Управљање кључем за шифровање којим управља клијент

Клијенти имају захтеве за приватност података и усаглашеност да би обезбедили своје податке тако што ће шифровати своје податке на одмору. На тај начин се обезбеђују подаци од изложености у случају да се украде копија базе података. Пошто се шифровање података одмара, украдени подаци базе података су заштићени од враћања на други сервер без кључа за шифровање.

Сви подаци клијената ускладиштени су Power Platform подразумевано шифровани помоћу јаких кључева за шифровање којима управља Мицрософт. Мицрософт складишти и управља кључем за шифровање базе података за све податке тако да не морате. Међутим, обезбеђује Power Platform овај кључ за шифровање којим управља клијент (ЦМК) за додатну контролу заштите података где можете самостално да управљате кључем за шифровање базе података који је повезан са вашим окружењем Microsoft Dataverse . Ово вам омогућава да ротизите или замените кључ за шифровање на захтев, а такође вам омогућава да спречите приступ корпорације Мицрософт подацима о корисницима када у било ком тренутку опозовете приступ кључу нашим услугама.

Да бисте сазнали више о кључу којим управља клијент Power Platform, погледајте видео запис са кључем којим управља клијент.

Ове операције кључа за шифровање су доступне са кључем којим управља клијент (ЦМК):

• Креирајте РСА (РСА-ХСМ) кључ из трезора Азуре кључа.
• Креирајте смернице Power Platform предузећа за свој кључ.
• Дајте дозволу Power Platform смерницама предузећа да приступе вашем кључном трезору.
• Доделите администратору Power Platform услуге да прочита смернице предузећа.
• Примените кључ за шифровање на окружење.
• Вратите /уклоните ЦМК шифровање окружења на кључ којим управља Мицрософт.
• Промените кључ креирањем нове политике предузећа, уклањањем животне средине из ЦМК-а и поново примените ЦМК са новом политиком предузећа.
• Закључајте ЦМК окружења опозивањем ЦМК кључног трезора и/или кључних дозвола.
• Мигрирајте окружења са сопственим кључем (БYОК) у ЦМК применом ЦМК кључа.

Тренутно, сви подаци о клијентима ускладиштени само у следећим апликацијама и услугама могу бити шифровани кључем којим управља клијент:

• Dataverse (Прилагођена решења и Мицрософт услуге)
• Dataverse Копилот за апликације са погоном на моделе
• Power Automate¹
• Power Apps
• Ћаскање за Дyнамицс 365
• Дyнамицс 365 продаја
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Дyнамицс 365 Финансије (финансије и операције)
• Dynamics 365 Intelligent Order Management (Финансије и операције)
• Dynamics 365 Project Operations (Финансије и операције)
• Dynamics 365 Supply Chain Management (Финансије и операције)
• Dynamics 365 Fraud Protection (Финансије и операције)

¹ Када примените управљани кључ купца на окружење које има Power Automate постојеће токове, подаци токова настављају да се шифрују помоћу кључа којим управља Мицрософт. Више информација: кључ Power Automate за мушкарце.

Белешка

Нуанце Цонверсатионал ИВР и Макер садржај добродошлице су искључени из шифровања кључа којим управља клијент.

Microsoft Copilot Studio складишти своје податке у сопственом складишту и унутра Microsoft Dataverse. Када на ова окружења примените кључ којим управља клијент, само складишта података Microsoft Dataverse су шифрована кључем. Подаци који нису Microsoft Dataverse подаци и даље су шифровани помоћу кључа којим управља Мицрософт.

Белешка

Поставке везе за линије спајања ће и даље бити шифроване кључем којим управља Мицрософт.

Обратите се представнику за услуге које нису горе наведене за информације о подршци кључу којим управља клијент.

Белешка

Power Apps имена, описе и метаподатке везе и даље шифрују помоћу кључа којим управља Мицрософт.

Окружења са апликацијама за финансије и операције у којима Power Platform је омогућена интеграција такође могу бити шифрована. Окружења за финансије и операције без интеграције Power Platform наставиће да користе подразумевани Мицрософт управљани кључ за шифровање података. Више информација:Шифровање у апликацијама за финансије и операције

Увод у кључ којим управља клијент

Помоћу кључа којим управља клијент, администратори могу да обезбеде сопствени кључ за шифровање из сопственог Азуре кључа трезора услугама Power Platform складиштења како би шифровали своје податке о корисницима. Мицрософт нема директан приступ вашем Азуре трезору кључа. Да Power Platform би услуге приступиле кључу за шифровање из Азуре кључа трезора, администратор креира смернице Power Platform предузећа које се односе на кључ за шифровање и даје овој смерници предузећа приступ читању кључа из Азуре кључа трезора.

