Quản lý các khóa mật mã hóa

Lưu ý

Trung tâm quản trị mới và được cải tiến Power Platform hiện đang ở chế độ xem trước công khai! Chúng tôi thiết kế trung tâm quản trị mới dễ sử dụng hơn, với chức năng điều hướng theo nhiệm vụ giúp bạn đạt được kết quả cụ thể nhanh hơn. Chúng tôi sẽ xuất bản tài liệu mới và cập nhật khi trung tâm quản trị mới chuyển sang Power Platform tính khả dụng chung .

Tất cả các môi trường của Microsoft Dataverse đều sử dụng SQL Server Transparent Data Encryption (TDE) để thực hiện mã hóa dữ liệu theo thời gian thực khi ghi vào đĩa. Điều này còn được gọi là mã hóa khi lưu trữ.

Theo mặc định, Microsoft lưu trữ và quản lý khóa mã hóa cơ sở dữ liệu cho các môi trường của bạn nên bạn không cần phải thực hiện thao tác này. Tính năng khóa được quản lý trong trung tâm quản trị cung cấp cho người quản trị khả năng tự quản lý khóa mã hóa cơ sở dữ liệu được liên kết với Microsoft Power Platform đối tượng thuê. Dataverse

Quan trọng

Bắt đầu từ ngày 6 tháng 1 năm 2026, chúng tôi sẽ ngừng hỗ trợ dịch vụ mang theo chìa khóa riêng (BYOK). Khách hàng được khuyến khích chuyển sang khóa do khách hàng quản lý (CMK), một giải pháp nâng cao cung cấp chức năng được cải thiện, hỗ trợ rộng rãi hơn cho các nguồn dữ liệu và hiệu suất tốt hơn. Tìm hiểu thêm trong Quản lý khóa mã hóa do khách hàng quản lý và Di chuyển môi trường mang theo khóa riêng (BYOK) sang khóa do khách hàng quản lý.

Quản lý khóa mật mã hóa chỉ áp dụng cho cơ sở dữ liệu môi trường Azure SQL. Các tính năng và dịch vụ sau đây tiếp tục sử dụng khóa mã hóa do Microsoft quản lý để mã hóa dữ liệu của họ và không thể được mã hóa bằng khóa mã hóa tự quản lý:

• Các tính năng đồng lái và AI tạo ra trong Microsoft Power Platform và Microsoft Dynamics 365
• Tìm kiếm Dataverse
• Bàn đàn hồi
• Mobile Offline
• Nhật ký hoạt động (cổng thông tin Microsoft 365)
• Exchange (đồng bộ phía máy chủ)

Lưu ý

• Tính năng khóa mã hóa cơ sở dữ liệu tự quản phải được Microsoft bật cho đối tượng thuê của bạn trước khi bạn có thể sử dụng tính năng này.
• Để sử dụng các tính năng quản lý mã hóa dữ liệu cho một môi trường, môi trường đó phải được tạo sau khi tính năng khóa mã hóa cơ sở dữ liệu tự quản lý được Microsoft bật.
• Sau khi tính năng này được bật trong đối tượng thuê của bạn, tất cả các môi trường mới chỉ được tạo bằng bộ lưu trữ Azure SQL. Các môi trường này, bất kể được mã hóa bằng khóa tự mang theo (BYOK) hay khóa do Microsoft quản lý, đều có những hạn chế về kích thước tệp tải lên, không thể sử dụng Azure Cosmos DB và các dịch vụ data lake, và Dataverse các chỉ mục tìm kiếm được mã hóa bằng khóa do Microsoft quản lý. Để sử dụng các dịch vụ này, bạn phải di chuyển sang khóa do khách hàng quản lý.
• Có thể sử dụng các tệp và Hình ảnh có kích thước nhỏ hơn 128 MB nếu môi trường của bạn là phiên bản 9.2.21052.00103 trở lên.
• Hầu hết các môi trường hiện tại đều có tệp và nhật ký được lưu trữ trong cơ sở dữ liệu SQL không phải Azure. Những môi trường này không thể lựa chọn sử dụng khóa mã hóa tự quản lý. Chỉ những môi trường mới (sau khi bạn đăng ký chương trình này) mới có thể được kích hoạt bằng khóa mã hóa tự quản lý.

