Upravljajte svoj šifrirni ključ, ki ga upravlja stranka

  • Članek

Stranke imajo zahteve glede zasebnosti podatkov in skladnosti za zaščito svojih podatkov s šifriranjem podatkov v mirovanju. To ščiti podatke pred izpostavljenostjo v primeru kraje kopije baze podatkov. Ko šifriranje podatkov miruje, so ukradeni podatki baze podatkov zaščiteni pred obnovitvijo na drug strežnik brez šifrirnega ključa.

Vsi podatki o strankah, shranjeni v Power Platform so privzeto šifrirani z močnimi šifrirnimi ključi, ki jih upravlja Microsoft. Microsoft shranjuje in upravlja šifrirni ključ baze podatkov za vse vaše podatke, tako da vam tega ni treba. Vendar Power Platform ponuja ta šifrirni ključ, ki ga upravlja stranka (CMK), za vaš dodatni nadzor zaščite podatkov, kjer lahko sami upravljate šifrirni ključ baze podatkov, ki je povezan z vašim Microsoft Dataverse okoljem. To vam omogoča, da na zahtevo obrnete ali zamenjate šifrirni ključ, prav tako pa vam omogoča, da Microsoftu preprečite dostop do podatkov o vaši stranki, ko kadar koli prekličete dostop ključa do naših storitev.

Če želite izvedeti več o ključu, ki ga upravlja stranka v Power Platform, si oglejte videoposnetek o ključu, ki ga upravlja stranka.

Te operacije šifrirnega ključa so na voljo s ključem, ki ga upravlja stranka (CMK):

  • Ustvarite ključ RSA (RSA-HSM) iz vašega trezorja ključev Azure.
  • Ustvarite Power Platform politiko podjetja za svoj ključ.
  • Dodelite Power Platform dovoljenje pravilnika podjetja za dostop do vašega trezorja ključev.
  • Dovolite Power Platform skrbniku storitve, da prebere pravilnik podjetja.
  • Uporabite šifrirni ključ za svoje okolje.
  • Povrni/odstrani šifriranje CMK okolja na ključ, ki ga upravlja Microsoft.
  • Spremenite ključ tako, da ustvarite nov pravilnik podjetja, odstranite okolje iz CMK in znova uporabite CMK z novim pravilnikom podjetja.
  • Zaklenite okolja CMK tako, da prekličete shrambo ključev CMK in/ali dovoljenja za ključe.
  • Preselite prinesite svoj ključ (BYOK) okolja v CMK z uporabo ključa CMK.

Trenutno je mogoče vse vaše podatke o strankah, shranjene samo v naslednjih aplikacijah in storitvah, šifrirati s ključem, ki ga upravlja stranka:

  • Dataverse (Rešitve po meri in Microsoftove storitve)
  • Power Automate1
  • Klepet za Dynamics 365
  • Dynamics 365 Sales
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Finance (Finance in operacije)
  • Dynamics 365 Intelligent Order Management (Finance in poslovanje)
  • Dynamics 365 Project Operations (Finance in poslovanje)
  • Dynamics 365 Supply Chain Management (Finance in poslovanje)
  • Dynamics 365 Fraud Protection (Finance in poslovanje)

1 Ko uporabite ključ, ki ga upravlja stranka, v okolju, ki ima obstoječe Power Automate tokove, so podatki o tokovih še naprej šifrirani s ključem, ki ga upravlja Microsoft. Več informacij: Power Automate ključ, ki ga upravlja stranka.

opomba,

Nuance Conversational IVR in Maker Welcome Content sta izključena iz šifriranja ključev, ki ga upravlja stranka.

Power Apps in Power Virtual Agent shranjujeta svoje podatke v svojem lastnem pomnilniku in v Microsoft Dataverse. Ko za ta okolja uporabite ključ, ki ga upravlja stranka, so z vašim ključem šifrirani samo podatki, shranjeni v Microsoft Dataverse . Podatki, ki nisoMicrosoft Dataverse vključno z Power Apps izvorno kodo in ikonami aplikacij na platnu, so še naprej šifrirani s ključem, ki ga upravlja Microsoft.

opomba,

Nastavitve povezave za konektorje bodo še naprej šifrirane s ključem, ki ga upravlja Microsoft.

Za informacije o podpori za ključe, ki jo upravlja stranka, se obrnite na predstavnika storitev, ki niso navedene zgoraj.

