Quản lý khóa mã hóa do khách hàng quản lý

Khách hàng có các yêu cầu về quyền riêng tư và tuân thủ dữ liệu để bảo mật dữ liệu của mình bằng cách mã hóa dữ liệu ở trạng thái lưu trữ. Điều này bảo vệ dữ liệu khỏi bị lộ trong trường hợp bản sao của cơ sở dữ liệu bị đánh cắp. Với mã hóa dữ liệu ở trạng thái lưu trữ, dữ liệu cơ sở dữ liệu bị đánh cắp được bảo vệ khỏi bị khôi phục sang máy chủ khác mà không có khóa mã hóa.

Theo mặc định, tất cả dữ liệu khách hàng được lưu trữ trong Power Platform được mã hóa ở trạng thái lưu trữ bằng các khóa mã hóa mạnh do Microsoft quản lý. Microsoft lưu trữ và quản lý khóa mã hóa cơ sở dữ liệu cho tất cả dữ liệu của bạn nên bạn không cần phải làm vậy. Tuy nhiên, Power Platform cung cấp khóa mã hóa do khách hàng quản lý (CMK) này để kiểm soát bảo vệ dữ liệu bổ sung của bạn, nơi bạn có thể tự quản lý khóa mã hóa cơ sở dữ liệu được liên kết với môi trường Microsoft Dataverse của mình. Điều này cho phép bạn xoay hoặc trao đổi khóa mã hóa theo yêu cầu, đồng thời cho phép bạn ngăn chặn quyền truy cập của Microsoft vào dữ liệu khách hàng của bạn khi bạn thu hồi quyền truy cập khóa vào các dịch vụ của chúng tôi bất kỳ lúc nào.

Để tìm hiểu thêm về khóa do khách hàng quản lý trong Power Platform, hãy xem video về khóa do khách hàng quản lý.

Các thao tác khóa mã hóa này có sẵn với khóa do khách hàng quản lý (CMK):

• Tạo khóa RSA (RSA-HSM) từ kho khóa Azure Key của bạn.
• Tạo Power Platform chính sách doanh nghiệp cho khóa của bạn.
• Cấp Power Platform quyền chính sách doanh nghiệp để truy cập kho khóa của bạn.
• Cấp cho quản trị viên dịch vụ Power Platform quyền đọc chính sách doanh nghiệp.
• Áp dụng khóa mã hóa cho môi trường của bạn.
• Hoàn nguyên/xóa mã hóa CMK của môi trường thành khóa do Microsoft quản lý.
• Thay đổi khóa bằng cách tạo chính sách doanh nghiệp mới, xóa môi trường khỏi CMK và áp dụng lại CMK với chính sách doanh nghiệp mới.
• Khóa môi trường CMK bằng cách thu hồi kho khóa CMK và/hoặc các quyền của khóa.
• Di chuyển môi trường mang khóa của riêng bạn (BYOK) sang CMK bằng cách áp dụng khóa CMK.

Hiện tại, tất cả dữ liệu khách hàng của bạn được lưu trữ chỉ trong các ứng dụng và dịch vụ sau mới có thể được mã hóa bằng khóa do khách hàng quản lý:

• Dataverse (Giải pháp tùy chỉnh và dịch vụ của Microsoft)
• Dataverse copilot dành cho ứng dụng dựa trên mô hình
• Power Automate¹
• Power Apps
• Kênh trò chuyện cho Dynamics 365
• Bán hàng động lực 365
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Tài chính và hoạt động)
• Dynamics 365 Intelligent Order Management (Tài chính và hoạt động)
• Dynamics 365 Project Operations (Tài chính và hoạt động)
• Dynamics 365 Supply Chain Management (Tài chính và hoạt động)
• Dynamics 365 Fraud Protection (Tài chính và hoạt động)

¹ Khi bạn áp dụng khóa do khách hàng quản lý cho môi trường đã có các luồng Power Automate hiện có, dữ liệu về luồng sẽ tiếp tục được mã hóa bằng khóa do Microsoft quản lý. Thông tin thêm: Power Automate mã do khách hàng quản lý.

Lưu ý

Nuance Conversational IVR và Nội dung chào mừng của nhà sáng tạo được loại trừ khỏi quá trình mã hóa khóa do khách hàng quản lý.

Microsoft Copilot Studio lưu trữ dữ liệu của nó trong bộ nhớ riêng của chúng và trong Microsoft Dataverse. Khi bạn áp dụng khóa do khách hàng quản lý cho các môi trường này, chỉ các kho dữ liệu trong Microsoft Dataverse được mã hóa bằng khóa của bạn. Dữ liệu không phảiMicrosoft Dataverse tiếp tục được mã hóa bằng khóa do Microsoft quản lý.

Lưu ý

Cài đặt kết nối cho trình kết nối sẽ tiếp tục được mã hóa bằng khóa do Microsoft quản lý.

Liên hệ với đại diện của các dịch vụ không được liệt kê ở trên để biết thông tin về hỗ trợ chính do khách hàng quản lý.

Lưu ý

Power Apps tên hiển thị, mô tả và siêu dữ liệu kết nối tiếp tục được mã hóa bằng khóa do Microsoft quản lý.

Lưu ý

Dữ liệu được phân tích bằng cách thực thi trình kiểm tra giải pháp trong quá trình kiểm tra giải pháp tiếp tục được mã hóa bằng khóa do Microsoft quản lý.

