Upravljanje šifrirnega ključa, ki ga upravlja stranka

Stranke imajo zahteve glede zasebnosti podatkov in skladnosti s predpisi, da zaščitijo svoje podatke s šifriranjem podatkov, ki so shranjeni v sistemu. To zaščiti podatke pred razkritjem v primeru kraje kopije baze podatkov. S šifriranjem podatkov v stanju mirovanja so ukradeni podatki baze podatkov zaščiteni pred obnovitvijo na drug strežnik brez šifrirnega ključa.

Vsi podatki strank, shranjeni v Power Platform , so privzeto šifrirani z močnimi šifrirnimi ključi, ki jih upravlja Microsoft. Microsoft shranjuje in upravlja šifrirni ključ baze podatkov za vse vaše podatke, da vam tega ni treba. Vendar pa Power Platform zagotavlja ta šifrirani ključ, ki ga upravlja stranka (CMK) za dodatno zaščito podatkov, kjer lahko sami upravljate ključ za šifriranje baze podatkov, ki je povezan z vašim Microsoft Dataverse okoljem. To vam omogoča, da na zahtevo zavrtite ali zamenjate šifrirni ključ, poleg tega pa lahko preprečite Microsoftu dostop do podatkov vaših strank, ko kadar koli prekličete dostop ključa do naših storitev.

Če želite izvedeti več o ključu, ki ga upravlja stranka, v Power Platform, si oglejte videoposnetek o ključu, ki ga upravlja stranka.

Te operacije s šifrirnim ključem so na voljo s ključem, ki ga upravlja stranka (CMK):

• Ustvarite RSA (RSA-HSM) ključ iz svojega Azure Key trezorja.
• Ustvarite pravilnik podjetja za svoj ključ. Power Platform
• Dodelite dovoljenje za dostop do vašega trezorja ključev v skladu s pravilnikom podjetja. Power Platform
• Dovolite skrbniku storitve branje pravilnika podjetja. Power Platform
• Uporabite šifrirni ključ za svoje okolje.
• Razveljavi/odstrani šifriranje CMK okolja na ključ, ki ga upravlja Microsoft.
• Spremenite ključ tako, da ustvarite nov pravilnik podjetja, odstranite okolje iz CMK in ponovno uporabite CMK z novim pravilnikom podjetja.
• Zaklenite okolja CMK tako, da prekličete dovoljenja za trezor ključev CMK in/ali ključe.
• Uporabite CMK ključ.

Trenutno je mogoče vse podatke o vaših strankah, shranjene le v naslednjih aplikacijah in storitvah, šifrirati s ključem, ki ga upravlja stranka:

Komercialni oblak

• Dataverse (Rešitve po meri in Microsoftove storitve)
• Dataverse Copilot za aplikacije, ki temeljijo na modelih
• Power Automate
• Chat za Dynamics 365
• Prodaja Dynamics 365
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Podatki
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Finance in operacije)
• Dynamics 365 Intelligent Order Management (finance in operacije)
• Dynamics 365 Project Operations (finance in operacije)
• Dynamics 365 Supply Chain Management (finance in operacije)
• Copilot Studio

Suvereni oblak - GCC High

• Dataverse (Rešitve po meri in Microsoftove storitve)
• Dataverse Copilot za aplikacije, ki temeljijo na modelih
• Chat za Dynamics 365
• Prodaja Dynamics 365
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Podatki
• Copilot Studio

Opomba

• Za informacije o podpori za ključe, ki jih upravlja stranka, se obrnite na predstavnika za storitve, ki niso navedene zgoraj.
• Nuance Pogovorni IVR in **vsebina dobrodošlice za ustvarjalce** sta izključena iz šifriranja ključev, ki ga upravlja stranka. ...
• Nastavitve povezave za povezovalnike so še naprej šifrirane s ključem, ki ga upravlja Microsoft.
• Nastavitve okolja Power Platform so še naprej šifrirane s ključem, ki ga upravlja Microsoft.
• Konfigurirani CMK ne šifrira podatkov, ki jih Copilot Studio pošilja kot del varnostnega pregleda Agent 365.
• Prikazna imena, opisi in metapodatki povezave v Power Apps so še naprej šifrirani z Microsoftovim upravljanim ključem.
• Povezava do rezultatov prenosa in drugi podatki, ki jih ustvari preverjevalnik rešitev med preverjanjem rešitve, so še naprej šifrirani s ključem, ki ga upravlja Microsoft.

Okolja s finančnimi in operativnimi aplikacijami, kjer je integracija omogočena, je mogoče tudi šifrirati. Power Platform Finančna in operativna okolja brez integracije še naprej uporabljajo privzeti ključ, ki ga upravlja Microsoft, za šifriranje podatkov. Power Platform Več o tem si preberite v razdelku Šifriranje v aplikacijah za finance in poslovanje. ...

Uvod v ključ, ki ga upravlja stranka

S ključem, ki ga upravlja stranka, lahko administratorji zagotovijo svoj šifrirni ključ iz svojega Azure Key Vault storitvam Power Platform za shranjevanje podatkov strank. Microsoft nima neposrednega dostopa do vašega Azure Key Vault. Da bi storitve Power Platform lahko dostopale do šifrirnega ključa iz vašega Azure Key Vault, administrator ustvari Power Platform enterprise politiko, ki se sklicuje na šifrirni ključ in tej enterprise politiki omogoči dostop do branja ključa iz vašega Azure Key Vault.

