مشاركة عبر

إدارة مفتاح التشفير

  • مقالة

إشعار

إن مركز مسؤولي Power Platformالجديد والمحسن موجود الآن في إصدار أولي للاستخدام العام! لقد صممنا مركز الإدارة الجديد ليكون أسهل في الاستخدام، مع التنقل الموجه نحو المهام الذي يساعدك على تحقيق نتائج محددة بشكل أسرع. سننشر وثائق جديدة ومحدثة مع انتقال مركز مسؤولي Power Platform الجديد إلى التوفر العام.

تستخدم جميع بيئات Microsoft Dataverse ميزة تشفير البيانات الشفاف (TDE) في SQL Server لإجراء عملية تشفير البيانات وفك تشفيرها في الوقت الحقيقي عند كتابتها إلى القرص، تُعرف أيضًا باسم تشفير البيانات غير المتنقلة عبر الشبكات.

بشكل افتراضي، تقوم Microsoft بتخزين وإدارة مفتاح تشفير قاعدة البيانات لبيئاتك بحيث لن تحتاج إلى القيام بذلك. توفر ميزة إدارة المفاتيح في مركز إدارة Microsoft Power Platform للمسؤولين القدرة على الإدارة الذاتية لمفتاح تشفير قاعدة البيانات المقترن بمستأجر Dataverse.

مهم

اعتبارا من 6 يناير 2026، سنتوقف عن دعم إحضار مفتاحك الخاص (BYOK). يتم تشجيع العملاء على الانتقال إلى المفاتيح المدارة من قبل العملاء (CMK)، وهو حل محسن يوفر وظائف محسنة ودعما أوسع لمصادر البيانات وأداء أفضل. تعرف على المزيد في إدارة مفتاح التشفير المدار بواسطة العميل وترحيل بيئات إحضار مفتاحك الخاص (BYOK) إلى المفتاح المدار بواسطة العميل.

لا تنطبق إدارة مفتاح التشفير إلا على قواعد بيانات بيئة Azure SQL فقط. تستمر الميزات والخدمات التالية في استخدام مفتاح التشفير المُدار من قِبل Microsoft لتشفير بياناتها ولا يمكن تشفيرها باستخدام مفتاح التشفير المُدار ذاتياً:

  • ميزات المساعدين وميزات الذكاء الاصطناعي التوليدي في Microsoft Power Platform وMicrosoft Dynamics 365
  • بحث Dataverse
  • جداول مرنة
  • Mobile Offline
  • سجل النشاط (مدخل Microsoft 365)
  • Exchange (‏‫المزامنة على جانب الخادم‬)

إشعار

  • يجب أن تقوم Microsoft بتشغيل ميزة مفتاح تشفير قاعدة البيانات المُدارة ذاتيًا للمستأجر الخاص بك قبل أن تتمكن من استخدام الميزة.
  • لاستخدام ميزات إدارة تشفير البيانات لبيئة ما، يجب إنشاء البيئة بعد تشغيل ميزة الإدارة الذاتية لمفتاح تشفير قاعدة البيانات بواسطة Microsoft.
  • بعد تشغيل هذه الميزة في المستأجر، يتم إنشاء كافة البيئات الجديدة باستخدام مساحة تخزين Azure SQL فقط. هذه البيئات، بغض النظر عما إذا كنت مشفرة بإحضار المفتاح الخاص بك (BYOK) أو المفتاح الذي تديره Microsoft، لها قيود مع حجم تحميل الملف، ولا يمكنها استخدام خدمات Cosmos وDatalake ويتم تشفير فهارس بحث Dataverse باستخدام مفتاح مُدار من Microsoft. لاستخدام هذه الخدمات، يجب الترحيل إلى المفتاح الذي يُديره العميل.
  • يمكن تمكين دعم الملف والصورة بحجم أكبر من 128 ميجابايت إذا كان إصدار البيئة لديك 9.2.21052.00103 أو أعلى.
  • تحتوي معظم البيئات الموجودة على ملفات وسجلات مخزنة في قواعد بيانات بخلاف Azure SQL. لا يمكن الاشتراك في هذه البيئات لمفتاح التشفير المُدار ذاتيًا. يمكن تمكين البيئات الجديدة فقط (بمجرد التسجيل لهذا البرنامج) باستخدام مفتاح التشفير المدار ذاتيًا.