Các môi trường có ứng dụng tài chính và hoạt động trong đó Power Platform bật tích hợp cũng có thể được mã hóa. Môi trường tài chính và hoạt động không tích hợp Power Platform sẽ tiếp tục sử dụng khóa do Microsoft quản lý mặc định để mã hóa dữ liệu. Thông tin thêm: Mã hóa bằng ứng dụng tài chính và hoạt động

Giới thiệu về khóa do khách hàng quản lý

Với khóa do khách hàng quản lý, quản trị viên có thể cung cấp khóa mã hóa riêng từ Azure Key Vault của riêng họ đến các dịch vụ lưu trữ Power Platform để mã hóa dữ liệu khách hàng của họ. Microsoft không có quyền truy cập trực tiếp vào Azure Key Vault của bạn. Để Power Platform các dịch vụ truy cập vào khóa mã hóa từ Azure Key Vault của bạn, quản trị viên sẽ tạo một Power Platform chính sách doanh nghiệp tham chiếu khóa mã hóa và cấp cho chính sách doanh nghiệp này quyền truy cập để đọc khóa từ Kho khóa Azure của bạn.

Sau đó, Power Platform quản trị viên dịch vụ có thể thêm Dataverse môi trường vào chính sách doanh nghiệp để bắt đầu mã hóa tất cả dữ liệu khách hàng trong môi trường bằng khóa mã hóa của bạn. Quản trị viên có thể thay đổi khóa mã hóa của môi trường bằng cách tạo một chính sách doanh nghiệp khác và thêm môi trường (sau khi xóa nó) vào chính sách doanh nghiệp mới. Nếu môi trường không còn cần được mã hóa bằng khóa do khách hàng quản lý của bạn nữa thì quản trị viên có thể xóa môi trường Dataverse khỏi chính sách doanh nghiệp để hoàn nguyên mã hóa dữ liệu trở lại khóa do Microsoft quản lý.

Quản trị viên có thể khóa các môi trường khóa do khách hàng quản lý bằng cách thu hồi quyền truy cập khóa từ chính sách doanh nghiệp và mở khóa các môi trường bằng cách khôi phục quyền truy cập khóa. Thông tin thêm: Khóa môi trường bằng cách thu hồi kho khóa và/hoặc quyền truy cập vào quyền khóa

Để đơn giản hóa các nhiệm vụ quản lý chính, các nhiệm vụ được chia thành ba lĩnh vực chính:

1. Tạo khóa mã hóa.
2. Tạo chính sách doanh nghiệp và cấp quyền truy cập.
3. Quản lý mã hóa của môi trường.

Cảnh báo

Khi môi trường bị khóa, bất kỳ ai cũng không thể truy cập vào chúng, kể cả bộ phận hỗ trợ của Microsoft. Các môi trường bị khóa sẽ bị vô hiệu hóa và có thể xảy ra mất dữ liệu.

Yêu cầu cấp phép cho khóa do khách hàng quản lý

Chính sách khóa do khách hàng quản lý chỉ được thực thi trên các môi trường được kích hoạt cho Môi trường được quản lý. Môi trường được quản lý được đưa vào dưới dạng quyền trong các giấy phép độc lập Power Apps, Power Automate, Power Virtual Agents, Power Pages và các giấy phép Dynamics 365 cung cấp quyền sử dụng cao cấp. Tìm hiểu thêm về Cấp phép Môi trường được quản lý với Tổng quan về cấp phép cho Microsoft Power Platform.

Ngoài ra, quyền truy cập vào việc sử dụng khóa do khách hàng quản lý cho Microsoft Power Platform và Dynamics 365 yêu cầu người dùng trong các môi trường nơi chính sách khóa mã hóa được thực thi phải có một trong các đăng ký sau:

• Microsoft 365 hoặc Office 365 A5/E5/G5
• Microsoft 365 Tuân thủ A5/E5/F5/G5
• Microsoft 365 F5 Bảo mật & Sự tuân thủ
• Microsoft 365 A5/E5/F5/G5 Bảo vệ và quản trị thông tin
• Microsoft 365 A5/E5/F5/G5 Quản lý rủi ro nội bộ

Tìm hiểu thêm về các giấy phép này.

Hiểu rủi ro tiềm ẩn khi bạn quản lý chìa khóa của mình

Như với bất kỳ ứng dụng quan trọng nào khác trong công việc, những nhân viên trong tổ chức bạn có quyền truy cập cấp độ quản trị viên phải là người đáng tin cậy. Trước khi bạn sử dụng tính năng quản lý khóa, bạn phải hiểu được rủi ro khi quản lý khóa mật mã hóa cơ sở dữ liệu của mình. Có thể hình dung rằng quản trị viên độc hại (người được cấp hoặc đã có được quyền truy cập cấp quản trị viên với mục đích gây tổn hại đến quy trình kinh doanh hoặc bảo mật của tổ chức) làm việc trong tổ chức của bạn có thể sử dụng tính năng quản lý khóa để tạo khóa và sử dụng nó để khóa tài khoản của bạn. môi trường trong đối tượng thuê.

Cân nhắc trình tự các sự kiện sau.

Quản trị viên kho khóa độc hại tạo khóa và chính sách doanh nghiệp trên cổng Azure. Quản trị viên Azure Key Vault truy cập Power Platform trung tâm quản trị và thêm môi trường vào chính sách doanh nghiệp. Sau đó, quản trị viên độc hại quay lại cổng Azure và thu hồi quyền truy cập chính vào chính sách doanh nghiệp, do đó khóa tất cả các môi trường. Điều này gây ra sự gián đoạn kinh doanh vì tất cả các môi trường đều không thể truy cập được và nếu sự kiện này không được giải quyết, tức là quyền truy cập chính được khôi phục thì dữ liệu môi trường có thể bị mất.

Lưu ý

• Azure Key Vault có các biện pháp bảo vệ tích hợp hỗ trợ khôi phục khóa, yêu cầu Xóa mềm và Bảo vệ thanh lọc đã bật cài đặt kho khóa.
• Một biện pháp bảo vệ khác cần được xem xét là đảm bảo có sự phân tách các nhiệm vụ mà quản trị viên Azure Key Vault không được cấp quyền truy cập vào Power Platform trung tâm quản trị.

