Керування ключем шифрування, керованим клієнтами

Клієнти мають вимоги щодо конфіденційності даних і відповідності вимогам, щоб захистити свої дані шляхом шифрування даних у стані спокою. Це захищає дані від розкриття в разі крадіжки копії бази даних. Завдяки збереженню шифрування даних викрадені дані бази даних захищені від відновлення на іншому сервері без ключа шифрування.

Усі дані клієнтів, що зберігаються Power Platform в сховищі, за замовчуванням шифруються надійними ключами шифрування, керованими корпорацією Майкрософт. Корпорація Майкрософт зберігає ключ шифрування бази даних і керує ним, тому вам не потрібно цього робити. Power Platform Однак надає цей керований клієнтом ключ шифрування (CMK) для додаткового керування захистом даних, де ви можете самостійно керувати ключем шифрування бази даних, пов’язаним із вашим Microsoft Dataverse середовищем. Це дає змогу змінювати або міняти ключ шифрування на вимогу, а також заборонити корпорації Майкрософт доступ до даних ваших клієнтів, коли ви в будь-який час відкликаєте ключовий доступ до наших служб.

Щоб дізнатися більше про керований клієнтом ключ, Power Platform перегляньте відео про керований клієнтом ключ.

Ці операції з ключами шифрування доступні з ключем, керованим клієнтом (CMK):

• Створіть ключ RSA (RSA-HSM) зі сховища ключів Azure.
• Створіть корпоративну політику Power Platform для свого ключа.
• Надайте корпоративній Power Platform політиці дозвіл на доступ до сховища ключів.
• Надайте Power Platform адміністратору служби ознайомитися з політикою підприємства.
• Застосуйте ключ шифрування до свого середовища.
• Відновіть/видаліть шифрування CMK середовища до ключа, керованого Microsoft.
• Змініть ключ, створивши нову корпоративну політику, видаливши середовище з CMK і повторно застосуйте CMK з новою корпоративною політикою.
• Заблокуйте середовища CMK, відкликавши дозволи сховища ключів CMK та/або ключів.
• Перенесіть середовища bring -your-own-key (BYOK) до CMK, застосувавши ключ CMK.

Наразі всі дані ваших клієнтів, які зберігаються лише в наведених нижче програмах і службах, можна зашифрувати за допомогою керованого клієнтом ключа.

• Dataverse (Кастомні рішення та сервіси Microsoft)
• Dataverse Copilot для додатків на основі моделей
• Power Automate¹
• Power Apps
• Чат для Dynamics 365
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Фінанси та операційна діяльність)
• Dynamics 365 Intelligent Order Management (Фінанси та операційна діяльність)
• Dynamics 365 Project Operations (Фінанси та операційна діяльність)
• Dynamics 365 Supply Chain Management (Фінанси та операційна діяльність)
• Dynamics 365 Fraud Protection (Фінанси та операційна діяльність)

1 Коли ви застосовуєте керований клієнтом ключ до середовища з наявними Power Automate потоками, дані потоків продовжують шифруватися ключем, керованим корпорацією Майкрософт. Більше інформації: Power Automate ключ, керований клієнтом.

Нотатка

Nuance Conversational IVR і Maker Welcome Content виключені з шифрування ключів, керованих клієнтом.

Microsoft Copilot Studio зберігає свої дані у власному сховищі та в Microsoft Dataverse. Коли ви застосовуєте керований клієнтом ключ до цих середовищ, вашим ключем шифруються лише збережені Microsoft Dataverse дані. ДаніMicrosoft Dataverse , які не належать до даних, продовжують шифруватися за допомогою ключа, керованого корпорацією Майкрософт.

Нотатка

Настройки підключення для з’єднувачів і надалі шифруватимуться ключем, керованим корпорацією Майкрософт.

Зверніться до представника служб, не перелічених вище, щоб отримати інформацію про підтримку ключів, керованих клієнтом.

Нотатка

Power Apps Відображувані імена, описи та метадані з’єднання продовжують шифруватися за допомогою ключа, керованого корпорацією Майкрософт.

Середовища з програмами для фінансів та операцій, де Power Platform ввімкнено інтеграцію, також можна зашифрувати. Фінансові та операційні середовища без Power Platform інтеграції й надалі використовуватимуть для шифрування даних ключ, керований корпорацією Майкрософт за замовчуванням. Додаткові відомості: Шифрування в програмах для фінансів та операцій

Вступ до ключа, керованого клієнтом

За допомогою керованого клієнтом ключа адміністратори можуть надавати службам Power Platform зберігання власний ключ шифрування зі свого сховища Azure Key Vault для шифрування даних клієнтів. Корпорація Майкрософт не має прямого доступу до вашого сховища ключів Azure. Для Power Platform служб доступу до ключа шифрування зі сховища ключів Azure адміністратор створює корпоративну політику Power Platform , яка посилається на ключ шифрування та надає цій корпоративній політиці доступ для зчитування ключа зі сховища ключів Azure.