Администратор Power Platform услуге затим може да дода Dataverse окружења смерницама предузећа да би започео шифровање свих корисничких података у окружењу помоћу кључа за шифровање. Администратори могу да промене кључ за шифровање окружења креирањем других смерница предузећа и додавањем окружења (након његовог уклањања) новим смерницама предузећа. Ако окружење више не мора да буде шифровано помоћу кључа којим управља клијент, администратор може да Dataverse уклони окружење из смерница предузећа да би вратио шифровање података на кључ којим управља Мицрософт.

Администратор може да закључа кључна окружења којима управља клијент тако што ће опозвати приступ кључу из смерница предузећа и откључати окружења враћањем приступа кључу у претходно време. Више информација:Закључајте окружења опозивањем кључног трезора и/или приступа дозволама за кључ

Да бисте поједноставили задатке управљања кључевима, задаци се распоуцају на три главне области:

1. Креирајте кључ за шифровање.
2. Креирајте смернице предузећа и одобрите приступ.
3. Управљајте шифровањем окружења.

Упозорење

Када су окружења закључана, нико им не може приступити, укључујући Мицрософт подршку. Окружења која су закључана постају онемогућена и може доћи до губитка података.

Захтеви за лиценцирање за управљани кључ купца

Смернице за управљани кључ клијента се спроводе само на окружењима која су активирана за управљана окружења. Управљана окружења су укључена као право на самосталне Power Apps,, Power Automate, Power Virtual Agents и Power Pages Дyнамицс 365 лиценце које дају права на коришћење премије. Сазнајте више о лиценцирању са управљаним окружењем, уз преглед лиценцирања за Microsoft Power Platform.

Поред тога, приступ коришћењу управљајућег кључа клијента Microsoft Power Platform за и Дyнамицс 365 захтева кориснике у окружењима у којима се спроводе смернице кључа за шифровање да би имали једну од ових претплата:

• Microsoft 365 или Office 365 A5/E5/G5
• Microsoft 365 Усаглашеност A5/E5/F5/G5
• Microsoft 365 F5 Сецуритy & Цомплианце
• Microsoft 365 A5/E5/F5 /G5 Заштита информација и управљање
• Microsoft 365 A5/E5/F5 /G5 Инсидер Риск Манагемент

Сазнајте више о овим лиценцама.

Разумевање потенцијалног ризика приликом управљања кључем

Као и у случају било које критичне пословне апликације, морате веровати особљу у организацији који имају администраторски ниво приступа. Пре него што будете могли да користите функцију за управљање кључевима, треба да разумете ризик када управљате кључевима за шифровање базе података. Може се замислити да злонамерни администратор (особа којој је одобрен или је добила приступ на нивоу администратора са намером да нашкоди безбедносним или пословним процесима организације) који ради унутар ваше организације може да користи функцију управљања кључевима да би креирао кључ и користио га за закључавање окружења код закупца.

Размотрите следећу секвенцу догађаја.

Администратор трезора злонамерног кључа креира кључ и смернице предузећа на Азуре порталу. Администратор Азуре кључ трезора одлази у Power Platform административни центар и додаје окружења смерницама предузећа. Злонамерни администратор се затим враћа на портал Азуре и опозива кључни приступ смерницама предузећа и тако закључава сва окружења. То доводи до прекида пословања када сва окружења постану неприступачна, а ако се овај догађај не реши, то јест, када се врати кључни приступ, подаци окружења могу бити потенцијално изгубљени.

Белешка

• Азуре Кеy Ваулт има уграђене заштитне мере које помажу у враћању кључа у претходно стање, које захтевају омогућена подешавања заштитног трезора Софт Делете и Пурге .
• Друга мера заштите која треба да се размотри је да се уверите да постоји раздвајање задатака где администратору Азуре кључ трезора није одобрен приступ Power Platform административном центру.

Одвајање дужности за ублажавање ризика

Овај одељак описује дужности кључних функција којима управља клијент за које је одговорна свака улога администратора. Раздвајање ових задатака помаже у ублажавању ризика везаног за кључеве којима управља клијент.

Азуре кључни трезор и Power Platform/Дyнамицс 365 административни задаци услуге

Да би омогућио кључеве којима управља клијент, прво кључни администратор трезора креира кључ у трезору Азуре кључа и креира смернице Power Platform предузећа. Када се креирају смернице предузећа, креира се Microsoft Entra посебан идентитет којим се управља ИД-ом. Затим се кључни администратор трезора враћа у трезор Азуре кључа и даје смерницама предузећа/управљани идентитет приступ кључу за шифровање.