Tách biệt nhiệm vụ để giảm thiểu rủi ro

Phần này mô tả các nhiệm vụ tính năng chính do khách hàng quản lý mà mỗi vai trò quản trị viên chịu trách nhiệm. Việc tách biệt các nhiệm vụ này giúp giảm thiểu rủi ro liên quan đến khóa do khách hàng quản lý.

Nhiệm vụ quản trị viên dịch vụ Azure Key Vault và Power Platform/Dynamics 365

Để bật khóa do khách hàng quản lý, trước tiên, quản trị viên kho khóa sẽ tạo một khóa trong kho khóa Azure và tạo Power Platform chính sách doanh nghiệp. Khi chính sách doanh nghiệp được tạo, một danh tính đặc biệt được quản lý Microsoft Entra ID sẽ được tạo. Tiếp theo, quản trị viên kho khóa quay lại kho khóa Azure và cấp quyền truy cập danh tính được quản lý/chính sách doanh nghiệp cho khóa mã hóa.

Sau đó, quản trị viên kho khóa sẽ cấp cho quản trị viên dịch vụ Power Platform/Dynamics 365 quyền đọc tương ứng đối với chính sách doanh nghiệp. Sau khi được cấp quyền đọc, quản trị viên dịch vụ Power Platform/Dynamics 365 có thể truy cập Power Platform Trung tâm quản trị và thêm môi trường vào chính sách doanh nghiệp. Sau đó, tất cả dữ liệu khách hàng của môi trường được thêm vào sẽ được mã hóa bằng khóa do khách hàng quản lý được liên kết với chính sách doanh nghiệp này.

Điều kiện tiên quyết

• Đăng ký Azure bao gồm các mô-đun bảo mật phần cứng được quản lý Azure Key Vault hoặc Azure Key Vault.
• Quản trị viên đối tượng thuê toàn cầu hoặc ID Microsoft Entra có:
  • Quyền của người đóng góp đối với việc đăng ký Microsoft Entra .
  • Quyền tạo Azure Key Vault và khóa.
  • Truy cập để tạo một nhóm tài nguyên. Điều này là cần thiết để thiết lập kho chìa khóa.

Tạo khóa và cấp quyền truy cập bằng Azure Key Vault

Quản trị viên Azure Key Vault thực hiện các tác vụ này trong Azure.

1. Tạo đăng ký trả phí Azure và Key Vault. Hãy bỏ qua bước này nếu bạn đã có đăng ký bao gồm Azure Key Vault.
2. Đi tới dịch vụ Azure Key Vault và tạo khóa. Thông tin thêm: Tạo khóa trong kho khóa
3. Kích hoạt Power Platform dịch vụ chính sách doanh nghiệp cho đăng ký Azure của bạn. Làm điều này chỉ một lần. Thông tin thêm: Bật dịch vụ chính sách doanh nghiệp Power Platform cho đăng ký Azure của bạn
4. Tạo Power Platform chính sách doanh nghiệp. Thông tin thêm: Tạo chính sách doanh nghiệp
5. Cấp quyền chính sách doanh nghiệp để truy cập vào kho khóa. Thông tin thêm: Cấp quyền chính sách doanh nghiệp để truy cập kho khóa
6. Cấp Power Platform và quản trị viên Dynamics 365 quyền đọc chính sách doanh nghiệp. Thông tin thêm: Cấp Power Platform đặc quyền quản trị viên để đọc chính sách doanh nghiệp

Power Platform/Quản trị viên dịch vụ Dynamics 365 Power Platform nhiệm vụ của trung tâm quản trị

Điều kiện tiên quyết

• Power Platform quản trị viên phải được chỉ định vai trò Power Platform hoặc quản trị viên Dịch vụ Dynamics 365 Microsoft Entra .

Quản lý mã hóa môi trường trong Power Platform trung tâm quản trị

Power Platform quản trị viên quản lý các nhiệm vụ chính liên quan đến môi trường do khách hàng quản lý trong Power Platform trung tâm quản trị.

1. Thêm môi trường Power Platform vào chính sách doanh nghiệp để mã hóa dữ liệu bằng khóa do khách hàng quản lý. Thông tin thêm: Thêm môi trường vào chính sách doanh nghiệp để mã hóa dữ liệu
2. Xóa môi trường khỏi chính sách doanh nghiệp để trả lại mã hóa cho khóa được quản lý của Microsoft. Thông tin thêm: Xóa môi trường khỏi chính sách để quay lại khóa được quản lý của Microsoft
3. Thay đổi khóa bằng cách xóa môi trường khỏi chính sách doanh nghiệp cũ và thêm môi trường vào chính sách doanh nghiệp mới. Thông tin thêm: Tạo khóa mã hóa và cấp quyền truy cập
4. Di chuyển từ BYOK. Nếu đang sử dụng tính năng khóa mã hóa tự quản lý trước đó, bạn có thể di chuyển khóa của mình sang khóa do khách hàng quản lý. Thông tin thêm: Di chuyển môi trường mang chìa khóa của riêng bạn sang khóa do khách hàng quản lý

Tạo khóa mã hóa và cấp quyền truy cập

Tạo đăng ký trả phí Azure và kho khóa

Trong Azure, thực hiện các bước sau:

1. Tạo gói Trả tiền theo nhu cầu sử dụng hoặc đăng ký Azure tương đương. Bước này không cần thiết nếu đối tượng thuê đã đăng ký.

2. Tạo một nhóm tài nguyên. Thông tin thêm: Tạo nhóm tài nguyên

   Lưu ý

   Tạo hoặc sử dụng nhóm tài nguyên có vị trí, ví dụ: Miền Trung Hoa Kỳ, phù hợp với Power Platform khu vực môi trường, chẳng hạn như Hoa Kỳ.

3. Tạo kho khóa bằng cách sử dụng đăng ký trả phí bao gồm tính năng bảo vệ xóa mềm và thanh lọc bằng nhóm tài nguyên mà bạn đã tạo trong bước trước đó.