Після Power Platform цього адміністратор служби може додати Dataverse середовища до корпоративної політики, щоб почати шифрувати всі дані клієнта в середовищі за допомогою ключа шифрування. Адміністратори можуть змінити ключ шифрування середовища, створивши іншу корпоративну політику, і додати середовище (після його видалення) до нової корпоративної політики. Якщо середовище більше не потрібно шифрувати за допомогою ключа, керованого клієнтом, адміністратор може видалити середовище Dataverse з корпоративної політики, щоб повернути шифрування даних до ключа, керованого корпорацією Майкрософт.

Адміністратор може заблокувати керовані клієнтом середовища ключів, відкликавши доступ до ключа з корпоративної політики, і розблокувати середовища, відновивши доступ до ключа. Додаткові відомості: Блокування середовищ шляхом відкликання сховища ключів і/або доступу до дозволів ключа

Для спрощення ключових завдань управління завдання розбиті на три основні напрямки:

1. Створіть ключ шифрування.
2. Створіть корпоративну політику та надайте доступ.
3. Керуйте шифруванням середовища.

Попередження

Коли середовища заблоковані, до них не може отримати доступ ніхто, зокрема служба підтримки Microsoft. Заблоковані середовища вимикаються, що може призвести до втрати даних.

Ліцензійні вимоги для керованого клієнтом ключа

Політика керованого ключем клієнта застосовується лише до середовищ, активованих для керованих середовищ. Керовані середовища включено як право в автономні Power Apps Power Automate Power Virtual Agents Power Pages ліцензії та ліцензії Dynamics 365, які надають преміум-права на використання. Дізнайтеся більше про ліцензування керованого середовища в огляді ліцензування для Microsoft Power Platform.

Крім того, для доступу до використання керованого клієнтом ключа для Microsoft Power Platform Dynamics 365 користувачі в середовищах, де застосовується політика ключа шифрування, повинні мати одну з наведених нижче передплат.

• Microsoft 365 або Office 365 A5/E5/G5
• Microsoft 365 Відповідність вимогам A5/E5/F5/G5
• Microsoft 365 F5 Безпека та відповідність вимогам
• Microsoft 365 A5/E5/F5/G5 Захист інформації та управління нею
• Microsoft 365 A5/E5/F5/G5 Управління інсайдерськими ризиками

Докладніше про ці ліцензії.

Зрозумійте потенційний ризик під час керування ключем

Як і в будь-яких ключових для бізнесу додатках, той персонал у вашій організації, який має доступ на рівні адміністраторів, має користуватися довірою. Перед використанням функції керування ключами, ви повинні розуміти ризик такого керування ключами шифрування бази даних. Цілком можливо, що зловмисний адміністратор (особа, яка отримала або отримала доступ на рівні адміністратора з наміром завдати шкоди безпеці або бізнес-процесам організації), який працює у вашій організації, може використовувати функцію керування ключами, щоб створити ключ і використовувати його для блокування ваших середовищ у клієнті.

Розглянемо подану нижче послідовність подій.

Адміністратор сховища шкідливих ключів створює ключ і корпоративну політику на порталі Azure. Адміністратор сховища ключів Azure переходить до Power Platform Центру адміністрування та додає середовища до корпоративної політики. Після цього зловмисник повертається на портал Azure і відкликає доступ ключа до корпоративної політики, таким чином блокуючи всі середовища. Це спричиняє переривання роботи, оскільки всі середовища стають недоступними, і якщо цю подію не буде вирішено, тобто доступ до ключа буде відновлено, дані середовища можуть бути потенційно втрачені.

Нотатка

• Сховище ключів Azure має вбудовані засоби захисту, які допомагають відновити ключ, для яких потрібно ввімкнути параметри сховища ключів із захистом від м’якого видалення та очищення .
• Ще один запобіжний захід, який слід враховувати, полягає в тому, щоб переконатися, що існує розділення завдань, у яких адміністратор сховища ключів Azure не має доступу до Power Platform центру адміністрування.

Поділ обов’язків для зменшення ризику

У цьому розділі описано обов’язки ключових функцій, якими керує клієнт, за які відповідає кожна роль адміністратора. Розділення цих завдань допомагає зменшити ризики, пов’язані з ключами, керованими клієнтами.

Завдання адміністрування служби Azure Key Vault та Power Platform/Dynamics 365

Щоб увімкнути керовані клієнтами ключі, спочатку адміністратор сховища ключів створює ключ у сховищі ключів Azure і створює корпоративну політику Power Platform . Під час створення корпоративної політики створюється спеціальний Microsoft Entra ідентифікатор, керований ідентифікатором. Далі адміністратор сховища ключів повертається до сховища ключів Azure і надає корпоративній політиці або керованому посвідченню доступ до ключа шифрування.

