Поділитися через

Керування ключем шифрування, керованим клієнтами

  • Стаття

Клієнти мають вимоги до конфіденційності даних і дотримання вимог щодо захисту своїх даних шляхом шифрування даних у стані спокою. Це захищає дані від розкриття в разі крадіжки копії бази даних. Завдяки збереженню шифрування даних викрадені дані бази даних захищені від відновлення на іншому сервері без ключа шифрування.

Усі дані клієнтів, що зберігаються Power Platform в сховищі, за замовчуванням шифруються за допомогою надійних ключів шифрування, керованих Microsoft. Корпорація Майкрософт зберігає ключ шифрування бази даних для всіх ваших даних і керує ним, щоб вам не доводилося цього робити. Power Platform Однак надає цей керований клієнтом ключ шифрування (CMK) для додаткового керування захистом даних, де ви можете самостійно керувати ключем шифрування бази даних, пов’язаним із вашим Microsoft Dataverse середовищем. Це дає змогу змінювати або змінювати ключ шифрування на вимогу, а також запобігати доступу корпорації Майкрософт до даних ваших клієнтів, коли ви в будь-який час відкликаєте ключовий доступ до наших служб.

Щоб дізнатися більше про керований клієнтом ключ, Power Platform перегляньте відео про керований клієнтом ключ.

Ці операції з ключами шифрування доступні з ключем, керованим клієнтом (CMK):

  • Створіть ключ RSA (RSA-HSM) зі сховища ключів Azure.
  • Створіть корпоративну політику Power Platform для свого ключа.
  • Надайте корпоративній Power Platform політиці дозвіл на доступ до вашого сховища ключів.
  • Надайте Power Platform адміністратору служби ознайомитися з політикою підприємства.
  • Застосуйте ключ шифрування до свого середовища.
  • Повернуйте/видаліть шифрування CMK середовища до ключа, керованого Microsoft.
  • Змініть ключ, створивши нову корпоративну політику, видаливши середовище з CMK, і повторно застосуйте CMK з новою корпоративною політикою.
  • Блокуйте середовища CMK, відкликавши дозволи на зберігання ключів CMK та/або ключів.
  • Мігруйте середовища bring -your-own-key (BYOK) до CMK, застосувавши ключ CMK.

Наразі всі ваші дані клієнтів, які зберігаються лише в таких програмах і службах, можна зашифрувати за допомогою керованого клієнтом ключа:

  • Dataverse (Індивідуальні рішення та служби Microsoft)
  • Dataverse Copilot для додатків на основі моделі
  • Power Automate1
  • Power Apps
  • Чат для Dynamics 365
  • Dynamics 365 Продажі
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Фінанси (Фінанси та операційна діяльність)
  • Dynamics 365 Intelligent Order Management (Фінанси та операційна діяльність)
  • Dynamics 365 Project Operations (Фінанси та операційна діяльність)
  • Dynamics 365 Supply Chain Management (Фінанси та операційна діяльність)
  • Dynamics 365 Fraud Protection (Фінанси та операційна діяльність)

1 Коли ви застосовуєте керований клієнтом ключ до середовища з наявними Power Automate потоками, дані потоків продовжують шифруватися ключем, керованим Microsoft. Більше інформації: Power Automate ключ, керований клієнтом.

Нотатка

Nuance Conversational IVR і Maker Welcome Content виключені з шифрування ключів, керованих клієнтами.

Microsoft Copilot Studio зберігає свої дані у власному сховищі та в Microsoft Dataverse. Коли ви застосовуєте керований клієнтом ключ до цих середовищ, лише збережені Microsoft Dataverse дані шифруються вашим ключем. Дані, які неMicrosoft Dataverse належать до даних, як і раніше, шифруються за допомогою ключа, керованого Microsoft.

Нотатка

Настройки підключення для з’єднувачів і надалі шифруватимуться ключем, керованим Microsoft.

Зверніться до представника служб, не зазначених вище, для отримання відомостей про підтримку ключів, керованих клієнтом.

Нотатка

Power Apps Відображувані імена, описи та метадані з’єднання й надалі шифруються за допомогою ключа, керованого корпорацією Майкрософт.

Нотатка

Дані, проаналізовані засобом перевірки рішень під час перевірки рішення, продовжують шифруватися за допомогою ключа, керованого Microsoft.

Середовища з додатками для програм для фінансів та операцій, де Power Platform ввімкнено інтеграцію, також можна шифрувати. Фінансові та операційні середовища без Power Platform інтеграції й надалі використовуватимуть для шифрування даних ключ, керований корпорацією Майкрософт за замовчуванням. Докладніше: Шифрування в програмі для фінансів та операцій

Керований клієнтом ключ шифрування в Power Platform

Вступ до ключів, керованих клієнтами

За допомогою керованого клієнтом ключа адміністратори можуть надавати власний ключ шифрування зі свого Сховища ключів Azure до Power Platform служб зберігання для шифрування даних клієнтів. Корпорація Майкрософт не має прямого доступу до вашого Сховища ключів Azure. Для Power Platform служб доступу до ключа шифрування зі сховища ключів Azure адміністратор створює корпоративну політику Power Platform , яка посилається на ключ шифрування та надає цій корпоративній політиці доступ до зчитування ключа зі сховища ключів Azure.