Skrbnik storitve lahko nato v pravilnik podjetja doda okolja, da začne šifrirati vse podatke strank v okolju z vašim šifrirnim ključem. Power Platform Dataverse Skrbniki lahko spremenijo šifrirni ključ okolja tako, da ustvarijo drug pravilnik podjetja in dodajo okolje (potem ko ga odstranijo) novemu pravilniku podjetja. Če okolja ni več treba šifrirati s ključem, ki ga upravlja stranka, lahko skrbnik odstrani okolje iz pravilnika podjetja, da ponastavi šifriranje podatkov nazaj na ključ, ki ga upravlja Microsoft. Dataverse

Skrbnik lahko zaklene ključna okolja, ki jih upravlja stranka, tako da prekliče dostop do ključa iz pravilnika podjetja, in jih odklene z obnovitvijo dostopa do ključa. Več informacij: Zaklepanje okolij s preklicem dostopa do trezorja ključev in/ali dovoljenja za ključ

Za poenostavitev ključnih nalog upravljanja so naloge razdeljene na tri glavna področja:

1. Ustvarite šifrirni ključ.
2. Ustvarite pravilnik podjetja in mu dodelite dostop.
3. Upravljajte šifriranje okolja.

Opozorilo

Ko so okolja zaklenjena, do njih ne more dostopati nihče, vključno z Microsoftovo podporo. Zaklenjena okolja postanejo onemogočena in lahko pride do izgube podatkov.

Zahteve licenciranja za ključ, ki ga upravlja stranka

Pravilnik o ključih, ki ga upravlja stranka, se uveljavlja samo v okoljih, ki so aktivirana za upravljana okolja. Upravljana okolja so vključena kot pravica v samostojnih licencah Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages in Dynamics 365, ki dajejo premium pravice do uporabe. Več o licenciranju Managed Environment Licensing v pregledu Licensing za Microsoft Power Platform.

Poleg tega dostop do uporabe ključa, ki ga upravlja stranka, za Microsoft Power Platform in Dynamics 365, zahteva, da imajo uporabniki v okoljih, kjer je politika šifrirnega ključa uveljavljena, eno od teh naročnin:

• Microsoft 365 ali Office 365 A5/E5/G5
• Skladnost Microsoft 365 A5/E5/F5/G5
• Microsoft 365 F5 Varnost in Skladnost
• Microsoft 365 A5/E5/F5/G5 Information Protection in upravljanje
• Microsoft 365 A5/E5/F5/G5 Notranje upravljanje tveganj

Več o teh licencah.

Razumeti je treba potencialno tveganje pri upravljanju ključev

Tako kot pri vsakem programu z visoko pomembnostjo za poslovanje mora biti osebje vašega podjetja, ki ima skrbniški dostop, vredno zaupanja. Preden uporabite funkcijo za upravljanje ključev, morate razumeti tveganja, povezana z upravljanjem šifrirnih ključev zbirke podatkov. Možno je, da zlonamerni skrbnik (oseba, ki ji je odobren ali je pridobila dostop na ravni skrbnika z namenom škodovanja varnosti ali poslovnim procesom organizacije), ki dela v vaši organizaciji, uporabi funkcijo upravljanja ključev za ustvarjanje ključa in ga uporabi za zaklepanje vaših okolij v najemniku.

Zamislite si naslednje zaporedje dogodkov.

Skrbnik zlonamernega ključnega trezorja ustvari ključ in poslovno politiko na portalu Azure. Skrbnik Azure Key Vault gre v skrbniški center Power Platform in doda okolja v poslovno politiko. Zlonamerni skrbnik se nato vrne v Azure portal in prekliče dostop do ključne politike podjetja, s čimer zaklene vsa okolja. To povzroča prekinitve poslovanja, saj vsa okolja postanejo nedostopna, in če se ta dogodek ne odpravi, torej se ne obnovi dostop do ključev, se lahko podatki o okolju potencialno izgubijo.

Opomba

• Azure Key Vault ima vgrajene varnostne mehanizme, ki pomagajo obnoviti ključ, kar zahteva omogočene nastavitve Soft Delete in Purge protection nastavitve Key Vault.
• Še ena varovalka, ki jo je treba upoštevati, je, da je ločevanje nalog, kjer skrbnik Azure Key Vault nima dostopa do skrbniškega centra Power Platform.

Ločitev dolžnosti za zmanjšanje tveganja

V tem razdelku so opisane naloge ključnih funkcij, ki jih upravlja stranka in za katere je odgovorna vsaka skrbniška vloga. Ločevanje teh nalog pomaga zmanjšati tveganje, povezano s ključi, ki jih upravljajo stranke.

Azure Key Vault in Power Platform/Dynamics 365 service admin naloge

Za omogočanje ključev, ki jih upravljajo stranke, najprej skrbnik ključnega trezorja ustvari ključ v Azure ključnem trezorju in ustvari podjetniško politiko Power Platforme. Ko se ustvari poslovna politika, se ustvari posebna upravljana identiteta Microsoft Entra ID. Nato se skrbnik ključnega trezorja vrne v Azure ključni trezor in podjetniški politiki/upravljani identiteti podeli dostop do šifrirnega ključa.

Skrbnik ključnega trezorja nato podeli ustreznemu Power Platform/Dynamics 365 skrbniškemu administratorskemu dostopu do poslovne politike. Ko je dovoljenje za branje odobreno, lahko skrbnik storitev Power Platform/Dynamics 365 obišče Power Platform Admin Center in doda okolja v poslovno politiko. Vsi podatki strank v dodanih okoljih so nato šifrirani s ključem, ki ga upravlja stranka in je povezan s tem pravilnikom podjetja.

Zahteve

• Naročnina na Azure, ki vključuje Azure Key Vault ali upravljane strojne varnostne module Azure Key Vault.
• Microsoft Entra ID z:
  • Dovoljenje sodelavca za naročnino Microsoft Entra.
  • Dovoljenje za ustvarjanje Azure Key Vault in ključa.
  • Dostop za ustvarjanje skupine virov. To je potrebno za nastavitev shrambe ključev.