Після цього адміністратор сховища ключів надає адміністратору Power Platform служби Dynamics 365 доступ на читання корпоративної політики. Отримавши дозвіл на читання, Power Platform адміністратор служби Dynamics 365 може перейти до Power Platform Центру адміністрування та додати середовища до корпоративної політики. Усі додані середовища дані клієнтів потім шифруються за допомогою ключа, керованого клієнтом, пов’язаного з цією корпоративною політикою.

вимоги

• Передплата на Azure, яка включає керовані апаратні модулі безпеки Azure Key Vault або Azure Key Vault.
• Глобальний адміністратор клієнта або Microsoft Entra ідентифікатор із наведеними нижче відомостями.
  • Дозвіл автора на підписку Microsoft Entra .
  • Дозвіл на створення сховища ключів і ключа Azure.
  • Доступ для створення групи ресурсів. Це потрібно для налаштування сховища ключів.

Створення ключа та надання доступу за допомогою Azure Key Vault

Адміністратор сховища ключів Azure виконує ці завдання в Azure.

1. Створіть платну передплату Azure і сховище ключів. Проігноруйте цей крок, якщо у вас уже є передплата, яка включає сховище ключів Azure.
2. Перейдіть до служби Azure Key Vault і створіть ключ. Додаткові відомості: Створення ключа у сховищі ключів
3. Увімкніть службу корпоративних Power Platform політик для передплати Azure. Зробіть це лише один раз. Додаткові відомості: Увімкнення служби корпоративних Power Platform політик для передплати Azure
4. Створіть корпоративну політику Power Platform . Додаткові відомості: Створення корпоративної політики
5. Надайте корпоративним політикам дозволи на доступ до сховища ключів. Додаткові відомості: Надання корпоративним політикам дозволів на доступ до сховища ключів
6. Надайте Power Platform адміністраторам і адміністраторам Dynamics 365 дозвіл на читання корпоративної політики. Додаткові відомості: Надання адміністратору Power Platform права на читання корпоративної політики

Power Platform/Завдання центру адміністрування служби адміністрування Power Platform служби Dynamics 365

Передумова

• Power Platform адміністратора має бути призначено роль адміністратора Power Platform Microsoft Entra служби Dynamics 365.

Керування шифруванням середовища в Power Platform центрі адміністрування

Адміністратор Power Platform керує ключовими завданнями, пов’язаними з середовищем, керованими клієнтами в Power Platform центрі адміністрування.

1. Power Platform Додайте середовища до корпоративної політики, щоб шифрувати дані за допомогою ключа, керованого клієнтом. Додаткові відомості: Додавання середовища до корпоративної політики для шифрування даних
2. Видаліть середовища з корпоративної політики, щоб повернути шифрування до керованого ключа Microsoft. Додаткові відомості: Видалення середовищ із політики, щоб повернутися до керованого ключа корпорації Майкрософт
3. Змініть ключ, видаливши середовища зі старої корпоративної політики та додавши середовища до нової корпоративної політики. Додаткові відомості: Створення ключа шифрування та надання доступу
4. Міграція з BYOK. Якщо ви використовуєте попередню функцію самокерованого ключа шифрування, ви можете перенести свій ключ до керованого клієнтом ключа. Додаткові відомості: Перенесення середовищ із власним ключем до ключа, керованого клієнтом

Створення ключа шифрування та надання доступу

Створення платної передплати Azure і сховища ключів

В Azure виконайте такі дії:

1. Створіть Pay-as-you-go або еквівалентну передплату Azure. Цей крок не потрібен, якщо орендар уже має підписку.

2. Створіть групу ресурсів. Додаткові відомості: Створення груп ресурсів

   Нотатка

   Створіть або використовуйте групу ресурсів, яка має розташування, наприклад у центральній частині США, що відповідає Power Platform регіону навколишнього середовища, наприклад США.

3. Створіть сховище ключів за допомогою платної підписки, яка включає захист від м’якого видалення та очищення з групою ресурсів, створеною на попередньому кроці.

   Важливо

   • Щоб забезпечити захист середовища від випадкового видалення ключа шифрування, у сховищі ключів має бути ввімкнено захист від м’якого видалення та очищення. Ви не зможете зашифрувати своє середовище власним ключем, не увімкнувши ці параметри. Додаткові відомості: Огляд програмного видалення Azure Key Vault Додаткові відомості: Створення сховища ключів за допомогою порталу Azure

Створення ключа у сховищі ключів

1. Переконайтеся, що ви виконали всі попередні вимоги.

2. Перейдіть до сховища>ключів порталу Azure і знайдіть сховище ключів, де потрібно згенерувати ключ шифрування.

