管理加密金鑰
Microsoft Dataverse 所有環境在寫入至磁碟時使用 SQL Server 透明資料加密 (TDE) 執行即時資料加密,也稱為靜止的加密。
根據預設,Microsoft Store 會儲存和管理您的環境的資料庫加密金鑰,因此您不需這樣做。 Microsoft Power Platform 系統管理中心的管理金鑰功能可讓系統管理員自行管理與 Dataverse 用戶相關聯的資料庫加密金鑰。
重要
加密金鑰管理僅適用 Azure SQL 環境資料庫。 下列功能和服務繼續使用 Microsoft 管理的加密金鑰來加密其資料,無法使用自我管理的加密金鑰進行加密:
- Microsoft Power Platform 和 Microsoft Dynamics 365 中的副手和生成式 AI 功能
- Dataverse 搜尋
- 彈性表格
- Mobile Offline
- 活動記錄 (Microsoft 365 入口網站)
- Exchange (伺服器端同步處理)
注意
- Microsoft 必須為您的租用戶開啟自我管理資料庫加密金鑰功能,然後您才能使用該功能。
- 若要針對環境使用資料加密管理功能,Microsoft 得先開啟自我管理資料庫的加密金鑰功能 後,才能建立環境。
- 在租用戶中啟用該功能後,所有新環境都僅使用 Azure SQL 儲存體建立。 這些環境,無論是使用自帶金鑰 (BYOK) 或 Microsoft 管理的金鑰進行加密,都對檔案上傳大小有限制,無法使用 Cosmos 和 Datalake 服務,且 Dataverse 搜尋索引已加密使用 Microsoft 管理的金鑰。 若要使用這些服務,您必須遷移到客戶自控金鑰。
- 如果您的環境版本為 9.2.21052.00103 或更新版本,則可使用大小小於 128MB 的檔案和影像。
- 大部分的現有環境都有儲存在非 Azure SQL 資料庫的檔案和日誌。 這些環境不可加入自我管理的加密金鑰。 唯有使用自我管理加密金鑰的新環境才能啟用 (一旦您已登入此程式)。
金鑰管理簡介
藉由金鑰管理,系統管理員可提供自己的加密金鑰或產生加密金鑰來保護環境資料庫。
金鑰管理功能同時支援 PFX 與 BYOK 加密金鑰檔案,例如儲存在硬體安全性模組 (HSM) 中的檔案。 若要使用上傳加密金鑰選項,您同時需要公用和私用加密金鑰。
密鑰管理功能使用 Azure Key Vault 安全地儲存加密金鑰,降低了加密金鑰管理的複雜性。 Azure Key Vault 可協助保護雲端應用程式和服務所使用的加密金鑰和密碼。 金鑰管理功能不需要 Azure Key Vault 訂閱,且在大多數情況下,無需存取保存庫中用於 Dataverse 的加密金鑰。
管理金鑰功能可讓您執行下列工作。
讓您有能力自行管理與環境有關聯的資料庫加密金鑰。
產生新的加密金鑰或上載現有的 .PFX 或 .BYOK 加密金鑰檔案。
鎖定和解除鎖定租用戶環境。
警告
當租用戶被鎖定時,任何人都無法存取租用戶內的所有環境。 更多資訊:鎖定租用戶。
了解管理金鑰時的潛在風險
如同任何關鍵業務應用程式,組織內具有系統管理層級存取權的人員必須受到信任。 在您使用金鑰管理功能之前,應先了解管理資料庫加密金鑰的風險。 可想而知,不懷好意的系統管理員 (經授與或已獲得系統管理員等級存取權,但故意傷害組織安全或商務程序的人) 在貴組織內工作時,可能使用管理金鑰功能建立金鑰,並用它來鎖定租用戶中的所有環境。
請考慮以下一系列事件。