Кључни администратор трезора затим одобрава одговарајући Power Platform/Дyнамицс 365 администратору услуге приступ смерницама предузећа. Када се дозвола за читање додели, Power Platform администратор услуге/Дyнамицс 365 може да Power Platform оде у Администраторски центар и дода окружења смерницама предузећа. Сви додати подаци о клијентима окружења се затим шифрују помоћу кључа којим управља клијент, а који је повезан са овим смерницама предузећа.

Предуслови

• Азуре претплата која укључује Азуре Кеy Ваулт или Азуре Кеy Ваулт управљала је хардверским безбедносним модулима.
• Глобални администратор закупаца или Microsoft Entra ИД са:
  • сарадник дозволу за претплату Microsoft Entra .
  • Дозвола за креирање Азуре кључа трезора и кључа.
  • Приступите креирању групе ресурса. Ово је потребно да би се поставио трезор са кључевима.

Креирање кључа и одобравање приступа помоћу трезора Азуре кључа

Администратор Азуре кључ трезора извршава ове задатке у Азуре.

1. Креирајте Азуре плаћену претплату и трезор кључа. Занемари овај корак ако већ имате претплату која укључује Азуре трезор кључа.
2. Идите на услугу Азуре кључ трезора и креирајте кључ. Више информација:Креирање кључа у трезору кључа
3. Омогућите услугу Power Platform смерница предузећа за вашу Азуре претплату. Уради ово само једном. Више информација:Омогућите услугу Power Platform смерница предузећа за вашу Азуре претплату
4. Креирајте смернице Power Platform предузећа. Више информација:Креирање смерница предузећа
5. Дати дозволе смерницама предузећа за приступ кључном трезору. Више информација:Додељивање дозвола смерница предузећа за приступ трезору кључа
6. Доделите Power Platform и Дyнамицс 365 администраторима дозволу за читање смерница предузећа. Више информација:Доделите администратору Power Platform привилегију да чита смернице предузећа

Power Platform/Дyнамицс 365 задаци админ центра Power Platform за услуге

Предуслов

• Power Platform администратор мора бити додељен улози администратора Power Platform услуге Дyнамицс 365 Microsoft Entra .

Управљање шифровањем окружења у центру Power Platform за администрацију

Администратор Power Platform управља кључним задацима којима управља клијент, а који се односе на окружење у Power Platform центру за администрацију.

1. Додајте окружења Power Platform смерницама предузећа да бисте шифровали податке помоћу кључа којим управља клијент. Више информација:Додавање окружења смерницама предузећа за шифровање података
2. Уклоните окружења из смерница предузећа да бисте шифровање вратили на Мицрософт управљани кључ. Више информација:Уклањање окружења из смерница за повратак на Мицрософт управљани кључ
3. Промените кључ уклањањем окружења из старе политике предузећа и додавањем окружења у нову политику предузећа. Више информација:Креирање кључа за шифровање и одобравање приступа
4. Мигрирајте из БYОК-а. Ако користите функцију претходног само-управљаног кључа за шифровање, можете да мигрирате кључ на кључ којим управља клијент. Више информација: Мигрирајте окружења која су вам сопствена кључа на кључ којим управља клијент

Креирање кључа за шифровање и одобравање приступа

Креирање Азуре плаћене претплате и трезора са кључевима

У Азуре извршите следеће кораке:

1. Креирајте паy-ас-го или еквивалентну Азуре претплату. Овај корак није потребан ако станар већ има претплату.

2. Креирајте групу ресурса. Више информација:Креирање група ресурса

   Белешка

   Креирајте или користите групу Power Platform ресурса која има локацију, нпр.

3. Креирајте трезор кључа користећи плаћену претплату која укључује заштиту од меког брисања и чишћења са групом ресурса коју сте креирали у претходном кораку.

   Важно

   • Да бисте се уверили да је ваше окружење заштићено од случајног брисања кључа за шифровање, кључ трезора мора имати омогућену заштиту од меког брисања и чишћења. Нећете моћи да шифрујете окружење сопственим кључем без омогућавања ових поставки. Више информација: Азуре Кључ Трезора меко-брисање Преглед Више информација:Креирање трезора кључа помоћу Азуре портала

Креирање кључа у трезору кључа

1. Побрините се да сте испунили предуслове.

2. Идите на Азуре портал Кеy > Ваулт и пронађите кључни трезор у коме желите да генеришете кључ за шифровање.

