Quản lý khóa mã hóa do khách hàng quản lý

Khách hàng có các yêu cầu về quyền riêng tư và tuân thủ dữ liệu để bảo vệ dữ liệu của mình bằng cách mã hóa dữ liệu khi lưu trữ. Điều này bảo vệ dữ liệu khỏi bị lộ trong trường hợp bản sao của cơ sở dữ liệu bị đánh cắp. Với mã hóa dữ liệu khi lưu trữ, dữ liệu cơ sở dữ liệu bị đánh cắp sẽ được bảo vệ khỏi việc khôi phục sang máy chủ khác mà không có khóa mã hóa.

Theo mặc định, mọi dữ liệu khách hàng được lưu trữ trong Power Platform đều được mã hóa khi lưu trữ bằng khóa mã hóa mạnh do Microsoft quản lý. Microsoft lưu trữ và quản lý khóa mã hóa cơ sở dữ liệu cho toàn bộ dữ liệu của bạn để bạn không phải lo lắng. Tuy nhiên, Power Platform cung cấp khóa mã hóa do khách hàng quản lý (CMK) này để bạn có thể kiểm soát bảo vệ dữ liệu bổ sung, nơi bạn có thể tự quản lý khóa mã hóa cơ sở dữ liệu được liên kết với Microsoft Dataverse môi trường của mình. Tính năng này cho phép bạn xoay vòng hoặc hoán đổi khóa mã hóa theo yêu cầu và cũng cho phép bạn ngăn chặn Microsoft truy cập vào dữ liệu khách hàng của bạn khi bạn thu hồi khóa truy cập vào dịch vụ của chúng tôi bất kỳ lúc nào.

Để tìm hiểu thêm về khóa do khách hàng quản lý trong Power Platform, hãy xem video về khóa do khách hàng quản lý.

Các hoạt động khóa mã hóa này có sẵn với khóa do khách hàng quản lý (CMK):

• Tạo khóa RSA (RSA-HSM) từ kho khóa Azure Key của bạn.
• Tạo chính sách doanh nghiệp cho khóa của bạn. Power Platform
• Cấp quyền cho chính sách doanh nghiệp để truy cập vào kho khóa của bạn. Power Platform
• Cấp cho người quản trị dịch vụ quyền đọc chính sách doanh nghiệp. Power Platform
• Áp dụng khóa mã hóa cho môi trường của bạn.
• Khôi phục/xóa mã hóa CMK của môi trường thành khóa do Microsoft quản lý.
• Thay đổi khóa bằng cách tạo chính sách doanh nghiệp mới, xóa môi trường khỏi CMK và áp dụng lại CMK với chính sách doanh nghiệp mới.
• Khóa môi trường CMK bằng cách thu hồi kho khóa CMK và/hoặc quyền khóa.
• Di chuyển môi trường mang theo khóa riêng (BYOK) sang CMK bằng cách áp dụng khóa CMK.

Hiện tại, tất cả dữ liệu khách hàng của bạn được lưu trữ chỉ trong các ứng dụng và dịch vụ sau đây mới có thể được mã hóa bằng khóa do khách hàng quản lý:

• Dataverse (Giải pháp tùy chỉnh và dịch vụ của Microsoft)
• Dataverse Copilot cho các ứng dụng dựa trên mô hình
• Power Automate
• Trò chuyện cho Dynamics 365
• Bán hàng Dynamics 365
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Tài chính và hoạt động)
• Dynamics 365 Intelligent Order Management (Tài chính và hoạt động)
• Dynamics 365 Project Operations (Tài chính và hoạt động)
• Dynamics 365 Supply Chain Management (Tài chính và hoạt động)
• Dynamics 365 Fraud Protection (Tài chính và hoạt động)
• Copilot Studio

Lưu ý

• Liên hệ với đại diện của các dịch vụ không được liệt kê ở trên để biết thông tin về hỗ trợ khóa do khách hàng quản lý.
• Nuance IVR đàm thoại và nội dung chào mừng của nhà sản xuất bị loại trừ khỏi mã hóa khóa do khách hàng quản lý.
• Thiết lập kết nối cho các đầu nối tiếp tục được mã hóa bằng khóa do Microsoft quản lý.
• Power Apps tên hiển thị, mô tả và siêu dữ liệu kết nối tiếp tục được mã hóa bằng khóa do Microsoft quản lý.
• Liên kết tải xuống kết quả và dữ liệu khác do trình kiểm tra giải pháp tạo ra trong quá trình kiểm tra giải pháp vẫn tiếp tục được mã hóa bằng khóa do Microsoft quản lý.

Môi trường có ứng dụng tài chính và hoạt động có tích hợp Power Platform được bật cũng có thể được mã hóa. Các môi trường tài chính và hoạt động không tích hợp vẫn tiếp tục sử dụng khóa mặc định do Microsoft quản lý để mã hóa dữ liệu. Power Platform Tìm hiểu thêm trong Mã hóa trong các ứng dụng tài chính và hoạt động.

Giới thiệu về khóa do khách hàng quản lý

Với khóa do khách hàng quản lý, người quản trị có thể cung cấp khóa mã hóa của riêng họ từ Azure Key Vault tới các dịch vụ lưu trữ để mã hóa dữ liệu khách hàng. Power Platform Microsoft không có quyền truy cập trực tiếp vào Azure Key Vault của bạn. Để các dịch vụ truy cập khóa mã hóa từ Azure Key Vault của bạn, quản trị viên sẽ tạo chính sách doanh nghiệp tham chiếu đến khóa mã hóa và cấp cho chính sách doanh nghiệp này quyền truy cập để đọc khóa từ Azure Key Vault của bạn. Power Platform Power Platform

Sau đó, người quản trị dịch vụ có thể thêm môi trường vào chính sách doanh nghiệp để bắt đầu mã hóa toàn bộ dữ liệu khách hàng trong môi trường bằng khóa mã hóa của bạn. Power Platform Dataverse Người quản trị có thể thay đổi khóa mã hóa của môi trường bằng cách tạo chính sách doanh nghiệp khác và thêm môi trường (sau khi xóa môi trường đó) vào chính sách doanh nghiệp mới. Nếu môi trường không còn cần được mã hóa bằng khóa do khách hàng quản lý, người quản trị có thể xóa Dataverse môi trường khỏi chính sách doanh nghiệp để khôi phục mã hóa dữ liệu về khóa do Microsoft quản lý.

Người quản trị có thể khóa môi trường khóa do khách hàng quản lý bằng cách thu hồi quyền truy cập khóa khỏi chính sách doanh nghiệp và mở khóa môi trường bằng cách khôi phục quyền truy cập khóa. Thông tin thêm: Khóa môi trường bằng cách thu hồi kho khóa và/hoặc quyền truy cập khóa

Để đơn giản hóa các nhiệm vụ quản lý chính, các nhiệm vụ được chia thành ba lĩnh vực chính:

1. Tạo khóa mã hóa.
2. Tạo chính sách doanh nghiệp và cấp quyền truy cập.
3. Quản lý mã hóa môi trường.

Cảnh báo

Khi môi trường bị khóa, không ai có thể truy cập được, kể cả bộ phận hỗ trợ của Microsoft. Môi trường bị khóa sẽ bị vô hiệu hóa và có thể xảy ra mất dữ liệu.