惡意系統管理員登入 Power Platform 系統管理中心,移至環境索引標籤,然後選取管理加密金鑰。 惡意系統管理員接著會建立含有密碼的新金鑰,並將加密金鑰下載至他們的本機磁碟機,並啟動新金鑰。 現在所有的環境資料庫都會使用新金鑰加密。 接著,惡意系統管理員會使用新下載的金鑰鎖定租用戶,然後接受或刪除下載的加密金鑰。
這些動作會造成租用戶中的所有環境無法線上存取,並讓所有資料庫備份都取消還原。
重要
為了避免惡意系統管理員透過鎖定資料庫的方式中斷業務運作,受管理金鑰功能不允許租用戶環境在已經變更或啟動加密金鑰後 72 小時被鎖定。 這讓其他系統管理員有長達 72 小時能夠復原任何未經授權的金鑰變更。
加密金鑰需求
如果您提供自己的加密金鑰,您的金鑰必須符合 Azure Key Vault 接受的這些需求。
- 加密金鑰檔案格式必須為 PFX 或 BYOK。
- 2048 位元 RSA。
- RSA-HSM 金鑰類型 (需要 Microsoft 支援服務要求)。
- PFX 加密金鑰檔案必須受到密碼保護。
如需有關產生及透過網際網路傳送受 HSM 保護金鑰的詳細資訊,請參閱如何為 Azure 金鑰保存庫產生和傳送受 HSM 保護的金鑰。 僅支援 nCipher 供應商硬體安全模組 (HSM) 金鑰。 在產生 HSM 金鑰之前,請移至 Power Platform 系統管理中心的管理加密金鑰/建立新金鑰視窗,以取得您環境區域的訂閱識別碼。 您需要複製此訂閱識別碼,並貼上至您的 HSM,才能建立金鑰。 這可確保只有我們的 Azure 金鑰保存庫可以開啟您的檔案。
金鑰管理工作
為了簡化金融管理工作,工作會分成三大區域:
管理員可以使用 Power Platform 系統管理中心或 Power Platform 管理模組 Cmdlet 來執行此處所述的租用戶保護金鑰管理工作。
產生或上傳租用戶的加密金鑰
所有加密金鑰都會儲存在 Azure 金鑰保存庫中,而且任何時候都只能有一個有效金鑰。 因為有效金鑰會用來加密租用戶中的所有環境,所以管理加密是在租用戶等級運作。 一旦啟用金鑰,接著就能選取個別環境使用金鑰進行加密。
使用此道程序首次為環境設定管理金鑰功能或為已經自行管理的租用戶變更(或延長)加密金鑰。
警告
當您首次執行這裡描述的步驟時,您就等於加入自行管理加密金鑰的行列。 更多資訊:了解管理金鑰時的潛在風險。
Power Platform 以管理員(Dynamics 365 管理員或管理員)身份登錄 系統管理中心 Microsoft Power Platform 。
選取 環境索引標籤,然後選取工具列上的 管理加密金鑰。
選取 確認 以便確認知悉管理金鑰的風險。
請在工具列上選取 新金鑰。
請在左窗格上完成詳細資料,以便產生或上傳金鑰:
- 選取 區域。 唯有您的租用戶擁有多個區域才會顯示此選項。
- 輸入 金鑰名稱。
- 從下列選項中選擇:
- 為了建立新金鑰,請選取 產生新 (.pfx)。 更多資訊:產生新金鑰(.pfx)。
- 為了使用自己產生的金鑰,請選取 上傳(.pfx 或 .byok)。 更多資訊: 上傳金鑰(.pfx 或 .byok)。
選取下一步。
產生新金鑰(.pfx)
- 輸入密碼,然後重新輸入要確認的密碼。
- 選取 建立,然後在您的瀏覽器上選取已經建立的檔案通知。
- 加密金鑰 .PFX 檔案會下載至您的網頁瀏覽器預設下載資料夾。 將檔案儲存在安全位置(我們建議此金鑰與它的密碼一同備份)。
上傳金鑰 (.pfx 或 .byok)