Після Power Platform цього адміністратор служби може додати Dataverse оточення до корпоративної політики, щоб почати шифрування всіх даних клієнтів у середовищі за допомогою вашого ключа шифрування. Адміністратори можуть змінити ключ шифрування середовища, створивши іншу корпоративну політику, і додати середовище (після його видалення) до нової корпоративної політики. Якщо середовище більше не потрібно шифрувати за допомогою ключа, керованого клієнтом, адміністратор може видалити Dataverse середовище з корпоративної політики, щоб повернутися шифрування даних до ключа, керованого Microsoft.

Адміністратор може заблокувати керовані клієнтом середовища ключів, відкликавши доступ до ключа з корпоративної політики, і розблокувати середовища, відновивши доступ до ключів. Додаткові відомості: Блокування середовищ шляхом відкликання сховища ключів та/або доступу до дозволу ключа

Для спрощення виконання ключових завдань управління завдання розбиті на три основні напрямки:

  1. Створіть ключ шифрування.
  2. Створіть корпоративну політику та надайте доступ.
  3. Керуйте шифруванням середовища.

Попередження

Коли середовища заблоковані, ніхто не може отримати до них доступ, зокрема служба підтримки Microsoft. Заблоковані середовища вимикаються, і це може призвести до втрати даних.

Вимоги до ліцензування керованого ключа клієнта

Політика керованого клієнтом ключа застосовується лише до середовищ, активованих для керованих середовищ. Керовані середовища включені як право в автономні Power Apps, Power Automate, Microsoft Copilot Studio,, Power Pages та ліцензії Dynamics 365, які надають преміум права на використання. Дізнайтеся більше про ліцензування керованого середовища в огляді ліцензування для Microsoft Power Platform.

Крім того, для доступу до використання керованого клієнтом ключа для Microsoft Power Platform Dynamics 365 потрібно, щоб користувачі в середовищах, де застосовується політика шифрування ключів, мали одну з таких передплат:

  • Microsoft 365 або Office 365 A5/E5/G5
  • Сумісність із Microsoft 365 A5/E5/F5/G5
  • Безпека й відповідність Microsoft 365 F5
  • Microsoft 365 A5/E5/F5/G5 Захист інформації та керування нею
  • Керування внутрішніми ризиками Microsoft 365 A5/E5/F5/G5

Дізнайтеся більше про ці ліцензії.

Розуміння потенційного ризику під час керування ключем

Як і в будь-яких ключових для бізнесу додатках, той персонал у вашій організації, який має доступ на рівні адміністраторів, має користуватися довірою. Перед використанням функції керування ключами, ви повинні розуміти ризик такого керування ключами шифрування бази даних. Цілком можливо, що зловмисний адміністратор (особа, яка отримала або отримала доступ на рівні адміністратора з наміром завдати шкоди безпеці або бізнес-процесам організації), який працює у вашій організації, може використовувати функцію керування ключами для створення ключа та використання його для блокування ваших середовищ у клієнті.

Розглянемо подану нижче послідовність подій.

Адміністратор шкідливого сховища ключів створює ключ і корпоративну політику на порталі Azure. Адміністратор Azure Key Vault переходить до Power Platform Центру адміністрування та додає середовища до корпоративної політики. Після цього зловмисний адміністратор повертається на портал Azure і відкликає доступ до ключа до корпоративної політики, таким чином блокуючи всі середовища. Це спричиняє переривання роботи, оскільки всі середовища стають недоступними, і якщо ця подія не буде вирішена, тобто доступ до ключа буде відновлено, дані середовища потенційно можуть бути втрачені.

Нотатка

  • Azure Key Vault має вбудовані засоби захисту, які допомагають відновити ключ, для яких потрібно ввімкнути параметри сховища ключів із захистом від м’якого видалення та очищення .
  • Ще одним запобіжним заходом, який слід враховувати, є розділення завдань, коли адміністратору Сховища ключів Azure не надано доступ до Power Platform центру адміністрування.

Поділ обов’язків для зменшення ризику

У цьому розділі описано обов’язки з керування ключовими функціями, за які відповідає кожна роль адміністратора. Розділення цих завдань допомагає зменшити ризики, пов’язані з ключами, керованими клієнтами.

Завдання адміністратора служби Azure Key Vault та Power Platform/Dynamics 365

Щоб увімкнути ключі, керовані клієнтами, спочатку адміністратор сховища ключів створює ключ у сховищі ключів Azure і створює корпоративну політику Power Platform . Під час створення корпоративної політики створюється спеціальний Microsoft Entra ідентифікатор, керований ідентифікатором. Далі адміністратор сховища ключів повертається до сховища ключів Azure і надає корпоративній політиці або керованому посвідченню доступ до ключа шифрування.