3. Проверите поставке трезора тастера Азуре:

   1. Изаберите својства у оквиру Ставке Поставке.
   2. У оквиру "Меко брисање", поставите или проверите да ли је подешено на "Меко брисање" омогућена је опција овог кључног трезора .
   3. Под заштитом од чишћења , поставите или проверите да ли је омогућена заштита од чишћења (примена обавезног периода задржавања за избрисане трезоре и објекте трезора).
   4. Ако сте направили промене, изаберите Сачувај .

   

Креирање РСА кључева

1. Креирајте или увезите кључ који има следећа својства:
   1. На страницама својстава трезора кључа изаберите тастере .
   2. Изаберите Генериши/Увези.
   3. На екрану Креирање кључа поставите следеће вредности, а затим изаберите ставку Креирај .
      • Оптионс: Генерате
      • Име : Наведите име за кључ
      • Тип кључа : РСА
      • Величина РСА кључа : 2048

Увоз заштићених кључева за хардверске безбедносне модуле (ХСМ)

За шифровање окружења можете да користите заштићене кључеве за хардверске безбедносне модуле (ХСМ Power Platform Dataverse ). Кључеви заштићени ХСМ-ом морају бити увезени у трезор кључа да би могла да се креирају смернице предузећа. Више информација потражите у чланку Подржани ХСМ-ове кључеви заштићени увозом ХСМ-а у кључни трезор (БYОК).

Креирање кључа у Азуре кључу Трезор управљани ХСМ-ом

Можете да користите кључ за шифровање креиран из ХСМ-а за шифровање података из Азуре кључа управљаног ХСМ-ом. То вам даје подршку за ФИПС 140-2 ниво 3.

Креирање РСА-ХСМ кључева

1. Побрините се да сте испунили предуслове.

2. Иди на Азуре портал.

3. Креирај контролисани ХСМ:

   1. Обезбедите управљани ХСМ.
   2. Активирајте управљани ХСМ.

4. Омогућите заштиту од чишћења у контролисаном ХСМ-у.

5. Доделите улогу контролисаног ХСМ корисника криптовалута особи која је креирала трезор са управљаним ХСМ кључем.

   1. Приступите трезору управљаног ХСМ кључа на Азуре порталу.
   2. Крећите се до локалног РБАЦ-а и изаберите + Додај.
   3. У падајућем списку улога изаберите улогу контролисаног ХСМ корисника криптовалута на страници доделе улога .
   4. Изаберите све тастере у оквиру " Опсег".
   5. Изаберите ставку Изаберите главну безбедност, а затим изаберите администратора на страници "Додавање директора ".
   6. Изаберите Креирај.

6. Креирајте РСА-ХСМ кључ:

   • Оптионс: Генерате
   • Име : Наведите име за кључ
   • Тип кључа : РСА-ХСМ
   • Величина РСА кључа : 2048

   Белешка

   Подржане рсА -ХСМ величине тастера: 2048-битне, 3072-битне, 4096-битне.

Шифрирајте окружење кључем из Азуре кључ трезора приватним линком

Умрежавање трезора Азуре кључа можете ажурирати тако што ћете омогућити приватном < ДИЦТ__крајња тачка > ендпоинт и користити кључ у трезору кључа за шифровање Power Platform окружења.

Можете да креирате нови трезор кључа и успоставите приватну везу са везом или да успоставите приватну везу са постојећим трезором кључа , као и да креирате кључ из овог трезора кључа и да га користите за шифровање окружења. Такође можете да успоставите приватну везу са постојећим трезором кључа након што сте већ креирали кључ и користите га за шифровање окружења.

Шифровање података кључем из трезора кључа приватном везом

1. Креирајте трезор Азуре кључа са овим опцијама:

   • Омогући заштиту од чишћења
   • Тип кључа: РСА
   • Величина кључа: 2048

2. Копирајте УРЛ адресу трезора кључа и УРЛ адресу кључа за шифровање која ће се користити за креирање смерница предузећа.

   Белешка

   Када додате приватни < ДИЦТ__крајња тачка > ендпоинт у трезор кључа или онемогућите јавну приступну мрежу, нећете моћи да видите кључ ако немате одговарајућу дозволу.

3. Креирајте виртуелну мрежу.

4. Вратите се у свој трезор и додајте приватне < ДИЦТ__крајња тачка > ендпоинт везе са вашим Азуре кључем.

   Белешка

   Потребно је да изаберете опцију онемогућавања умрежавања јавног приступа и омогућите поузданим Мицрософт услугама да заобиђу овај изузетак заштитног зида.