- 選取 上傳金鑰,選取 .pfx 或 .byok1 檔案,然後選取 打開。
- 輸入金鑰的密碼,然後選取 建立。
1 若為 .byok 加密金鑰檔案,請確定當您從本機 HSM 匯出加密金鑰時,您是使用螢幕上顯示的訂閱識別碼。 更多資訊:如何為 Azure 金鑰保存庫產生和傳輸受到 HSM 保護的金鑰。
Note
若要減少系統管理員管理金鑰處理程序的步驟數,當首次上傳金鑰時,自動啟用金鑰。 所有後續的金鑰上傳需要額外步驟才能啟動金鑰。
啟動租用戶的加密金鑰
在為租用戶產生或上傳加密金鑰之後,即可將其啟動。
- Power Platform 以管理員(Dynamics 365 管理員或管理員)身份登錄 系統管理中心 Microsoft Power Platform 。
- 選取 環境索引標籤,然後選取工具列上的 管理加密金鑰。
- 選取 確認 以便確認知悉管理金鑰的風險。
- 請選取擁有 可用 狀態的金鑰,然後在工具列上選取 啟動金鑰。
- 選取 確認 以確認知悉金鑰變更。
當您啟用租租戶金鑰時,金鑰管理服務需要一段時間才能啟用金鑰。 當啟用新的或上傳的金鑰時,金鑰狀態 的狀態會顯示金鑰為 安裝中。 金鑰一旦啟用,就會發生下列情形:
- 所有加密的環境都會自動使用有效金鑰進行加密(這項動作不會發生停機)。
- 當啟動時,加密金鑰將套用到從 Microsoft 提供給自我管理加密金鑰的所有環境。
重要
若要簡化金鑰管理程序,以便於讓所有環境都由相同金鑰管理,當有鎖定環境時,有效金鑰即無法更新。 所有遭到鎖定的環境皆須於可以啟動新金鑰前解除鎖定。 如果有不需要解除鎖定的鎖定環境,務必將它們刪除。
Note
加密金鑰啟用後 24 小時,您無法啟用另一個金鑰。
管理環境的加密
根據預設,每個環境都會以 Microsoft 提供的加密金鑰加密。 一旦為租用戶啟用加密金鑰,系統管理員就可以選擇將預設加密變更為使用啟用的加密金鑰。 為了使用啟用的金鑰,請跟隨下列步驟。
將加密金鑰套用到環境
- 使用環境管理員或系統管理員角色認證,登入 Power Platform 管理員中心。
- 選取 環境 索引標籤。
- 打開 Microsoft 提供的 加密環境。
- 請選取 看見全部。
- 請在 環境加密 分區中,選取 管理。
- 選取 確認 以便確認知悉管理金鑰的風險。
- 請選取 套用此金鑰 接受變更加密為使用啟用的金鑰。
- 請選取 確認 來確認知悉您正在直接管理金鑰,而此動作會有停機情況。
將管理的加密金鑰退回 Microsoft 提供的加密金鑰
退回 Microsoft 提供的加密金鑰,可將環境組態回預設行為,其中 Microsoft 為您管理加密金鑰。
- 使用環境管理員或系統管理員角色認證,登入 Power Platform 管理員中心。
- 請選取 環境 索引標籤,然後選取以自我管理的金鑰加密的環境。
- 請選取 看見全部。
- 請在 環境加密 分區中,選取 管理,然後選取 確認。
- 請在 退回到標準加密管理 下方,選取 退回。
- 若是實際執行環境,請藉由輸入環境名稱確認環境。
- 請選取 確認 退回到標準加密金鑰管理。
鎖定租用戶
既然每位租用戶只有一個有效金鑰,那麼鎖定租用戶的加密就會 停用位於租用戶中所有的環境。 在您的組織中的 Power Platform 管理員使用原先鎖定環境所用金鑰進行解除鎖定之前,所有已鎖定環境都會繼續保持任何人 (包括 Microsoft) 皆無法存取的狀態。
注意