Ustvarite ključ in omogočite dostop z uporabo Azure Key Vault

Administrator Azure Key Vault izvaja te naloge v Azure.

1. Ustvarite plačljivo naročnino na Azure in uporabite Key Vault. Ignorirajte ta korak, če že imate naročnino, ki vključuje Azure Key Vault.
2. Pojdite na storitev Azure Key Vault in ustvarite ključ. Več informacij: Ustvarjanje ključa v trezorju ključev
3. Omogočite storitev Power Platform enterprise policies za svojo naročnino na Azure. To storite samo enkrat. Več informacij: Omogočite storitev Power Platform enterprise policies za vašo naročnino Azure
4. Ustvarite pravilnik podjetja. Power Platform Več informacij: Ustvarjanje pravilnika podjetja
5. Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev. Več informacij: Dodelitev dovoljenj pravilniku podjetja za dostop do trezorja ključev
6. Dovolite administratorjem Power Platform in Dynamics 365 prebrati poslovno politiko. Več informacij: Dodelite Power Platform skrbniški privilegij za branje pravilnika podjetja

Power Platform/Dynamics 365 skrbništvo storitev Power Platform admin center naloge

Zahteva

Administrator Power Platform mora biti dodeljen bodisi Power Platform ali Dynamics 365 Service administrator Microsoft Entra.

Upravljajte šifriranje okolja v skrbniškem središču Power Platform

Skrbnik upravlja ključne naloge, ki jih upravljajo stranke in so povezane z okoljem v skrbniškem središču. Power Platform Power Platform

1. Dodajte okolja v pravilnik podjetja za šifriranje podatkov s ključem, ki ga upravlja stranka. Power Platform Več informacij: Dodajte okolje pravilniku podjetja za šifriranje podatkov
2. Odstranite okolja iz pravilnika podjetja, da se šifriranje vrne na ključ, ki ga upravlja Microsoft. Več informacij: Odstranite okolja iz pravilnika, da se vrnete na Microsoftov upravljani ključ
3. Ključ spremenite tako, da iz starega pravilnika podjetja odstranite okolja in jih dodate v nov pravilnik podjetja. Več informacij: Ustvarjanje šifrirnega ključa in odobritev dostopa
4. Če uporabljate starejšo funkcijo samoupravljanega šifrirnega ključa, lahko svoj ključ preselite na ključ, ki ga upravlja stranka. Več o tem si preberite v razdelku Upravljanje šifrirnega ključa, ki ga upravlja stranka.

Ustvarite šifrirni ključ in odobrite dostop

Ustvari plačljivo naročnino na Azure in ključni trezor

V Azure izvedite naslednje korake:

1. Ustvarite naročnino Pay-as-you-go ali njeno enakovredno naročnino na Azure. Ta korak ni potreben, če ima najemnik že naročnino.

2. Ustvarite skupino virov. Več informacij: Ustvarjanje skupin virov

   Opomba

   Ustvarite ali uporabite skupino virov, ki ima lokacijo, na primer osrednjo ZDA, ki ustreza regiji okolja Power Platform, na primer United States.

3. Ustvarite trezor ključev s plačljivo naročnino, ki vključuje zaščito pred mehkim brisanjem in čiščenjem s skupino virov, ki ste jo ustvarili v prejšnjem koraku.

   Pomembno

   Da bi zagotovili zaščito vašega okolja pred nenamernim brisanjem šifrirnega ključa, mora imeti trezor ključev omogočeno zaščito pred mehkim brisanjem in čiščenjem. Brez omogočanja teh nastavitev ne boste mogli šifrirati svojega okolja s svojim ključem. Več informacij: Azure Key Vault pregled mehkega brisanja Več informacij: Ustvarite ključni trezor z uporabo Azure portala

Ustvarite ključ v trezorju ključev

1. Prepričajte se, da ste izpolnili predpogoje. ...
2. Pojdite na portal Azure portal>Key Vault in poiščite key vault, kjer želite ustvariti šifrirni ključ.
3. Preverite nastavitve Azure key vault:
   1. V razdelku Nastavitve izberite Lastnosti.
   2. V razdelku Zaščitno brisanjenastavite ali preverite, ali je nastavljeno na Zaščitno brisanje je omogočeno v tem trezorju ključev .
   3. V razdelku Zaščita pred čiščenjem nastavite ali preverite, ali je možnost Omogoči zaščito pred čiščenjem (uveljavi obvezno obdobje hrambe za izbrisane trezorje in predmete trezorja) omogočena.
   4. Če ste naredili spremembe, izberite Shrani.

Ustvarite ključe RSA

1. Ustvarite ali uvozite ključ s temi lastnostmi:

   1. Na straneh lastnosti Key Vault izberite Keys.
   2. Izberite možnost Ustvari/uvozi.
   3. Na zaslonu Ustvari ključ nastavite naslednje vrednosti in nato izberite Ustvari.
      • Možnosti: Ustvari
      • Ime: Navedite ime za ključ
      • Vrsta ključa: RSA
      • Velikost ključa RSA: 2048 ali 3072

   Pomembno

   Če v ključu nastavite datum poteka veljavnosti in ključ poteče, bodo vsa okolja, šifrirana s tem ključem, nedostopna. Nastavite opozorilo za spremljanje poteka certifikatov z e-poštnimi obvestili za lokalnega Power Platform administratorja in Azure key vault administratorja kot opomnik za podaljšanje datuma poteka. To je pomembno za preprečevanje nenačrtovanih izpadov sistema.