Okolja z aplikacijami za finance in poslovanje, kjer je Power Platform integracija omogočena so lahko tudi šifrirana. Finančna in operativna okolja brez Power Platform integracije bodo za šifriranje podatkov še naprej uporabljala privzeti ključ, ki ga upravlja Microsoft. Več informacij: Šifriranje v aplikacijah za finance in poslovanje

Šifrirni ključ, ki ga upravlja stranka, v Power Platform

Uvod v ključ, ki ga upravlja stranka

S ključem, ki ga upravlja stranka, lahko skrbniki zagotovijo lasten šifrirni ključ iz lastnega trezorja ključev Azure storitvam za shranjevanje Power Platform za šifriranje podatkov o strankah. Microsoft nima neposrednega dostopa do vašega trezorja ključev Azure. Za Power Platform storitve za dostop do šifrirnega ključa iz vašega trezorja ključev Azure, skrbnik ustvari Power Platform poslovni pravilnik, ki se sklicuje na šifrirni ključ in temu pravilniku podjetja dodeli dostop za branje ključa iz vaš Azure Key Vault.

Skrbnik Power Platform storitve lahko nato doda Dataverse okolja pravilniku podjetja, da začne šifrirati vse podatke o strankah v okolju z vašim šifrirnim ključem. Skrbniki lahko spremenijo šifrirni ključ okolja tako, da ustvarijo drug pravilnik podjetja in dodajo okolje (po njegovi odstranitvi) novemu pravilniku podjetja. V primeru, da okolja ni več treba šifrirati s ključem, ki ga upravlja stranka, lahko skrbnik odstrani Dataverse okolje iz pravilnika podjetja, da vrne šifriranje podatkov nazaj na ključ, ki ga upravlja Microsoft.

Skrbnik lahko zaklene ključna okolja, ki jih upravlja stranka, tako da prekliče dostop ključa iz pravilnika podjetja in odklene okolja tako, da obnovi dostop ključa. Več informacij: Zaklepanje okolij s preklicem dostopa do trezorja ključev in/ali dovoljenj za ključe

Za poenostavitev ključnih nalog upravljanja so naloge razdeljene na tri glavna področja:

  1. Ustvarite šifrirni ključ.
  2. Ustvarite pravilnik podjetja in omogočite dostop.
  3. Upravljajte šifriranje okolja.

Opozorilo

Ko so okolja zaklenjena, do njih ne more dostopati nihče, vključno z Microsoftovo podporo. Okolja, ki so zaklenjena, postanejo onemogočena in lahko pride do izgube podatkov.

Licenčne zahteve za ključ, ki ga upravlja stranka

Politika ključev, ki jih upravlja stranka, se uveljavi samo v okoljih, ki so aktivirana za upravljana okolja. Upravljana okolja so vključena kot pooblastilo v samostojnih licencah Power Apps, Power Automate, Power Virtual Agents, Power Pages in Dynamics 365, ki dajejo premium pravice uporabe. Izvedite več o licenciranju upravljanega okolja, s pregledom licenciranja za Microsoft Power Platform.

Poleg tega dostop do uporabe ključa, ki ga upravlja stranka, za Microsoft Power Platform in Dynamics 365 zahteva, da imajo uporabniki v okoljih, kjer se uveljavlja pravilnik o šifrirnem ključu, eno od teh naročnin:

  • Microsoft 365 ali Office 365 A5/E5/G5
  • Microsoft 365 Skladnost z A5/E5/F5/G5
  • Microsoft 365 F5 Varnost & Skladnost
  • Microsoft 365 A5/E5/F5/G5 Zaščita informacij in upravljanje
  • Microsoft 365 A5/E5/F5/G5 Insider Risk Management

Več o teh licencah

Razumejte potencialno tveganje, ko upravljate svoj ključ

Tako kot pri vsakem programu z visoko pomembnostjo za poslovanje mora biti osebje vašega podjetja, ki ima skrbniški dostop, vredno zaupanja. Preden uporabite funkcijo za upravljanje ključev, morate razumeti tveganja, povezana z upravljanjem šifrirnih ključev zbirke podatkov. Možno je, da zlonamerni skrbnik (oseba, ki ji je odobren ali je pridobil dostop na ravni skrbnika z namenom škodovati varnosti ali poslovnim procesom organizacije), ki dela v vaši organizaciji, uporabi funkcijo upravljanja ključev, da ustvari ključ in ga uporabi za zaklepanje vaših okolja v najemniku.

Zamislite si naslednje zaporedje dogodkov.

Skrbnik shrambe zlonamernih ključev ustvari ključ in pravilnik podjetja na portalu Azure. Skrbnik Azure Key Vault gre v Power Platform skrbniško središče in doda okolja pravilniku podjetja. Zlonamerni skrbnik se nato vrne na portal Azure in prekliče dostop ključa do pravilnika podjetja in tako zaklene vsa okolja. To povzroči prekinitve poslovanja, saj vsa okolja postanejo nedostopna, in če ta dogodek ni razrešen, to je obnovitev ključnega dostopa, lahko pride do izgube podatkov o okolju.

opomba,

  • Azure Key Vault ima vgrajene zaščitne ukrepe, ki pomagajo pri obnovitvi ključa, kar zahteva zaščito Soft Delete in Purge omogočene nastavitve trezorja ključev.
  • Drug zaščitni ukrep, ki ga je treba upoštevati, je zagotoviti, da obstaja ločitev nalog, kjer skrbniku Azure Key Vault ni odobren dostop do Power Platform skrbniškega središča.