Giới thiệu về quản lý khóa

Với tính năng quản lý khóa, quản trị viên có thể cung cấp khóa mật mã hóa của riêng họ hoặc tạo khóa mật mã hóa cho họ được dùng để bảo vệ cơ sở dữ liệu cho một môi trường.

Tính năng quản lý khóa hỗ trợ cả tệp khóa mật mã hóa PFX và BYOK, chẳng hạn như các tệp được lưu trữ trong mô đun bảo mật phần cứng (HSM). Để sử dụng tùy chọn tải lên khóa mã hóa, bạn cần cả khóa mã hóa công khai và riêng tư.

Tính năng quản lý khóa giúp việc quản lý khóa mật mã hóa trở nên đơn giản bằng cách sử dụng Azure Key Vault để lưu trữ an toàn các khóa mật mã hóa. Azure Key Vault giúp bảo vệ các khóa mật mã hóa và thông tin bí mật mà các ứng dụng và dịch vụ đám mây sử dụng. Tính năng quản lý khóa không yêu cầu bạn phải có đăng ký Azure Key Vault và trong hầu hết các trường hợp, không cần phải truy cập khóa mã hóa được sử dụng trong Dataverse vault.

Tính năng quản lý khóa cho phép bạn thực hiện các tác vụ sau:

• Cho phép khả năng tự quản lý khóa mật mã hóa cơ sở dữ liệu được liên kết với các môi trường.

• Tạo khóa mã hóa mới hoặc tải lên các tệp khóa mã hóa PFX hoặc BYOK hiện có.

• Khóa và mở khóa môi trường của đối tượng thuê.

  Cảnh báo

  Khi một đối tượng thuê bị khóa, không ai có thể truy cập vào bất kỳ môi trường nào bên trong đối tượng thuê đó. Thông tin thêm: Khóa người thuê nhà

Hiểu được rủi ro tiềm tàng khi bạn quản lý khóa của mình

Giống như bất kỳ ứng dụng quan trọng nào cho doanh nghiệp, những nhân viên trong tổ chức của bạn có quyền truy cập cấp quản trị phải đáng tin cậy. Trước khi bạn sử dụng tính năng quản lý khóa, bạn phải hiểu được rủi ro khi quản lý khóa mật mã hóa cơ sở dữ liệu của mình. Có thể một quản trị viên độc hại (người được cấp hoặc có được quyền truy cập cấp quản trị viên với mục đích gây hại cho bảo mật hoặc quy trình kinh doanh của tổ chức) làm việc trong tổ chức của bạn có thể sử dụng tính năng khóa được quản lý để tạo khóa và sử dụng khóa đó để khóa tất cả các môi trường trong đối tượng thuê.

Cân nhắc trình tự các sự kiện sau.

Quản trị viên vấn đề độc hại đăng nhập vào Trung tâm quản trị Power Platform, chuyển đến tab Môi trường và chọn Quản lý khóa mã hóa. Sau đó, quản trị viên độc hại tạo một khóa mới bằng mật khẩu và tải xuống khóa mật mã hóa vào ổ đĩa cục bộ của họ và kích hoạt khóa mới. Hiện tại, tất cả các cơ sở dữ liệu môi trường đều được mã hóa bằng khóa mới. Tiếp theo, quản trị viên độc hại sẽ khóa đối tượng thuê bằng khóa mới tải xuống, sau đó lấy hoặc xóa khóa mật mã hóa đã tải xuống.

Những hành động này sẽ vô hiệu hóa mọi môi trường trong đối tượng thuê khỏi quyền truy cập trực tuyến và khiến mọi bản sao lưu cơ sở dữ liệu không thể lưu trữ được.

Quan trọng

Để ngăn quản trị viên độc hại làm gián đoạn hoạt động kinh doanh bằng cách khóa cơ sở dữ liệu, tính năng khóa được quản lý không cho phép khóa môi trường của đối tượng thuê trong vòng 72 giờ sau khi khóa mật mã hóa đã thay đổi hoặc kích hoạt. Điều này cung cấp cho các quản trị viên khác tối đa 72 giờ để mở lại bất kỳ thay đổi khóa nào trái phép.