5. Креирајте смернице Power Platform предузећа. Више информација:Креирање смерница предузећа

6. Дати дозволе смерницама предузећа за приступ кључном трезору. Више информација:Додељивање дозвола смерница предузећа за приступ трезору кључа

7. Доделите Power Platform и Дyнамицс 365 администраторима дозволу за читање смерница предузећа. Више информација:Доделите администратору Power Platform привилегију да чита смернице предузећа

8. Power Platform администратор административног центра бира окружење за шифровање и омогућавање контролисаног окружења. Више информација: Омогућавање да се контролисано окружење дода смерницама предузећа

9. Power Platform администратор административног центра додаје управљано окружење смерницама предузећа. Више информација:Додавање окружења смерницама предузећа за шифровање података

Омогућавање услуге Power Platform смерница предузећа за Азуре претплату

Региструјте Power Platform се као добављач ресурса. Овај задатак је потребно да урадите само једном за сваку претплату на Азуре где се налази трезор Азуре кључа. Потребно је да имате права приступа претплати да бисте регистровали добављача ресурса.

1. пријавите се на Азуре портал и идите код добављача ресурса > претплате.
2. На листи добављача ресурса потражите Мицрософт.ПоwерПлатформ и региструјте га.

Креирање смерница предузећа

1. Инсталирајте ПоwерСхелл МСИ. Више информација:Инсталирање ПоwерСхелл-а на Wиндоwс, Линуx и мацОС
2. Када инсталирате ПоwерСхелл МСИ, вратите се на опцију "Примена прилагођеног предлошка у Азуре".
3. Изаберите опцију Направи сопствени предложак у вези са уређивачем .
4. Копирајте ЈСОН предложак у уређивач текста као што је "Бележница". Више информација: Ентерприсе полицy јсон темплате
5. Замените вредности у ЈСОН предлошку за: ЕнтерприсеПолицyНаме , локацију на којој је потребно креирати ЕнтерприсеПолицy , КеyВаултИд и кеyНаме. Више информација: Дефиниције поља за јсон предложак
6. Копирајте ажурирани предложак из уређивача текста, а затим га налепите у предложак уређивања прилагођене примене у Азуре и изаберите сачувај .
7. Изаберите групу претплата и ресурса у којој треба да се креирају смернице предузећа.
8. Изаберите Редигуј + креирај , а затим изаберите ставку Креирај.

Примена је започета. Када се то уради, креира се политика предузећа.

Ентерприсе полицy јсон темплате

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Дефиниције поља за ЈСОН предложак

• име. Име смерница предузећа. Ово је име смерница које се појављују у центру Power Platform за администраторе.

• локацију. Једна од следећих. Ово је локација политике предузећа и она мора да одговара региону животне Dataverse средине:

  • '"унитедстатес"'
  • '"соутхафрица"'
  • '"ук"'
  • '"јапан"'
  • '"Индија"'
  • '"Француска"'
  • '"европа"'
  • '"немачка"'
  • '"Швајцарска"'
  • '"канада"'
  • '"бразил"'
  • '"аустралија"'
  • '"азија"'
  • '"уае"'
  • '"кореа"'
  • '"норвешка"'
  • '"сингапур"'
  • '"Шведска"'

• Копирајте ове вредности из својих кључних својстава трезора на Азуре порталу:

  • кеyВаултИд : Идите на Кеy трезоре > изаберите преглед кључног > трезора. Поред ессентиалс изаберите ЈСОН Виеw. Копирајте ИД ресурса у оставу и налепите цео садржај у ЈСОН предложак.
  • кеyНаме : Го то Кеy ваултс > селецт yоур кеy ваулт > Кеyс. Обратите пажњу на име кључа и упишите име у свој ЈСОН предложак.

Дати дозволе смерницама предузећа за приступ кључном трезору

Када се креирају смернице предузећа, кључни администратор трезора даје управљани идентитет смерницама предузећа кључу за шифровање.

1. пријавите се на Азуре портал и идите у Кеy трезоре.
2. Изаберите кључни трезор у коме је кључ додељен смерницама предузећа.
3. Изаберите картицу Аццесс контрола (ИАМ) , а затим кликните на + додај.
4. Са падајуће листе изаберите ставку Додај доделу улога,
5. Претражите корисника шифровања услуге шифровања трезора и изаберите га.
6. Изаберите Следеће.
7. Изаберите + Изаберите чланове.
8. Потражите смернице предузећа које сте креирали.
9. Изаберите смернице предузећа, а затим одаберите ставку Изабери.
10. Изаберите Редиговање + додели.