Ločitev dolžnosti za zmanjšanje tveganja

Ta razdelek opisuje naloge ključnih funkcij, ki jih upravljajo stranke in za katere je odgovorna vsaka skrbniška vloga. Ločevanje teh nalog pomaga zmanjšati tveganje, povezano s ključi, ki jih upravlja stranka.

Skrbniške naloge storitve Azure Key Vault in Power Platform/Dynamics 365

Če želite omogočiti ključe, ki jih upravlja stranka, najprej skrbnik sefa ključev ustvari ključ v sefu ključev Azure in ustvari Power Platform pravilnik podjetja. Ko je pravilnik podjetja ustvarjen, se ustvari posebna Microsoft Entra ID upravljana identiteta. Nato se skrbnik shrambe ključev vrne v shrambo ključev Azure in odobri dostop pravilnika/upravljane identitete podjetja do šifrirnega ključa.

Skrbnik shrambe ključev nato odobri ustreznemu skrbniku storitve Power Platform/Dynamics 365 dostop za branje do pravilnika podjetja. Ko je dovoljenje za branje odobreno, lahko skrbnik storitve Power Platform/Dynamics 365 odpre Power Platform Admin Center in doda okolja pravilniku podjetja. Vsi podatki o strankah v dodanih okoljih so nato šifrirani s ključem, ki ga upravlja stranka in je povezan s tem pravilnikom podjetja.

Zahteve
  • Naročnina na Azure, ki vključuje upravljane varnostne module strojne opreme Azure Key Vault ali Azure Key Vault (predogled).
  • Globalni skrbnik najemnika ali Microsoft Entra ID z dovoljenjem sodelavec za Microsoft Entra naročnino in dovoljenjem za ustvarjanje trezorja ključev Azure in ključa. To je potrebno za nastavitev trezorja ključev.
Ustvarite ključ in omogočite dostop z Azure Key Vault

Skrbnik Azure Key Vault izvaja te naloge v Azure.

  1. Ustvarite plačljivo naročnino na Azure in Key Vault. Prezrite ta korak, če že imate naročnino, ki vključuje Azure Key Vault.
  2. Pojdite v storitev Azure Key Vault in ustvarite ključ. Več informacij: Ustvarite ključ v trezorju ključev
  3. Omogočite Power Platform storitev pravilnikov podjetja za svojo naročnino na Azure. Naredite to samo enkrat. Več informacij: Omogočite Power Platform storitev pravilnikov podjetja za svojo naročnino na Azure
  4. Ustvarite Power Platform politiko podjetja. Več informacij: Ustvarite pravilnik podjetja
  5. Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev. Več informacij: Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev
  6. Skrbnikom Power Platform in Dynamics 365 podeli dovoljenje za branje pravilnika podjetja. Več informacij: Dodelite Power Platform skrbniški privilegij za branje pravilnika podjetja

Power Platform/Naloge skrbniškega središča Power Platform Service Dynamics 365

Predpogoj
  • Power Platform skrbnik mora biti dodeljen vlogi Power Platform ali skrbnika storitve Dynamics 365 Microsoft Entra .
Upravljajte šifriranje okolja v Power Platform skrbniškem središču

Administrator Power Platform upravlja ključne naloge, ki jih upravljajo stranke, povezane z okoljem v Power Platform administratorskem središču.

  1. Dodajte Power Platform okolja pravilniku podjetja za šifriranje podatkov s ključem, ki ga upravlja stranka. Več informacij: Dodajte okolje pravilniku podjetja za šifriranje podatkov
  2. Odstranite okolja iz pravilnika podjetja, da vrnete šifriranje na ključ, ki ga upravlja Microsoft. Več informacij: Odstranite okolja iz pravilnika, da se vrnete na ključ, ki ga upravlja Microsoft
  3. Spremenite ključ tako, da odstranite okolja iz starega pravilnika podjetja in dodate okolja v nov pravilnik podjetja. Več informacij: Ustvarite šifrirni ključ in odobrite dostop
  4. Preselitev iz BYOK. Če uporabljate prejšnjo funkcijo samoupravljanega šifrirnega ključa, lahko svoj ključ preselite na ključ, ki ga upravlja stranka. Več informacij: Preselitev okolij »prinesi svoj ključ« na ključ, ki ga upravlja stranka

Ustvari šifrirni ključ in odobri dostop

Ustvarite plačljivo naročnino in trezor ključev Azure

V Azure izvedite naslednje korake:

  1. Ustvarite naročnino Pay-as-you-go ali enakovredno naročnino na Azure. Ta korak ni potreben, če ima najemnik že sklenjeno naročnino.
  2. Ustvarite skupino virov. Več informacij: Ustvarite skupine virov
  3. Ustvarite trezor ključev s plačljivo naročnino, ki vključuje zaščito pred mehkim brisanjem in čiščenjem s skupino virov, ki ste jo ustvarili v prejšnjem koraku.