   Quan trọng

   • Để đảm bảo rằng môi trường của bạn được bảo vệ khỏi việc vô tình xóa khóa mã hóa, kho khóa phải được bật tính năng xóa mềm và bảo vệ thanh lọc. Bạn sẽ không thể mã hóa môi trường của mình bằng khóa riêng nếu không bật các cài đặt này. Thông tin thêm: Tổng quan về thao tác xóa mềm Azure Key Vault Thông tin thêm: Tạo kho khóa bằng cổng thông tin Azure

Tạo chìa khóa trong kho chìa khóa

1. Đảm bảo rằng bạn đã đáp ứng điều kiện tiên quyết.

2. Đi tới Cổng thông tin Azure>Kho khóa và tìm kho khóa nơi bạn muốn tạo khóa mã hóa.

3. Xác minh cài đặt kho khóa Azure:

   1. Chọn Thuộc tính trong Cài đặt.
   2. Trong Xóa mềm, hãy đặt hoặc xác minh rằng nó được đặt thành Xóa mềm đã được bật trên tùy chọn vault khóa này .
   3. Trong Bảo vệ thanh lọc, hãy đặt hoặc xác minh rằng Bật tính năng bảo vệ thanh lọc (thực thi khoảng thời gian lưu giữ bắt buộc đối với các vault và đối tượng vault đã xóa) được bật.
   4. Nếu bạn đã thực hiện thay đổi, hãy chọn Lưu.

   

Tạo khóa RSA

1. Tạo hoặc nhập khóa có các thuộc tính sau:
   1. Trên trang thuộc tính Key Vault , chọn Keys.
   2. Chọn Tạo/Nhập.
   3. Trên màn hình Tạo khóa , hãy đặt các giá trị sau rồi chọn Tạo.
      • Tùy chọn: Tạo
      • Name: Đặt tên cho key
      • Loại khóa: RSA
      • Kích thước khóa RSA: 2048

Nhập khóa được bảo vệ cho Mô-đun bảo mật phần cứng (HSM)

Bạn có thể sử dụng các khóa được bảo vệ cho các mô-đun bảo mật phần cứng (HSM) để mã hóa môi trường Power Platform Dataverse của mình. Các khóa được bảo vệ bằng HSM của bạn phải được nhập vào kho khóa để có thể tạo chính sách Doanh nghiệp. Để biết thêm thông tin, hãy xem HSM được hỗ trợNhập khóa được bảo vệ HSM vào Key Vault (BYOK).

Tạo khóa trong Azure Key Vault Managed HSM

Bạn có thể sử dụng khóa mã hóa được tạo từ Azure Key Vault Managed HSM để mã hóa dữ liệu môi trường của mình. Điều này mang lại cho bạn sự hỗ trợ FIPS 140-2 Cấp 3.

Tạo khóa RSA-HSM

1. Đảm bảo rằng bạn đã đáp ứng điều kiện tiên quyết.

2. Đi tới Cổng thông tin Azure.

3. Tạo một HSM được quản lý:

   1. khoản dự phòng HSM được quản lý.
   2. Kích hoạt HSM được quản lý.

4. Bật Bảo vệ thanh lọc trong HSM được quản lý của bạn.

5. Cấp vai trò Người dùng tiền điện tử HSM được quản lý cho người đã tạo kho khóa HSM được quản lý.

   1. Truy cập kho khóa HSM được quản lý trên Cổng thông tin Azure.
   2. Điều hướng đến RBAC cục bộ và chọn + Thêm.
   3. Trong danh sách thả xuống Vai trò , hãy chọn vai trò Người dùng tiền điện tử HSM được quản lý trên Trang phân công vai trò .
   4. Chọn Tất cả các phím trong Phạm vi.
   5. Chọn Chọn hiệu trưởng bảo mật, sau đó chọn quản trị viên trên trang Thêm hiệu trưởng .
   6. Chọn Tạo.

6. Tạo khóa RSA-HSM:

   • Tùy chọn: Tạo
   • Name: Đặt tên cho key
   • Loại khóa: RSA-HSM
   • Kích thước khóa RSA: 2048

   Lưu ý

   Kích thước khóa RSA-HSM được hỗ trợ : 2048-bit, 3072-bit, 4096-bit.

Mã hóa môi trường của bạn bằng khóa từ Azure Key Vault bằng liên kết riêng tư

Bạn có thể cập nhật mạng của Azure Key vault bằng cách bật điểm cuối riêng tư và sử dụng khóa trong kho lưu trữ khóa để mã hóa môi trường của bạn Power Platform .

Bạn có thể tạo kho lưu trữ khóa mới và thiết lập kết nối liên kết riêng tư hoặc thiết lập kết nối liên kết riêng tư với kho khóa hiện có và tạo khóa từ kho khóa này và sử dụng khóa đó để mã hóa môi trường của bạn. Bạn cũng có thể thiết lập kết nối liên kết riêng tư với kho khóa hiện có sau khi bạn đã tạo khóa và sử dụng khóa đó để mã hóa môi trường của mình.

Mã hóa dữ liệu bằng khóa từ kho khóa bằng liên kết riêng tư

1. Tạo Azure Key vault với các tùy chọn sau:

   • Bật tính năng bảo vệ thanh lọc
   • Loại khóa: RSA
   • Kích thước khóa: 2048

2. Sao chép URL kho lưu trữ khóa và URL khóa mã hóa sẽ được sử dụng để tạo chính sách doanh nghiệp.

   Lưu ý

   Khi bạn đã thêm điểm cuối riêng tư vào kho lưu trữ khóa của mình hoặc tắt mạng truy cập công cộng, bạn sẽ không thể xem khóa trừ khi bạn có quyền thích hợp.

3. Tạo một mạng ảo.

4. Quay lại kho lưu trữ khóa và thêm kết nối điểm cuối riêng tư vào kho lưu trữ Azure Key của bạn.

   Lưu ý

   Bạn cần chọn tùy chọn Vô hiệu hóa mạng truy cập công cộng và bật Cho phép các dịch vụ Microsoft đáng tin cậy bỏ qua ngoại lệ tường lửa này.