Після цього адміністратор сховища ключів надає поважному Power Platform/Dynamics 365 адміністратору служби доступу на читання корпоративної політики. Після надання дозволу Power Platform на читання адміністратор служби Dynamics 365 може перейти до Power Platform Центру адміністрування та додати оточення до корпоративної політики. Дані всіх доданих середовищ потім шифруються за допомогою керованого клієнтом ключа, пов’язаного з цією корпоративною політикою.

вимоги
  • Передплата на Azure, яка включає керовані апаратні модулі безпеки Azure Key Vault або Azure Key Vault.
  • Посвідчення Microsoft Entra особи з такими елементами:
    • Дозвіл постачальника на підписку Microsoft Entra .
    • Дозвіл на створення сховища ключів і ключа Azure.
    • Доступ до створення групи ресурсів. Це потрібно для налаштування сховища ключів.
Створення ключа та надання доступу за допомогою Azure Key Vault

Адміністратор Сховища ключів Azure виконує ці завдання в Azure.

  1. Створіть платну передплату Azure і Key Vault. Ігноруйте цей крок, якщо у вас уже є передплата, яка включає Azure Key Vault.
  2. Перейдіть до служби Azure Key Vault і створіть ключ. Додаткові відомості: Створення ключа у сховищі ключів
  3. Увімкніть службу корпоративних Power Platform політик для передплати Azure. Зробіть це лише один раз. Додаткові відомості: Увімкніть службу корпоративних Power Platform політик для вашої підписки на Azure
  4. Створіть політику Power Platform підприємства. Додаткові відомості: Створення корпоративної політики
  5. Надайте корпоративним політикам дозволи на доступ до сховища ключів. Додаткові відомості: Надання дозволів корпоративній політиці на доступ до сховища ключів
  6. Надайте Power Platform та Dynamics 365 адміністраторам дозвіл на читання корпоративної політики. Додаткові відомості: Надайте адміністратору Power Platform право читати політику підприємства

Power Platform/Dynamics 365 служба адмін Power Platform завдання адміністративного центру

Передумова
  • Power Platform адміністратора має бути призначено на роль адміністратора Power Platform Microsoft Entra служби або Dynamics 365.
Керування шифруванням середовища в Power Platform центрі адміністрування

Адміністратор Power Platform керує ключовими завданнями, пов’язаними з середовищем у Power Platform центрі адміністрування, керованими клієнтами.

  1. Power Platform Додайте оточення до корпоративної політики, щоб шифрувати дані за допомогою ключа, керованого клієнтом. Додаткові відомості: Додайте середовище до корпоративної політики для шифрування даних
  2. Видаліть оточення з корпоративної політики, щоб повернути шифрування до керованого ключа Microsoft. Додаткові відомості: Видалення середовищ із політики, щоб повернутися до керованого ключа Microsoft
  3. Змініть ключ, видаливши оточення зі старої політики підприємства та додавши середовища до нової політики підприємства. Додаткові відомості: Створення ключа шифрування та надання доступу
  4. Міграція з BYOK. Якщо ви використовуєте попередню функцію самокерованого ключа шифрування, ви можете перенести свій ключ до керованого клієнтом ключа. Додаткові відомості: Міграція середовищ принесення вашого власного ключа до ключа, керованого клієнтом

Створення ключа шифрування та надання доступу

Створення платної підписки Azure і сховища ключів

В Azure виконайте такі дії:

  1. Створіть передплату з оплатою за використання або еквівалентну передплату Azure. Цей крок не потрібен, якщо в орендаря вже є передплата.

  2. Створіть групу ресурсів. Додаткові відомості: Створення груп ресурсів

    Нотатка

    Створіть або використовуйте групу ресурсів, розташування якої збігається Power Platform з регіоном середовища, наприклад Центральна частина США, наприклад Сполучені Штати.

  3. Створіть сховище ключів за допомогою платної підписки, яка включає захист від м’якого видалення та очищення з групою ресурсів, створеною на попередньому кроці.

    Важливо

    • Щоб забезпечити захист вашого середовища від випадкового видалення ключа шифрування, у сховищі ключів має бути ввімкнено захист від м’якого видалення та очищення. Ви не зможете зашифрувати своє середовище за допомогою власного ключа, не увімкнувши ці налаштування. Додаткові відомості: Огляд програмного видалення Azure Key Vault Додаткові відомості: Створення сховища ключів за допомогою порталу Azure

Створення ключа в сховищі ключів

  1. Переконайтеся, що ви виконали всі попередні вимоги.
  2. Перейдіть до сховища> ключів порталу Azure і знайдіть сховище ключів, де потрібно згенерувати ключ шифрування.
  3. Перевірте параметри сховища ключів Azure.
    1. Виберіть Властивості в розділі Налаштування.
    2. У розділі М’яке видалення встановіть або переконайтеся, що для цього параметра сховища ключів увімкнено значення М’яке видалення ввімкнено.
    3. У розділі Захист від очищення встановіть або переконайтеся, що ввімкнено параметр Увімкнути захист від очищення (застосовувати обов’язковий період зберігання для видалених сховищ і об’єктів сховища).
    4. Якщо ви внесли зміни, виберіть Зберегти.
Створення ключів RSA