    Pomembno

Ustvarite ključ v trezorju ključev

  1. Prepričajte se, da ste izpolnili predpogoje.

  2. Pojdite na portal Azure>Key Vault in poiščite shrambo ključev, kjer želite ustvariti šifrirni ključ.

  3. Preverite nastavitve trezorja ključev Azure:

    1. Izberite Lastnosti pod Nastavitve.
    2. Pod Mehko brisanje nastavite ali preverite, ali je nastavljeno na Mehko brisanje je bilo omogočeno za to možnost trezorja ključev .
    3. Pod Zaščita pred čiščenjem nastavite ali preverite, da Omogoči zaščito pred čiščenjem (uveljavite obvezno obdobje hrambe za izbrisane trezorje in objekte trezorja) je omogočeno.
    4. Če ste naredili spremembe, izberite Shrani.

    Omogoči zaščito pred čiščenjem v trezorju ključev

Ustvarite ključe RSA
  1. Ustvarite ali uvozite ključ s temi lastnostmi:
    1. Na straneh z lastnostmi Key Vault izberite Ključi.
    2. Izberite možnost Ustvari/uvozi.
    3. Na zaslonu Ustvari ključ nastavite naslednje vrednosti in nato izberite Ustvari.
      • Možnosti: Ustvari
      • Ime: Vnesite ime za ključ
      • Vrsta ključa: RSA
      • Velikost ključa RSA: 2048

Uvoz zaščitenih ključev za varnostne module strojne opreme (HSM)

Svoje zaščitene ključe za varnostne module strojne opreme (HSM) lahko uporabite za šifriranje svojega Power Platform Dataverse okolja. Vaše ključe, zaščitene s HSM, je treba uvoziti v shrambo ključev da se lahko ustvari pravilnik podjetja. Za več informacij glejte Podprti HSM-jiUvoz ključev, zaščitenih s HSM, v shrambo ključev (BYOK).

Ustvarite ključ v upravljanem HSM-ju Azure Key Vault (predogled)

Za šifriranje podatkov svojega okolja lahko uporabite šifrirni ključ, ustvarjen iz upravljanega HSM Azure Key Vault. To vam daje podporo za FIPS 140-2 Level 3.

Ustvarite ključe RSA-HSM

  1. Prepričajte se, da ste izpolnili predpogoje.

  2. Pojdite na portal Azure.

  3. Ustvarite upravljani HSM:

    1. Zagotavljanje upravljanega HSM.
    2. Aktivirajte upravljani HSM.

  4. Omogočite Purge Protection v svojem upravljanem HSM.

  5. Dodelite vlogo Managed HSM Crypto User osebi, ki je ustvarila trezor ključev Managed HSM.

    1. Dostopajte do upravljanega trezorja ključev HSM na portalu Azure.
    2. Pomaknite se do Lokalni RBAC in izberite + Dodaj.
    3. Na spustnem seznamu Vloga izberite vlogo Managed HSM Crypto User na Dodelitev vlog stran.
    4. Izberite Vsi ključi pod Obseg.
    5. Izberite Select security principalin nato izberite skrbnika na Add Principal strani.
    6. izberite Ustvari.

  6. Ustvarite ključ RSA-HSM:

    • Možnosti: Ustvari
    • Ime: Vnesite ime za ključ
    • Vrsta ključa: RSA-HSM
    • Velikost ključa RSA: 2048

    opomba,

    Podprte velikosti ključev RSA-HSM: 2048-bit, 3072-bit, 4096-bit.

Omrežje svojega trezorja ključev Azure lahko posodobite tako, da omogočite zasebno končna točka in uporabite ključ v trezorju ključev za šifriranje svojih Power Platform okolji.

Ustvarite lahko nov trezor ključev in vzpostavite zasebno povezavo s povezavo ali vzpostavite zasebno povezavo z obstoječim shrambo ključev in ustvarite ključ iz tega trezorja ključev ter ga uporabite za šifriranje vašega okolja. Prav tako lahko vzpostavite zasebno povezovalno povezavo z obstoječim trezorjem ključev ko že ustvarite ključ in ga uporabite za šifriranje svojega okolja.

  1. Ustvarite trezor ključev Azure s temi možnostmi:

    • Omogoči Purge Protection
    • Vrsta ključa: RSA
    • Velikost ključa: 2048

  2. Kopirajte URL trezorja ključev in URL šifrirnega ključa, ki bosta uporabljena za ustvarjanje pravilnika podjetja.

    opomba,

    Ko dodate zasebni končna točka v svoj trezor ključev ali onemogočite javno dostopno omrežje, ne boste mogli videti ključa, razen če imate ustrezno dovoljenje.