Yêu cầu cấp phép cho khóa do khách hàng quản lý

Chính sách khóa do khách hàng quản lý chỉ được áp dụng trên các môi trường được kích hoạt cho Môi trường được quản lý. Môi trường được quản lý được bao gồm như một quyền trong các giấy phép độc lập Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages và Dynamics 365 cung cấp quyền sử dụng cao cấp. Tìm hiểu thêm về cấp phép Môi trường được Quản lý, với tổng quan về cấp phép cho Microsoft Power Platform.

Ngoài ra, để có thể sử dụng khóa do khách hàng quản lý cho Microsoft Power Platform và Dynamics 365, người dùng trong môi trường áp dụng chính sách khóa mã hóa phải có một trong các đăng ký sau:

• Microsoft 365 hoặc Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 Tuân thủ
• Microsoft 365 F5 Bảo mật và tuân thủ
• Microsoft 365 A5/E5/F5/G5 Bảo vệ và quản trị thông tin
• Microsoft 365 A5/E5/F5/G5 Quản lý rủi ro nội bộ

Tìm hiểu thêm về các giấy phép này.

Hiểu được rủi ro tiềm ẩn khi bạn quản lý chìa khóa của mình

Như với bất kỳ ứng dụng quan trọng nào khác trong công việc, những nhân viên trong tổ chức bạn có quyền truy cập cấp độ quản trị viên phải là người đáng tin cậy. Trước khi bạn sử dụng tính năng quản lý khóa, bạn phải hiểu được rủi ro khi quản lý khóa mật mã hóa cơ sở dữ liệu của mình. Có thể một quản trị viên độc hại (người được cấp hoặc có được quyền truy cập cấp quản trị viên với mục đích gây hại cho bảo mật hoặc quy trình kinh doanh của tổ chức) làm việc trong tổ chức của bạn có thể sử dụng tính năng quản lý khóa để tạo khóa và sử dụng khóa đó để khóa môi trường của bạn trong đối tượng thuê.

Cân nhắc trình tự các sự kiện sau.

Quản trị viên kho khóa độc hại tạo khóa và chính sách doanh nghiệp trên cổng thông tin Azure. Quản trị viên Azure Key Vault sẽ vào Power Platform trung tâm quản trị và thêm môi trường vào chính sách doanh nghiệp. Sau đó, quản trị viên độc hại sẽ quay lại cổng thông tin Azure và thu hồi quyền truy cập chính vào chính sách doanh nghiệp, do đó khóa tất cả các môi trường. Điều này gây ra gián đoạn kinh doanh vì mọi môi trường đều không thể truy cập được và nếu sự kiện này không được giải quyết, tức là quyền truy cập khóa không được khôi phục, dữ liệu môi trường có khả năng bị mất.

Lưu ý

• Azure Key Vault có các biện pháp bảo vệ tích hợp giúp khôi phục khóa, yêu cầu bật cài đặt bảo vệ khóa Xóa mềm và Xóa .
• Một biện pháp bảo vệ khác cần được cân nhắc là đảm bảo phân tách các tác vụ khi quản trị viên Azure Key Vault không được cấp quyền truy cập vào Power Platform trung tâm quản trị.

Phân chia nhiệm vụ để giảm thiểu rủi ro

Phần này mô tả các nhiệm vụ chính của tính năng do khách hàng quản lý mà mỗi vai trò quản trị viên phải chịu trách nhiệm. Việc tách biệt các nhiệm vụ này giúp giảm thiểu rủi ro liên quan đến khóa do khách hàng quản lý.

Azure Key Vault và Power Platform/Các tác vụ quản trị dịch vụ Dynamics 365

Để kích hoạt khóa do khách hàng quản lý, trước tiên quản trị viên kho khóa sẽ tạo khóa trong kho khóa Azure và tạo chính sách doanh nghiệp. Power Platform Khi chính sách doanh nghiệp được tạo, một danh tính được quản lý bằng ID đặc biệt sẽ được tạo. Microsoft Entra Tiếp theo, quản trị viên kho khóa sẽ quay lại kho khóa Azure và cấp quyền truy cập danh tính được quản lý/chính sách doanh nghiệp vào khóa mã hóa.

Sau đó, quản trị viên kho khóa cấp cho Power Platform/quản trị viên dịch vụ Dynamics 365 quyền đọc chính sách doanh nghiệp. Sau khi được cấp quyền đọc, quản trị viên dịch vụ Power Platform/Dynamics 365 có thể vào Power Platform Trung tâm quản trị và thêm môi trường vào chính sách doanh nghiệp. Tất cả dữ liệu khách hàng của các môi trường được thêm vào sau đó sẽ được mã hóa bằng khóa do khách hàng quản lý được liên kết với chính sách doanh nghiệp này.

Điều kiện tiên quyết

• Đăng ký Azure bao gồm Azure Key Vault hoặc các mô-đun bảo mật phần cứng được quản lý bởi Azure Key Vault.
• A Microsoft Entra ID với:
  • Quyền của người đóng góp cho Microsoft Entra đăng ký.
  • Quyền tạo Azure Key Vault và khóa.
  • Truy cập để tạo nhóm tài nguyên. Điều này là cần thiết để thiết lập kho lưu trữ khóa.

Tạo khóa và cấp quyền truy cập bằng Azure Key Vault

Quản trị viên Azure Key Vault thực hiện các tác vụ này trong Azure.

1. Tạo đăng ký trả phí Azure và Key Vault. Bỏ qua bước này nếu bạn đã có đăng ký bao gồm Azure Key Vault.
2. Truy cập dịch vụ Azure Key Vault và tạo khóa. Thông tin thêm: Tạo khóa trong kho khóa
3. Bật dịch vụ chính sách doanh nghiệp cho đăng ký Azure của bạn. Power Platform Chỉ làm điều này một lần thôi. Thông tin thêm: Bật dịch vụ chính sách doanh nghiệp Power Platform cho đăng ký Azure của bạn
4. Tạo chính sách doanh nghiệp. Power Platform Thông tin thêm: Tạo chính sách doanh nghiệp
5. Cấp quyền chính sách doanh nghiệp để truy cập kho khóa. Thông tin thêm: Cấp quyền chính sách doanh nghiệp để truy cập kho khóa
6. Cấp cho Power Platform và quản trị viên Dynamics 365 quyền đọc chính sách doanh nghiệp. Thông tin thêm: Cấp cho Power Platform quyền quản trị để đọc chính sách doanh nghiệp

Power Platform/Nhiệm vụ trung tâm quản trị dịch vụ Dynamics 365 Power Platform

Điều kiện tiên quyết

Power Platform người quản trị phải được chỉ định vào vai trò Power Platform hoặc quản trị viên Dịch vụ Dynamics 365 Microsoft Entra .