  1. Створіть або імпортуйте ключ із такими властивостями:

    1. На сторінках властивостей Сховища ключів виберіть Ключі.
    2. Виберіть Створити/імпортувати.
    3. На екрані Створення ключа встановіть наведені нижче значення, а потім натисніть кнопку Створити.
      • Параметри: Згенерувати
      • Назва: укажіть ім’я для ключа
      • Тип ключа: RSA
      • Розмір ключа RSA: 2048

    Важливо

    Якщо ви встановите дату завершення терміну дії ключа, а термін дії ключа закінчився, усі середовища, зашифровані цим ключем, не працюватимуть. Налаштуйте оповіщення для відстеження сертифікатів про закінчення терміну дії за допомогою сповіщень електронною поштою для локального Power Platform адміністратора та адміністратора сховища ключів Azure як нагадування про необхідність поновлення дати закінчення терміну дії. Це важливо для запобігання будь-яких незапланованих збоїв у роботі системи.

Імпорт захищених ключів для апаратних модулів безпеки (HSM)

Захищені ключі для апаратних модулів безпеки (HSM) можна використовувати для шифрування Power Platform Dataverse середовищ. Ваші ключі, захищені HSM, мають бути імпортовані до сховища ключів, щоб можна було створити корпоративну політику. Щоб отримати додаткові відомості, перегляньте статтю Імпорт підтримуваних HSM-захищенихключів до Key Vault (BYOK).

Створення ключа в Azure Key Vault Managed HSM

Для шифрування даних середовища можна використовувати ключ шифрування, створений із керованого сховищем Azure Key Vault. Це дає вам підтримку FIPS 140-2 Level 3.

Створення ключів RSA-HSM

  1. Переконайтеся, що ви виконали всі попередні вимоги.

  2. Перейдіть на портал Azure.

  3. Створіть керований HSM:

    1. Забезпечення Керованого HSM.
    2. Активуйте керований HSM.

  4. Увімкніть захист від продування у своєму керованому HSM.

  5. Надайте роль користувача Managed HSM Crypto особі, яка створила сховище ключів Managed HSM.

    1. Отримайте доступ до сховища ключів керованого HSM на порталі Azure.
    2. Перейдіть до Локального RBAC і виберіть + Додати.
    3. У розкривному списку Роль виберіть роль Користувач Managed HSM Crypto на сторінці Призначення ролей.
    4. Виберіть «Усі ключі» в розділі «Обсяг».
    5. Виберіть Вибрати принципала безпеки, а потім виберіть адміністратора на сторінці Додати принципала .
    6. Виберіть Створити.

  6. Створіть ключ RSA-HSM:

    • Параметри: Згенерувати
    • Назва: укажіть ім’я для ключа
    • Тип ключа: RSA-HSM
    • Розмір ключа RSA: 2048

    Нотатка

    Підтримуються розміри ключів RSA-HSM: 2048-біт і 3072-біт.

Ви можете оновити мережу сховища ключів Azure, увімкнувши приватну кінцеву точку , і використовувати ключ у сховищі ключів для шифрування своїх Power Platform середовищ.

Ви можете створити нове сховище ключів і встановити приватне пов’язане з’єднання або встановити приватне пов’язане з’єднання з існуючим сховищем ключів, а також створити ключ із цього сховища ключів і використовувати його для шифрування вашого середовища. Ви також можете встановити приватне пов’язане з’єднання з існуючим сховищем ключів після того, як ви вже створили ключ, і використовувати його для шифрування свого середовища.

  1. Створіть сховище ключів Azure за допомогою таких параметрів:

    • Увімкніть захист від продувки
    • Тип ключа: RSA
    • Розмір ключа: 2048

  2. Скопіюйте URL-адресу сховища ключів і URL-адресу ключа шифрування, які використовуватимуться для створення корпоративної політики.

    Нотатка

    Додавши приватну кінцеву точку до сховища ключів або вимкнувши загальнодоступну мережу, ви не зможете бачити ключ, якщо у вас немає відповідного дозволу.

  3. Створіть віртуальну мережу.

  4. Поверніться до сховища ключів і додайте приватні підключення кінцевих точок до сховища ключів Azure.

    Нотатка

    Вам потрібно вибрати параметр Вимкнути мережу загального доступу та ввімкнути параметр Дозволити довіреним службам Microsoft обходити цей виняток брандмауера .