  3. Ustvarite navidezno omrežje.

  4. Vrnite se v svoj trezor ključev in dodajte zasebne končna točka povezave v svoj trezor ključev Azure.

    opomba,

    Izbrati morate omrežno možnost Onemogoči javni dostop in omogočiti Dovoli zaupanja vrednim Microsoftovim storitvam, da obidejo to izjemo požarnega zidu .

  5. Ustvarite Power Platform politiko podjetja. Več informacij: Ustvarite pravilnik podjetja

  6. Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev. Več informacij: Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev

  7. Skrbnikom Power Platform in Dynamics 365 podeli dovoljenje za branje pravilnika podjetja. Več informacij: Dodelite Power Platform skrbniški privilegij za branje pravilnika podjetja

  8. Power Platform Skrbnik skrbniškega središča izbere okolje za šifriranje in omogoči Upravljano okolje. Več informacij: Omogoči, da se upravljano okolje doda pravilniku podjetja

  9. Power Platform Skrbnik skrbniškega središča doda upravljano okolje pravilniku podjetja. Več informacij: Dodajte okolje pravilniku podjetja za šifriranje podatkov

Omogočite Power Platform storitev pravilnikov podjetja za svojo naročnino na Azure

Registrirajte se Power Platform kot ponudnik virov. To nalogo morate opraviti samo enkrat za vsako naročnino na Azure, kjer je vaš trezor ključev Azure. Če želite registrirati ponudnika virov, morate imeti pravice dostopa do naročnine.

  1. Prijavite se na portal Azure in pojdite na Naročnina>Ponudniki virov.
  2. Na seznamu Ponudnikov virov poiščite Microsoft.PowerPlatformin Registracija to.

Ustvarite pravilnik podjetja

  1. Namestite PowerShell MSI. Več informacij: Namestite PowerShell v Windows, Linux in macOS
  2. Ko je PowerShell MSI nameščen, se vrnite na Uvedba predloge po meri v Azure.
  3. Izberite povezavo Izdelajte lastno predlogo v urejevalniku .
  4. Kopirajte predlogo JSON v urejevalnik besedila, kot je Beležnica. Več informacij: Predloga pravilnika podjetja json
  5. Zamenjajte vrednosti v predlogi JSON za: EnterprisePolicyName, lokacijo, kjer je treba ustvariti EnterprisePolicy, keyVaultId in keyName. Več informacij: Definicije polj za predlogo json
  6. Kopirajte posodobljeno predlogo iz urejevalnika besedila in jo prilepite v uredi predlogouvedbe po meri v Azure, in izberite Shrani. Predloga trezorja ključev Azure
  7. Izberite Naročnino in Skupino virov kjer naj se ustvari pravilnik podjetja.
  8. Izberite Pregled + ustvariin nato izberite Ustvari.

Razmestitev se začne. Ko je končano, je ustvarjen pravilnik podjetja.

Predloga pravilnika podjetja json

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definicije polj za predlogo JSON

  • ime. Ime pravilnika podjetja. To je ime pravilnika, ki se pojavi v Power Platform skrbniškem središču.

  • lokacija. Eden od naslednjih. To je lokacija pravilnika podjetja in mora ustrezati regiji Dataverse okolja:

    • "unitedstates"
    • "southafrica"
    • "switzerland”
    • "germany"
    • "unitedarabemirates"
    • "france"
    • "uk”
    • "japan"
    • "india"
    • "canada"
    • "southamerica"
    • "europe"
    • "asia"
    • "australia"
    • "korea"
    • "norway"
    • "singapore"

  • Kopirajte te vrednosti iz lastnosti shrambe ključev na portalu Azure:

    • keyVaultId: Pojdite na Key Vaults> izberite svoj trezor ključev >Overview. Zraven Essentials izberite JSON View. Kopirajte ID vira v odložišče in prilepite celotno vsebino v svojo predlogo JSON.
    • keyName: Pojdite na Key vaults> izberite svoj trezor ključev >Keys. Opazite ključ Ime in vnesite ime v predlogo JSON.

Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev

Ko je pravilnik podjetja ustvarjen, skrbnik trezorja ključev odobri dostop upravljane identitete pravilnika podjetja do šifrirnega ključa.