Белешка

Горенаведена поставка дозволе заснована је на моделу дозволе за Азуре контролу улоге засновану на вашем кључном трезору. Ако је ваш кључни трезор подешен на смернице за приступ Трезору, препоручује се да мигрирате на модел заснован на улози. Да бисте доделили смерницама предузећа приступ кључном трезору користећи смернице за приступ трезору , креирајте смернице за приступ, изаберите опцију Прери на кључне операције управљања и одмотај кљуи и преламај кљуи за криптографске операције.

Доделите администратору Power Platform привилегију да чита смернице предузећа

Администратори који имају Азуре глобалне, Дyнамицс 365 и административне улоге могу Power Platform да приступе Power Platform административном центру да би доделили окружења смерницама предузећа. Да би приступио смерницама предузећа, глобални администратор са Азуре кључем за приступ трезору је неопходан да би читалац роле админу Power Platform . Када читалац роле, Power Platform администратор може да види смернице предузећа у административном Power Platform центру.

Белешка

Смерници Power Platform могу додати само Дyнамицс 365 администратори који читалац улогу предузећа. Други Power Platform или Дyнамицс 365 администратори ће можда моћи да прегледају смернице предузећа, али ће добити грешку када покушају да додају окружење смерницама.

Одобравање читалац улоге администратору Power Platform

1. пријавите се на Азуре портал.
2. Копирајте Power Platform или Дyнамицс 365 ИД објекта администратора. Да бисте то урадили:
   1. Идите у област "Корисници " у Азуре.
   2. На листи Сви корисници пронађите корисника са или Power Platform Дyнамицс 365 администратор дозволама помоћу корисника претраге.
   3. Отворите кориснички запис, на картици Преглед копирајте ИД објекта корисника. Налепите ово у уређивач текста као што је "Бележница" за касније.
3. Копирајте ИД ресурса смерница предузећа. Да бисте то урадили:
   1. Идите у истраживач графика ресурса у Азуре.
   2. Унесите microsoft.powerplatform/enterprisepolicies у поље за претрагу, а затим изаберите ресурс мицрософт.поwерплатформ/ентерприсеполициес .
   3. Изаберите ставку Покрени упит на командној траци. Приказаће се листа Power Platform свих смерница предузећа.
   4. Пронађите смернице предузећа тамо где желите да одобрите приступ.
   5. Померите се десно од смерница предузећа и изаберите Погледајте детаље.
   6. На страници " Детаљи" копирајте ИД.
4. Покрените Азуре Цлоуд Схелл и покрените следећу команду замењујући ОбјИд ИД-ом објекта корисника и ИД-ом enterprisepolicies ЕП ресурса са ИД-ом копираном у претходним корацима: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Управљање шифровањем окружења

Да бисте управљали шифровањем окружења, потребна вам је следећа дозвола:

• Microsoft Entra активног корисника који има и Power Platform /или Дyнамицс 365 администраторски < ДИЦТ__безбедносна улога > сецуритy роле.
• Microsoft Entra корисника који има или глобалног администратора закупца или Power Platform улогу Дyнамицс 365 администратора услуге.

Администратор кључног трезора обавештава Power Platform администратора да су кључ за шифровање и политика предузећа креирани и обезбеђује смернице предузећа Power Platform администратору. Да би омогућио кључ којим управља клијент, Power Platform администратор додељује своја окружења смерницама предузећа. Када се окружење додели и сачува, Dataverse започиње процес шифровања да би се поставили сви подаци окружења и шифровао кључем којим управља клијент.

Омогућавање додатог контролисаног окружења смерницама предузећа

1. пријавите се Power Platform у административни центар и пронађите окружење.
2. Потврдите и проверите окружење на листи окружења.
3. На траци активности изаберите икону "Омогући управљана окружења".
4. Изаберите дугме Омогући.

Додавање окружења смерницама предузећа за шифровање података

Важно

Окружење ће бити онемогућено када се дода смерницама предузећа за шифровање података.

1. пријавите се у Power Platform административни центар и идите на смернице > предузећа.
2. Изаберите смернице, а затим на командној траци изаберите ставку Уреди .
3. Изаберите Додај окружења , изаберите жељено окружење, а затим кликните на дугме Настави .
4. Изаберите ставку Сачувај , а затим кликните на дугме Потврди.

Важно

• На листи "Додавање окружења" приказују се само окружења која се на исти начин приказују у истом региону као и смернице предузећа .
• Довршавање шифровања може потрајати до четири дана, али окружење може бити омогућено пре него што се доврши операција"Додавање окружења".
• Операција се можда неће довршити и ако не успе, ваши подаци ће и даље бити шифровани помоћу Мицрософт управљајућег кључа. Операцију "Додавање окружења" можете поново покренути .

