    • Neuspešno - šifrirni ključ pravilnika podjetja ni uporabljen in okolje je še naprej šifrirano s ključem, ki ga upravlja Microsoft.
    • Opozorilo – ključ za šifriranje pravilnika podjetja je aktiven in eden od podatkov storitve je še naprej šifriran s ključem, ki ga upravlja Microsoft. Več o tem: Power Automate Opozorilna sporočila aplikacije CMK

    Znova lahko zaženete možnost Dodaj okolje za okolje, ki ima status šifriranja Neuspešno .

Oglejte si stanje šifriranja na strani z zgodovino okolja

Ogledate si lahko zgodovino okolja.

  1. Vpišite se v skrbniško središče za Power Platform.

  2. V navigacijskem podoknu izberite Okolja in nato s seznama izberite okolje.

  3. V ukazni vrstici izberite Zgodovina.

  4. Poiščite zgodovino za Posodobitev ključa, ki ga upravlja stranka.

    opomba,

    Stanje prikazuje Izvaja se ko šifriranje poteka. Ko je šifriranje končano, se prikaže Uspelo . Stanje prikazuje Neuspešno ko pride do težave z eno od storitev, ki ne more uporabiti šifrirnega ključa.

    Stanje Neuspešno je lahko opozorilo in vam ni treba znova zagnati Dodaj okolje možnost. Lahko potrdite, ali gre za opozorilo.

Spremenite šifrirni ključ okolja z novim pravilnikom in ključem podjetja

Če želite spremeniti svoj šifrirni ključ, ustvarite nov ključ in nov pravilnik podjetja. Nato lahko spremenite pravilnik podjetja tako, da odstranite okolja in nato dodate okolja novemu pravilniku podjetja. Sistem dvakrat ne deluje, ko se spremeni na nov pravilnik podjetja - 1) za povrnitev šifriranja na ključ, ki ga upravlja Microsoft, in 2) za uporabo novega pravilnika podjetja.

Nasvet

Za rotacijo šifrirnega ključa priporočamo uporabo nove različice shramb ključev ali nastavitev pravilnika rotacije.

  1. V portalu Azure ustvarite nov ključ in nov pravilnik podjetja. Več informacij: Ustvarite šifrirni ključ in odobrite dostop in Ustvarite pravilnik podjetja
  2. Ko sta ustvarjena nov ključ in pravilnik podjetja, pojdite na Pravilniki>Politike podjetja.
  3. Izberite zavihek Okolje s pravilniki in nato poiščite okolje, ki ga želite odstraniti iz ključa, ki ga upravlja stranka.
  4. Izberite zavihek Vsi pravilniki , izberite okolje, ki ste ga preverili v korak 2, in nato izberite Uredi pravilnik on ukazno vrstico. Odstranite okolje iz ključa, ki ga upravlja stranka
  5. Izberite Odstrani okolje v ukazni vrstici, izberite okolje, ki ga želite odstraniti, in nato izberite Nadaljuj.
  6. Izberite možnost Shrani.
  7. Ponavljajte korake 2–6, dokler ne odstranite vseh okolij v pravilniku podjetja.

Pomembno

Okolje bo onemogočeno, ko bo odstranjeno iz pravilnika podjetja za povrnitev šifriranja podatkov na ključ, ki ga upravlja Microsoft. Ne izbrišite ali onemogočite ključa, ne izbrišite ali onemogočite sefa ključev ali odstranite dovoljenj pravilnika podjetja za sef ključev. Ključ in dostop do trezorja ključev sta potrebna za podporo obnovitve baze podatkov. Po 30 dneh lahko izbrišete in odstranite dovoljenja pravilnika podjetja.

  1. Ko so vsa okolja odstranjena, iz Power Platform skrbniškega središča pojdite na Politike podjetja.
  2. Izberite nov pravilnik podjetja in nato izberite Uredi pravilnik.
  3. Izberite Dodaj okolje, izberite okolja, ki jih želite dodati, in nato izberite Nadaljuj.

Pomembno

Okolje bo onemogočeno, ko bo dodano novemu pravilniku podjetja.