3. Перевірте параметри сховища ключів Azure:

   1. Виберіть «Властивості » в розділі «Налаштування».
   2. У розділі М’яке видалення встановіть або переконайтеся, що для цього параметра сховища ключів увімкнено значення М’яке видалення.
   3. У розділі Захист від очищення встановіть або переконайтеся, що ввімкнено параметр Увімкнути захист від очищення (застосовувати обов’язковий період зберігання для видалених сховищ і об’єктів сховища).
   4. Якщо ви внесли зміни, виберіть Зберегти.

   

Створення ключів RSA

1. Створіть або імпортуйте ключ із такими властивостями:
   1. На сторінках властивостей Key Vault виберіть Ключі.
   2. Виберіть Створити/імпортувати.
   3. На екрані Створення ключа встановіть наведені нижче значення, а потім натисніть кнопку Створити.
      • Параметри: Згенерувати
      • Назва: укажіть назву ключа
      • Тип ключа: RSA
      • Розмір ключа RSA: 2048

Імпорт захищених ключів для апаратних модулів безпеки (HSM)

Ви можете використовувати захищені ключі для апаратних модулів безпеки (HSM) для шифрування середовищ Power Platform Dataverse . Ключі , захищені HSM, потрібно імпортувати до сховища ключів, щоб можна було створити корпоративну політику. Щоб дізнатися більше, перегляньте статтю Підтримувані HSMІмпорт ключів, захищених HSM, до Key Vault (BYOK).

Створення ключа в Azure Key Vault Managed HSM

Для шифрування даних середовища можна використовувати ключ шифрування, створений із керованого сховища ключів Azure Key Vault HSM. Це дає вам підтримку FIPS 140-2 Level 3.

Створення ключів RSA-HSM

1. Переконайтеся, що ви виконали всі попередні вимоги.

2. Перейдіть на портал Azure.

3. Створіть керований HSM:

   1. Надання керованого HSM.
   2. Активуйте керований HSM.

4. Увімкніть захист від продувки у своєму керованому HSM.

5. Надайте роль користувача Managed HSM Crypto особі, яка створила сховище ключів Managed HSM.

   1. Отримайте доступ до сховища керованих ключів HSM на порталі Azure.
   2. Перейдіть до Local RBAC і виберіть + Додати.
   3. У випадаючому списку Role (Роль ) виберіть роль Керований криптокористувач HSM на сторінці Призначення ролі.
   4. Виберіть «Усі ключі» в розділі «Область».
   5. Виберіть Вибрати принцип безпеки, а потім виберіть адміністратора на сторінці Додати учасника .
   6. Виберіть Створити.

6. Створіть ключ RSA-HSM:

   • Параметри: Згенерувати
   • Назва: укажіть назву ключа
   • Тип ключа: RSA-HSM
   • Розмір ключа RSA: 2048

   Нотатка

   Підтримувані розміри ключів RSA-HSM: 2048-біт, 3072-біт, 4096-біт.

Шифрування середовища за допомогою ключа зі сховища ключів Azure за допомогою приватного посилання

Ви можете оновити мережу сховища ключів Azure, увімкнувши приватну кінцеву точку , і використовувати ключ у сховищі ключів для шифрування середовищ Power Platform .

Ви можете або створити нове сховище ключів і встановити з’єднання з приватним посиланням, або встановити з’єднання приватного зв’язку з наявним сховищем ключів, а також створити ключ із цього сховища ключів і використовувати його для шифрування середовища. Ви також можете встановити приватне з’єднання з наявним сховищем ключів після того, як ви вже створили ключ, і використовувати його для шифрування середовища.

Шифрування даних за допомогою ключа зі сховища ключів за допомогою приватного посилання

1. Створіть сховище ключів Azure за допомогою таких параметрів:

   • Увімкніть захист від продувки
   • Тип ключа: RSA
   • Розмір ключа: 2048

2. Скопіюйте URL-адресу сховища ключів і URL-адресу ключа шифрування, які використовуватимуться для створення корпоративної політики.

   Нотатка

   Додавши приватну кінцеву точку до сховища ключів або вимкнувши загальнодоступну мережу, ви не зможете побачити ключ, якщо у вас немає відповідного дозволу.

3. Створіть віртуальну мережу.

4. Поверніться до сховища ключів і додайте приватні підключення кінцевих точок до сховища ключів Azure.

   Нотатка

   Вам потрібно вибрати параметр Вимкнути мережу загального доступу та ввімкнути параметр Дозволити довіреним службам Microsoft обходити цей виняток брандмауера .