Белешка

Можете да додате само окружења која су омогућена као управљана окружења. Није могуће додати пробне и теамс типове окружења смерница предузећа.

Уклањање окружења из смерница за повратак на Мицрософт управљани кључ

Следите ове кораке ако желите да се вратите на мицрософт кључ за шифровање којим управља.

Важно

Окружење ће бити онемогућено када буде уклоњено из смерница предузећа да би се вратило шифровање података помоћу Мицрософт управљајуће кључа.

1. пријавите се у Power Platform административни центар и идите на смернице > предузећа.
2. Изаберите окружење са картицом "Смернице ", а затим пронађите окружење које желите да уклоните из кључа којим управља клијент.
3. Изаберите картицу Све смернице , изаберите окружење које сте верификовали у кораку 2, а затим на командној траци изаберите ставку Уреди смернице.
4. Изаберите уклони окружење на командној траци, изаберите окружење које желите да уклоните, а затим кликните на дугме Настави .
5. Изаберите ставку Сачувај.

Важно

Окружење ће бити онемогућено када буде уклоњено из смерница предузећа да би се шифровање података вратило на кључ којим управља Мицрософт. Немојте брисати или онемогућавати кључ, брисати или онемогућавати трезор кључа или уклонити дозволе смерница за одлагање кључа. Приступ кључа и кључног трезора је неопходан да би се подржала рестаурација базе података. Дозволе смерница предузећа можете избрисати и уклонити након 30 дана.

Преглед статуса шифровања окружења

Редиговање статуса шифровања из смерница предузећа

1. Пријавите се у Power Platform центар администрације.

2. Изаберите смернице > ентерприсе смерница.

3. Изаберите смернице, а затим на командној траци изаберите ставку Уреди .

4. Прегледајте статус шифровања окружења у окружењима помоћу овог одељка смерница .

   Белешка

   Статус шифровања окружења може бити:

   • Шифровано - кључ за шифровање смерница предузећа је активан и окружење је шифровано вашим кључем.
   • Није успело- кључ за шифровање смерница предузећа се не користи и окружење наставља да се шифрује помоћу кључа којим управља Мицрософт.
   • Упозорење - кључ за шифровање смерница предузећа је активан и један од података услуге и даље се шифрује помоћу кључа којим управља Мицрософт. Сазнајте више: Power Automate ЦМК поруке упозорења апликације

   Можете поново покренути опцију "Додај окружење " за окружење које има статус неуспелог шифровања.

Редиговање статуса шифровања са странице "Историја окружења"

Можете видети историју окружења.

1. Пријавите се у Power Platform центар администрације.

2. Изаберите окружења у окну за навигацију, а затим изаберите окружење са листе.

3. На командној траци изаберите ставку Историја.

4. Пронађите историју за ажурирање контролисаног кључа клијента.

   Белешка

   Статус приказује покретање када је шифровање у току. Приказује да је шифровање успело када се шифровање доврши. Статус показује да није успело када постоји неки проблем са неком од услуга које не могу да примене кључ за шифровање.

   Неуспело стање може бити упозорење и није потребно да поново покренете опцију "Додај окружење ". Можете да потврдите да ли је то упозорење.

Промена кључа за шифровање окружења помоћу нове смернице и кључа предузећа

Креирајте нови кључ и нове смернице предузећа да бисте променили кључ за шифровање. Затим можете да промените смернице предузећа тако што ћете уклонити окружења, а затим додати окружења новим смерницама предузећа. Систем пада 2 пута када се мења у нову политику предузећа - 1) да би се шифровање вратило на Мицрософт Управљани кључ и 2) да би се примениле нове смернице предузећа.

[! Препорука ] Да бисте ротирали кључ за шифровање, препоручујемо да користите нову верзију кеy трезора или да подешавате смернице за ротацију .

1. У Азуре порталу креирајте нови кључ и нову политику предузећа. Више информација:Креирање кључа за шифровање и одобравање приступа и креирање смерница предузећа
2. Када креирате нови кључ и смернице предузећа, идите на смернице > предузећа.
3. Изаберите окружење са картицом "Смернице ", а затим пронађите окружење које желите да уклоните из кључа којим управља клијент.
4. Изаберите картицу Све смернице , изаберите окружење које сте верификовали у кораку 2, а затим на командној траци изаберите ставку Уреди смернице.
5. Изаберите уклони окружење на командној траци, изаберите окружење које желите да уклоните, а затим кликните на дугме Настави .
6. Изаберите ставку Сачувај.
7. Понављајте кораке од 2 до 6 док се не уклоне сва окружења у политици предузећа.