  1. Prijavite se na portal Azure in pojdite na trezorje ključev.
  2. Izberite trezor ključev, kjer je bil ključ dodeljen pravilniku podjetja.
  3. Izberite zavihek Nadzor dostopa (IAM) in nato izberite + Dodaj.
  4. Na spustnem seznamu izberite Dodaj dodelitev vloge
  5. Poiščite Key Vault Crypto Service Encryption User in ga izberite.
  6. Izberite Naprej.
  7. Izberi + Izberi člane.
  8. Poiščite pravilnik podjetja, ki ste ga ustvarili.
  9. Izberite pravilnik podjetja in nato izberite Izberi.
  10. Izberite Pregled + dodeli.

opomba,

Zgornja nastavitev dovoljenj temelji na modelu dovoljenjnadzora dostopa Azure na podlagi vloge vašega trezorja ključev. Če je vaš shramba ključev nastavljena na Politiko dostopa do sefa, je priporočljivo, da preselite na model, ki temelji na vlogah. Če želite svojemu pravilniku podjetja omogočiti dostop do trezorja ključev z uporabo Politike dostopa do trezorja, ustvarite pravilnik o dostopu in izberite Get na Operacije upravljanja ključev in Odvijanje ključa in Previjanje ključa na Kriptografske operacije.

Dodelite Power Platform skrbniški privilegij za branje pravilnika podjetja

Skrbniki, ki imajo globalne vloge Azure, Dynamics 365 in Power Platform skrbniške vloge, lahko dostopajo do Power Platform skrbniškega središča za dodelitev okolij pravilniku podjetja. Za dostop do pravilnikov podjetja mora globalni skrbnik z dostopom do trezorja ključev Azure dodeliti Uporabnik z dovoljenjem za branje vlogo Power Platform skrbniku. Ko je vloga Uporabnik z dovoljenjem za branje dodeljena, si bo Power Platform skrbnik lahko ogledal pravilnike podjetja v Power Platform skrbniškem središču.

opomba,

Samo Power Platform in skrbniki Dynamics 365, ki jim je dodeljena vloga Uporabnik z dovoljenjem za branje za pravilnik podjetja, lahko pravilniku dodajo okolje. Drugi Power Platform ali skrbniki Dynamics 365 si morda lahko ogledajo pravilnik podjetja, vendar bodo prejeli sporočilo o napaki, ko bodo poskušali Dodati okolje v politika.

Podeli Uporabnik z dovoljenjem za branje vlogo Power Platform skrbniku

  1. Prijavite se na portal Azure.
  2. Kopirajte ID objekta Power Platform ali skrbnika Dynamics 365. Storiti to:
    1. Pojdite na območje Uporabniki v Azure.
    2. Na seznamu Vsi uporabniki poiščite uporabnika s Power Platform ali skrbniškimi dovoljenji Dynamics 365 z Išči uporabnike.
    3. Odprite zapis uporabnika, na zavihku Pregled kopirajte uporabnikov ID predmeta. Prilepite to v urejevalnik besedila, kot je Beležnica za pozneje.
  3. Kopirajte ID vira pravilnika podjetja. Storiti to:
    1. Pojdite na Resource Graph Explorer v Azure.
    2. Vnesite microsoft.powerplatform/enterprisepolicies v Iskalno polje in nato izberite microsoft.powerplatform/enterprisepolicies vir.
    3. V ukazni vrstici izberite Zaženi poizvedbo . Prikaže se seznam vseh Power Platform pravilnikov podjetja.
    4. Poiščite pravilnik podjetja, kjer želite odobriti dostop.
    5. Pomaknite se desno od pravilnika podjetja in izberite Ogled podrobnosti.
    6. Na strani Podrobnosti kopirajte id.
  4. Zaženite Azure Cloud Shell in zaženite naslednji ukaz ter zamenjajte objId z uporabnikovim ID-jem predmeta in ID vira EP z enterprisepolicies ID-jem, kopiranim v prejšnjih korakih: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Upravljajte šifriranje okolja

Za upravljanje šifriranja okolja potrebujete naslednje dovoljenje:

  • Microsoft Entra aktivni uporabnik, ki ima Power Platform in/ali skrbnika Dynamics 365 varnostna vloga.
  • Microsoft Entra uporabnik, ki ima globalnega skrbnika najemnika Power Platform ali vlogo skrbnika storitve Dynamics 365.

Skrbnik trezorja ključev obvesti Power Platform skrbnika, da sta bila ustvarjena šifrirni ključ in pravilnik podjetja, ter posreduje pravilnik podjetja Power Platform skrbniku. Če želite omogočiti ključ, ki ga upravlja stranka, Power Platform skrbnik dodeli svoja okolja pravilniku podjetja. Ko je okolje dodeljeno in shranjeno, Dataverse sproži postopek šifriranja za nastavitev vseh podatkov okolja in njihovo šifriranje s ključem, ki ga upravlja stranka.

Omogočite dodajanje upravljanega okolja v pravilnik podjetja

  1. Prijavite se v Power Platform skrbniško središče in poiščite okolje.
  2. Izberite in preverite okolje na seznamu okolij.
  3. Izberite ikono Omogoči upravljana okolja v vrstici z dejanji.
  4. Izberite Omogoči.