  5. Створіть політику Power Platform підприємства. Додаткові відомості: Створення корпоративної політики

  6. Надайте корпоративним політикам дозволи на доступ до сховища ключів. Додаткові відомості: Надання дозволів корпоративній політиці на доступ до сховища ключів

  7. Надайте Power Platform та Dynamics 365 адміністраторам дозвіл на читання корпоративної політики. Додаткові відомості: Надайте адміністратору Power Platform право читати політику підприємства

  8. Power Platform Адміністратор Центру адміністрування вибирає середовище для шифрування та ввімкнення керованого середовища. Додаткові відомості: Увімкнення додавання керованого середовища до корпоративної політики

  9. Power Platform Адміністратор Центру адміністрування додає кероване середовище до корпоративної політики. Додаткові відомості: Додайте середовище до корпоративної політики для шифрування даних

Увімкніть службу корпоративних Power Platform політик для вашої підписки на Azure

Зареєструйтесь Power Platform як постачальник ресурсів. Це завдання потрібно виконувати лише один раз для кожної передплати Azure, де розташоване ваше сховище ключів Azure. Потрібно мати права доступу до підписки, щоб зареєструвати постачальника ресурсів.

  1. увійдіть на портал Azure і перейдіть до розділу Постачальники> ресурсів підписки.
  2. У списку постачальників ресурсів знайдіть Microsoft PowerPlatform і зареєструйте її.

Створення корпоративної політики

  1. Встановіть PowerShell MSI. Додаткові відомості: Встановіть PowerShell на Windows, Linux і macOS
  2. Після інсталяції PowerShell MSI поверніться до розділу Розгортання настроюваного шаблону в Azure.
  3. Виберіть у редакторіпов’язати пункт Створити власний шаблон.
  4. Скопіюйте цей JSON-шаблон у текстовий редактор, наприклад Блокнот. Більше інформації: Шаблон json політики підприємства
  5. Замініть значення в шаблоні JSON для: EnterprisePolicyName, місця, де потрібно створити EnterprisePolicy, keyVaultId та keyName. Більше інформації: Визначення полів для шаблону json
  6. Скопіюйте оновлений шаблон із текстового редактора, а потім вставте його в шаблон редагування користувацького розгортання в Azure і натисніть кнопку Зберегти.
  7. Виберіть групу «Підписка» та «Ресурси», у якій має бути створена корпоративна політика.
  8. Виберіть Переглянути + створити, а потім натисніть Створити.

Розпочато розгортання. Коли це зроблено, створюється політика підприємства.

Шаблон json політики підприємства

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Визначення полів для шаблону JSON

  • ім’я. Найменування політики підприємства. Це назва політики, яка відображається в Power Platform центрі адміністрування.

  • розташування. Одне з наступного. Це місце розташування політики підприємства, і вона повинна відповідати Dataverse регіону навколишнього середовища:

    • "" Сполучені Штати ""
    • "" Південна Африка ""
    • ’Сполучене Королівство’
    • ’’Японія’’
    • ’’Індія’’
    • ’’Франція’’
    • ’’Європа’’
    • "" Німеччина ""
    • ’’Швейцарія’’
    • ’’Канада’’
    • ’’Бразилія’’
    • ’’Австралія’’
    • ’’Азія’’
    • ’’ОАЕ’’
    • ’’Корея’’
    • ’’Норвегія’’
    • ’’Сінгапур’’
    • "" Швеція ""

  • Скопіюйте ці значення з властивостей сховища ключів на порталі Azure:

    • keyVaultId: перейдіть до розділу Сховища ключів,> виберіть свій Огляд > сховища ключів. Поруч із пунктом «Основи» виберіть «Перегляд JSON». Скопіюйте ID ресурсу в буфер обміну та вставте весь вміст у свій шаблон JSON.
    • keyName: перейдіть до розділу Сховища ключів, виберіть> ключі сховища ключів >. Зверніть увагу на ключ Name і введіть його в шаблон JSON.

Надання дозволів корпоративній політиці на доступ до сховища ключів

Після створення корпоративної політики адміністратор сховища ключів надає керованим посвідченням корпоративної політики доступ до ключа шифрування.

  1. увійдіть на портал Azure і перейдіть до сховища ключів.
  2. Виберіть сховище ключів, де ключ було призначено корпоративній політиці.
  3. Виберіть вкладку Контроль доступу (IAM), а потім натисніть + Додати.
  4. Виберіть Додати призначення ролей зі спадного списку,
  5. Знайдіть користувача шифрування криптосервісу Key Vault і виберіть його.
  6. Виберіть Далі.
  7. Вибрати + Вибрати учасників.
  8. Знайдіть створену корпоративну політику.
  9. Виберіть корпоративну політику, а потім натисніть кнопку Вибрати.
  10. Виберіть Переглянути + призначити.

Нотатка

Наведений вище параметр дозволів базується на моделі дозволів сховища ключів для керування доступом на основі ролей Azure. Якщо у вашому сховищі ключів вибрано політику доступу до Сейфа, радимо перейти на модель на основі ролей. Щоб надати корпоративній політиці доступ до сховища ключів за допомогою політики доступу до Сейфа, створіть політику доступу, виберіть пункти Отримати операції керування ключами та Розгорнути ключ іУпакування ключ у розділі Криптографічні операції.