Obrnite šifrirni ključ okolja z novo različico ključa

Šifrirni ključ okolja lahko spremenite tako, da ustvarite novo različico ključa. Ko ustvarite novo različico ključa, je nova različica ključa samodejno omogočena. Vsi viri za shranjevanje zaznajo novo različico ključa in jo začnejo uporabljati za šifriranje vaših podatkov.

Ko spremenite ključ ali različico ključa, se zaščita korenskega šifrirnega ključa spremeni, vendar podatki v pomnilniku vedno ostanejo šifrirani z vašim ključem. Za zaščito vaših podatkov vam ni treba storiti več. Obračanje različice ključa ne vpliva na zmogljivost. Z menjavo različice ključa ni izpadov. Lahko traja 24 ur, da vsi ponudniki virov uporabijo novo različico ključa v ozadju. Prejšnje različice ključa ne smete onemogočiti ker jo mora storitev uporabiti za ponovno šifriranje in za podporo obnove baze podatkov.

Če želite zasukati šifrirni ključ z ustvarjanjem nove različice ključa, uporabite naslednje korake.

  1. Pojdite na portal Azure>Shrame ključev in poiščite shrambo ključev, kjer želite ustvariti novo različico ključev.
  2. Pomaknite se do Tipke.
  3. Izberite trenutno omogočeno tipko.
  4. Izberite + Nova različica.
  5. Nastavitev Omogočeno privzeto je Da, kar pomeni, da je nova različica ključa samodejno omogočena ob ustvarjanju.
  6. izberite Ustvari.

Nasvet

Če želite zagotoviti skladnost s svojim pravilnikom o rotaciji ključev, lahko šifrirni ključ zavrtite s pravilnikom Rotacija. Lahko konfigurirate pravilnik vrtenja ali zavrtite na zahtevo tako, da pokličete Zasukaj zdaj.

Pomembno

Nova različica ključa se samodejno zavrti v ozadju in Power Platform administrator ne zahteva nobenega dejanja. Pomembno je, da prejšnja različica ključa ne sme biti onemogočena ali izbrisana vsaj 28 dni za podporo obnovitve baze podatkov. Če prezgodaj onemogočite ali izbrišete prejšnjo različico ključa, lahko vaše okolje postane brez povezave.

Oglejte si seznam šifriranih okolij

  1. Prijavite se v Power Platform skrbniško središčein pojdite na Pravilnike>Pravilnike podjetja.
  2. Na strani Pravilniki podjetja izberite zavihek Okolja s pravilniki . Prikaže se seznam okolij, ki so bila dodana pravilnikom podjetja.

opomba,

Lahko pride do situacij, ko Stanje okolja ali Stanje šifriranja prikaže Neuspešno status. Ko se to zgodi, pošljite zahtevo Microsoftove podpore za pomoč.

Postopki zbirke podatkov okolja

Najemnik stranke lahko ima okolja, ki so šifrirana s ključem, ki ga upravlja Microsoft, in okolja, ki so šifrirana s ključem, ki ga upravlja stranka. Za ohranjanje integritete podatkov in varstva podatkov so pri upravljanju postopkov zbirke podatkov okolja na voljo naslednji kontrolniki.

  • Obnovitev Okolje za prepis (obnovitev okolja) je omejeno na enako okolje, iz katerega je bila vzeta varnostna kopija, ali drugo okolje, ki je šifrirano z istim ključem, ki ga upravlja stranka.

    Obnovi varnostno kopijo.

  • Kopiranje Okolje za prepis (kopirano okolje) je omejeno na drugo okolje, ki je šifrirano z istim ključem, ki ga upravlja stranka.

    Kopiraj okolje.

    opomba,

    Če je bilo za odpravljanje težave s podporo v okolju, ki ga upravlja stranka, ustvarjeno okolje za podporo pri preiskavi, je treba šifrirni ključ za okolje za podporo pri preiskavi spremeniti na ključ, ki ga upravlja stranka, preden se lahko izvede postopek kopiranja okolja.

  • Ponastavi Šifrirani podatki okolja so izbrisani, vključno z varnostnimi kopijami. Ko je okolje ponastavljeno, se šifriranje okolja povrne nazaj na ključ, ki ga upravlja Microsoft.

Naslednji koraki

O Azure Key Vault