Quản lý mã hóa môi trường trong trung tâm quản trị Power Platform

Người quản trị quản lý các tác vụ chính do khách hàng quản lý liên quan đến môi trường trong trung tâm quản trị. Power Platform Power Platform

1. Thêm môi trường Power Platform vào chính sách doanh nghiệp để mã hóa dữ liệu bằng khóa do khách hàng quản lý. Thông tin thêm: Thêm môi trường vào chính sách doanh nghiệp để mã hóa dữ liệu
2. Xóa môi trường khỏi chính sách doanh nghiệp để trả lại mã hóa cho khóa do Microsoft quản lý. Thông tin thêm: Xóa môi trường khỏi chính sách để quay lại khóa do Microsoft quản lý
3. Thay đổi khóa bằng cách xóa môi trường khỏi chính sách doanh nghiệp cũ và thêm môi trường vào chính sách doanh nghiệp mới. Thông tin thêm: Tạo khóa mã hóa và cấp quyền truy cập
4. Di chuyển khỏi BYOK. Nếu bạn đang sử dụng tính năng khóa mã hóa tự quản lý trước đó, bạn có thể di chuyển khóa của mình sang khóa do khách hàng quản lý. Tìm hiểu thêm trong Di chuyển môi trường sử dụng khóa riêng sang khóa do khách hàng quản lý.

Tạo khóa mã hóa và cấp quyền truy cập

Tạo đăng ký trả phí Azure và kho lưu trữ khóa

Trong Azure, hãy thực hiện các bước sau:

1. Tạo gói đăng ký Azure trả tiền theo mức sử dụng hoặc gói đăng ký tương đương. Bước này không cần thiết nếu người thuê đã có đăng ký.

2. Tạo nhóm tài nguyên. Thông tin thêm: Tạo nhóm tài nguyên

   Lưu ý

   Tạo hoặc sử dụng nhóm tài nguyên có vị trí, ví dụ: Trung tâm Hoa Kỳ, khớp với khu vực môi trường, chẳng hạn như Hoa Kỳ. Power Platform

3. Tạo kho khóa bằng gói đăng ký trả phí bao gồm tính năng bảo vệ xóa mềm và xóa sạch bằng nhóm tài nguyên bạn đã tạo ở bước trước.

   Quan trọng

   Để đảm bảo môi trường của bạn được bảo vệ khỏi việc xóa nhầm khóa mã hóa, kho khóa phải được bật tính năng bảo vệ xóa mềm và xóa sạch. Bạn sẽ không thể mã hóa môi trường của mình bằng khóa riêng nếu không bật các cài đặt này. Thông tin thêm: Tổng quan về xóa mềm Azure Key Vault Thông tin thêm: Tạo một kho khóa bằng cổng thông tin Azure

Tạo một khóa trong kho khóa

1. Hãy đảm bảo rằng bạn đã đáp ứng được điều kiện tiên quyết.
2. Truy cập vào cổng thông tin Azure>Key Vault và xác định vị trí kho khóa mà bạn muốn tạo khóa mã hóa.
3. Xác minh cài đặt kho khóa Azure:
   1. Chọn Thuộc tính trong Cài đặt.
   2. Trong Xóa mềm, hãy đặt hoặc xác minh rằng tùy chọn này được đặt thành Xóa mềm đã được bật trên kho lưu trữ khóa này .
   3. Trong Bảo vệ xóa dữ liệu, hãy đặt hoặc xác minh rằng Bật bảo vệ xóa dữ liệu (áp dụng thời gian lưu giữ bắt buộc đối với các kho lưu trữ và đối tượng kho lưu trữ đã xóa) đã được bật.
   4. Nếu bạn đã thực hiện thay đổi, hãy chọn Lưu.

Tạo khóa RSA

1. Tạo hoặc nhập khóa có các thuộc tính sau:

   1. Trên các trang thuộc tính của Key Vault , hãy chọn Keys.
   2. Chọn Tạo/Nhập.
   3. Trên màn hình Tạo khóa , hãy đặt các giá trị sau, rồi chọn Tạo.
      • Tùy chọn: Tạo
      • Tên: Cung cấp tên cho khóa
      • Loại khóa: RSA
      • Kích thước khóa RSA: 2048 hoặc 3072

   Quan trọng

   Nếu bạn đặt ngày hết hạn trong khóa của mình và khóa đó hết hạn, tất cả các môi trường được mã hóa bằng khóa này sẽ ngừng hoạt động. Đặt cảnh báo để theo dõi chứng chỉ hết hạn bằng thông báo qua email cho Power Platform quản trị viên cục bộ và quản trị viên kho khóa Azure của bạn để nhắc nhở gia hạn ngày hết hạn. Điều này rất quan trọng để ngăn ngừa mọi sự cố ngừng hoạt động ngoài ý muốn của hệ thống.

Nhập khóa được bảo vệ cho Mô-đun bảo mật phần cứng (HSM)

Bạn có thể sử dụng khóa được bảo vệ cho mô-đun bảo mật phần cứng (HSM) để mã hóa môi trường của mình. Power Platform Dataverse Các khóa được bảo vệ bằng HSM của bạn phải được nhập vào kho khóa để có thể tạo chính sách Doanh nghiệp. Để biết thêm thông tin, hãy xem HSM được hỗ trợNhập khóa được HSM bảo vệ vào Key Vault (BYOK).

Tạo khóa trong Azure Key Vault Managed HSM

Bạn có thể sử dụng khóa mã hóa được tạo từ Azure Key Vault Managed HSM để mã hóa dữ liệu môi trường của mình. Điều này cung cấp cho bạn hỗ trợ FIPS 140-2 Cấp độ 3.

Tạo khóa RSA-HSM

1. Hãy đảm bảo rằng bạn đã đáp ứng được điều kiện tiên quyết.

2. Truy cập vào cổng thông tin Azure.

3. Tạo HSM được quản lý:

   1. Cung cấp HSM được quản lý.
   2. Kích hoạt HSM được quản lý.

4. Bật Bảo vệ xóa trong HSM được quản lý của bạn.

5. Cấp quyền Người dùng mã hóa HSM được quản lý cho người đã tạo kho khóa HSM được quản lý.

   1. Truy cập kho khóa HSM được quản lý trên cổng thông tin Azure.
   2. Điều hướng đến RBAC cục bộ và chọn + Thêm.
   3. Trong danh sách thả xuống Vai trò , hãy chọn vai trò Người dùng mã hóa HSM được quản lý trên trang Chỉ định vai trò .
   4. Chọn Tất cả các khóa trong Phạm vi.
   5. Chọn Chọn nguyên tắc bảo mật, sau đó chọn quản trị viên trên trang Thêm nguyên tắc .
   6. Chọn Tạo.

6. Tạo khóa RSA-HSM:

   • Tùy chọn: Tạo
   • Tên: Cung cấp tên cho khóa
   • Loại khóa: RSA-HSM
   • Kích thước khóa RSA: 2048

   Lưu ý

   Kích thước khóa RSA-HSM được hỗ trợ: 2048-bit và 3072-bit.