مقدمة إلى إدارة المفاتيح

باستخدام وظيفة إدارة المفاتيح في ، بإمكان المسؤولين توفير مفتاح تشفير خاص بهم أو طلب إنشاء مفتاح تشفير لهم، والذي يستخدم لحماية قاعدة البيانات التابعة لبيئة.

تدعم ميزة إدارة المفاتيح ملفات مفاتيح التشفير PFX وBYOK، كتلك التي تم تخزينها في وحدة نمطية لأمان الأجهزة (HSM). لاستخدام خيار مفتاح تشفير التحميل، تحتاج إلى مفتاح التشفير العام والخاص.

تأخذ ميزة إدارة المفاتيح التعقيد من إدارة مفاتيح التشفير باستخدام Azure Key Vault لتخزين مفاتيح التشفير بأمان. يحمي Azure Key Vault helps مفاتيح وأسرار التشفير التي تستخدمها التطبيقات والخدمات السحابية. لا تتطلب ميزة إدارة المفاتيح أن يكون لديك اشتراك في Azure Key Vault، وفي معظم المواقف لا توجد حاجة للوصول إلى مفاتيح التشفير المستخدمة لـ (Dataverse) داخل المخزن.

تسمح لك ميزة إدارة المفاتيح بتنفيذ المهام التالية.

  • تمكين القدرة على تنفيذ الإدارة الذاتية لمفاتيح تشفير قاعدة البيانات المقترنة بالبيئات.

  • إنشاء مفاتيح تشفير جديدة أو موجودة أو تحميل ملفات مفاتيح تشفير موجودة .PFX أو .BYOK.

  • تأمين بيئات المستأجر وإلغاء تأمينها.

    تحذير

    عند تأمين مستأجر ما، لا يمكن لأي شخص الوصول إلى جميع البيئات الموجودة في هذا المستأجر. مزيد من المعلومات: تأمين مستأجر.

فهم المخاطر المحتملة عند إدارة المفاتيح

كما هو الحال مع أي تطبيق مهم للأعمال، يجب الوثوق بالعاملين داخل المؤسسة الذين لديهم حق الوصول على مستوى المسؤول. وقبل استخدام ميزة إدارة المفاتيح، يجب فهم المخاطر المحتملة عند إدارة مفاتيح تشفير قاعدة البيانات. من الممكن أن يقوم مسؤول ضار (الشخص الذي تم منحه أو حصل على حق الوصول على مستوى المسؤول بقصد الإضرار بأمان المؤسسة أو العمليات التجارية) الذي يعمل داخل مؤسستك باستخدام ميزة المفاتيح المُدارة لإنشاء مفتاح واستخدامه لقفل كافة البيئات في المستأجر.

خذ بعين الاعتبار التسلسل التالي للأحداث.

يقوم المسؤول الضار بتسجيل الدخول إلى مركز إدارة Power Platform، وينتقل إلى علامة تبويب البيئات ويحدد إدارة مفتاح التشفير. بعدئذ يقوم المسؤول الضارة بإنشاء مفتاح جديد باستخدام كلمة مرور وينزيل مفتاح التشفير على محرك الأقراص المحلي الخاص به، وينشط المفتاح الجديد. بذلك تكون جميع قواعد بيانات البيئة مشفرة باستخدام المفتاح الجديد. بعد ذلك، يقوم المسؤول الضار بتأمين المستأجر باستخدام المفتاح الذي تم تنزيله مؤخرا، ثم يأخذ أو يحذف مفتاح التشفير الذي تم تنزيله.

