通过

管理加密密钥

  • 项目

Microsoft Dataverse 的所有环境使用 Microsoft SQL Server 透明数据加密 (TDE) 来在数据写入到磁盘时执行实时数据加密,又称静态加密。

默认情况下,Microsoft 存储和管理您的环境的数据库加密密钥,因此您不必管理。 Microsoft Power Platform 管理中心中的管理密钥功能让管理员可以自行管理与 Dataverse 租户关联的数据库加密密钥。

重要提示

  • 截至 2023 年 6 月 2 日,此服务已升级为客户管理的加密密钥。 需要管理自己的加密密钥的新客户将使用升级后的服务,因为此服务不再提供。
  • 自我托管的数据库加密密钥仅适用于在一个租户中有 1000 个以上 Power Apps 每用户许可证、1000 个以上 Dynamics 365 Enterprise 许可证或 1000 个以上两种许可证组合的客户。 若要选择加入此计划,请提交支持请求

加密密钥管理仅可用于 Azure SQL 环境数据库。 下列功能和服务将继续使用 Microsoft 托管的加密密钥加密自己的数据,但是不能使用自托管加密密钥这些数据。

备注

  • Microsoft 必须为您的租户启用自助管理数据库加密密钥功能,您才能使用此功能。
  • 要将数据加密管理功能用于环境,必须在 Microsoft 打开“自我管理数据库加密密钥”功能之后创建环境。
  • 在您的租户中启用该功能后,所有新环境都是仅使用 Azure SQL 存储创建的。 这些环境,无论是用自带密钥 (BYOK) 还是 Microsoft 管理的密钥加密,都有文件上传大小的限制,不能使用 Cosmos 和 Datalake 服务,并且 Dataverse 搜索索引是用 Microsoft 管理的密钥加密的。 要使用这些服务,您必须迁移到客户管理密钥
  • 如果您的环境是版本 9.2.21052.00103 或更高版本,则可以使用大小小于 128 MB 的文件图像
  • 大多数现有环境将文件和日志存储在非 Azure SQL 数据库中。 这些环境无法选择使用自我管理的加密密钥。 在使用自我管理的加密密钥时,只能启用新环境(在您注册了此计划后)。

密钥管理简介

使用密钥管理,管理员可以提供自己的加密密钥,或为他们生成加密密钥,用于保护环境的数据库。

密钥管理功能支持 PFX 和 BYOK 加密密钥文件,如存储在硬件安全模块 (HSM) 中的文件。 若要使用上载加密密钥选项,您需要公钥和私钥加密密钥。

密钥管理功能通过使用 Azure Key Vault 安全地存储加密密钥,消除了加密密钥管理的复杂性。 Azure Key Vault 帮助保护云应用程序和服务使用的加密密钥和机密。 密钥管理功能不需要您有 Azure Key Vault 订阅,在大多数情况下,无需访问保管库中用于 Dataverse 的加密密钥。

管理密钥功能让您可以执行以下任务。

  • 启用自管理与环境关联的数据库加密密钥的功能。

  • 生成新的加密密钥或上载现有的 .PFX 或 .BYOK 加密密钥文件。

  • 锁定和解锁租户环境。

    警告

    租户被锁定后,任何人都无法访问该租户中的所有环境。 详细信息:锁定租户

了解管理密钥时的潜伏风险

与所有业务关键型应用程序一样,组织内有管理级访问权的人员必须受信任。 在使用密钥管理功能之前,您应该了解管理数据库加密密钥的风险。 可以想象,在您组织内工作的恶意管理员(被授权或已获得管理员级访问权并意图损害组织安全或业务流程的人)可能使用管理密钥功能来创建密钥,并用它来锁定租户中的所有环境。

考虑以下事件顺序。

恶意管理员登录 Power Platform 管理中心,转到环境选项卡,然后选择管理加密密钥。 然后,恶意管理员使用密码创建新密钥,并将加密密钥下载到其本地驱动器,然后激活新密钥。 现在,所有环境数据库都已使用新密钥加密。 接下来,恶意管理员使用新下载的密钥锁定租户,然后获取或删除下载的加密密钥。

这些操作将导致租户中的所有环境无法在线访问,并使所有数据库备份无法还原。

重要提示

为了防止恶意管理员通过锁定数据库中断业务运营,托管密钥功能不允许租户环境在加密密钥更改或激活后持续锁定 72 小时。 这最多为其他管理员提供 72 小时来回滚任何未授权的密钥更改。

加密密钥要求

如果提供您自己的加密密钥,您的密钥必须满足 Azure Key Vault 接受的这些要求。

  • 加密密钥文件格式必须为 PFX 或 BYOK。
  • 2048 位 RSA。
  • SOA-HSM 密钥类型(需要 Microsoft 支持部门请求)。
  • PFX 加密密钥文件必须有密码保护。