Mã hóa môi trường của bạn bằng khóa từ Azure Key Vault với liên kết riêng tư

Bạn có thể cập nhật mạng lưới kho lưu trữ khóa Azure Key của mình bằng cách bật điểm cuối riêng tư và sử dụng khóa trong kho lưu trữ khóa để mã hóa Power Platform môi trường của bạn.

Bạn có thể tạo một kho khóa mới và thiết lập kết nối liên kết riêng tư hoặc thiết lập kết nối liên kết riêng tư tới kho khóa hiện có, rồi tạo khóa từ kho khóa này và sử dụng nó để mã hóa môi trường của bạn. Bạn cũng có thể thiết lập kết nối liên kết riêng tư tới kho khóa hiện có sau khi đã tạo khóa và sử dụng khóa đó để mã hóa môi trường của mình.

Mã hóa dữ liệu bằng khóa từ kho khóa với liên kết riêng tư

1. Tạo kho lưu trữ khóa Azure với các tùy chọn sau:

   • Bật Bảo vệ thanh lọc
   • Loại khóa: RSA
   • Kích thước khóa: 2048 hoặc 3072

2. Sao chép URL kho lưu trữ khóa và URL khóa mã hóa để sử dụng cho việc tạo chính sách doanh nghiệp.

   Lưu ý

   Sau khi bạn thêm điểm cuối riêng tư vào kho khóa hoặc vô hiệu hóa mạng truy cập công cộng, bạn sẽ không thể nhìn thấy khóa trừ khi có quyền phù hợp.

3. Tạo một mạng ảo .

4. Quay lại kho lưu trữ khóa của bạn và thêm các kết nối điểm cuối riêng tư vào kho lưu trữ khóa Azure của bạn.

   Lưu ý

   Bạn cần chọn tùy chọn Vô hiệu hóa quyền truy cập công khai và bật ngoại lệ Cho phép các dịch vụ Microsoft đáng tin cậy bỏ qua tường lửa này .

5. Tạo chính sách doanh nghiệp. Power Platform Thông tin thêm: Tạo chính sách doanh nghiệp

6. Cấp quyền chính sách doanh nghiệp để truy cập kho khóa. Thông tin thêm: Cấp quyền chính sách doanh nghiệp để truy cập kho khóa

7. Cấp cho Power Platform và quản trị viên Dynamics 365 quyền đọc chính sách doanh nghiệp. Thông tin thêm: Cấp cho Power Platform quyền quản trị để đọc chính sách doanh nghiệp

8. Power Platform Trung tâm quản trị Người quản trị chọn môi trường để mã hóa và kích hoạt Môi trường được quản lý. Thông tin thêm: Cho phép thêm Môi trường được quản lý vào chính sách doanh nghiệp

9. Power Platform Trung tâm quản trị admin thêm môi trường được quản lý vào chính sách doanh nghiệp. Thông tin thêm: Thêm môi trường vào chính sách doanh nghiệp để mã hóa dữ liệu

Bật dịch vụ chính sách doanh nghiệp cho đăng ký Azure của bạn Power Platform

Đăng ký Power Platform với tư cách là nhà cung cấp tài nguyên. Bạn chỉ cần thực hiện tác vụ này một lần cho mỗi đăng ký Azure nơi lưu trữ Azure Key của bạn. Bạn cần có quyền truy cập vào đăng ký để có thể đăng ký nhà cung cấp tài nguyên.

1. đăng nhập vào cổng thông tin Azure và đi đến Đăng ký>Nhà cung cấp tài nguyên.
2. Trong danh sách Nhà cung cấp tài nguyên, hãy tìm kiếm Microsoft.PowerPlatform và Đăng ký .

Tạo chính sách doanh nghiệp

1. Cài đặt PowerShell MSI. Thông tin thêm: Cài đặt PowerShell trên Windows, Linux và macOS
2. Sau khi PowerShell MSI được cài đặt, hãy quay lại Triển khai mẫu tùy chỉnh trong Azure.
3. Chọn liên kết Tạo mẫu của riêng bạn trong trình chỉnh sửa .
4. Sao chép mẫu JSON này vào trình soạn thảo văn bản như Notepad. Thông tin thêm: Mẫu json chính sách doanh nghiệp
5. Thay thế các giá trị trong mẫu JSON cho: EnterprisePolicyName, vị trí cần tạo EnterprisePolicy, keyVaultId và keyName. Thông tin thêm: Định nghĩa trường cho mẫu json
6. Sao chép mẫu đã cập nhật từ trình soạn thảo văn bản của bạn, sau đó dán vào Chỉnh sửa mẫu của Triển khai tùy chỉnh trong Azure và chọn Lưu.
7. Chọn Đăng ký và Nhóm tài nguyên nơi chính sách doanh nghiệp sẽ được tạo.
8. Chọn Xem lại + tạo, sau đó chọn Tạo.

Một cuộc triển khai đã bắt đầu. Khi hoàn tất, chính sách doanh nghiệp sẽ được tạo.

Mẫu json chính sách doanh nghiệp

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Định nghĩa trường cho mẫu JSON

• tên. Tên chính sách doanh nghiệp. Đây là tên của chính sách xuất hiện trong Power Platform trung tâm quản trị.

• vị trí. Một trong những điều sau đây. Đây là vị trí của chính sách doanh nghiệp và nó phải tương ứng với vùng môi trường: Dataverse

  • "Hoa Kỳ"
  • "Nam Phi"
  • "Anh"
  • "Nhật Bản"
  • "Ấn Độ"
  • "Pháp"
  • "châu Âu"
  • "Đức"
  • "Thụy Sĩ"
  • "Canada"
  • ''Brazil''
  • "Úc"
  • "Châu Á"
  • "Các tiểu vương quốc Ả Rập thống nhất"
  • '"Hàn Quốc"'
  • "Na Uy"
  • "Singapore"
  • "Thụy Điển"

• Sao chép các giá trị này từ thuộc tính kho lưu trữ khóa của bạn trong cổng thông tin Azure:

  • keyVaultId: Đi tới Kho khóa> chọn kho khóa của bạn >Tổng quan. Bên cạnh Cần thiết chọn Chế độ xem JSON. Sao chép ID tài nguyên vào bảng tạm và dán toàn bộ nội dung vào mẫu JSON của bạn.
  • keyName: Đi tới Kho khóa> chọn kho khóa >Khóa của bạn. Lưu ý khóa Tên và nhập tên vào mẫu JSON của bạn.

Cấp quyền chính sách doanh nghiệp để truy cập vào kho khóa

Sau khi chính sách doanh nghiệp được tạo, người quản lý kho khóa sẽ cấp quyền truy cập danh tính được quản lý của chính sách doanh nghiệp vào khóa mã hóa.