Uvoz zaščitenih ključev za varnostne module strojne opreme (HSM)

Zaščitene ključe za strojno varnostne module (HSM) lahko uporabite za šifriranje svojih okolij. Power Platform Dataverse Vaše ključe, zaščitene s HSM, je treba uvoziti v trezor ključev, da je mogoče ustvariti pravilnik podjetja. ... Za več informacij glejte Podprti HSM-jiUvoz ključev, zaščitenih s HSM, v Key Vault (BYOK).

Ustvarite ključ v Azure Key Vault upravljanem HSM

Za šifriranje podatkov okolja lahko uporabite šifrirni ključ, ustvarjen iz Azure Key Vault upravljanega HSM. To vam zagotavlja podporo za FIPS 140-2 raven 3.

Ustvarjanje ključev RSA-HSM

1. Prepričajte se, da ste izpolnili predpogoje. ...

2. Pojdite v portal Azure .

3. Ustvarite upravljani HSM: ...

   1. Zagotovite uporabo upravljanega HSM.
   2. Aktivirajte upravljani HSM.

4. Omogočite zaščito pred čiščenjem v upravljanem HSM-ju.

5. Dodelite vlogo Upravljani uporabnik kriptovalut HSM osebi, ki je ustvarila trezor ključev upravljanega HSM.

   1. Dostopajte do upravljanega HSM ključnega trezorja na portalu Azure.
   2. Pomaknite se do Lokalni RBAC in izberite + Dodaj.
   3. Na spustnem seznamu Vloga na strani Dodelitev vloge izberite vlogo Upravljani uporabnik HSM Crypto.
   4. Izberite Vsi ključi v razdelku Obseg.
   5. Izberite Izberi varnostno glavno naročnino in nato na strani Dodaj glavno naročnino izberite skrbnika.
   6. izberite Ustvari.

6. Ustvarite ključ RSA-HSM:

   • Možnosti: Ustvari
   • Ime: Navedite ime za ključ
   • Vrsta ključa: RSA-HSM
   • Velikost ključa RSA: 2048

   Opomba

   Podprte velikosti ključev RSA-HSM: 2048-bitna in 3072-bitna. ...

Šifriraj svoje okolje s ključem iz Azure Key Vault s zasebno povezavo

Omrežje trezorja ključev Azure lahko posodobite tako, da omogočite privatno končno točko in uporabite ključ v ključnem trezorju za šifriranje vaših Power Platform okolij.

Lahko ustvarite nov trezor ključev in vzpostavite zasebno povezavo ali vzpostavite zasebno povezavo z obstoječim trezorjem ključev in ustvarite ključ iz tega trezorja ključev ter ga uporabite za šifriranje svojega okolja. Prav tako lahko vzpostavite zasebno povezavo z obstoječim trezorjem ključev ko že ustvarite ključ in ga uporabite za šifriranje svojega okolja.

Šifriranje podatkov s ključem iz trezorja ključev z zasebno povezavo

1. Ustvarite Azure Key vault s temi možnostmi:

   • Omogoči zaščito pred čiščenjem
   • Vrsta ključa: RSA
   • Velikost ključa: 2048 ali 3072

2. Kopirajte URL trezorja ključev in URL šifrirnega ključa, ki ju želite uporabiti za ustvarjanje pravilnika podjetja.

   Opomba

   Ko v trezor ključev dodate zasebno končno točko ali onemogočite javno dostopno omrežje, ključa ne boste mogli videti, razen če imate ustrezno dovoljenje.

3. Ustvarite virtualno omrežje. ...

4. Vrni se v svoj Key vault in dodaj private endpoint povezave v svoj Azure Key vault.

   Opomba

   Izbrati morate možnost Onemogoči javni dostop do omrežja in omogočiti izjemo Dovoli zaupanja vrednim Microsoftovim storitvam, da obidejo ta požarni zid .

5. Ustvarite pravilnik podjetja. Power Platform Več informacij: Ustvarjanje pravilnika podjetja

6. Dodelite dovoljenja pravilnika podjetja za dostop do trezorja ključev. Več informacij: Dodelitev dovoljenj pravilniku podjetja za dostop do trezorja ključev

7. Dovolite administratorjem Power Platform in Dynamics 365 prebrati poslovno politiko. Več informacij: Dodelite Power Platform skrbniški privilegij za branje pravilnika podjetja

8. Power Platform Skrbnik v skrbniškem središču izbere okolje za šifriranje in omogoči upravljano okolje. Več informacij: Omogočanje dodajanja upravljanega okolja v pravilnik podjetja

9. Power Platform Skrbniški center admin doda upravljano okolje v pravilnik podjetja. Več informacij: Dodajte okolje pravilniku podjetja za šifriranje podatkov

Omogočite storitev Power Platform enterprise policies za svojo naročnino na Azure

Registrirajte se kot ponudnik virov. Power Platform To nalogo morate opraviti le enkrat za vsako naročnino na Azure, kjer se nahaja vaš Azure Key trezor. Za registracijo ponudnika virov morate imeti pravice dostopa do naročnine.

1. Prijavite se v portal Azure in pojdite na Subscription>Resource providers.
2. Na seznamu ponudnikov virov poiščite Microsoft.PowerPlatform in ga registrirajte.