5. Tạo Power Platform chính sách doanh nghiệp. Thông tin thêm: Tạo chính sách doanh nghiệp

6. Cấp quyền chính sách doanh nghiệp để truy cập vào kho khóa. Thông tin thêm: Cấp quyền chính sách doanh nghiệp để truy cập kho khóa

7. Cấp Power Platform và quản trị viên Dynamics 365 quyền đọc chính sách doanh nghiệp. Thông tin thêm: Cấp Power Platform đặc quyền quản trị viên để đọc chính sách doanh nghiệp

8. Power Platform Quản trị viên trung tâm quản trị chọn môi trường để mã hóa và bật Môi trường được quản lý. Thông tin thêm: Bật môi trường được quản lý được thêm vào chính sách doanh nghiệp

9. Power Platform Quản trị viên trung tâm quản trị thêm Môi trường được quản lý vào chính sách doanh nghiệp. Thông tin thêm: Thêm môi trường vào chính sách doanh nghiệp để mã hóa dữ liệu

Bật Power Platform dịch vụ chính sách doanh nghiệp cho đăng ký Azure của bạn

Đăng ký Power Platform làm nhà cung cấp tài nguyên. Bạn chỉ cần thực hiện tác vụ này một lần cho mỗi đăng ký Azure nơi đặt kho lưu trữ Azure Key của bạn. Bạn cần có quyền truy cập vào đăng ký để đăng ký nhà cung cấp tài nguyên.

1. đăng nhập vào cổng thông tin Azure và đi tới Nhà cung cấp> tài nguyên đăng ký.
2. Trong danh sách các nhà cung cấp tài nguyên, tìm kiếm Microsoft.PowerPlatform và đăng ký nó.

Tạo chính sách doanh nghiệp

1. Cài đặt PowerShell MSI. Thông tin thêm: Cài đặt PowerShell trên Windows, Linux và macOS
2. Sau khi PowerShell MSI được cài đặt, hãy quay lại Triển khai mẫu tùy chỉnh trong Azure.
3. Chọn Xây dựng mẫu của riêng bạn trong trình chỉnh sửa liên kết.
4. Sao chép mẫu JSON vào trình soạn thảo văn bản như Notepad. Thông tin thêm: Enterprise policy json template
5. Thay thế các giá trị trong mẫu JSON cho: EnterprisePolicyName,location where EnterprisePolicy need to be created,keyVaultId và keyName. Thông tin thêm: Định nghĩa trường cho mẫu json
6. Sao chép mẫu cập nhật từ trình soạn thảo văn bản của bạn, sau đó dán mẫu đó vào mẫu Chỉnh sửa của Triển khai tùy chỉnh trong Azure và chọn Lưu.
7. Chọn nhóm Đăng ký và Nguồn lực nơi chính sách doanh nghiệp sẽ được tạo.
8. Chọn Xem lại + tạo, sau đó chọn Tạo.

Một triển khai được bắt đầu. Khi hoàn tất, chính sách doanh nghiệp sẽ được tạo.

Mẫu json chính sách doanh nghiệp

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Định nghĩa trường cho mẫu JSON

• tên. Tên chính sách doanh nghiệp. Đây là tên của chính sách xuất hiện trong Power Platform trung tâm quản trị.

• vị trí. Một trong những điều sau đây. Đây là vị trí của chính sách doanh nghiệp và nó phải tương ứng với Dataverse khu vực của môi trường:

  • "Hoa Kỳ"
  • "Nam Phi"
  • "Anh"
  • "Nhật Bản"
  • "Ấn Độ"
  • "Pháp"
  • "Châu Âu"
  • "Đức"
  • "Thụy Sĩ"
  • "Canada"
  • "Brazil"
  • "Úc"
  • "Châu Á"
  • "UAE"
  • "Hàn Quốc"
  • "Na Uy"
  • "Singapore"
  • "Thụy Điển"

• Sao chép các giá trị này từ thuộc tính kho lưu trữ khóa của bạn trong cổng thông tin Azure:

  • keyVaultId: Đi tới Key vaults> chọn Key vault >của bạn Tổng quan. Bên cạnh Essentials , chọn JSON View. Sao chép ID tài nguyên vào khay nhớ tạm và dán toàn bộ nội dung vào mẫu JSON của bạn.
  • keyName: Đi tới Key vaults> chọn Key vault >Keys của bạn. Chú ý Tên khóa và nhập tên vào mẫu JSON của bạn.

Cấp quyền cho chính sách doanh nghiệp để truy cập kho lưu trữ khóa

Sau khi chính sách doanh nghiệp được tạo, quản trị viên kho lưu trữ khóa sẽ cấp quyền truy cập danh tính được quản lý của chính sách doanh nghiệp vào khóa mã hóa.

1. đăng nhập vào cổng thông tin Azure và đi tới Kho lưu trữ khóa.
2. Chọn kho khóa nơi khóa được gán cho chính sách doanh nghiệp.
3. Chọn tab Kiểm soát truy cập (IAM), sau đó chọn + Thêm.
4. Chọn Thêm phân công vai trò từ danh sách thả xuống,
5. Tìm kiếm Key Vault Crypto Service Encryption User và chọn nó.
6. Chọn Tiếp theo.
7. Chọn + Chọn thành viên.
8. Tìm kiếm chính sách doanh nghiệp bạn đã tạo.
9. Chọn chính sách doanh nghiệp, sau đó chọn Chọn.
10. Chọn Xem lại + gán.