1. đăng nhập vào cổng thông tin Azure và đi đến Kho khóa.
2. Chọn kho lưu trữ khóa nơi khóa được chỉ định cho chính sách doanh nghiệp.
3. Chọn tab Kiểm soát truy cập (IAM) , sau đó chọn + Thêm.
4. Chọn Thêm nhiệm vụ vai trò từ danh sách thả xuống,
5. Tìm kiếm Người dùng dịch vụ mã hóa Key Vault Crypto và chọn dịch vụ đó.
6. Chọn Tiếp theo.
7. Chọn + Chọn thành viên.
8. Tìm kiếm chính sách doanh nghiệp bạn đã tạo.
9. Chọn chính sách doanh nghiệp, sau đó chọn Chọn.
10. Chọn Xem lại + giao.

Thiết lập quyền ở trên dựa trên Mô hình quyền của kiểm soát truy cập dựa trên vai trò Azure của kho khóa của bạn. Nếu kho khóa của bạn được đặt thành Chính sách truy cập kho khóa, bạn nên di chuyển sang mô hình dựa trên vai trò. Để cấp quyền truy cập chính sách doanh nghiệp của bạn vào kho khóa bằng cách sử dụng Chính sách truy cập kho khóa, hãy tạo Chính sách truy cập, chọn Nhận trên Hoạt động quản lý khóa và Bỏ gói khóa và Bọc khóa trên Hoạt động mã hóa.

Lưu ý

Để ngăn chặn mọi sự cố ngừng hoạt động ngoài ý muốn của hệ thống, điều quan trọng là chính sách doanh nghiệp phải có quyền truy cập vào khóa. Hãy chắc chắn rằng:

• Kho lưu trữ chìa khóa đang hoạt động.
• Khóa vẫn đang hoạt động và chưa hết hạn.
• Chìa khóa không bị xóa.
• Các quyền quan trọng nêu trên không bị thu hồi.

Các môi trường sử dụng khóa này sẽ bị vô hiệu hóa khi không thể truy cập khóa mã hóa.

Cấp cho Power Platform quyền quản trị để đọc chính sách doanh nghiệp

Người quản trị có vai trò quản trị Dynamics 365 hoặc Power Platform có thể truy cập Power Platform trung tâm quản trị để chỉ định môi trường cho chính sách doanh nghiệp. Để truy cập chính sách doanh nghiệp, quản trị viên có quyền truy cập kho lưu trữ khóa Azure phải cấp vai trò Reader cho Power Platform quản trị viên. Sau khi vai trò Reader được cấp, Power Platform quản trị viên có thể xem chính sách doanh nghiệp trên Power Platform trung tâm quản trị.

Lưu ý

Chỉ Power Platform và quản trị viên Dynamics 365 được cấp vai trò người đọc cho chính sách doanh nghiệp mới có thể thêm môi trường vào chính sách. Người quản trị Power Platform khác hoặc Dynamics 365 có thể xem chính sách doanh nghiệp, nhưng họ sẽ gặp lỗi khi cố gắng Thêm môi trường vào chính sách.

Cấp quyền đọc cho Power Platform người quản trị

1. đăng nhập vào cổng thông tin Azure.
2. Sao chép ID đối tượng của Power Platform hoặc quản trị viên Dynamics 365. Để thực hiện điều này:
   1. Đi tới khu vực Người dùng trong Azure.
   2. Trong danh sách Tất cả người dùng , hãy tìm người dùng có Power Platform quyền quản trị Dynamics 365 bằng cách sử dụng Tìm kiếm người dùng.
   3. Mở hồ sơ người dùng, trên tab Tổng quan , sao chép ID đối tượng của người dùng. Dán nội dung này vào trình soạn thảo văn bản như NotePad để sử dụng sau.
3. Sao chép ID tài nguyên chính sách doanh nghiệp. Để thực hiện điều này:
   1. Đi tới Resource Graph Explorer trong Azure.
   2. Nhập microsoft.powerplatform/enterprisepolicies vào hộp Tìm kiếm , sau đó chọn tài nguyên microsoft.powerplatform/enterprisepolicies .
   3. Chọn Chạy truy vấn trên thanh lệnh. Danh sách tất cả các chính sách doanh nghiệp được hiển thị. Power Platform
   4. Xác định chính sách doanh nghiệp mà bạn muốn cấp quyền truy cập.
   5. Cuộn sang bên phải của chính sách doanh nghiệp và chọn Xem chi tiết.
   6. Trên trang Chi tiết , hãy sao chép id.
4. Khởi động Azure Cloud Shell và chạy lệnh sau, thay thế objId bằng ID đối tượng của người dùng và ID tài nguyên EP bằng enterprisepolicies ID đã sao chép ở các bước trước: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Quản lý mã hóa môi trường

Để quản lý mã hóa môi trường, bạn cần có quyền sau:

• Microsoft Entra người dùng đang hoạt động có vai trò bảo mật Power Platform và/hoặc quản trị viên Dynamics 365.
• Microsoft Entra người dùng có vai trò quản trị viên dịch vụ Power Platform hoặc Dynamics 365.

Quản trị viên kho khóa thông báo cho Power Platform quản trị viên rằng khóa mã hóa và chính sách doanh nghiệp đã được tạo và cung cấp chính sách doanh nghiệp cho Power Platform quản trị viên. Để bật khóa do khách hàng quản lý, Power Platform quản trị viên chỉ định môi trường của họ cho chính sách doanh nghiệp. Sau khi môi trường được chỉ định và lưu, Dataverse sẽ khởi tạo quy trình mã hóa để thiết lập tất cả dữ liệu môi trường và mã hóa chúng bằng khóa do khách hàng quản lý.

Cho phép thêm Môi trường được quản lý vào chính sách doanh nghiệp

Trung tâm quản trị mới

1. đăng nhập vào Power Platform trung tâm quản trị.
2. Trong ngăn điều hướng, chọn Quản lý.
3. Trong ngăn Quản lý , chọn Môi trường, sau đó chọn một môi trường từ danh sách môi trường khả dụng.
4. Chọn Bật Môi trường được quản lý.
5. Chọn Bật.

Trung tâm quản trị cổ điển

1. đăng nhập vào Power Platform trung tâm quản trị.
2. Trong ngăn điều hướng, chọn Môi trường .
3. Chọn một môi trường từ danh sách môi trường có sẵn.
4. Chọn Bật Môi trường được quản lý.
5. Chọn Bật.

Thêm môi trường vào chính sách doanh nghiệp để mã hóa dữ liệu

Quan trọng

Môi trường này sẽ bị vô hiệu hóa khi được thêm vào chính sách doanh nghiệp để mã hóa dữ liệu. Thời gian ngừng hoạt động của hệ thống phụ thuộc vào kích thước của cơ sở dữ liệu. Chúng tôi khuyên bạn nên chạy thử bằng cách tạo một bản sao của môi trường mục tiêu vào môi trường thử nghiệm để xác định thời gian ngừng hoạt động ước tính của hệ thống. Thời gian ngừng hoạt động của hệ thống có thể được xác định bằng cách kiểm tra trạng thái mã hóa của môi trường. Thời gian ngừng hoạt động của hệ thống nằm giữa trạng thái Đang mã hóa và Đang mã hóa - trực tuyến . Để giảm thời gian ngừng hoạt động của hệ thống, chúng tôi thay đổi trạng thái mã hóa thành Đang mã hóa - trực tuyến khi tất cả các bước mã hóa cốt lõi yêu cầu hệ thống phải ngừng hoạt động đã hoàn tất. Người dùng của bạn có thể sử dụng hệ thống trong khi các dịch vụ lưu trữ còn lại, chẳng hạn như tìm kiếm và chỉ mục Copilot, tiếp tục mã hóa dữ liệu bằng khóa do khách hàng quản lý.