Ustvari pravilnik podjetja

1. Namestite PowerShell MSI. Več informacij: Namestite PowerShell na Windows, Linux in macOS
2. Ko je PowerShell MSI nameščen, se vrnite na Namestite prilagojeno predlogo v Azure.
3. Izberite povezavo Ustvari svojo predlogo v urejevalniku .
4. Kopirajte to predlogo JSON v urejevalnik besedil, kot je Beležnica. ... Več informacij: Predloga JSON pravilnika podjetja
5. V predlogi JSON zamenjajte vrednosti za: EnterprisePolicyName, lokacijo, kjer je treba ustvariti EnterprisePolicy, keyVaultId in keyName. Več informacij: Definicije polj za predlogo JSON
6. Kopirajte posodobljeno predlogo iz urejevalnika besedila in jo prilepite v predlogo EditCustom deployment v Azure in izberite Save.
7. Izberite Naročnino in Skupino virov , kjer želite ustvariti pravilnik podjetja.
8. Izberite Pregled + ustvarjanje in nato izberite Ustvari.

Začne se uvajanje. Ko je to končano, je ustvarjena poslovna politika.

Predloga JSON za pravilnik podjetja

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definicije polj za predlogo JSON

• ime. Ime pravilnika podjetja. To je ime pravilnika, ki se prikaže v skrbniškem središču. Power Platform

• lokacija. Eno od naslednjih. To je lokacija pravilnika podjetja in mora ustrezati regiji okolja: Dataverse

  • Združene države Amerike
  • "južna Afrika"
  • "VB"
  • "Japonska"
  • "Indija"
  • "francijo"
  • "Evropa"
  • "Nemčija"
  • "švica"
  • "Kanada"
  • "Brazilija"
  • "Avstralija"
  • Azija
  • ZAE
  • "Koreja"
  • "norveška"
  • Singapur
  • "Švedska"

• Kopirajte te vrednosti iz lastnosti vašega key vaulta v Azure portalu:

  • keyVaultId: Pojdite na Trezorji ključev> izberite svoj trezor ključev >Pregled. Zraven možnosti Essentials izberite JSON View. Kopirajte ID vira v odložišče in celotno vsebino prilepite v predlogo JSON.
  • keyName: Pojdite na Trezorji ključev> izberite svoj trezor ključev >Ključi. Bodite pozorni na ključ Name in ga vnesite v svojo predlogo JSON.

Dodelitev dovoljenj pravilniku podjetja za dostop do trezorja ključev

Ko je pravilnik podjetja ustvarjen, skrbnik trezorja ključev podeli upravljani identiteti pravilnika podjetja dostop do šifrirnega ključa.

1. Prijavite se v Azure portal in pojdite v Key vaults.
2. Izberite trezor ključev, kjer je bil ključ dodeljen pravilniku podjetja.
3. Izberite zavihek Nadzor dostopa (IAM) in nato izberite + Dodaj.
4. Na spustnem seznamu izberite Dodaj dodelitev vloge .
5. Poiščite Key Vault Crypto Service Encryption User in izberite to.
6. Izberite Naprej.
7. Izberite + Izberi člane.
8. Poiščite pravilnik podjetja, ki ste ga ustvarili.
9. Izberite pravilnik podjetja in nato izberite Izberi.
10. Izberite Pregled + dodelitev.

Zgornja nastavitev dovoljenj temelji na Permission modelAzure nadzoru dostopa na osnovi vloge vašega Key Vaulta. Če je vaš trezor ključev nastavljen na Pravilnik dostopa do trezorja, je priporočljivo, da se preselite na model, ki temelji na vlogah. Če želite svojemu pravilniku podjetja dodeliti dostop do trezorja ključev z uporabo pravilnika dostopa do trezorja, ustvarite pravilnik dostopa, izberite Pridobi v Operacije upravljanja ključev in Razpakiraj ključ in Zavij ključ v Kriptografske operacije.

Opomba

Da bi preprečili nenačrtovane izpade sistema, je pomembno, da ima pravilnik podjetja dostop do ključa. Prepričajte se, da:

• Shramba ključev je aktivna.
• Ključ je aktiven in ni potekel.
• Ključ ni izbrisan.
• Zgornja ključna dovoljenja niso preklicana.

Okolja, ki uporabljajo ta ključ, so onemogočena, ko šifrirni ključ ni dostopen.

Dodelite skrbniški privilegij za branje pravilnika podjetja Power Platform

Administratorji, ki imajo administratorske vloge v Dynamics 365 ali Power Platform, lahko dostopajo do administratorskega centra Power Platform in dodelijo okolja podjetniški politiki. Za dostop do poslovnih politik mora skrbnik z dostopom do Azure ključnega trezorja dodeliti vlogo Reader skrbniku Power Platforme. Ko je vloga Reader dodeljena, lahko skrbnik Power Platform vidi poslovne politike v Power Platform administratorskem centru.

Opomba

Samo skrbniki Power Platform in Dynamics 365, ki imajo dodeljeno vlogo bralca v podjetniški politiki, lahko dodajo okolje v politiko. Drugi administratorji Power Platform ali Dynamics 365 lahko pogledajo podjetniško politiko, vendar dobijo napako, ko poskušajo Dodaj okolje v politiko.

Dodeli vlogo bralca skrbniku Power Platform

1. Prijavite se v Azure portal.
2. Kopirajte ID objekta administratorja Power Platform ali Dynamics 365. Če želite to narediti:
   1. Pojdite v območje Users v Azure.
   2. Na seznamu Vsi uporabniki poiščite uporabnika z Power Platform ali Dynamics 365 administratorskimi dovoljenji z uporabo Search users.
   3. Odprite zapis uporabnika in na zavihku Pregled kopirajte uporabnikov ID objekta. Prilepite to v urejevalnik besedil, kot je Beležnica, za pozneje.
3. Kopirajte ID vira pravilnika podjetja. Če želite to narediti:
   1. Pojdite na Resource Graph Explorer v Azure.
   2. V iskalno polje vnesite microsoft.powerplatform/enterprisepolicies in nato izberite vir microsoft.powerplatform/enterprisepolicies .
   3. V ukazni vrstici izberite Zaženi poizvedbo . Prikaže se seznam vseh pravilnikov podjetja. Power Platform
   4. Poiščite pravilnik podjetja, ki mu želite odobriti dostop.
   5. Pomaknite se desno od pravilnika podjetja in izberite Oglejte si podrobnosti.
   6. Na strani s podrobnostmi kopirajte ID.
4. Začnite Azure Cloud Shell in izvedite naslednji ukaz, pri katerem objId zamenjate z uporabniškim ID objekta in EP Resource Id z enterprisepolicies ID, kopiranim v prejšnjih korakih: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Upravljanje šifriranja okolja