Yêu cầu về khóa mật mã hóa

Nếu bạn cung cấp khóa mật mã hóa của riêng mình, khóa của bạn phải đáp ứng các điều kiện sau được Azure Key Vault chấp nhận.

• Định dạng tệp khóa mật mã hóa phải là PFX hoặc BYOK.
• RSA 2048 bit.
• Loại khóa RSA-HSM (yêu cầu hỗ trợ của Microsoft).
• Tệp khóa mật mã hóa PFX phải được bảo vệ bằng mật khẩu.

Để biết thêm thông tin về cách tạo và chuyển khóa được bảo vệ bằng HSM qua Internet, hãy xem Cách tạo và chuyển khóa được bảo vệ bằng HSM cho Azure Key Vault. Chỉ hỗ trợ khóa nCipher Vendor HSM. Trước khi tạo khóa HSM, hãy vào cửa sổ Power Platform trung tâm quản trị Quản lý khóa mã hóa>Tạo khóa mới để lấy ID đăng ký cho vùng môi trường của bạn. Bạn cần sao chép và dán ID đăng ký này vào HSM của mình để tạo khóa. Điều này đảm bảo rằng chỉ có Azure Key Vault của chúng tôi mới có thể mở tệp của bạn.

Nhiệm vụ quản lý khóa

Để đơn giản hóa các tác vụ quản lý chính, các tác vụ được chia thành ba khu vực:

• Tạo hoặc tải lên khóa mã hóa cho người thuê
• Kích hoạt khóa mã hóa cho người thuê
• Quản lý mã hóa cho một môi trường

Quản trị viên có thể sử dụng trung tâm quản trị Power Platform hoặc lệnh ghép ngắn mô-đun quản trị Power Platform để thực hiện các nhiệm vụ quản lý khóa được mô tả dưới đây.

Tạo hoặc tải lên khóa mật mã hóa cho đối tượng thuê

Tất cả các khóa mật mã hóa được lưu trữ trong Azure Key Vault và chỉ có thể có một khóa hoạt động bất cứ lúc nào. Vì khóa hoạt động được sử dụng để mã hóa tất cả các môi trường trong đối tượng thuê, nên việc quản lý quá trình mã hóa được vận hành ở cấp độ đối tượng thuê. Khi khóa được kích hoạt, mỗi môi trường riêng lẻ có thể được chọn để sử dụng khóa cho quá trình mã hóa.

Sử dụng quy trình này để thiết lập tính năng khóa được quản lý lần đầu tiên cho một môi trường hoặc để thay đổi (hoặc chuyển tiếp) khóa mã hóa cho đối tượng thuê đã tự quản lý.

Cảnh báo

Khi bạn thực hiện các bước được mô tả ở đây lần đầu tiên, bạn đang lựa chọn tự quản lý khóa mã hóa của mình. Thông tin thêm: Hiểu được rủi ro tiềm ẩn khi bạn quản lý chìa khóa của mình

1. đăng nhập vào Power Platform trung tâm quản trị với tư cách là quản trị viên (Dynamics 365 admin hoặc Microsoft Power Platform admin).

2. Chọn tab Môi trường rồi trên thanh công cụ, hãy chọn Quản lý khóa mật mã hóa.

3. Chọn Xác nhận để xác nhận rủi ro khóa được quản lý.

4. Trên thanh công cụ, chọn Khóa mới.

5. Trên khung bên trái, hãy hoàn tất các chi tiết để tạo hoặc tải lên một khóa:

   • Chọn một Khu vực. Tùy chọn này chỉ hiển thị nếu đối tượng thuê của bạn có nhiều khu vực.
   • Nhập Tên khóa.
   • Chọn từ các tùy chọn sau:
     • Để tạo khóa mới, hãy chọn Tạo mới (.pfx). Thông tin thêm: Tạo khóa mới (.pfx)
     • Để sử dụng khóa được tạo riêng của bạn, hãy chọn Tải lên (.pfx hoặc .byok). Thông tin thêm: Tải lên khóa (.pfx hoặc .byok)

6. Chọn Tiếp theo.

Tạo khóa mới (.pfx)

1. Nhập mật khẩu rồi nhập lại mật khẩu để xác nhận.
2. Chọn Tạo và sau đó chọn thông báo tệp đã tạo trên trình duyệt của bạn.
3. Tệp khóa mã hóa .pfx được tải xuống thư mục tải xuống mặc định của trình duyệt web của bạn. Lưu tệp ở một vị trí an toàn (bạn nên sao lưu khóa này cùng với mật khẩu của nó).