Trung tâm quản trị mới

1. đăng nhập vào Power Platform trung tâm quản trị.
2. Trong ngăn điều hướng, chọn Bảo mật.
3. Trong ngăn Bảo mật , chọn Dữ liệu và quyền riêng tư trong Cài đặt.
4. Chọn Khóa mã hóa do khách hàng quản lý để đi tới trang Chính sách doanh nghiệp.
5. Chọn một chính sách rồi chọn Chỉnh sửa chính sách.
6. Chọn Thêm môi trường, chọn môi trường bạn muốn, sau đó chọn Tiếp tục.
7. Chọn Lưu, sau đó chọn Xác nhận.

Trung tâm quản trị cổ điển

1. đăng nhập vào Power Platform trung tâm quản trị và đi đến Chính sách>Chính sách doanh nghiệp.
2. Chọn một chính sách, sau đó, trên thanh lệnh, chọn Chỉnh sửa.
3. Chọn Thêm môi trường, chọn môi trường bạn muốn, sau đó chọn Tiếp tục.
4. Chọn Lưu, sau đó chọn Xác nhận.

Quan trọng

• Chỉ những môi trường nằm trong cùng vùng với chính sách doanh nghiệp mới được hiển thị trong danh sách Thêm môi trường .
• Quá trình mã hóa có thể mất tới bốn ngày để hoàn tất, nhưng môi trường có thể được bật trước khi thao tác Thêm môi trường hoàn tất.
• Hoạt động này có thể không hoàn tất và nếu không thành công, dữ liệu của bạn vẫn tiếp tục được mã hóa bằng khóa do Microsoft quản lý. Bạn có thể chạy lại thao tác Thêm môi trường một lần nữa.

Lưu ý

Bạn chỉ có thể thêm các môi trường được bật là Môi trường được quản lý. Không thể thêm loại môi trường Trial và Teams vào chính sách doanh nghiệp.

Xóa môi trường khỏi chính sách để quay lại khóa do Microsoft quản lý

Thực hiện theo các bước sau nếu bạn muốn quay lại khóa mã hóa do Microsoft quản lý.

Quan trọng

Môi trường sẽ bị vô hiệu hóa khi nó bị xóa khỏi chính sách doanh nghiệp để trả về mã hóa dữ liệu bằng khóa do Microsoft quản lý.

Trung tâm quản trị mới

1. đăng nhập vào Power Platform trung tâm quản trị.
2. Trong ngăn điều hướng, chọn Bảo mật.
3. Trong ngăn Bảo mật , chọn Dữ liệu và quyền riêng tư trong Cài đặt.
4. Chọn Khóa mã hóa do khách hàng quản lý để đi tới trang Chính sách doanh nghiệp.
5. Chọn tab Môi trường có chính sách , sau đó tìm môi trường bạn muốn xóa khỏi khóa do khách hàng quản lý.
6. Chọn tab Tất cả chính sách , chọn môi trường bạn đã xác minh ở bước 2, sau đó chọn Chỉnh sửa chính sách trên thanh lệnh.
7. Chọn Xóa môi trường trên thanh lệnh, chọn môi trường bạn muốn xóa, sau đó chọn Tiếp tục.
8. Chọn Lưu.

Trung tâm quản trị cổ điển

1. đăng nhập vào Power Platform trung tâm quản trị và đi đến Chính sách>Chính sách doanh nghiệp.
2. Chọn tab Môi trường có chính sách , sau đó tìm môi trường bạn muốn xóa khỏi khóa do khách hàng quản lý.
3. Chọn tab Tất cả chính sách , chọn môi trường bạn đã xác minh ở bước 2, sau đó chọn Chỉnh sửa chính sách trên thanh lệnh.
4. Chọn Xóa môi trường trên thanh lệnh, chọn môi trường bạn muốn xóa, sau đó chọn Tiếp tục.
5. Chọn Lưu.

Quan trọng

Môi trường sẽ bị vô hiệu hóa khi nó bị xóa khỏi chính sách doanh nghiệp để khôi phục mã hóa dữ liệu về khóa do Microsoft quản lý. Không xóa hoặc vô hiệu hóa khóa, xóa hoặc vô hiệu hóa kho lưu trữ khóa hoặc xóa quyền của chính sách doanh nghiệp đối với kho lưu trữ khóa. Quyền truy cập khóa và kho khóa là cần thiết để hỗ trợ khôi phục cơ sở dữ liệu. Bạn có thể xóa và gỡ bỏ quyền của chính sách doanh nghiệp sau 30 ngày.

Xem lại trạng thái mã hóa của môi trường

Xem lại trạng thái mã hóa từ chính sách Doanh nghiệp

Trung tâm quản trị mới

1. đăng nhập vào Power Platform trung tâm quản trị.
2. Trong ngăn điều hướng, chọn Bảo mật.
3. Trong ngăn Bảo mật , chọn Dữ liệu và quyền riêng tư trong Cài đặt.
4. Chọn Khóa mã hóa do khách hàng quản lý để đi tới trang Chính sách doanh nghiệp.
5. Chọn một chính sách, sau đó trên thanh lệnh, chọn Chỉnh sửa chính sách.
6. Xem lại trạng thái mã hóa của môi trường trong phầnMôi trường có chính sách này .

Trung tâm quản trị cổ điển

1. Đăng nhập vào Trung tâm quản trị Power Platform.
2. Chọn Chính sách>Chính sách doanh nghiệp.
3. Chọn một chính sách, sau đó trên thanh lệnh, chọn Chỉnh sửa.
4. Xem lại trạng thái mã hóa của môi trường trong phầnMôi trường có chính sách này .

Lưu ý

Trạng thái mã hóa của môi trường có thể là:

• Đang mã hóa - Quá trình mã hóa khóa do khách hàng quản lý đang chạy và hệ thống bị vô hiệu hóa để sử dụng trực tuyến.

• Mã hóa - trực tuyến - Mã hóa tất cả các dịch vụ cốt lõi yêu cầu thời gian ngừng hoạt động của hệ thống đã hoàn tất và hệ thống được bật để sử dụng trực tuyến.

• Đã mã hóa - Khóa mã hóa chính sách doanh nghiệp đang hoạt động và môi trường được mã hóa bằng khóa của bạn.

• Đang khôi phục - Khóa mã hóa đang được thay đổi từ khóa do khách hàng quản lý thành khóa do Microsoft quản lý và hệ thống bị vô hiệu hóa khi sử dụng trực tuyến.

• Đang khôi phục - trực tuyến - Tất cả mã hóa dịch vụ cốt lõi yêu cầu thời gian ngừng hoạt động của hệ thống đã khôi phục khóa và hệ thống được bật để sử dụng trực tuyến.