Za upravljanje šifriranja okolja potrebujete naslednje dovoljenje:

• Microsoft Entra aktivni uporabnik, ki ima vlogo administratorja varnosti v Power Platform in/ali Dynamics 365.
• Microsoft Entra uporabnik, ki ima vlogo skrbnika storitev Power Platform ali Dynamics 365.

Skrbnik trezorja ključev obvesti skrbnika, da sta bila ustvarjena šifrirni ključ in pravilnik podjetja, ter skrbniku posreduje pravilnik podjetja. Da omogoči ključ, ki ga upravlja stranka, skrbnik dodeli svoja okolja pravilniku podjetja. Power Platform Power Platform Power Platform Ko je okolje dodeljeno in shranjeno, Dataverse začne postopek šifriranja za nastavitev vseh podatkov okolja in njihovo šifriranje s ključem, ki ga upravlja stranka.

Omogoči dodajanje upravljanega okolja v pravilnik podjetja

1. Vpišite se v skrbniško središče za Power Platform.
2. V navigacijski plošči izberite Upravljanje.
3. V podoknu Upravljanje izberite Okolja in nato izberite okolje s seznama razpoložljivih okolij.
4. Izberite Omogoči upravljana okolja.
5. Izberite Omogoči.

Dodajte okolje pravilniku podjetja za šifriranje podatkov

Pomembno

Okolje je onemogočeno, ko je dodano pravilniku podjetja za šifriranje podatkov. Trajanje izpada sistema je odvisno od velikosti baze podatkov. Priporočamo, da izvedete poskusno delovanje tako, da ustvarite kopijo ciljnega okolja v testno okolje, da ugotovite ocenjeni čas izpada sistema. Čas izpada sistema je mogoče ugotoviti s preverjanjem stanja šifriranja okolja. ... Čas nedelovanja sistema je med stanjima Šifriranje in Šifriranje - na spletu . Da bi skrajšali čas izpada sistema, spremenimo stanje šifriranja v Šifriranje - na spletu , ko so zaključeni vsi osnovni koraki šifriranja, ki so zahtevali izpad sistema. Sistem lahko uporabljajo vaši uporabniki, medtem ko preostale storitve shranjevanja, kot sta iskanje in Copilot indeks, še naprej šifrirajo podatke z vašim ključem, ki ga upravlja stranka.

1. Vpišite se v skrbniško središče za Power Platform.
2. V navigacijski plošči izberite Varnost.
3. V podoknu Varnost v razdelku Nastavitve izberite Podatki in zasebnost.
4. Izberite Šifrirni ključ, ki ga upravlja stranka , da odprete stran Pravilniki podjetja.
5. Izberite pravilnik in nato izberite Uredi pravilnik.
6. Izberite Dodaj okolja, izberite želeno okolje in nato izberite Nadaljuj.
7. Izberite Shrani in nato izberite Potrdi.

Pomembno

• Na seznamu Dodaj okolja so prikazana samo okolja, ki so v isti regiji kot pravilnik podjetja.
• Šifriranje lahko traja do štiri dni, vendar je okolje morda omogočeno, preden se postopek Dodaj okolja zaključi.
• Operacija se morda ne bo dokončala in če ne uspe, bodo vaši podatki še naprej šifrirani s ključem, ki ga upravlja Microsoft. Postopek Dodaj okolja lahko znova zaženete.

Opomba

Dodate lahko samo okolja, ki so omogočena kot upravljana okolja. Vrst preizkusnih okolij in okolij Teams ni mogoče dodati pravilniku podjetja.

Odstranite okolja iz pravilnika, da se vrnete na ključ, ki ga upravlja Microsoft

Če se želite vrniti na šifrirni ključ, ki ga upravlja Microsoft, sledite tem korakom.

Pomembno

Okolje je onemogočeno, ko je odstranjeno iz pravilnika podjetja, da se vrne šifriranje podatkov s ključem, ki ga upravlja Microsoft.

1. Vpišite se v skrbniško središče za Power Platform.
2. V navigacijski plošči izberite Varnost.
3. V podoknu Varnost v razdelku Nastavitve izberite Podatki in zasebnost.
4. Izberite Šifrirni ključ, ki ga upravlja stranka , da odprete stran Pravilniki podjetja.
5. Izberite zavihek Okolje s pravilniki in nato poiščite okolje, ki ga želite odstraniti iz ključa, ki ga upravlja stranka.
6. Izberite zavihek Vsi pravilniki , izberite okolje, ki ste ga preverili v 2. koraku, in nato v ukazni vrstici izberite Uredi pravilnik .
7. V ukazni vrstici izberite Odstrani okolje , izberite okolje, ki ga želite odstraniti, in nato izberite Nadaljuj.
8. Izberite možnost Shrani.

Pomembno

Okolje je onemogočeno, ko je odstranjeno iz pravilnika podjetja, da se šifriranje podatkov povrne na ključ, ki ga upravlja Microsoft. Ne izbrišite ali onemogočite ključa, ne izbrišite ali onemogočite trezorja ključev in ne odstranite dovoljenj pravilnika podjetja za trezor ključev. Dostop do ključa in trezorja ključev je potreben za podporo obnovitve baze podatkov. Dovoljenja pravilnika podjetja lahko izbrišete in odstranite po 30 dneh.