5. Створіть корпоративну політику Power Platform . Додаткові відомості: Створення корпоративної політики

6. Надайте корпоративним політикам дозволи на доступ до сховища ключів. Додаткові відомості: Надання корпоративним політикам дозволів на доступ до сховища ключів

7. Надайте Power Platform адміністраторам і адміністраторам Dynamics 365 дозвіл на читання корпоративної політики. Додаткові відомості: Надання адміністратору Power Platform права на читання корпоративної політики

8. Power Platform Адміністратор Центру адміністрування вибирає середовище для шифрування та ввімкнення керованого середовища. Додаткові відомості: Увімкнення додавання керованого середовища до корпоративної політики

9. Power Platform Адміністратор Центру адміністрування додає кероване середовище до корпоративної політики. Додаткові відомості: Додавання середовища до корпоративної політики для шифрування даних

Увімкніть службу корпоративних Power Platform політик для передплати Azure

Зареєструйтесь Power Platform як постачальник ресурсів. Це завдання потрібно виконати лише один раз для кожної передплати Azure, де розташоване сховище ключів Azure. Потрібно мати права доступу до підписки, щоб зареєструвати постачальника ресурсу.

1. увійдіть на портал Azure і перейдіть до розділу Постачальники> ресурсів підписки.
2. У списку постачальників ресурсів знайдіть Microsoft.PowerPlatform і зареєструйте його.

Створення корпоративної політики

1. Інсталюйте PowerShell MSI. Додаткові відомості: Встановіть PowerShell на Windows, Linux і macOS
2. Після інсталяції PowerShell MSI поверніться до розділу Розгортання настроюваного шаблону в Azure.
3. Виберіть пункт Створити власний шаблон за посиланням редактора .
4. Скопіюйте шаблон JSON в текстовий редактор, наприклад Блокнот. Додаткові відомості: Шаблон json політики підприємства
5. Замініть значення в шаблоні JSON для: EnterprisePolicyName,location, де потрібно створити EnterprisePolicy,keyVaultId і keyName. Додаткові відомості: Визначення полів для шаблону json
6. Скопіюйте оновлений шаблон із текстового редактора, потім вставте його в шаблонредагування настроюваного розгортання в Azure і натисніть кнопку Зберегти.
7. Виберіть групу «Підписка» та «Ресурси», у якій потрібно створити корпоративну політику.
8. Виберіть Рецензування + створити, а потім натисніть кнопку Створити.

Розпочато розгортання. Коли це зроблено, створюється політика підприємства.

Шаблон json корпоративної політики

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Визначення полів для шаблону JSON

• ім’я. Найменування політики підприємства. Це назва політики, яка відображається в Power Platform центрі адміністрування.

• розташування. Одне з наступного. Це місце розташування політики підприємства, і вона повинна відповідати Dataverse регіону навколишнього середовища:

  • ’’Сполучені Штати’’
  • ’’Південно-Африканська Республіка’’
  • ’’uk’’
  • ’’Японія’’
  • ’’Індія’’
  • ’’Франція’’
  • ’’Європа"’
  • ’’Німеччина’’
  • "" Швейцарія ""
  • ’’Канада’’
  • ’’Бразилія’’
  • ’’Австралія’’
  • ’’Азія’’
  • ’’ОАЕ’’
  • ’’Корея’’
  • ’’Норвегія’’
  • ’’Сінгапур’’
  • "" Швеція ""

• Скопіюйте ці значення з властивостей сховища ключів на порталі Azure.

  • keyVaultId: перейдіть до розділу Сховища ключів,> виберіть своє сховище >ключів Огляд. Поруч із пунктом «Основи» виберіть «Перегляд JSON». Скопіюйте ідентифікатор ресурсу в буфер обміну та вставте весь вміст у свій шаблон JSON.
  • keyName: перейдіть до розділу Сховища ключів, виберіть> ключі > сховища. Зверніть увагу на ключ Name і введіть його в шаблон JSON.

Надання корпоративним політикам дозволів на доступ до сховища ключів

Після створення корпоративної політики адміністратор сховища ключів надає керованим посвідченням корпоративної політики доступ до ключа шифрування.

1. увійдіть на портал Azure і перейдіть до розділу Сховища ключів.
2. Виберіть сховище ключів, у якому ключ було призначено корпоративній політиці.
3. Перейдіть на вкладку Контроль доступу (IAM), а потім виберіть + Додати.
4. Виберіть Додати призначення ролей зі спадного списку,
5. Знайдіть користувача шифрування криптосервісу Key Vault і виберіть його.
6. Виберіть Далі.
7. Вибрати + Вибрати учасників.
8. Знайдіть створену корпоративну політику.
9. Виберіть корпоративну політику, а потім натисніть кнопку Вибрати.
10. Виберіть Переглянути + призначити.

Нотатка

Наведене вище налаштування дозволів базується на моделі дозволів сховища ключів для керування доступом на основі ролей Azure. Якщо для сховища ключів вибрано політику доступу до Сейфу, рекомендовано перейти на рольову модель. Щоб надати корпоративній політиці доступ до сховища ключів за допомогою політики доступу до Сховища, створіть політику доступу, виберіть елементи Отримати операції керування ключами та Розгорнути ключ і Обгорнути ключ у криптографічних операціях.