• Khóa do Microsoft quản lý - Mã hóa khóa do Microsoft quản lý đang hoạt động.

• Thất bại - Khóa mã hóa chính sách doanh nghiệp không được tất cả Dataverse các dịch vụ lưu trữ sử dụng. Chúng cần nhiều thời gian hơn để xử lý và bạn có thể chạy lại thao tác Thêm môi trường . Liên hệ với bộ phận hỗ trợ nếu thao tác chạy lại không thành công.

  Trạng thái mã hóa Không thành công không ảnh hưởng đến dữ liệu môi trường và hoạt động của dữ liệu đó. Điều này có nghĩa là một số dịch vụ lưu trữ đang mã hóa dữ liệu của bạn bằng khóa của bạn và một số tiếp tục sử dụng khóa do Microsoft quản lý. Dataverse Không nên hoàn nguyên vì khi bạn chạy lại thao tác Thêm môi trường , dịch vụ sẽ tiếp tục từ nơi nó đã dừng lại.

• Cảnh báo - Khóa mã hóa chính sách doanh nghiệp đang hoạt động và một trong các dữ liệu của dịch vụ vẫn tiếp tục được mã hóa bằng khóa do Microsoft quản lý. Tìm hiểu thêm trong Power Automate thông báo cảnh báo ứng dụng CMK.

Xem lại trạng thái mã hóa từ trang Lịch sử môi trường

Bạn có thể xem lịch sử môi trường .

Trung tâm quản trị mới

1. đăng nhập vào Power Platform trung tâm quản trị.
2. Trong ngăn điều hướng, chọn Quản lý.
3. Trong ngăn Quản lý , chọn Môi trường, sau đó chọn một môi trường từ danh sách môi trường khả dụng.
4. Trên thanh lệnh, chọn Lịch sử.
5. Xác định lịch sử để Cập nhật Khóa do Khách hàng quản lý.

Trung tâm quản trị cổ điển

1. Đăng nhập vào Trung tâm quản trị Power Platform.
2. Chọn Môi trường trong ngăn điều hướng, sau đó chọn một môi trường từ danh sách.
3. Trên thanh lệnh, chọn Lịch sử.
4. Xác định lịch sử để Cập nhật Khóa do Khách hàng quản lý.

Lưu ý

Trạng thái hiển thịĐang chạy khi quá trình mã hóa đang diễn ra. Nó hiển thị Thành công khi quá trình mã hóa hoàn tất. Trạng thái hiển thị Thất bại khi có sự cố với một trong các dịch vụ không thể áp dụng khóa mã hóa.

Trạng thái Thất bại có thể là một cảnh báo và bạn không cần phải chạy lại tùy chọn Thêm môi trường . Bạn có thể xác nhận xem đó có phải là cảnh báo không.

Thay đổi khóa mã hóa của môi trường bằng chính sách doanh nghiệp và khóa mới

Để thay đổi khóa mã hóa, hãy tạo khóa mới và chính sách doanh nghiệp mới. Sau đó, bạn có thể thay đổi chính sách doanh nghiệp bằng cách xóa môi trường rồi thêm môi trường vào chính sách doanh nghiệp mới. Hệ thống ngừng hoạt động hai lần khi thay đổi sang chính sách doanh nghiệp mới - 1) để hoàn nguyên mã hóa về khóa do Microsoft quản lý và 2) để áp dụng chính sách doanh nghiệp mới.

Tiền bo

Để xoay vòng khóa mã hóa, chúng tôi khuyên bạn nên sử dụng Phiên bản mới của Kho khóa hoặc thiết lập Chính sách xoay vòng.

Trung tâm quản trị mới

1. Trong cổng thông tin Azure, hãy tạo một khóa mới và một chính sách doanh nghiệp mới. Thông tin thêm: Tạo khóa mã hóa và cấp quyền truy cập và Tạo chính sách doanh nghiệp
2. Cấp cho chính sách doanh nghiệp mới quyền truy cập vào khóa cũ.
3. Sau khi khóa mới và chính sách doanh nghiệp được tạo, hãy đăng nhập vào Power Platform trung tâm quản trị.
4. Trong ngăn điều hướng, chọn Bảo mật.
5. Trong ngăn Bảo mật , chọn Dữ liệu và quyền riêng tư trong Cài đặt.
6. Chọn Khóa mã hóa do khách hàng quản lý để đi tới trang Chính sách doanh nghiệp.
7. Chọn tab Môi trường có chính sách , sau đó tìm môi trường bạn muốn xóa khỏi khóa do khách hàng quản lý.
8. Chọn tab Tất cả chính sách , chọn môi trường bạn đã xác minh ở bước 2, sau đó chọn Chỉnh sửa chính sách trên thanh lệnh.
9. Chọn Xóa môi trường trên thanh lệnh, chọn môi trường bạn muốn xóa, sau đó chọn Tiếp tục.
10. Chọn Lưu.
11. Lặp lại các bước 2-10 cho đến khi tất cả môi trường trong chính sách doanh nghiệp đã bị xóa.

Quan trọng

Môi trường sẽ bị vô hiệu hóa khi nó bị xóa khỏi chính sách doanh nghiệp để khôi phục mã hóa dữ liệu về khóa do Microsoft quản lý. Không xóa hoặc vô hiệu hóa khóa, xóa hoặc vô hiệu hóa kho lưu trữ khóa hoặc xóa quyền của chính sách doanh nghiệp đối với kho lưu trữ khóa. Cấp chính sách doanh nghiệp mới cho kho khóa cũ. Quyền truy cập khóa và kho khóa là cần thiết để hỗ trợ khôi phục cơ sở dữ liệu. Bạn có thể xóa và gỡ bỏ quyền của chính sách doanh nghiệp sau 30 ngày.

12. Sau khi xóa hết các môi trường, từ Power Platform trung tâm quản trị, hãy chuyển đến Chính sách doanh nghiệp.
13. Chọn chính sách doanh nghiệp mới, sau đó chọn Chỉnh sửa chính sách.
14. Chọn Thêm môi trường, chọn môi trường mà bạn muốn thêm, sau đó chọn Tiếp tục.

Trung tâm quản trị cổ điển

1. Trong cổng thông tin Azure, hãy tạo một khóa mới và một chính sách doanh nghiệp mới. Thông tin thêm: Tạo khóa mã hóa và cấp quyền truy cập và Tạo chính sách doanh nghiệp
2. Cấp cho chính sách doanh nghiệp mới quyền truy cập vào khóa cũ.
3. Sau khi khóa mới và chính sách doanh nghiệp được tạo, hãy đi tới Chính sách>Chính sách doanh nghiệp.
4. Chọn tab Môi trường có chính sách , sau đó tìm môi trường bạn muốn xóa khỏi khóa do khách hàng quản lý.
5. Chọn tab Tất cả chính sách , chọn môi trường bạn đã xác minh ở bước 2, sau đó chọn Chỉnh sửa chính sách trên thanh lệnh.
6. Chọn Xóa môi trường trên thanh lệnh, chọn môi trường bạn muốn xóa, sau đó chọn Tiếp tục.
7. Chọn Lưu.
8. Lặp lại các bước 2-7 cho đến khi tất cả môi trường trong chính sách doanh nghiệp đã bị xóa.