Нотатка

Щоб запобігти будь-яким незапланованим збоям у роботі системи, важливо, щоб у політиці підприємства був доступ до ключа. Переконайтеся, що:

  • Сховище ключів активне.
  • Ключ активний і не прострочений.
  • Ключ не видаляється.
  • Наведені вище дозволи ключа не відкликаються.

Середовища, які використовують цей ключ, буде вимкнено, якщо ключ шифрування стане недоступним.

Надайте Power Platform адміністратору право читати політику підприємства

Адміністратори, які мають ролі Dynamics 365 або Power Platform адміністрування, можуть отримати доступ до Центру адміністрування, Power Platform щоб призначати середовища корпоративній політиці. Щоб отримати доступ до корпоративних політик, адміністратор із доступом до сховища ключів Azure має надати адміністратору роль Reader Power Platform . Отримавши роль читача , Power Platform адміністратор зможе переглядати корпоративні політики в Power Platform Центрі адміністрування.

Нотатка

Лише Power Platform адміністратори та адміністратори Dynamics 365, яким надано роль читача в корпоративній політиці, можуть додавати середовище до політики. Інші Power Platform адміністратори або адміністратори Dynamics 365 можуть переглядати корпоративну політику, але вони отримують повідомлення про помилку під час спроби додати середовище до політики.

Надання ролі читача адміністратору Power Platform

  1. увійдіть на портал Azure.
  2. Скопіюйте ідентифікатор об’єкта Power Platform адміністратора Dynamics 365. Для цього:
    1. Перейдіть до розділу "Користувачі" в Azure.
    2. У списку Усі користувачі знайдіть користувача, який має Power Platform або Dynamics 365 права адміністратора за допомогою Пошуку.
    3. Відкрийте запис користувача, на вкладці Огляд скопіюйте ID об’єкта користувача. Вставте це в текстовий редактор, наприклад NotePad, на потім.
  3. Скопіюйте ідентифікатор ресурсу корпоративної політики. Для цього:
    1. Перейдіть до Resource Graph Explorer в Azure.
    2. Введіть microsoft.powerplatform/enterprisepolicies у полі Пошук , а потім виберіть ресурс Microsoft.powerplatform/enterprisepolicies .
    3. Виберіть Виконати запит на панелі команд. Відобразиться список усіх Power Platform політик підприємства.
    4. Знайдіть корпоративну політику, до якої потрібно надати доступ.
    5. Прокрутіть праворуч від корпоративної політики та виберіть Докладніше.
    6. На сторінці Подробиці скопіюйте ідентифікатор .
  4. Запустіть Azure Cloud Shell і виконайте наступну команду, замінивши objId на ID об’єкта користувача, а EP Resource Id на enterprisepolicies ідентифікатор, скопійований на попередніх кроках: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Керування шифруванням середовища

Щоб керувати шифруванням середовища, потрібен такий дозвіл:

  • Microsoft Entra активний Power Platform користувач, який має роль безпеки адміністратора Dynamics 365 та/або Dynamics 365.
  • Microsoft Entra користувач, який має Power Platform роль адміністратора служби Dynamics 365.

Адміністратор сховища ключів сповіщає адміністратора Power Platform про створення ключа шифрування та корпоративної політики та надає корпоративну політику адміністратору Power Platform . Щоб увімкнути ключ, керований клієнтом, Power Platform адміністратор призначає свої середовища корпоративній політиці. Після того, як середовище призначено та збережено, Dataverse ініціюється процес шифрування, щоб встановити всі дані середовища та зашифрувати їх за допомогою ключа, керованого клієнтом.

Увімкнення додавання керованого середовища до корпоративної політики

  1. Увійдіть у Центр Power Platform адміністрування та знайдіть середовище.
  2. Виберіть і перевірте середовище у списку середовищ.
  3. Виберіть піктограму «Увімкнути керовані середовища» на панелі дій.
  4. Виберіть Увімкнути.

Додавання середовища до корпоративної політики для шифрування даних

Важливо

Середовище буде відключено при додаванні в корпоративну політику шифрування даних.

  1. увійдіть в Power Platform Центр адміністрування та перейдіть до розділу Політики>Enterprise.
  2. Виберіть політику, а потім на панелі команд виберіть Редагувати.
  3. Виберіть Додати середовища, виберіть потрібне середовище, а потім натисніть Продовжити. Додавання середовища до корпоративної політики в Power Platform Центрі адміністрування
  4. Виберіть Зберегти, а потім натисніть Підтвердити .

Важливо

  • У списку Додати середовища відображаються лише середовища, які належать до того самого регіону, що й політика підприємства.
  • Шифрування може тривати до чотирьох днів, але середовище може бути ввімкнено до завершення операції «Додати середовища».
  • Операція може не завершитися, і якщо вона не вдалася, ваші дані продовжуватимуть шифруватися за допомогою керованого ключа Microsoft. Ви можете знову запустити операцію «Додати середовища».