有关在 Internet 中生成和传输 HSM 保护密钥的更多信息,请参阅如何为 Azure 密钥保管库生成和传输 HSM 保护密钥。 仅支持 nCipher 供应商 HSM 密钥。 在生成 HSM 密钥之前,请转到 Power Platform 管理中心的管理加密密钥/创建新密钥窗口,获取您的环境区域的订阅 ID。 您需要将此订阅 ID 复制并粘贴到 HSM 中来创建密钥。 这将确保只有我们的 Azure Key Vault 可以打开您的文件。

密钥管理任务

为了简化关键管理任务,这些任务分为三个区域:

  1. 生成或上载租户的加密密钥
  2. 为租户激活加密密钥
  3. 管理环境的加密

管理员可以使用 Power Platform 管理中心Power Platform 管理模块 cmdlet 执行此处所述的租户保护密钥管理任务。

生成或上载租户的加密密钥

所有加密密钥都存储在 Azure Key Vault 中,任何时候都只能有一个活动密钥。 由于活动密钥用于对租户中的所有环境加密,因此在租户级别对加密进行管理。 激活密钥后,可以选择每个单独的环境以使用密钥进行加密。

使用此过程为环境首次设置管理密钥功能,或更改(或恢复)已经自管理租户的加密密钥。

警告

首次执行此处所述的步骤时,您将选择自管理加密密钥。 详细信息:了解管理密钥时的潜在风险

  1. 以管理员(Dynamics 365 管理员或 Power Platform 管理员)身份登录管理中心。 Microsoft Power Platform

  2. 选择环境选项卡,然后在工具栏上选择管理加密密钥

  3. 选择确认以确认管理密钥风险。

  4. 在工具栏上选择新建密钥

  5. 在左窗格上,完成详细信息以生成或上载密钥:

    • 选择区域。 仅当您的租户有多个区域时,才会显示此选项。
    • 输入密钥名称
    • 从以下选项中选择:

  6. 选择下一步

生成新密钥 (.pfx)

  1. 输入密码,然后重新输入密码进行确认。
  2. 选择创建,然后在浏览器中选择创建的文件通知。
  3. 加密密钥 .PFX 文件已下载到 Web 浏览器的默认下载文件夹中。 将文件保存在安全的位置(我们建议将此密钥及其密码一起备份)。

上载密钥(.pfx 或 .byok)

  1. 选择上载密钥,选择 .pfx 或 .byok1 文件,然后选择打开
  2. 为密钥输入密码,然后选择创建

1 对于 .byok 加密密钥文件,请确保在从本地 HSM 导出加密密钥时使用屏幕上显示的订阅 ID。 详细信息:如何为 Azure Key Vault 生成和传输受 HSM 保护的密钥

备注

若要减少管理员管理关键流程的要执行的步骤数量,首次加载密钥时,将自动激活密钥。 以后上传密钥都需要额外执行一个步骤以激活密钥。

为租户激活加密密钥

为租户生成或上载加密密钥后,可以激活它。

  1. 以管理员(Dynamics 365 管理员或 Power Platform 管理员)身份登录管理中心。 Microsoft Power Platform
  2. 选择环境选项卡,然后在工具栏上选择管理加密密钥
  3. 选择确认以确认管理密钥风险。
  4. 选择状态为可用的密钥,然后在工具栏上选择激活密钥
  5. 选择确认以确认密钥更改。

当您为租户激活密钥时,密钥管理服务需要一段时间来激活密钥。 激活新密钥或上载密钥后,密钥状态显示密钥正在安装。 激活密钥后,将发生以下情况:

  • 所有加密的环境都会自动使用活动密钥进行加密(此操作不会造成停机)。
  • 激活后,加密密钥将应用于从 Microsoft 提供更改为自管理加密密钥的所有环境。

重要提示

为了简化密钥管理过程,以便所有环境都由同一密钥管理,当存在锁定环境时,不能更新活动密钥。 必须先解锁所有锁定的环境,然后才能激活新钥匙。 如果存在不需要解锁的锁定环境,则必须将其删除。

备注

激活加密密钥后,将无法在 24 小时内激活另一个密钥。

管理环境的加密

默认情况下,每个环境都使用 Microsoft 提供的加密密钥进行加密。 为租户激活加密密钥后,管理员可以选择更改默认加密以使用激活的加密密钥。 若要使用激活的密钥,请按照下列步骤操作。

将加密密钥应用于环境

  1. 使用环境管理员或系统管理员角色凭据登录到 Power Platform 管理中心
  2. 选择环境选项卡。
  3. 打开 Microsoft 提供加密环境。
  4. 选择查看全部
  5. 环境加密部分,选择管理
  6. 选择确认以确认管理密钥风险。
  7. 选择应用此密钥以接受更改加密以使用激活的密钥。
  8. 选择确认以确认您正在直接管理密钥,并且此操作存在停机时间。