Quan trọng

Môi trường sẽ bị vô hiệu hóa khi nó bị xóa khỏi chính sách doanh nghiệp để khôi phục mã hóa dữ liệu về khóa do Microsoft quản lý. Không xóa hoặc vô hiệu hóa khóa, xóa hoặc vô hiệu hóa kho lưu trữ khóa hoặc xóa quyền của chính sách doanh nghiệp đối với kho lưu trữ khóa. Cấp chính sách doanh nghiệp mới cho kho khóa cũ. Quyền truy cập khóa và kho khóa là cần thiết để hỗ trợ khôi phục cơ sở dữ liệu. Bạn có thể xóa và gỡ bỏ quyền của chính sách doanh nghiệp sau 30 ngày.

9. Sau khi xóa tất cả các môi trường, từ Power Platform trung tâm quản trị, hãy chuyển đến Chính sách doanh nghiệp.
10. Chọn chính sách doanh nghiệp mới, sau đó chọn Chỉnh sửa chính sách.
11. Chọn Thêm môi trường, chọn môi trường mà bạn muốn thêm, sau đó chọn Tiếp tục.

Quan trọng

Môi trường sẽ bị vô hiệu hóa khi được thêm vào chính sách doanh nghiệp mới.

Xoay vòng khóa mã hóa của môi trường bằng phiên bản khóa mới

Bạn có thể thay đổi khóa mã hóa của môi trường bằng cách tạo phiên bản khóa mới. Khi bạn tạo phiên bản khóa mới, phiên bản khóa mới sẽ tự động được kích hoạt. Tất cả tài nguyên lưu trữ sẽ phát hiện phiên bản khóa mới và bắt đầu áp dụng nó để mã hóa dữ liệu của bạn.

Khi bạn sửa đổi khóa hoặc phiên bản khóa, khả năng bảo vệ của khóa mã hóa gốc sẽ thay đổi, nhưng dữ liệu trong bộ lưu trữ vẫn luôn được mã hóa bằng khóa của bạn. Bạn không cần thực hiện thêm hành động nào nữa để đảm bảo dữ liệu của mình được bảo vệ. Việc xoay phiên bản phím không ảnh hưởng đến hiệu suất. Không có thời gian chết nào liên quan đến việc xoay phiên bản khóa. Có thể mất 24 giờ để tất cả các nhà cung cấp tài nguyên áp dụng phiên bản khóa mới trong nền. Phiên bản khóa trước đó không được vô hiệu hóa vì dịch vụ cần sử dụng khóa này để mã hóa lại và hỗ trợ khôi phục cơ sở dữ liệu.

Để xoay vòng khóa mã hóa bằng cách tạo phiên bản khóa mới, hãy thực hiện theo các bước sau.

1. Truy cập cổng thông tin Azure>Kho khóa và tìm kho khóa mà bạn muốn tạo phiên bản khóa mới.
2. Điều hướng đến Phím.
3. Chọn phím hiện tại đang được bật.
4. Chọn + Phiên bản mới.
5. Cài đặt Đã bật mặc định là Có, nghĩa là phiên bản khóa mới sẽ tự động được bật khi tạo.
6. Chọn Tạo.

Tiền bo

Để tuân thủ chính sách xoay vòng khóa của bạn, bạn có thể xoay vòng khóa mã hóa bằng cách sử dụng Chính sách xoay vòng. Bạn có thể cấu hình chính sách xoay vòng hoặc xoay vòng theo yêu cầu bằng cách sử dụng Xoay vòng ngay.

Quan trọng

Phiên bản khóa mới được tự động xoay vòng trong nền và không cần Power Platform quản trị viên thực hiện hành động nào. Điều quan trọng là phiên bản khóa trước đó không được vô hiệu hóa hoặc xóa trong ít nhất 28 ngày để hỗ trợ khôi phục cơ sở dữ liệu. Việc vô hiệu hóa hoặc xóa phiên bản khóa trước đó quá sớm có thể khiến môi trường của bạn ngoại tuyến.

Xem danh sách các môi trường được mã hóa

Trung tâm quản trị mới

1. Đăng nhập vào Trung tâm quản trị Power Platform.
2. Trong ngăn điều hướng, chọn Bảo mật.
3. Trong ngăn Bảo mật , chọn Dữ liệu và quyền riêng tư trong Cài đặt.
4. Chọn Khóa mã hóa do khách hàng quản lý để đi tới trang Chính sách doanh nghiệp.
5. Trên trang Chính sách doanh nghiệp , hãy chọn tab Môi trường có chính sách . Danh sách các môi trường đã được thêm vào chính sách doanh nghiệp sẽ được hiển thị.

Trung tâm quản trị cổ điển

1. đăng nhập vào Power Platform trung tâm quản trị và đi đến Chính sách>Chính sách doanh nghiệp.
2. Trên trang Chính sách doanh nghiệp , hãy chọn tab Môi trường có chính sách . Danh sách các môi trường đã được thêm vào chính sách doanh nghiệp sẽ được hiển thị.

Lưu ý

Có thể có những tình huống mà trạng thái Môi trường hoặc trạng thái Mã hóa hiển thị trạng thái Thất bại . Khi điều này xảy ra, bạn có thể thử chạy lại thao tác Thêm môi trường hoặc gửi yêu cầu hỗ trợ của Microsoft để được trợ giúp.

Hoạt động cơ sở dữ liệu môi trường

Người thuê là khách hàng có thể có môi trường được mã hóa bằng khóa do Microsoft quản lý và môi trường được mã hóa bằng khóa do khách hàng quản lý. Để duy trì tính toàn vẹn dữ liệu và bảo vệ dữ liệu, các điều khiển sau có sẵn khi quản lý các hoạt động cơ sở dữ liệu môi trường.

• Khôi phục Môi trường cần ghi đè (môi trường được khôi phục) bị giới hạn trong cùng môi trường mà bản sao lưu được thực hiện hoặc trong một môi trường khác được mã hóa bằng cùng một khóa do khách hàng quản lý.

  

• Sao chép

  Môi trường ghi đè (môi trường được sao chép vào) bị giới hạn trong một môi trường khác được mã hóa bằng cùng một khóa do khách hàng quản lý.

  

  Lưu ý

  Nếu môi trường Hỗ trợ điều tra được tạo ra để giải quyết vấn đề hỗ trợ trong môi trường do khách hàng quản lý, khóa mã hóa cho môi trường Hỗ trợ điều tra phải được thay đổi thành khóa do khách hàng quản lý trước khi có thể thực hiện thao tác Sao chép môi trường.

• Đặt lại Dữ liệu được mã hóa của môi trường sẽ bị xóa bao gồm cả bản sao lưu. Sau khi môi trường được thiết lập lại, mã hóa môi trường sẽ trở lại khóa do Microsoft quản lý.

Các bước tiếp theo

Giới thiệu về Azure Key Vault