Tải lên khóa (.pfx hoặc .byok)

1. Chọn Tải lên khóa, chọn tệp .pfx hoặc .byok¹ rồi chọn Mở.
2. Nhập mật khẩu cho khóa rồi chọn Tạo.

¹ Đối với các tệp khóa mật mã hóa .byok, hãy đảm bảo bạn sử dụng ID đăng ký hiển thị trên màn hình khi bạn xuất khóa mật mã hóa từ HSM cục bộ. Thông tin thêm: Cách tạo và chuyển khóa được bảo vệ bằng HSM cho Azure Key Vault

Lưu ý

Để giảm số bước quản lý quy trình khóa của người quản trị, khóa sẽ tự động được kích hoạt khi được tải lên lần đầu tiên. Tất cả các lần tải khóa tiếp theo đều yêu cầu một bước bổ sung để kích hoạt khóa.

Kích hoạt khóa mật mã hóa cho đối tượng thuê

Khi một khóa mật mã hóa được tạo hoặc tải lên cho đối tượng thuê, khóa đó có thể được kích hoạt.

1. đăng nhập vào Power Platform trung tâm quản trị với tư cách là quản trị viên (Dynamics 365 admin hoặc Microsoft Power Platform admin).
2. Chọn tab Môi trường rồi chọn Quản lý khóa mã hóa trên thanh công cụ.
3. Chọn Xác nhận để xác nhận rủi ro khóa được quản lý.
4. Chọn một khóa có trạng thái Sẵn có rồi chọn Kích hoạt khóa trên thanh công cụ.
5. Chọn Xác nhận để xác nhận thay đổi khóa.

Khi bạn kích hoạt khóa cho đối tượng thuê, phải mất một lúc để dịch vụ quản lý khóa kích hoạt khóa. Trạng thái của Trạng thái chính hiển thị khóa là Đang cài đặt khi khóa mới hoặc tải lên được kích hoạt.

Khi khóa được kích hoạt, điều sau đây sẽ xảy ra:

• Tất cả các môi trường được mã hóa sẽ tự động được mã hóa bằng khóa đang hoạt động (không có thời gian chết với hành động này).
• Khi được kích hoạt, khóa mã hóa sẽ được áp dụng cho tất cả các môi trường được thay đổi từ khóa mã hóa do Microsoft cung cấp sang khóa mã hóa tự quản lý.

Quan trọng

Để hợp lý hóa quy trình quản lý khóa sao cho tất cả các môi trường được quản lý bởi cùng một khóa, khóa hoạt động không thể được cập nhật khi có môi trường bị khóa. Tất cả các môi trường bị khóa phải được mở khóa trước khi khóa mới có thể được kích hoạt. Nếu có các môi trường bị khóa không cần phải mở khóa, chúng phải bị xóa.

Lưu ý

Sau khi khóa mã hóa được kích hoạt, bạn không thể kích hoạt khóa khác trong 24 giờ.

Quản lý quá trình mã hóa cho môi trường

Theo mặc định, mỗi môi trường được mã hóa bằng khóa mật mã hóa do Microsoft cung cấp. Khi khóa mật mã hóa được kích hoạt cho đối tượng thuê, quản trị viên có thể chọn thay đổi mã hóa mặc định để sử dụng khóa mật mã hóa được kích hoạt. Để sử dụng khóa đã kích hoạt, hãy làm theo các bước sau.