Dodajanje okolja v pravilnik podjetja za šifriranje podatkov

Pomembno

Okolje bo onemogočeno, ko bo dodano v pravilnik podjetja za šifriranje podatkov.

  1. Prijavite se v skrbniško središče Power Platform in pojdite naPravilniki>za podjetja.
  2. Izberite pravilnik in nato v ukazni vrstici izberite Uredi.
  3. Izberite Dodaj okolja, izberite želeno okolje in nato Nadaljuj . Dodajanje okolja v pravilnik podjetja v Power Platform skrbniškem središču
  4. Izberite Shrani in nato Potrdi .

Pomembno

  • Na seznamu Dodaj okolja so prikazana samo okolja, ki so v isti regiji kot pravilnik podjetja.
  • Šifriranje lahko traja do štiri dni, vendar je okolje morda omogočeno, preden se postopek Dodaj okolja dokonča.
  • Postopek se morda ne bo dokončal in če ne uspe, bodo vaši podatki še naprej šifrirani z Microsoftovim upravljanim ključem. Znova lahko zaženete postopek Dodaj okolja .

opomba,

Dodate lahko samo okolja, ki so omogočena kot upravljana okolja. Preskusnega okolja in okolja aplikacije Teams ni mogoče dodati v pravilnik podjetja.

Odstranjevanje okolij iz pravilnika za vrnitev na Microsoftov upravljani ključ

Če se želite vrniti na Microsoftov upravljani šifrirni ključ, sledite tem korakom.

Pomembno

Okolje bo onemogočeno, ko bo odstranjeno iz pravilnika podjetja za vrnitev šifriranja podatkov z Microsoftovim upravljanim ključem.

  1. Prijavite se v skrbniško središče Power Platform in pojdite naPravilniki>za podjetja.
  2. Izberite zavihek Okolje s pravilniki in poiščite okolje, ki ga želite odstraniti iz ključa, ki ga upravljajo stranke.
  3. Izberite zavihek Vsi pravilniki , izberite okolje, ki ste ga preverili v 2. koraku, in nato v ukazni vrstici izberite Uredi pravilnik . Odstranjevanje okolja iz ključa, ki ga upravljajo stranke
  4. V ukazni vrstici izberite Odstrani okolje , izberite okolje, ki ga želite odstraniti, in nato izberite Nadaljuj.
  5. Izberite možnost Shrani.

Pomembno

Okolje bo onemogočeno, ko bo odstranjeno iz pravilnika podjetja, da se šifriranje podatkov povrne v Microsoftov ključ. Ne izbrišite ali onemogočite ključa, ne izbrišite ali onemogočite shrambe ključev ali odstranite dovoljenj pravilnika enteprise za shrambo ključev. Dostop do shrambe ključev in ključev je potreben za podporo obnovi zbirke podatkov. Dovoljenja pravilnika podjetja lahko izbrišete in odstranite po 30 dneh.

Spreminjanje šifrirnega ključa okolja z novim pravilnikom in ključem podjetja

Če želite zasukati šifrirni ključ, ustvarite nov ključ in nov pravilnik podjetja. Pravilnik podjetja lahko nato spremenite tako, da odstranite okolja in nato dodate okolja v nov pravilnik podjetja.

opomba,

Zdaj je podprta uporaba nove različice ključa in nastavitev pravilnika obračanja za vrtenje šifrirnega ključa.

  1. V portalu Azure ustvarite nov ključ in nov pravilnik za podjetja. Več informacij: Ustvarjanje šifrirnega ključa in dodeljevanje dostopa ter Ustvarjanje pravilnika podjetja
  2. Ko ustvarite nov ključ in pravilnik za podjetja, pojdite na Pravilniki> Pravilnikipodjetja.
  3. Izberite zavihek Okolje s pravilniki in poiščite okolje, ki ga želite odstraniti iz ključa, ki ga upravljajo stranke.
  4. Izberite zavihek Vsi pravilniki , izberite okolje, ki ste ga preverili v 2. koraku, in nato v ukazni vrstici izberite Uredi pravilnik . Odstranjevanje okolja iz ključa, ki ga upravljajo stranke
  5. V ukazni vrstici izberite Odstrani okolje , izberite okolje, ki ga želite odstraniti, in nato izberite Nadaljuj.
  6. Izberite možnost Shrani.
  7. Ponavljajte korake od 2 do 6, dokler niso odstranjena vsa okolja v pravilniku podjetja.

Pomembno

Okolje bo onemogočeno, ko bo odstranjeno iz pravilnika podjetja, da se šifriranje podatkov povrne v Microsoftov ključ. Ne izbrišite ali onemogočite ključa, ne izbrišite ali onemogočite shrambe ključev ali odstranite dovoljenj pravilnika enteprise za shrambo ključev. Dostop do shrambe ključev in ključev je potreben za podporo obnovi zbirke podatkov. Dovoljenja pravilnika podjetja lahko izbrišete in odstranite po 30 dneh.