Preglejte stanje šifriranja okolja

Preglejte stanje šifriranja iz pravilnikov podjetja

1. Vpišite se v skrbniško središče za Power Platform.

2. V navigacijski plošči izberite Varnost.

3. V podoknu Varnost v razdelku Nastavitve izberite Podatki in zasebnost.

4. Izberite Šifrirni ključ, ki ga upravlja stranka , da odprete stran Pravilniki podjetja.

5. Izberite pravilnik in nato v ukazni vrstici izberite Uredi pravilnik.

6. Preglejte stanje šifriranja okolja v razdelku Okolja s tem pravilnikom.

   Opomba

   Stanje šifriranja okolja je lahko:

   • Šifriranje - Postopek šifriranja ključa, ki ga upravlja stranka, se izvaja in sistem je onemogočen za spletno uporabo.

   • Šifriranje – na spletu – Šifriranje vseh osnovnih storitev, ki je zahtevalo izpad sistema, je končano in sistem je omogočen za spletno uporabo.

   • Šifrirano – Ključ za šifriranje pravilnika podjetja je aktiven in okolje je šifrirano z vašim ključem.

   • Razveljavljanje - Šifrirni ključ se spreminja iz ključa, ki ga upravlja stranka, v ključ, ki ga upravlja Microsoft, in sistem je onemogočen za spletno uporabo.

   • Razveljavitev – spletna različica – Vse šifriranje osnovnih storitev, ki je zahtevalo izpad sistema, je razveljavilo ključ in sistem je omogočen za spletno uporabo.

   • Ključ, ki ga upravlja Microsoft – Šifriranje ključa, ki ga upravlja Microsoft, je aktivno.

   • Ni uspelo - Ključa za šifriranje pravilnika podjetja ne uporabljajo vse Dataverse storitve shranjevanja. Za njihovo obdelavo je potrebno več časa in lahko znova zaženete operacijo Dodaj okolje . Če ponovni zagon ne uspe, se obrnite na podporo.

     Stanje šifriranja »Neuspešno« ne vpliva na podatke vašega okolja in njegovo delovanje. To pomeni, da nekatere storitve shranjevanja šifrirajo vaše podatke z vašim ključem, nekatere pa še naprej uporabljajo ključ, ki ga upravlja Microsoft. Dataverse Razveljavitev ni priporočljiva, saj se pri ponovnem zagonu operacije Dodaj okolje storitev nadaljuje tam, kjer je bila prekinjena.

   • Opozorilo - Šifrirni ključ pravilnika podjetja je aktiven in eden od podatkov storitve je še vedno šifriran s ključem, ki ga upravlja Microsoft. Več izveste v Power Automate opozorila o aplikaciji CMK.

Preglejte stanje šifriranja na strani Zgodovina okolja

Ogledate si lahko zgodovino okolja.

1. Vpišite se v skrbniško središče za Power Platform.

2. V navigacijski plošči izberite Upravljanje.

3. V podoknu Upravljanje izberite Okolja in nato izberite okolje s seznama razpoložljivih okolij.

4. V ukazni vrstici izberite Zgodovina.

5. Poiščite zgodovino za Posodobitev ključa, ki ga upravlja stranka.

   Opomba

   Stanje prikazuje stanje »Izvaja se«, ko je šifriranje v teku. Ko je šifriranje končano, se prikaže sporočilo *Succeeded* (Uspešno). Stanje se prikaže kot Neuspešno , ko pride do težave z eno od storitev, ki ne more uporabiti šifrirnega ključa.

   Stanje »Neuspešno« je lahko opozorilo in vam ni treba znova zagnati možnosti »Dodaj okolje«. Lahko potrdite, ali gre za opozorilo. ...

Spremenite šifrirni ključ okolja z novo politiko in ključem podjetja

Če želite spremeniti šifrirni ključ, ustvarite nov ključ in nov pravilnik podjetja. Nato lahko spremenite pravilnik podjetja tako, da odstranite okolja in jih nato dodate novemu pravilniku podjetja. Sistem je pri prehodu na nov pravilnik podjetja dvakrat izpadel – 1) zaradi ponastavitve šifriranja na ključ, ki ga upravlja Microsoft, in 2) zaradi uporabe novega pravilnika podjetja.

Nasvet

Za rotacijo šifrirnega ključa priporočamo uporabo nove različice trezorja ključev ali nastavitev pravilnika rotacije.

1. V portalu Azure ustvarite nov ključ in novo poslovno politiko. Več informacij: Ustvarjanje šifrirnega ključa in odobritev dostopa in Ustvarjanje pravilnika podjetja
2. Dodelite novemu pravilniku podjetja dostop do starega ključa.
3. Ko ustvarite nov ključ in pravilnik podjetja, se prijavite v Power Platform skrbniško središče.
4. V navigacijski plošči izberite Varnost.
5. V podoknu Varnost v razdelku Nastavitve izberite Podatki in zasebnost.
6. Izberite Šifrirni ključ, ki ga upravlja stranka , da odprete stran Pravilniki podjetja.
7. Izberite zavihek Okolje s pravilniki in nato poiščite okolje, ki ga želite odstraniti iz ključa, ki ga upravlja stranka.
8. Izberite zavihek Vsi pravilniki , izberite okolje, ki ste ga preverili v 2. koraku, in nato v ukazni vrstici izberite Uredi pravilnik .
9. V ukazni vrstici izberite Odstrani okolje , izberite okolje, ki ga želite odstraniti, in nato izberite Nadaljuj.
10. Izberite možnost Shrani.
11. Ponavljajte korake od 2 do 10, dokler ne odstranite vseh okolij v pravilniku podjetja.