将托管的加密密钥退回到 Microsoft 提供的加密密钥

退回到 Microsoft 提供的加密密钥会将环境重新配置为由 Microsoft 为您管理加密密钥的默认行为。

  1. 使用环境管理员或系统管理员角色凭据登录到 Power Platform 管理中心
  2. 选择环境选项卡,然后选择使用自管理密钥加密的环境。
  3. 选择查看全部
  4. 环境加密部分,选择管理,然后选择确认
  5. 退回到标准加密密钥管理下,选择退回
  6. 对于生产环境,请通过输入环境名称来确认环境。
  7. 选择确认退回标准加密密钥管理。

锁定租户

由于每个租户只有一个活动密钥,因此锁定租户的加密会禁用该租户中的所有环境。 任何人都不能访问所有锁定环境,包括 Microsoft,除非您组织的 Power Platform 管理员使用用于将其锁定的密钥来解锁。

注意

您绝对不应在正常业务流程中锁定租户环境。 当您锁定 Dataverse 租户时,所有环境都将完全脱机,并且包括 Microsoft 在内的任何人都无法访问它们。 此外,停止所有服务,如同步和维护。 如果您决定离开服务,锁定租户可以确保任何人都不会再次访问您的在线数据。
请注意以下有关租户环境锁定的内容:

  • 锁定环境不能从备份还原。
  • 如果 28 天后未解锁,锁定的环境将被删除。
  • 更改加密密钥后,您无法持续锁定环境 72 小时。
  • 锁定租户将锁定租户中的所有活动环境

重要提示

  • 锁定活动环境后,必须至少等待一小时,然后才能对其进行解锁。
  • 锁定过程开始后,将删除所有处于“活动”或“可用”状态的加密密钥。 锁定过程最多可能需要一个小时,在此期间不允许解锁锁定的环境。
  1. 以管理员(Dynamics 365 管理员或 Power Platform 管理员)身份登录管理中心。 Microsoft Power Platform
  2. 选择环境选项卡,然后在命令栏上选择管理加密密钥
  3. 选择活动密钥,然后选择锁定活动环境
  4. 在右窗格中选择上载活动密钥,浏览并选择密钥,输入密码,然后选择锁定
  5. 出现提示时,输入屏幕上显示的文本,以确认您要锁定该区域中的所有环境,然后选择确认

解锁锁定的环境

要解锁环境,您必须首先上载,然后使用与用于锁定租户相同的密钥激活租户加密密钥。 请注意,一旦激活密钥,锁定的环境不会自动解锁。 每个锁定的环境都必须单独解锁。

重要提示

  • 锁定活动环境后,必须至少等待一小时,然后才能对其进行解锁。
  • 解锁过程最多可能需要一小时。 一旦密钥被解锁,您就可以使用密钥管理环境的加密
  • 在解锁所有锁定的环境之前,您无法生成新密钥或上载现有密钥。
解锁加密密钥
  1. 以管理员(Dynamics 365 管理员或 Power Platform 管理员)身份登录管理中心。 Microsoft Power Platform
  2. 选择环境选项卡,然后选择管理加密密钥
  3. 选择状态为已锁定的密钥,然后在命令栏上选择解锁密钥
  4. 选择上载锁定的密钥,浏览并选择用于锁定租户的密钥,输入密码,然后选择解锁。 密钥将进入正在安装状态。 您必须等到密钥处于活动状态,才能解锁锁定的环境。
  5. 要解锁环境,请参阅下一节。
解锁环境

  1. 选择环境选项卡,然后选择锁定的环境名称。

    提示

    请勿选择行。 选择环境名称。 打开环境以查看设置。

  2. 详细信息部分,选择查看全部以在右侧显示详细信息窗格。

  3. 详细信息窗格的环境加密部分,选择管理

    环境详细信息窗格。

  4. 环境加密页面,选择解锁

    解锁环境。

  5. 选择确认以确认您要解锁环境。

  6. 重复上述步骤解锁其他环境。

环境数据库操作

客户租户中可以有使用 Microsoft 托管密钥加密的环境和使用客户托管密钥加密的环境。 为了维护数据完整性和数据保护,管理环境数据库操作时可使用以下控件。

  1. 还原 要覆盖的环境(还原为的环境)限制为创建备份的同一个环境或使用相同客户托管密钥加密的另一个环境。

    还原备份。

  2. 复制:要覆盖的环境(复制到的环境)限制为使用同一个客户托管密钥加密的另一个环境。

    复制环境。

    备注

    如果创建了支持调查环境以解决客户托管环境中的支持问题,则必须先将支持调查环境的加密密钥更改为客户托管密钥,才能执行复制环境操作。

  3. 重置 将删除环境的加密数据,包括备份。 重置环境后,环境加密将恢复为 Microsoft 托管密钥。

另请参见

SQL Server:透明数据加密 (TDE)