  1. Ko so odstranjena vsa okolja, se iz Power Platform skrbniškega središča pomaknite do razdelka Pravilniki podjetja.
  2. Izberite nov pravilnik podjetja in nato izberite Uredi pravilnik.
  3. Izberite Dodaj okolje, izberite okolja, ki jih želite dodati, in nato Nadaljuj .

Pomembno

Okolje bo onemogočeno, ko bo dodano v nov pravilnik podjetja.

Spreminjanje šifrirnega ključa okolja z novo različico ključa

Šifrirni ključ okolja lahko spremenite tako, da ustvarite novo različico ključa. Ko ustvarite novo različico ključa, je nova različica ključa samodejno omogočena. Vsi viri za shranjevanje zaznajo novo različico ključa in jo začnejo uporabljati za šifriranje podatkov.

Ko spremenite različico ključa ali ključa, se spremeni zaščita korenskega šifrirnega ključa, vendar podatki v shrambi vedno ostanejo šifrirani s ključem. Za zaščito vaših podatkov ni potrebno nobeno dodatno dejanje. Obračanje različice ključa ne vpliva na zmogljivost. Z menjavo različice ključa ni izpadov. Lahko traja 24 ur, da vsi ponudniki virov uporabijo novo različico ključa v ozadju. Prejšnje različice ključa ne smete onemogočiti ker jo mora storitev uporabiti za ponovno šifriranje in za podporo obnove baze podatkov.

Če želite zasukati šifrirni ključ z ustvarjanjem nove različice ključa, uporabite naslednje korake.

  1. Pojdite na portal Azure>Sezori ključev in poiščite shrambo ključev, kjer želite ustvariti novo različico ključev.
  2. Pomaknite se do Tipke.
  3. Izberite trenutno omogočeno tipko.
  4. Izberite + Nova različica.
  5. Upoštevajte, da je nastavitev Omogočeno privzeto Da, kar pomeni, da je nova različica ključa samodejno omogočena ob ustvarjanju.
  6. izberite Ustvari.

Šifrirni ključ lahko tudi zasukate s pravilnikom o vrtenju tako, da konfigurirate pravilnik o vrtenju ali zavrtite na zahtevo s klicem Zasukaj zdaj.

Pomembno

Nova različica ključa se samodejno vrti v ozadju in Power Platform skrbnik ne zahteva nobenega dejanja. Pomembno je, da prejšnja različica ključa ne sme biti onemogočena ali izbrisana vsaj 28 dni za podporo obnovitve baze podatkov. Če prezgodaj onemogočite ali izbrišete prejšnjo različico ključa, lahko vaše okolje postane brez povezave.

Oglejte si seznam šifriranih okolij

  1. Prijavite se v skrbniško središče Power Platform in pojdite naPravilniki>za podjetja.
  2. Na strani Pravilniki podjetja izberite zavihek Okolja s pravilniki . Prikaže se seznam okolij, ki so bila dodana pravilnikom podjetja.

opomba,

Lahko pride do situacij, ko Stanje okolja ali Stanje šifriranja prikaže Neuspešno status. Ko se to zgodi, pošljite zahtevo Microsoftove podpore za pomoč.

Postopki zbirke podatkov okolja

Najemnik stranke lahko ima okolja, ki so šifrirana s ključem, ki ga upravlja Microsoft, in okolja, ki so šifrirana s ključem, ki ga upravlja stranka. Za ohranjanje integritete podatkov in varstva podatkov so pri upravljanju postopkov zbirke podatkov okolja na voljo naslednji kontrolniki.

  • Obnovitev Okolje za prepis (obnovitev okolja) je omejeno na enako okolje, iz katerega je bila vzeta varnostna kopija, ali drugo okolje, ki je šifrirano z istim ključem, ki ga upravlja stranka.

    Obnovi varnostno kopijo.

  • Kopiranje Okolje za prepis (kopirano okolje) je omejeno na drugo okolje, ki je šifrirano z istim ključem, ki ga upravlja stranka.

    Kopiraj okolje.

    opomba,

    Če je bilo za odpravljanje težave s podporo v okolju, ki ga upravlja stranka, ustvarjeno okolje za podporo pri preiskavi, je treba šifrirni ključ za okolje za podporo pri preiskavi spremeniti na ključ, ki ga upravlja stranka, preden se lahko izvede postopek kopiranja okolja.

  • Ponastavitev Šifrirani podatki okolja, vključno z varnostnimi kopijami, bodo izbrisani. Ko je okolje ponastavljeno, se šifriranje okolja povrne nazaj na ključ, ki ga upravlja Microsoft.

Naslednji koraki

O Azure Key Vault