您應該未曾鎖定過屬於您的日常商務程序一部份的租用戶環境。 當您鎖定 Dataverse 租用戶時,所有的環境都將完全離線,而且任何人(包括 Microsoft)都無法存取它們。 此外,像是同步處理和維護等服務全都會停止。 如果您決定離開服務,鎖定租用戶可確保任何人都無法再次存取您的連線資料。
請注意下列關於租用戶環境鎖定的資訊:
- 鎖定的環境無法從備份還原。
- 如果 28 天後未解除鎖定,鎖定的環境就會刪除。
- 加密金鑰變更後 72 小時,您無法鎖定環境。
- 鎖定租用戶 會鎖定租用戶中所有的有效環境。
重要
- 在您鎖定有效環境後,必須等候至少一小時才能解除鎖定。
- 鎖定程序一旦開始,就會刪除所有處於有效或可用狀態的加密金鑰。 鎖定程序會耗時一小時,在此期間不允許解鎖鎖定的環境。
- 以管理員(Dynamics 365 管理員或 Power Platform 管理員)身份登錄 系統管理中心 Microsoft Power Platform 。
- 選取 環境 索引標籤,然後選取命令列上的 管理加密金鑰。
- 選取 有效 金鑰,然後選取 鎖定有效環境。
- 請在右窗格上選取 上傳有效金鑰,瀏覽並選取金鑰,輸入密碼,然後選取 鎖定。
- 出現提示時,請輸入顯示在螢幕上的文字,確認您要鎖定該區域的所有環境,然後選取 確認。
解鎖鎖定的環境
為了解除鎖定環境,您務必先 上傳 然後使用用來 鎖定租用戶 的金鑰 啟用 租用戶加密金鑰。 請注意,一旦金鑰啟用,已經鎖定的環境就不會自動解除鎖定。 每個鎖定的環境都必須個別解除鎖定。
重要
- 在您鎖定有效環境後,必須等候至少一小時才能解除鎖定。
- 解除鎖定程序會耗時一小時。 金鑰一旦解除鎖定,您可以使用金鑰來 管理環境加密。
- 您無法在解除鎖定所有鎖定環境前產成新的金鑰或上傳既有的金鑰。
解除鎖定加密金鑰
- 以管理員(Dynamics 365 管理員或 Power Platform 管理員)身份登錄 系統管理中心 Microsoft Power Platform 。
- 請選取 環境 索引標籤,然後選取 管理加密金鑰。
- 請選取擁有 鎖定 狀態的金鑰,然後在工具列上選取 解除鎖定金鑰。
- 請選取 上傳鎖定的金鑰,瀏覽並選取原本用來鎖定租用戶的金鑰,輸入密碼,然後選取 解除鎖定。 金鑰變成 安裝中 狀態。 您必須等到金鑰處於 有效 狀態才能解除鎖定已鎖定的環境。
- 為了解除鎖定環境,請參閱下一節。
解除鎖定環境
請選取 環境 索引標籤,然後選取鎖定的環境名稱。
提示
請勿選取列。 請選取環境名稱。
請在 詳細 分區中,選取 查看全部 以在右側顯示 詳細資料 窗格。
請在 詳細資料 窗格上的 環境 加密分區中,選取 管理。
請在 環境加密 頁面上選取 解除鎖定。
請選取 確認,以便確認您想要解除鎖定環境。
重複先前步驟來解除鎖定其他環境。
環境資料庫作業
客戶租用戶可擁有使用 Microsoft 管理金鑰加密的環境和以客戶管理金鑰加密的環境。 若要維持資料一致性和資料保護,當管理環境資料庫作業時可使用下列控制項。
還原要覆寫的環境 (還原成環境) 被限制為進行備份的相同環境,或另一個以相同客戶管理金鑰加密的環境。
複製 要覆寫的環境 (複製到環境) 被限制為另一個以相同的客戶管理金鑰加密的環境。
注意
如果為了解決客戶管理環境中的支援問題而建立支援調查環境,則支援調查環境的加密金鑰必須變更為客戶管理金鑰,才能執行複製環境的作業。
重設:將會刪除包括備份在內的環境加密資料。 重設環境之後,環境加密會回復至 Microsoft 管理的金鑰。