Áp dụng khóa mật mã hóa cho môi trường

1. Đăng nhập vào trung tâm quản trị Power Platform, sử dụng thông tin xác thực vai trò Quản trị viên môi trường hoặc Quản trị viên hệ thống.
2. Chọn tab Môi trường.
3. Mở một môi trường được mã hóa do Microsoft cung cấp.
4. Chọn Xem tất cả.
5. Trong phần Mã hóa môi trường, hãy chọn Quản lý.
6. Chọn Xác nhận để xác nhận rủi ro khóa được quản lý.
7. Chọn Áp dụng khóa này để chấp nhận thay đổi mã hóa nếu muốn sử dụng khóa kích hoạt.
8. Chọn Xác nhận để xác nhận rằng bạn đang quản lý khóa trực tiếp và có thời gian ngừng hoạt động cho hành động này.

Trả khóa mật mã hóa được quản lý về khóa mật mã hóa do Microsoft cung cấp

Trả về khóa mật mã hóa do Microsoft cung cấp sẽ cấu hình môi trường trở lại hành vi mặc định trong đó Microsoft quản lý khóa mật mã hóa cho bạn.

1. Đăng nhập vào trung tâm quản trị Power Platform, sử dụng thông tin xác thực vai trò Quản trị viên môi trường hoặc Quản trị viên hệ thống.
2. Chọn tab Môi trường rồi chọn một môi trường được mã hóa bằng khóa tự quản lý.
3. Chọn Xem tất cả.
4. Trong phần Mã hóa môi trường , hãy chọn Quản lý rồi chọn Xác nhận.
5. Trong Quay lại quản lý mã hóa tiêu chuẩn, chọn Quay lại.
6. Đối với môi trường sản xuất, hãy xác nhận môi trường bằng cách nhập tên của môi trường.
7. Chọn Xác nhận để quay lại chế độ quản lý khóa mật mã hóa tiêu chuẩn.

Khóa đối tượng thuê

Vì chỉ có một khóa hoạt động cho mỗi đối tượng thuê, nên việc khóa mã hóa cho đối tượng thuê sẽ vô hiệu hóa tất cả các môi trường có trong đối tượng thuê. Không ai có thể truy nhập vào môi trường bị khóa, kể cả Microsoft, cho đến khi quản trị viên dịch vụ Power Platform trong tổ chức bạn mở khóa bằng khóa được dùng để khóa môi trường.

Thận trọng

Bạn không bao giờ nên khóa môi trường đối tượng thuê trong quy trình làm việc bình thường. Khi bạn khóa Dataverse đối tượng thuê, tất cả các môi trường sẽ ngoại tuyến và không ai có thể truy cập được, kể cả Microsoft. Ngoài ra, tất cả các dịch vụ như đồng bộ hóa và bảo trì đều dừng. Nếu bạn quyết định rời khỏi dịch vụ, việc khóa đối tượng thuê có thể đảm bảo rằng dữ liệu trực tuyến của bạn sẽ không bao giờ được bất kỳ ai truy cập lại.

Lưu ý những điều sau đây về việc khóa môi trường của đối tượng thuê:

• Không thể khôi phục môi trường bị khóa từ bản sao lưu.
• Môi trường bị khóa sẽ bị xóa nếu không được mở khóa sau 28 ngày.
• Bạn không thể khóa môi trường trong 72 giờ sau khi thay đổi khóa mã hóa.
• Việc khóa đối tượng thuê sẽ khóa tất cả các môi trường hoạt động trong đối tượng thuê.

Quan trọng

• Bạn phải đợi ít nhất một giờ sau khi khóa môi trường hoạt động trước khi có thể mở khóa chúng.
• Khi quá trình khóa bắt đầu, tất cả các khóa mật mã hóa ở trạng thái Hoạt động hoặc Sẵn có sẽ bị xóa. Quá trình khóa có thể mất tới một giờ và trong thời gian này không được phép mở khóa các môi trường đã khóa.

1. đăng nhập vào Power Platform trung tâm quản trị với tư cách là quản trị viên (Dynamics 365 admin hoặc Microsoft Power Platform admin).
2. Chọn tab Môi trường rồi trên thanh lệnh, hãy chọn Quản lý khóa mật mã hóa.
3. Chọn khóa Hoạt động rồi chọn Khóa môi trường hoạt động.
4. Trên khung bên phải, hãy chọn Tải lên khóa hoạt động, duyệt đến và chọn khóa, nhập mật khẩu, sau đó chọn Khóa.
5. Khi được nhắc, hãy nhập văn bản được hiển thị trên màn hình của bạn để xác nhận rằng bạn muốn khóa tất cả các môi trường trong khu vực, sau đó chọn Xác nhận.