Lưu ý

Cài đặt quyền ở trên dựa trên Mô hình quyền của kiểm soát truy cập dựa trên vai trò Azure của kho lưu trữkhóa của bạn. Nếu kho lưu trữ khóa của bạn được đặt thành Chính sách truy cập Vault, bạn nên di chuyển sang mô hình dựa trên vai trò. Để cấp cho chính sách doanh nghiệp của bạn quyền truy cập vào kho lưu trữ khóa bằng cách sử dụng chính sách truy cập Vault, hãy tạo chính sách Truy cập, chọn Nhận các thao tác quản lý khóa và Khóa mở khóa và Đóng gói khóa trên Hoạt động mật mã.

Cấp Power Platform đặc quyền quản trị để đọc chính sách doanh nghiệp

Quản trị viên có vai trò Azure toàn cầu, Dynamics 365 và Power Platform quản trị viên có thể truy cập Power Platform trung tâm quản trị để gán môi trường cho chính sách doanh nghiệp. Để truy cập các chính sách doanh nghiệp, quản trị viên toàn cầu có quyền truy cập Azure key vault là bắt buộc để cấp vai trò Người đọc cho Power Platform quản trị viên. Sau khi vai trò Người đọc được cấp, Power Platform quản trị viên có thể xem các chính sách doanh nghiệp trên Power Platform trung tâm quản trị.

Lưu ý

Chỉ Power Platform và quản trị viên Dynamics 365 được cấp vai trò người đọc cho chính sách doanh nghiệp mới có thể thêm môi trường vào chính sách. Các quản trị viên khác Power Platform hoặc Dynamics 365 có thể xem chính sách doanh nghiệp, nhưng họ sẽ gặp lỗi khi cố gắng Thêm môi trường vào chính sách.

Cấp vai trò người đọc cho Power Platform quản trị viên

1. đăng nhập vào cổng thông tin Azure.
2. Sao chép Power Platform hoặc ID đối tượng của quản trị viên Dynamics 365. Để làm điều này:
   1. Đi tới khu vực Người dùng trong Azure.
   2. Trong danh sách Tất cả người dùng , hãy tìm người dùng có Power Platform hoặc quyền quản trị viên Dynamics 365 bằng cách sử dụng Người dùng tìm kiếm.
   3. Mở bản ghi người dùng, trên tab Tổng quan , sao chép ID đối tượng củangười dùng. Dán cái này vào trình soạn thảo văn bản như NotePad để sử dụng sau.
3. Sao chép ID tài nguyên chính sách doanh nghiệp. Để làm điều này:
   1. Đi tới Resource Graph Explorer trong Azure.
   2. Nhập microsoft.powerplatform/enterprisepolicies vào hộp Tìm kiếm , sau đó chọn tài nguyên Microsoft.powerplatform/enterprisepolicies .
   3. Chọn Chạy truy vấn trên thanh lệnh. Một danh sách tất cả các Power Platform chính sách doanh nghiệp được hiển thị.
   4. Tìm chính sách doanh nghiệp nơi bạn muốn cấp quyền truy cập.
   5. Cuộn sang bên phải chính sách doanh nghiệp và chọn Xem chi tiết.
   6. Trên trang Chi tiết , sao chép id.
4. Khởi động Azure Cloud Shell và chạy lệnh sau thay thế objId bằng ID đối tượng và Id tài nguyên EP của người dùng bằng enterprisepolicies ID được sao chép ở các bước trước: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Quản lý mã hóa của môi trường

Để quản lý mã hóa của môi trường, bạn cần có quyền sau:

• Microsoft Entra người dùng đang hoạt động có Power Platform vai trò bảo mật quản trị viên Dynamics 365.
• Microsoft Entra người dùng có vai trò quản trị viên Power Platform đối tượng thuê toàn cầu hoặc quản trị viên dịch vụ Dynamics 365.

Quản trị viên kho khóa thông báo cho Power Platform quản trị viên rằng khóa mã hóa và chính sách doanh nghiệp đã được tạo và cung cấp chính sách doanh nghiệp cho Power Platform quản trị viên. Để bật khóa do khách hàng quản lý, quản Power Platform trị viên gán môi trường của họ cho chính sách doanh nghiệp. Khi môi trường được chỉ định và lưu, Dataverse bắt đầu quá trình mã hóa để đặt tất cả dữ liệu môi trường và mã hóa nó bằng khóa do khách hàng quản lý.

Bật Môi trường được quản lý được thêm vào chính sách doanh nghiệp

1. Đăng nhập vào Power Platform Trung tâm quản trị và định vị môi trường.
2. Chọn và kiểm tra môi trường trên danh sách môi trường.
3. Chọn biểu tượng Bật Môi trường được quản lý trên thanh hành động.
4. Chọn Bật.

Thêm môi trường vào chính sách doanh nghiệp để mã hóa dữ liệu

Quan trọng

Môi trường sẽ bị vô hiệu hóa khi được thêm vào chính sách doanh nghiệp để mã hóa dữ liệu.

1. đăng nhập vào Power Platform trung tâm quản trị và đi tới Chính sách Chính sách>doanh nghiệp.
2. Chọn một chính sách, sau đó trên thanh lệnh, chọn Chỉnh sửa.
3. Chọn Thêm môi trường, chọn môi trường bạn muốn, sau đó chọn Tiếp tục.
4. Chọn Lưu, sau đó chọn Xác nhận.

Quan trọng

• Chỉ các môi trường trong cùng khu vực với chính sách doanh nghiệp mới được hiển thị trong danh sách Thêm môi trường .
• Quá trình mã hóa có thể mất tối đa bốn ngày để hoàn tất, nhưng môi trường có thể được bật trước khi thao tác Thêm môi trường hoàn tất.
• Thao tác có thể không hoàn tất và nếu không thành công, dữ liệu của bạn sẽ tiếp tục được mã hóa bằng khóa do Microsoft quản lý. Bạn có thể chạy lại thao tác Thêm môi trường .

Lưu ý

Bạn chỉ có thể thêm các môi trường được bật dưới dạng Môi trường được quản lý. Không thể thêm các loại môi trường Dùng thử và Teams vào chính sách doanh nghiệp.