Надання Power Platform адміністратору права на читання корпоративної політики

Адміністратори, які мають глобальні ролі Azure, Dynamics 365 і Power Platform адміністрування, можуть отримати доступ до Power Platform Центру адміністрування, щоб призначити середовища корпоративній політиці. Щоб отримати доступ до корпоративних політик, глобальний адміністратор із доступом до сховища ключів Azure має надати адміністратору роль читача Power Platform . Отримавши роль читача , Power Platform адміністратор зможе переглядати корпоративні політики в Power Platform Центрі адміністрування.

Нотатка

Лише Power Platform адміністратори та адміністратори Dynamics 365, яким надано роль читача корпоративної політики, можуть додавати середовище до політики. Інші Power Platform адміністратори або адміністратори Dynamics 365 можуть переглядати корпоративну політику, але вони отримують повідомлення про помилку, коли намагаються додати середовище до політики.

Надання ролі читача адміністратору Power Platform

1. увійдіть на портал Azure.
2. Скопіюйте Power Platform ідентифікатор об’єкта адміністратора Dynamics 365. Для цього:
   1. Перейдіть до розділу «Користувачі» в Azure.
   2. У списку Усі користувачі знайдіть користувача з Power Platform дозволами адміністратора Dynamics 365 або Dynamics 365 за допомогою Пошуку користувачів.
   3. Відкрийте запис користувача, на вкладці «Огляд » скопіюйте ідентифікатор об’єкта користувача. Вставте його в текстовий редактор, наприклад Блокнот, на потім.
3. Скопіюйте ідентифікатор ресурсу корпоративної політики. Для цього:
   1. Перейдіть до Resource Graph Explorer в Azure.
   2. Введіть microsoft.powerplatform/enterprisepolicies у полі пошуку , а потім виберіть ресурс Microsoft.powerplatform/enterprisepolicies .
   3. Виберіть пункт Виконати запит на панелі команд. Відобразиться список усіх Power Platform політик підприємства.
   4. Знайдіть корпоративну політику, до якої потрібно надати доступ.
   5. Прокрутіть праворуч від корпоративної політики та виберіть Докладніше.
   6. На сторінці Подробиці скопіюйте ідентифікатор .
4. Запустіть Azure Cloud Shell і виконайте наступну команду, замінивши objId на ідентифікатор об’єкта користувача, а ідентифікатор ресурсу EP на enterprisepolicies ідентифікатор, скопійований на попередніх кроках: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Керування шифруванням середовища

Щоб керувати шифруванням середовища, потрібен такий дозвіл:

• Microsoft Entra активний Power Platform користувач, який має роль безпеки адміністратора та/або Dynamics 365.
• Microsoft Entra користувач, який має роль адміністратора Power Platform глобального клієнта або адміністратора служби Dynamics 365.

Адміністратор сховища ключів сповіщає Power Platform адміністратора про створення ключа шифрування та корпоративної політики та надає корпоративну політику адміністратору Power Platform . Щоб увімкнути ключ, керований клієнтом, Power Platform адміністратор призначає свої середовища корпоративній політиці. Після того, як середовище призначено та збережено, Dataverse ініціює процес шифрування, щоб встановити всі дані середовища та зашифрувати їх ключем, керованим клієнтом.

Увімкнення додавання керованого середовища до корпоративної політики

1. Увійдіть у Power Platform Центр адміністрування та знайдіть середовище.
2. Виберіть і перевірте середовище у списку середовищ.
3. Виберіть піктограму «Увімкнути керовані середовища» на панелі дій.
4. Виберіть Увімкнути.

Додавання середовища до корпоративної політики для шифрування даних

Важливо

Середовище буде вимкнено, коли його буде додано до корпоративної політики шифрування даних.

1. увійдіть у Power Platform Центр адміністрування та перейдіть до розділу Політики>Enterprise.
2. Виберіть політику, а потім на панелі команд натисніть кнопку Редагувати.
3. Виберіть пункт Додати середовища, виберіть потрібне, а потім натисніть кнопку Продовжити.
4. Натисніть кнопку Зберегти, а потім натисніть кнопку Підтвердити.

Важливо

• У списку Додати середовища відображаються лише середовища, які знаходяться в тому самому регіоні, що й політика підприємства.
• Шифрування може тривати до чотирьох днів, але середовище може бути ввімкнено до завершення операції «Додати середовища».
• Операція може не завершитися, і якщо вона не вдалася, ваші дані продовжуватимуть шифруватися за допомогою керованого ключа Microsoft. Ви можете повторно запустити операцію «Додати середовища» ще раз.