Pomembno

Okolje je onemogočeno, ko je odstranjeno iz pravilnika podjetja, da se šifriranje podatkov povrne na ključ, ki ga upravlja Microsoft. Ne izbrišite ali onemogočite ključa, ne izbrišite ali onemogočite trezorja ključev in ne odstranite dovoljenj pravilnika podjetja za trezor ključev. Dodelite nov pravilnik podjetja staremu trezorju ključev. Dostop do ključa in trezorja ključev je potreben za podporo obnovitve baze podatkov. Dovoljenja pravilnika podjetja lahko izbrišete in odstranite po 30 dneh.

12. Ko so vsa okolja odstranjena, v skrbniškem središču Power Platform pojdite na Pravilniki podjetja.
13. Izberite nov pravilnik podjetja in nato izberite Uredi pravilnik.
14. Izberite Dodaj okolje, izberite okolja, ki jih želite dodati, in nato izberite Nadaljuj.

Pomembno

Okolje je onemogočeno, ko je dodano novemu pravilniku podjetja.

Zamenjajte šifrirni ključ okolja z novo različico ključa

Šifrirni ključ okolja lahko spremenite tako, da ustvarite novo različico ključa. Ko ustvarite novo različico ključa, se ta samodejno omogoči. Vsi viri za shranjevanje zaznajo novo različico ključa in jo začnejo uporabljati za šifriranje vaših podatkov.

Ko spremenite ključ ali različico ključa, se zaščita korenskega šifrirnega ključa spremeni, vendar podatki v shrambi vedno ostanejo šifrirani z vašim ključem. Za zagotovitev zaščite vaših podatkov vam ni treba storiti ničesar več. Zamenjava različice ključa ne vpliva na delovanje. Z menjavo različice ključa ni izpadov. Uporabitev nove različice ključa v ozadju lahko traja 24 ur. Prejšnje različice ključa ne smete onemogočiti , saj jo storitev potrebuje za ponovno šifriranje in za podporo obnovitve baze podatkov.

Če želite šifrirni ključ zamenjati z ustvarjanjem nove različice ključa, sledite naslednjim korakom.

1. Pojdite v portal Azure portal>Key Vaults in poiščite Key Vault, kjer želite ustvariti novo različico ključa.
2. Pomaknite se do Tipke.
3. Izberite trenutno omogočeno tipko.
4. Izberite + Nova različica.
5. Nastavitev Omogočeno je privzeto nastavljena na Da, kar pomeni, da je nova različica ključa ob ustvarjanju samodejno omogočena.
6. izberite Ustvari.

Nasvet

Če želite upoštevati pravilnik o rotaciji ključev, lahko šifrirni ključ zavrtite z uporabo pravilnika o rotaciji . Konfigurirate lahko pravilnik rotacije ali pa rotirate na zahtevo tako, da zaženete ukaz Zavrti zdaj.

Pomembno

Nova različica ključa se samodejno zamenja v ozadju in skrbnik ne mora ukrepati. Pomembno je, da prejšnja različica ključa ne sme biti onemogočena ali izbrisana vsaj 28 dni, da se podpre obnovitev baze podatkov. Power Platform Če prezgodaj onemogočite ali izbrišete prejšnjo različico ključa, lahko vaše okolje onemogočite.

Oglejte si seznam šifriranih okolij

1. Vpišite se v skrbniško središče za Power Platform.
2. V navigacijski plošči izberite Varnost.
3. V podoknu Varnost v razdelku Nastavitve izberite Podatki in zasebnost.
4. Izberite Šifrirni ključ, ki ga upravlja stranka , da odprete stran Pravilniki podjetja.
5. Na strani Pravilniki podjetja izberite zavihek Okolja s pravilniki . Prikazan je seznam okolij, ki so bila dodana pravilnikom podjetja.

Opomba

Lahko se zgodi, da Stanje okolja ali Stanje šifriranja prikažeta stanje Neuspešno . Ko se to zgodi, lahko poskusite ponovno zagnati operacijo Add environment ali oddate Microsoft Support zahtevo za pomoč.

Postopki zbirke podatkov okolja

Najemnik stranke ima lahko okolja, ki so šifrirana s ključem, ki ga upravlja Microsoft, in okolja, ki so šifrirana s ključem, ki ga upravlja stranka. Za ohranjanje integritete podatkov in varstva podatkov so pri upravljanju postopkov zbirke podatkov okolja na voljo naslednji kontrolniki.

• Obnovitev Okolje, ki ga želite prepisati (okolje, v katerega želite obnoviti), je omejeno na isto okolje, iz katerega je bila varnostna kopija vzeta, ali na drugo okolje, ki je šifrirano z istim ključem, ki ga upravlja stranka.

  

• Kopiraj

  Okolje, ki ga je treba prepisati (okolje, v katerega se kopira), je omejeno na drugo okolje, ki je šifrirano z istim ključem, ki ga upravlja stranka.

  

  Opomba

  Če je bilo okolje za preiskavo podpore ustvarjeno za reševanje težav s podporo v okolju, ki ga upravlja stranka, je treba šifrirni ključ za okolje za preiskavo podpore spremeniti v ključ, ki ga upravlja stranka, preden je mogoče izvesti operacijo kopiranja okolja.

• Ponastavi Šifrirani podatki okolja, vključno z varnostnimi kopijami, so izbrisani. Po ponastavitvi okolja se bo šifriranje okolja vrnilo nazaj na ključ, ki ga upravlja Microsoft.

Naslednji koraki

Približno Azure Key Vault