Xóa môi trường khỏi chính sách để trở về khóa được quản lý của Microsoft

Làm theo các bước sau nếu bạn muốn quay lại khóa mã hóa được quản lý của Microsoft.

Quan trọng

Môi trường sẽ bị vô hiệu hóa khi bị xóa khỏi chính sách doanh nghiệp để trả về mã hóa dữ liệu bằng khóa được quản lý của Microsoft.

1. đăng nhập vào Power Platform trung tâm quản trị và đi tới Chính sách Chính sách>doanh nghiệp.
2. Chọn tab Môi trường có chính sách , sau đó tìm môi trường bạn muốn xóa khỏi khóa do khách hàng quản lý.
3. Chọn tab Tất cả chính sách , chọn môi trường bạn đã xác minh trong bước 2, sau đó chọn Chỉnh sửa chính sách trên thanh lệnh.
4. Chọn Loại bỏ môi trường trên thanh lệnh, chọn môi trường bạn muốn xóa, sau đó chọn Tiếp tục.
5. Chọn Lưu.

Quan trọng

Môi trường sẽ bị vô hiệu hóa khi nó bị xóa khỏi chính sách doanh nghiệp để hoàn nguyên mã hóa dữ liệu vào khóa do Microsoft quản lý. Không xóa hoặc vô hiệu hóa khóa, xóa hoặc vô hiệu hóa kho khóa hoặc xóa quyền của chính sách doanh nghiệp đối với kho lưu trữ khóa. Quyền truy cập của key và key vault là cần thiết để hỗ trợ khôi phục cơ sở dữ liệu. Bạn có thể xóa và xóa các quyền của chính sách doanh nghiệp sau 30 ngày.

Xem lại trạng thái mã hóa của môi trường

Xem lại trạng thái mã hóa từ chính sách Doanh nghiệp

1. Đăng nhập vào Trung tâm quản trị Power Platform.

2. Chọn Chính sách Chính sách> doanh nghiệp.

3. Chọn một chính sách, sau đó trên thanh lệnh, chọn Chỉnh sửa.

4. Xem lại trạng thái Mã hóa của môi trường trong phần Môi trường có chính sách này.

   Lưu ý

   Trạng thái mã hóa của môi trường có thể là:

   • Mã hóa - khóa mã hóa chính sách Enterprise đang hoạt động và môi trường được mã hóa bằng khóa của bạn.
   • Không thành công - khóa mã hóa chính sách Enterprise không được sử dụng và môi trường tiếp tục được mã hóa bằng khóa do Microsoft quản lý.
   • Cảnh báo - khóa mã hóa chính sách Enterprise đang hoạt động và một trong các dữ liệu của dịch vụ tiếp tục được mã hóa bằng khóa do Microsoft quản lý. Tìm hiểu thêm: Power Automate Thông báo cảnh báo ứng dụng CMK

   Bạn có thể chạy lại tùy chọn Thêm môi trường cho môi trường có trạng thái mã hóa không thành công .

Xem lại trạng thái mã hóa từ trang Lịch sử môi trường

Bạn có thể xem lịch sử môi trường.

1. Đăng nhập vào Trung tâm quản trị Power Platform.

2. Chọn Môi trường trong ngăn dẫn hướng, sau đó chọn một môi trường từ danh sách.

3. Trên thanh lệnh, chọn Lịch sử.

4. Tìm lịch sử Cập nhật Khóa do Khách hàng Quản lý.

   Lưu ý

   Trạng thái hiển thị Đang chạy khi quá trình mã hóa đang diễn ra. Nó hiển thị Thành công khi quá trình mã hóa hoàn tất. Trạng thái hiển thị Không thành công khi có sự cố nào đó xảy ra với một trong các dịch vụ không thể áp dụng khóa mã hóa.

   Trạng thái Không thành công có thể là một cảnh báo và bạn không cần phải chạy lại Tùy chọn thêm môi trường . Bạn có thể xác nhận xem đó có phải là cảnh báo hay không.

Thay đổi khóa mã hóa của môi trường bằng khóa và chính sách doanh nghiệp mới

Để thay đổi khóa mã hóa của bạn, hãy tạo khóa mới và chính sách doanh nghiệp mới. Sau đó, bạn có thể thay đổi chính sách doanh nghiệp bằng cách xóa môi trường rồi thêm môi trường vào chính sách doanh nghiệp mới. Hệ thống ngừng hoạt động hai lần khi thay đổi sang chính sách doanh nghiệp mới - 1) thành hoàn nguyên mã hóa thành khóa do Microsoft Managed và 2) để áp dụng chính sách doanh nghiệp mới.

[!Khuyến nghị] Để xoay khóa mã hóa, chúng tôi khuyên bạn nên sử dụng Key vault' Phiên bản mới hoặc đặt Chính sách xoay vòng.

1. Trong Cổng thông tin Azure, tạo khóa mới và chính sách doanh nghiệp mới. Thông tin thêm: Tạo khóa mã hóa và cấp quyền truy cập và Tạo chính sách doanh nghiệp
2. Sau khi khóa và chính sách doanh nghiệp mới được tạo, hãy chuyển đến Chính sách>Chính sách doanh nghiệp.
3. Chọn tab Môi trường có chính sách , sau đó tìm môi trường bạn muốn xóa khỏi khóa do khách hàng quản lý.
4. Chọn tab Tất cả chính sách , chọn môi trường bạn đã xác minh trong bước 2, sau đó chọn Chỉnh sửa chính sách trên thanh lệnh.
5. Chọn Loại bỏ môi trường trên thanh lệnh, chọn môi trường bạn muốn xóa, sau đó chọn Tiếp tục.
6. Chọn Lưu.
7. Lặp lại các bước 2-6 cho đến khi tất cả môi trường trong chính sách doanh nghiệp đã bị xóa.