Нотатка

Ви можете додавати лише ті середовища, які ввімкнено як керовані середовища. Типи ознайомлювальних версій і середовищ Teams не можна додати до корпоративної політики.

Видалення середовищ із політики, щоб повернутися до керованого ключа Microsoft

Виконайте наведені нижче дії, щоб повернутися до керованого корпорацією Майкрософт ключа шифрування.

Важливо

Середовище буде вимкнено, якщо його буде видалено з корпоративної політики для повернення шифрування даних за допомогою керованого ключа Microsoft.

1. увійдіть у Power Platform Центр адміністрування та перейдіть до розділу Політики>Enterprise.
2. Перейдіть на вкладку Середовище з політиками , а потім знайдіть середовище, яке потрібно видалити з ключа, керованого клієнтом.
3. Перейдіть на вкладку Усі політики , виберіть середовище, перевірене на кроці 2, а потім на панелі команд натисніть кнопку Редагувати політику .
4. На панелі команд виберіть пункт Видалити середовище , виберіть середовище, яке потрібно видалити, а потім натисніть кнопку Продовжити.
5. Виберіть Зберегти.

Важливо

Середовище буде вимкнено, якщо його буде видалено з корпоративної політики, щоб відновити шифрування даних до ключа, керованого корпорацією Майкрософт. Не видаляйте та не вимикайте ключ, не видаляйте та не вимикайте сховище ключів, а також не скасовуйте дозволи політики підприємництва на сховище ключів. Доступ до ключа та сховища ключів необхідний для підтримки відновлення бази даних. Ви можете видалити дозволи корпоративної політики через 30 днів.

Перегляд стану шифрування середовища

Перегляд стану шифрування в корпоративних політиках

1. Увійдіть у центр адміністрування Power Platform.

2. Виберіть Політики>Корпоративні політики.

3. Виберіть політику, а потім на панелі команд натисніть кнопку Редагувати.

4. Перегляньте стан шифрування середовища в розділі Середовища з цією політикою .

   Нотатка

   Стан шифрування середовища може бути таким:

   • Зашифрований – ключ шифрування корпоративної політики активний, а середовище зашифровано вашим ключем.
   • Помилка – ключ шифрування корпоративної політики не використовується, а середовище продовжує шифруватися ключем, керованим корпорацією Майкрософт.
   • Попередження – ключ шифрування корпоративної політики активний, а деякі дані служби продовжують шифруватися ключем, керованим корпорацією Майкрософт. Дізнайтесь більше: Power Automate Попереджувальні повідомлення програми CMK

   Ви можете повторно запустити параметр Додати середовище для середовища, яке має стан Помилка шифрування.

Перегляд стану шифрування на сторінці «Історія середовища»

Ви можете побачити історію навколишнього середовища.

1. Увійдіть у центр адміністрування Power Platform.

2. Виберіть пункт Середовища в області переходів, а потім виберіть середовище зі списку.

3. На панелі команд виберіть Історія.

4. Знайдіть журнал оновлення керованого ключа клієнта.

   Нотатка

   У полі Стан відображається пункт Виконується , коли виконується шифрування. Він показує повідомлення «Успішно виконано », коли шифрування завершено. У статусі відображається повідомлення «Помилка », якщо виникла проблема з однією зі служб, яка не може застосувати ключ шифрування.

   Стан «Помилка» може бути попередженням , і вам не потрібно повторно запускати параметр «Додати середовище ». Ви можете підтвердити, чи це попередження.

Змініть ключ шифрування середовища за допомогою нової корпоративної політики та ключа

Щоб змінити ключ шифрування, створіть новий ключ і нову корпоративну політику. Потім можна змінити політику підприємства, видаливши середовища, а потім додавши середовища до нової корпоративної політики. При переході на нову корпоративну політику система не працює 2 рази: 1) для відновлення шифрування до керованого ключа Microsoft і 2) для застосування нової корпоративної політики.

[! Рекомендація] Щоб повернути ключ шифрування, рекомендуємо скористатися новою версією сховища ключів або встановити політику ротації.

1. На порталі Azure створіть новий ключ і нову корпоративну політику. Додаткові відомості: Створення ключа шифрування та надання доступу та Створення корпоративної політики
2. Створивши новий ключ і корпоративну політику, перейдіть до розділу Політики>Корпоративні політики.
3. Перейдіть на вкладку Середовище з політиками , а потім знайдіть середовище, яке потрібно видалити з ключа, керованого клієнтом.
4. Перейдіть на вкладку Усі політики , виберіть середовище, перевірене на кроці 2, а потім на панелі команд натисніть кнопку Редагувати політику .
5. На панелі команд виберіть пункт Видалити середовище , виберіть середовище, яке потрібно видалити, а потім натисніть кнопку Продовжити.
6. Виберіть Зберегти.
7. Повторюйте кроки 2–6, доки не буде видалено всі середовища в корпоративній політиці.