Нотатка

Ви можете додавати лише ті середовища, які ввімкнено як керовані середовища. Типи ознайомлювальних версій і середовищ Teams не можна додавати до корпоративної політики.

Видалення середовищ із політики, щоб повернутися до керованого ключа Microsoft

Виконайте ці дії, якщо ви хочете повернутися до керованого ключа шифрування Microsoft.

Важливо

Середовище буде вимкнено, якщо його буде видалено з корпоративної політики для повернення шифрування даних за допомогою керованого ключа Microsoft.

  1. увійдіть в Power Platform Центр адміністрування та перейдіть до розділу Політики>Enterprise.
  2. Перейдіть на вкладку Середовище з політиками , а потім знайдіть середовище, яке потрібно видалити з ключа, керованого клієнтом.
  3. Перейдіть на вкладку Усі політики , виберіть середовище, яке ви перевірили на кроках 2, а потім на панелі команд виберіть Редагувати політику . Видалення оточення з ключа, керованого клієнтом
  4. На панелі команд виберіть пункт Видалити середовище , виберіть середовище, яке потрібно видалити, а потім натисніть кнопку Продовжити.
  5. Виберіть Зберегти.

Важливо

Середовище буде вимкнено, коли його буде видалено з корпоративної політики для повернення шифрування даних до ключа, керованого Microsoft. Не видаляйте та не вимикайте ключ, не видаляйте та не вимикайте сховище ключів, а також не видаляйте дозволи корпоративної політики на доступ до сховища ключів. Доступ до ключа та сховища ключів необхідний для підтримки відновлення бази даних. Ви можете видалити дозволи корпоративної політики через 30 днів.

Перегляд стану шифрування середовища

Перегляд стану шифрування в корпоративних політиках

  1. Увійдіть у центр адміністрування Power Platform.

  2. Виберіть Політики>Корпоративні політики.

  3. Виберіть політику, а потім на панелі команд виберіть Редагувати.

  4. Перегляньте стан шифрування середовища в розділі Середовища з цією політикою .

    Нотатка

    Статус шифрування середовища може бути таким:

    • Зашифрований – ключ шифрування корпоративної політики активний, а середовище зашифровано вашим ключем.
    • Помилка – ключ шифрування корпоративної політики використовується не всіма Dataverse службами зберігання даних. Вони вимагають більше часу для обробки, і ви можете повторно запустити операцію Додати середовище . Зверніться до служби підтримки, якщо повторний запуск не вдається.
    • Попередження – ключ шифрування корпоративної політики активний, а деякі дані служби продовжують шифруватися за допомогою ключа, керованого Microsoft. Детальніше: Power Automate Попереджувальні повідомлення про застосування CMK

    Ви можете повторно запустити параметр Додати середовище для середовища, яке має статус Помилка шифрування.

Перегляд стану шифрування на сторінці «Історія середовища»

Ви можете побачити історію оточення.

  1. Увійдіть у центр адміністрування Power Platform.

  2. Виберіть пункт Середовища в області переходів, а потім виберіть середовище зі списку.

  3. На панелі команд виберіть Історія.

  4. Знайдіть історію оновлення керованого ключа клієнта.

    Нотатка

    Статус показує «Виконується», коли виконується шифрування. Він показує статус «Успішно виконано », коли шифрування завершено. Статус відображається як «Помилка», коли виникає проблема з однією зі служб, яка не може застосувати ключ шифрування.

    Стан «Помилка» може бути попередженням , і вам не потрібно повторно запускати опцію «Додати середовище ». Ви можете підтвердити, чи це попередження.

Змініть ключ шифрування середовища за допомогою нової корпоративної політики та ключа

Щоб змінити ключ шифрування, створіть новий ключ і нову корпоративну політику. Після цього можна змінити корпоративну політику, видаливши середовища та додавши їх до нової корпоративної політики. Система не працює двічі при переході на нову корпоративну політику - 1) для повернення шифрування до керованого ключа Microsoft і 2) для застосування нової корпоративної політики.

Порада

Щоб змінити ключ шифрування, рекомендуємо використовувати нову версію сховища ключів або встановити політику ротації.

  1. На порталі Azure створіть новий ключ і нову політику підприємства. Додаткові відомості: Створення ключа шифрування та надання доступу та Створення корпоративної політики
  2. Після створення нового ключа та корпоративної політики перейдіть до розділу Політики>Корпоративні політики.
  3. Перейдіть на вкладку Середовище з політиками , а потім знайдіть середовище, яке потрібно видалити з ключа, керованого клієнтом.
  4. Перейдіть на вкладку Усі політики , виберіть середовище, яке ви перевірили на кроках 2, а потім на панелі команд виберіть Редагувати політику . Видалення оточення з ключа, керованого клієнтом
  5. На панелі команд виберіть пункт Видалити середовище , виберіть середовище, яке потрібно видалити, а потім натисніть кнопку Продовжити.
  6. Виберіть Зберегти.
  7. Повторюйте кроки 2–6, доки не буде видалено всі середовища в корпоративній політиці.