Quan trọng

Môi trường sẽ bị vô hiệu hóa khi nó bị xóa khỏi chính sách doanh nghiệp để hoàn nguyên mã hóa dữ liệu vào khóa do Microsoft quản lý. Không xóa hoặc vô hiệu hóa khóa, xóa hoặc vô hiệu hóa kho khóa hoặc xóa các quyền của chính sách doanh nghiệp đối với kho khóa. Quyền truy cập của key và key vault là cần thiết để hỗ trợ khôi phục cơ sở dữ liệu. Bạn có thể xóa và xóa các quyền của chính sách doanh nghiệp sau 30 ngày.

1. Sau khi xóa tất cả môi trường, từ Power Platform trung tâm quản trị, hãy chuyển đến Chính sách doanh nghiệp.
2. Chọn chính sách doanh nghiệp mới rồi chọn Chỉnh sửa chính sách.
3. Chọn Thêm môi trường, chọn môi trường bạn muốn thêm rồi chọn Tiếp tục.

Quan trọng

Môi trường sẽ bị vô hiệu hóa khi được thêm vào chính sách doanh nghiệp mới.

Xoay khóa mã hóa của môi trường bằng phiên bản khóa mới

Bạn có thể thay đổi khóa mã hóa của môi trường bằng cách tạo phiên bản khóa mới. Khi bạn tạo phiên bản key mới, phiên bản key mới sẽ tự động được kích hoạt. Tất cả tài nguyên lưu trữ đều phát hiện phiên bản khóa mới và bắt đầu áp dụng phiên bản đó để mã hóa dữ liệu của bạn.

Khi bạn sửa đổi khóa hoặc phiên bản khóa, khả năng bảo vệ của khóa mã hóa gốc sẽ thay đổi nhưng dữ liệu trong bộ lưu trữ luôn được mã hóa bằng khóa của bạn. Bạn không cần thực hiện thêm hành động nào để đảm bảo dữ liệu của mình được bảo vệ. Xoay phiên bản chính không ảnh hưởng đến hiệu suất. Không có thời gian ngừng hoạt động liên quan đến việc xoay phiên bản chính. Có thể mất 24 giờ để tất cả các nhà cung cấp tài nguyên áp dụng phiên bản khóa mới trong nền. Phiên bản khóa trước không được tắt vì dịch vụ bắt buộc phải sử dụng phiên bản này để mã hóa lại và hỗ trợ khôi phục cơ sở dữ liệu.

Để xoay khóa mã hóa bằng cách tạo phiên bản khóa mới, hãy làm theo các bước sau.

1. Đi tới Cổng thông tin Azure>Kho lưu trữ khóa và tìm kho lưu trữ khóa nơi bạn muốn tạo phiên bản khóa mới.
2. Điều hướng đến Phím.
3. Chọn khóa hiện tại, đã bật.
4. Chọn + Phiên bản mới.
5. Cài đặt Đã bật mặc định là Có, có nghĩa là phiên bản khóa mới sẽ tự động được bật khi tạo.
6. Chọn Tạo.

[!Khuyến nghị] Để tuân thủ chính sách xoay vòng khóa của bạn, bạn có thể xoay khóa mã hóa bằng cách sử dụng Chính sách xoay vòng. Bạn có thể định cấu hình chính sách xoay vòng hoặc xoay vòng theo yêu cầu bằng cách gọi Xoay vòng ngay.

Quan trọng

Phiên bản khóa mới sẽ tự động được xoay ở chế độ nền và quản trị viên Power Platform không cần thực hiện hành động nào. Điều quan trọng là không được tắt hoặc xóa phiên bản khóa trước đó trong ít nhất 28 ngày để hỗ trợ khôi phục cơ sở dữ liệu. Việc vô hiệu hóa hoặc xóa phiên bản khóa trước đó quá sớm có thể khiến môi trường của bạn bị ngoại tuyến.

Xem danh sách môi trường được mã hóa

1. đăng nhập vào Power Platform trung tâm quản trị và đi tới Chính sách Chính sách>doanh nghiệp.
2. Trên trang Chính sách doanh nghiệp , hãy chọn tab Môi trường có chính sách . Danh sách các môi trường đã được thêm vào chính sách doanh nghiệp sẽ được hiển thị.

Lưu ý

Có thể có những trường hợp Trạng thái môi trường hoặc Trạng thái mã hóa hiển thị Không thành công trạng thái. Khi điều này xảy ra, hãy gửi yêu cầu Hỗ trợ của Microsoft để được trợ giúp.

Hoạt động cơ sở dữ liệu môi trường

Đối tượng thuê khách hàng có thể có các môi trường được mã hóa bằng khóa được Microsoft quản lý và các môi trường được mã hóa bằng khóa được khách hàng quản lý. Để duy trì tính toàn vẹn dữ liệu và bảo vệ dữ liệu, các điều khiển sau có sẵn khi quản lý các hoạt động cơ sở dữ liệu môi trường.

• Khôi phục Môi trường để ghi đè (môi trường được khôi phục) bị giới hạn trong cùng một môi trường mà bản sao lưu được lấy từ hoặc đến một môi trường khác được mã hóa bằng cùng một khóa do khách hàng quản lý.

  

• Sao chép Môi trường ghi đè (môi trường sao chép vào) bị giới hạn ở một môi trường khác được mã hóa với cùng khóa do khách hàng quản lý.

  

  Lưu ý

  Nếu môi trường Hỗ trợ điều tra được tạo để giải quyết vấn đề hỗ trợ trong môi trường do khách hàng quản lý, khóa mã hóa cho môi trường Hỗ trợ điều tra phải được đổi thành khóa do khách hàng quản lý trước khi có thể thực hiện thao tác Sao chép môi trường.

• Đặt lại Dữ liệu được mã hóa của môi trường sẽ bị xóa, bao gồm cả các bản sao lưu. Sau khi môi trường được đặt lại, mã hóa môi trường sẽ trở lại khóa do Microsoft quản lý.

Các bước tiếp theo

Giới thiệu về Azure Key Vault