Важливо

Середовище буде вимкнено, якщо його буде видалено з корпоративної політики, щоб відновити шифрування даних до ключа, керованого корпорацією Майкрософт. Не видаляйте та не вимикайте ключ, не видаляйте та не вимикайте сховище ключів, а також не скасовуйте дозволи політики підприємництва на сховище ключів. Доступ до ключа та сховища ключів необхідний для підтримки відновлення бази даних. Ви можете видалити дозволи корпоративної політики через 30 днів.

1. Після видалення всіх середовищ у Power Platform центрі адміністрування перейдіть до розділу Корпоративні політики.
2. Виберіть нову корпоративну політику, а потім натисніть кнопку Редагувати політику.
3. Виберіть пункт Додати середовище, виберіть середовища, які потрібно додати, а потім натисніть кнопку Продовжити.

Важливо

Середовище буде вимкнено, коли його буде додано до нової корпоративної політики.

Змініть ключ шифрування середовища за допомогою нової версії ключа

Ви можете змінити ключ шифрування середовища, створивши нову версію ключа. Коли ви створюєте нову версію ключа, нова версія ключа вмикається автоматично. Усі ресурси сховища виявляють нову версію ключа та починають застосовувати її для шифрування ваших даних.

Коли ви змінюєте ключ або версію ключа, захист кореневого ключа шифрування змінюється, але дані у сховищі завжди залишаються зашифрованими вашим ключем. З вашого боку більше не потрібно нічого робити, щоб забезпечити захист ваших даних. Обертання ключової версії не впливає на продуктивність. Немає простоїв, пов’язаних з ротацією ключової версії. Усім постачальникам ресурсів може знадобитися 24 години, щоб застосувати нову версію ключа у фоновому режимі. Попередню версію ключа не можна вимикати , оскільки це потрібно для того, щоб сервіс міг використовувати його для повторного шифрування та підтримки відновлення бази даних.

Щоб змінити ключ шифрування, створивши нову версію ключа, виконайте наведені нижче дії.

1. Перейдіть до сховищ>ключів порталу Azure і знайдіть сховище ключів, де потрібно створити нову версію ключа.
2. Перейдіть до розділу Ключі.
3. Виберіть поточну клавішу, увімкнену.
4. Вибрати + нову версію.
5. Параметр Увімкнено за замовчуванням має значення Так, що означає, що нова версія ключа автоматично вмикається під час створення.
6. Виберіть Створити.

[! Рекомендація] Щоб дотримуватися політики ротації ключів, ви можете змінити ключ шифрування за допомогою політики ротації. Ви можете налаштувати політику обертання або виконати ротацію на вимогу, викликавши команду Повернути зараз.

Важливо

Нова версія ключа автоматично повертається у фоновому режимі, і адміністратор не вимагає Power Platform жодних дій. Важливо, щоб попередня версія ключа не була відключена або видалена принаймні протягом 28 днів для підтримки відновлення бази даних. Занадто раннє вимкнення або вилучення попередньої версії ключа може перевести ваше середовище в автономний режим.

Перегляд списку зашифрованих середовищ

1. увійдіть у Power Platform Центр адміністрування та перейдіть до розділу Політики>Enterprise.
2. На сторінці Корпоративні політики виберіть вкладку Середовища з політиками . Відобразиться список середовищ, доданих до корпоративних політик.

Нотатка

Можуть виникати ситуації, коли стан середовища або стан шифрування показує стан «Помилка». У такому разі надішліть запит на допомогу до служби підтримки Microsoft.

Операції шифрування бази даних

У користувацькому клієнті можуть бути середовища, зашифровані за допомогою ключа, яким керує Microsoft, і середовища, зашифровані за допомогою ключа, яким керує клієнт. Для підтримки цілісності даних і їх захисту доступні наведені нижче елементи керування доступні під час керування операціями з базами даних у середовищі.

• Відновити Середовище для перезапису (середовище, в яке необхідно відновити) обмежено тим самим середовищем, з якого було зроблено резервну копію, або в інше середовище, зашифроване за допомогою того самого ключа, яким керує клієнт.

  

• Копіювати Середовище для перезаписування (середовище, в яке потрібно скопіювати) обмежено іншим середовищем, зашифрованим за допомогою того самого ключа, яким керує клієнт.

  

  Нотатка

  Якщо середовище «Дослідження підтримки» було створено для вирішення проблеми з підтримкою в середовищі, яким керує клієнт, ключ шифрування для середовища «Дослідження підтримки» необхідно змінити на ключ, яким керує клієнт, перш ніж можна буде виконати операцію копіювання середовища.

• Скидання Зашифровані дані середовища видаляються, включно з резервними копіями. Після скидання середовища шифрування середовища повернеться до використання ключа, яким керує Microsoft.

Наступні кроки

Про сховище ключів Azure