Важливо

Середовище буде вимкнено, коли його буде видалено з корпоративної політики для повернення шифрування даних до ключа, керованого Microsoft. Не видаляйте та не вимикайте ключ, не видаляйте та не вимикайте сховище ключів, а також не видаляйте дозволи корпоративної політики на доступ до сховища ключів. Доступ до ключа та сховища ключів необхідний для підтримки відновлення бази даних. Ви можете видалити дозволи корпоративної політики через 30 днів.

  1. Після того, як всі середовища будуть видалені, з Power Platform центру адміністрування перейдіть до Корпоративні політики.
  2. Виберіть нову корпоративну політику, а потім натисніть кнопку Редагувати політику.
  3. Виберіть Додати середовище, виберіть середовища, які потрібно додати, а потім натисніть Продовжити.

Важливо

Середовище буде вимкнено, коли його буде додано до нової корпоративної політики.

Змініть ключ шифрування середовища за допомогою нової версії ключа

Ви можете змінити ключ шифрування середовища, створивши нову версію ключа. Коли ви створюєте нову версію ключа, нова версія ключа вмикається автоматично. Усі ресурси сховища визначають нову версію ключа та починають застосовувати її для шифрування ваших даних.

Коли ви змінюєте ключ або версію ключа, захист кореневого ключа шифрування змінюється, але дані в сховищі завжди залишаються зашифрованими вашим ключем. З вашого боку більше не потрібно вживати жодних дій для забезпечення захисту ваших даних. Обертання ключової версії не впливає на продуктивність. Немає простоїв, пов’язаних з обертанням ключової версії. Усім постачальникам ресурсів може знадобитися 24 години, щоб застосувати нову версію ключа у фоновому режимі. Попередня версія ключа не повинна бути відключена , оскільки це потрібно для використання сервісом для повторного шифрування та підтримки відновлення бази даних.

Щоб змінити ключ шифрування шляхом створення нової версії ключа, виконайте наведені нижче дії.

  1. Перейдіть до сховища ключів>порталу Azure і знайдіть сховище ключів, де потрібно створити нову версію ключа.
  2. Перейдіть до розділу Ключі.
  3. Виберіть поточну, увімкнену клавішу.
  4. Виберіть + Нова версія.
  5. Параметр Увімкнено за замовчуванням має значення Так, що означає, що нова версія ключа автоматично вмикається під час створення.
  6. Виберіть Створити.

Порада

Щоб дотримуватися політики ротації ключів, ви можете повернути ключ шифрування за допомогою політики ротації. Ви можете налаштувати політику обертання або виконати ротацію на вимогу, викликавши команду Повернути зараз.

Важливо

Нова версія ключа автоматично повертається у фоновому режимі, і адміністратор не вимагає Power Platform жодних дій. Важливо, що попередня версія ключа не повинна бути відключена або видалена як мінімум протягом 28 днів для підтримки відновлення бази даних. Вимкнення або видалення попередньої версії ключа занадто рано може перевести ваше середовище в автономний режим.

Перегляд списку зашифрованих середовищ

  1. увійдіть в Power Platform Центр адміністрування та перейдіть до розділу Політики>Enterprise.
  2. На сторінці Корпоративні політики виберіть вкладку Середовища з політиками . Відобразиться список середовищ, які були додані до корпоративних політик.

Нотатка

Можуть виникати ситуації, коли стан середовища або стан шифрування показують стан «Помилка». У такому разі можна спробувати повторно запустити операцію "Додати середовище " або надіслати запит на допомогу до служби підтримки Microsoft.

Операції шифрування бази даних

У користувацькому клієнті можуть бути середовища, зашифровані за допомогою ключа, яким керує Microsoft, і середовища, зашифровані за допомогою ключа, яким керує клієнт. Для підтримки цілісності даних і їх захисту доступні наведені нижче елементи керування доступні під час керування операціями з базами даних у середовищі.

  • Відновити Середовище для перезапису (середовище, в яке необхідно відновити) обмежено тим самим середовищем, з якого було зроблено резервну копію, або в інше середовище, зашифроване за допомогою того самого ключа, яким керує клієнт.

    Відновіть резервну копію.

  • Копіювати Середовище для перезаписування (середовище, в яке потрібно скопіювати) обмежено іншим середовищем, зашифрованим за допомогою того самого ключа, яким керує клієнт.

    Середовище копіювання.

    Нотатка

    Якщо середовище «Дослідження підтримки» було створено для вирішення проблеми з підтримкою в середовищі, яким керує клієнт, ключ шифрування для середовища «Дослідження підтримки» необхідно змінити на ключ, яким керує клієнт, перш ніж можна буде виконати операцію копіювання середовища.

  • Скидання Зашифровані дані середовища видаляються, включаючи резервні копії. Після скидання середовища шифрування середовища повернеться до використання ключа, яким керує Microsoft.

Наступні кроки

Про Azure Key Vault