Mở khóa môi trường bị khóa

Để mở khóa môi trường, trước tiên bạn phải tải lên và sau đó kích hoạt khóa mã hóa đối tượng thuê bằng cùng khóa đã được sử dụng để khóa đối tượng thuê. Lưu ý rằng các môi trường bị khóa sẽ không tự động được mở khóa sau khi khóa được kích hoạt. Mỗi môi trường bị khóa phải được mở khóa riêng.

Quan trọng

• Bạn phải đợi ít nhất một giờ sau khi khóa môi trường hoạt động trước khi có thể mở khóa chúng.
• Quá trình mở khóa có thể mất đến một giờ. Khi khóa được mở khóa, bạn có thể sử dụng khóa để Quản lý quá trình mã hóa cho môi trường.
• Bạn không thể tạo mới hoặc tải lên khóa hiện tại cho đến khi tất cả các môi trường bị khóa được mở khóa.

Mở khóa khóa mật mã hóa

1. đăng nhập vào Power Platform trung tâm quản trị với tư cách là quản trị viên (Dynamics 365 admin hoặc Microsoft Power Platform admin).

2. Chọn tab Môi trường rồi chọn Quản lý khóa mật mã hóa.

3. Chọn một khóa có trạng thái Đã khóa rồi chọn Mở khóa trên thanh lệnh.

4. Chọn Tải lên khóa bị khóa, duyệt đến và chọn khóa được dùng để khóa đối tượng thuê, nhập mật khẩu, sau đó chọn Mở khóa.

   Khóa sẽ ở trạng thái Đang cài đặt. Bạn phải đợi cho đến khi khóa ở trạng thái Hoạt động trước khi bạn có thể mở khóa môi trường bị khóa.

5. Để mở khóa một môi trường, hãy xem phần tiếp theo.

Mở khóa môi trường

1. Chọn tab Môi trường và sau đó chọn tên môi trường bị khóa.

   Tiền bo

   Không chọn hàng. Chọn tên môi trường.

   

2. Trong phần Chi tiết, hãy chọn Xem tất cả để hiển thị khung Chi tiết ở bên phải.

3. Trong phần mã hóa Môi trường trên ngăn Chi tiết , hãy chọn Quản lý.

   

4. Trên trang Mã hóa môi trường , chọn Mở khóa.

   

5. Chọn Xác nhận để xác nhận rằng bạn muốn mở khóa môi trường.

6. Lặp lại các bước trước để mở khóa các môi trường khác.

Hoạt động cơ sở dữ liệu môi trường

Đối tượng thuê khách hàng có thể có các môi trường được mã hóa bằng khóa được Microsoft quản lý và các môi trường được mã hóa bằng khóa được khách hàng quản lý. Để duy trì tính toàn vẹn dữ liệu và bảo vệ dữ liệu, các điều khiển sau có sẵn khi quản lý các hoạt động cơ sở dữ liệu môi trường.

1. Khôi phục

   Môi trường ghi đè (môi trường được khôi phục) bị giới hạn trong cùng môi trường mà bản sao lưu được thực hiện hoặc trong một môi trường khác được mã hóa bằng cùng một khóa do khách hàng quản lý.

   

2. Sao chép

   Môi trường ghi đè (môi trường được sao chép vào) bị giới hạn trong một môi trường khác được mã hóa bằng cùng một khóa do khách hàng quản lý.

   

   Lưu ý

   Nếu môi trường Hỗ trợ điều tra được tạo ra để giải quyết vấn đề hỗ trợ trong môi trường do khách hàng quản lý, khóa mã hóa cho môi trường Hỗ trợ điều tra phải được thay đổi thành khóa do khách hàng quản lý trước khi có thể thực hiện thao tác Sao chép môi trường.

3. Cài lại

   Dữ liệu được mã hóa của môi trường sẽ bị xóa, bao gồm cả bản sao lưu. Sau khi môi trường được thiết lập lại, mã hóa môi trường sẽ trở lại khóa do Microsoft quản lý.

Nội dung liên quan

SQL Server: Mã hóa dữ liệu trong suốt (TDE)