Важно

Окружење ће бити онемогућено када буде уклоњено из смерница предузећа да би се шифровање података вратило на кључ којим управља Мицрософт. Немојте брисати или онемогућавати кључ, брисати или онемогућавати трезор кључа или уклонити дозволе смерница за одлагање кључа. Приступ кључа и кључног трезора је неопходан да би се подржала рестаурација базе података. Дозволе смерница предузећа можете избрисати и уклонити након 30 дана.

1. Када уклоните сва окружења, из административног Power Platform центра идите на смернице предузећа.
2. Изаберите нове смернице предузећа, а затим изаберите ставку Уреди смернице.
3. Изаберите додај окружење , изаберите окружења која желите да додате, а затим кликните на дугме Настави .

Важно

Окружење ће бити онемогућено када се томе дода нова политика предузећа.

Ротирање кључа за шифровање окружења новом верзијом кључа

Кључ за шифровање окружења можете да промените креирањем нове кључне верзије. Када креирате нову верзију кључа, нова верзија кључа се аутоматски омогућава. Сви ресурси за складиштење откривају нову верзију кључа и почињу да је примењују за шифровање података.

Када измените кључ или верзију кључа, заштита основног кључа за шифровање се мења, али подаци у складишту увек остају шифровани кључем. Није потребна већа радња са ваше стране да бисте се уверили да су ваши подаци заштићени. Ротирање верзије кључа не утиче на перформансе. Није дошло до пада у вези са ротирањем верзије кључа. Свим добављачима ресурса може бити потребно 24 сата да примене нову верзију кључа у позадини. Претходна верзија кључа не сме бити онемогућена јер је потребно да је услуга користи за поновно шифровање и за подршку за обнављање базе података.

Користите следеће кораке да бисте ротирали кључ за шифровање креирањем нове верзије кључа.

1. Идите на Азуре портал Кључни > трезори и пронађите трезор кључа где желите да креирате нову кључну верзију.
2. Крећите се до тастера.
3. Изаберите тренутни, омогућени кључ.
4. Изаберите + нову верзију.
5. Поставка "Омогућено " се подразумевано поставља на вредност "Да", што значи да је нова верзија кључа аутоматски омогућена приликом креирања.
6. Изаберите Креирај.

[! Препорука ] Да бисте испоштовали смернице ротације кључа, можете да ротичите кључ за шифровање помоћу смерница за ротацију. Смернице за ротацију или ротирање, на захтев, можете да конфигуришете позивање на опцију "Ротирај одмах".

Важно

Нова верзија кључа се аутоматски ротира у позадини и администратор не захтева радњу Power Platform . Важно је да претходна верзија кључа не сме бити онемогућена или избрисана најмање 28 дана да би се подржала рестаурација базе података. Онемогућавање или брисање претходне верзије кључа прерано може да скине ваше окружење са мреже.

Приказ листе шифрованих окружења

1. пријавите се у Power Platform административни центар и идите на смернице > предузећа.
2. На страници "Смернице за предузећа " изаберите картицу Окружења са смерницама . Приказаће се листа окружења која су додата смерницама предузећа.

Белешка

Можда постоје ситуације у којима статус окружења или статус шифровања приказују статус "Неуспешно ". Када се то догоди, проследите захтев Мицрософт подршке за помоћ.

Операције базе података окружења

Закупац клијента може имати окружења која су шифрована помоћу кључа којим управља Microsoft и окружења која су шифрована кључем којим управља клијент. За одржавање интегритета података и заштите података, доступне су следеће контроле приликом управљања операцијама базе података окружења.

• Враћање у претходно стање Окружење за преписивање (окружење у које се враћа претходни садржај) ограничено је на исто окружење из којег је израђена резервна копија или из другог окружења које је шифровано истим кључем којим управља клијент.

  

• Копирање Окружење за преписивање (окружење у које се садржај копира) ограничено је на друго окружење које је шифровано истим кључем којим управља клијент.

  

  Белешка

  Ако је креирано окружење за истрагу подршке да би се решио проблем подршке у окружењу којим управља клијент, кључ за шифровање за окружење за истрагу подршке мора бити промењен у кључ којим управља клијент пре него што буде могуће извршити операцију окружења за копирање.

• Успостављање почетних вредности шифрованих података окружења се брише, укључујући резервне копије. Када се окружење ресетује, шифровање окружења ће се вратити на кључ којим управља Microsoft.

Следећи кораци

Основни подаци о трезору Азуре кључа