تؤدي هذه الإجراءات إلى تعطيل كافة البيئات داخل المستأجر من الوصول عبر الإنترنت وجعل كافة النسخ الاحتياطية لقاعدة البيانات غير قابلة للاستعادة.

مهم

لمنع المسؤول الضار من مقاطعة عمليات الأعمال بتأمين قاعدة البيانات، لا تسمح ميزة المفاتيح المُدارة بتأمين بيئات المستأجر لمدة 72 ساعة بعد تغيير مفتاح التشفير أو تنشيطه. وهذا يتيح مدة 72 ساعة للمسؤولين الآخرين للتراجع عن كل تغييرات المفاتيح غير المخوّلة.

متطلبات مفاتيح التشفير

إذا قمت بتوفير مفتاح تشفير خاص بك، فيجب أن يلبي مفتاحك هذه المتطلبات التي يقبلها Azure Key Vault.

  • يجب أن يكون تنسيق ملف مفتاح التشفير PFX أو BYOK.
  • 2048-bit RSA.
  • نوع المفتاح RSA-HSM (يتطلب طلب دعم Microsoft).
  • يجب أن تكون ملفات مفاتيح التشفير PFX محمية بكلمة مرور.

مزيد من المعلومات حول إنشاء مفتاح محمي بواسطة HSM ونقله عبر الإنترنت، راجع كيفية إنشاء مفاتيح محمية بواسطة HSM لمخزن Azure الأساسي ونقلها. يتم دعم مفتاح nCipher لبائع HSM فقط. قبل إنشاء مفتاح HSM الخاص بك، انتقل إلى نافذة مركز إدارة Power Platform admin center إدارة مفاتيح التشفير/إنشاء مفتاح جديد للحصول على معرف الاشتراك لمنطقتك البيئية. يلزمك نسخ معر ها الاشتراك ولصقه إلى HSM لإنشاء المفتاح. وهذا يضمن أن Azure Key Vault هو الوحيد القادر على فتح ملفك.

مهام إدارة المفاتيح

لتبسيط مهام إدارة المفاتيح، يتم تقسيم المهام إلى ثلاث مناطق:

  1. إنشاء مفتاح التشفير أو تحميله للمستأجر
  2. تنشيط مفتاح تشفير للمستأجر
  3. إدارة تشفير بيئة

يمكن للمسؤولين استخدام مركز مسؤولي Power Platform أو cmdlets لوحدة إدارة Power Platform لتنفيذ مهام إدارة مفتاح حماية المستأجر الموضحة هنا.

إنشاء مفتاح التشفير أو تحميله للمستأجر

يتم تخزين كافة مفاتيح التشفير في مخزن Azure الأساسي، ولا يتوفر سوى مفتاح نشط واحد في المرة الواحدة. وبما أن المفتاح النشط يتم استخدامه لتشفير جميع البيئات في المستأجر، يتم تشغيل إدارة التشفير على مستوي المستأجر. بمجرد تنشيط المفتاح، يمكن تحديد كل بيئة فردية بعد ذلك لاستخدام المفتاح للتشفير.

استخدم هذا الإجراء لتعيين ميزة المفتاح المُدار في المرة الأولى لبيئة ما أو لتغيير (أو تمرير) مفتاح تشفير لمستأجر مُدار ذاتيًا بالفعل.

تحذير

عند تنفيذ الخطوات الموضحة هنا للمرة الأولى، فإنك تقوم بتمكين الإدارة الذاتية لمفاتيح التشفير الخاصة بك. مزيد من المعلومات: فهم المخاطر المحتملة عند إدارة المفاتيح

  1. سجل دخولك إلى مركز مسؤولي Power Platform كمسؤول (مسؤول Dynamics 365 أو Microsoft Power Platform)

  2. حدد علامة تبويب البيئات، ثم حدد إضافة مفاتيح التشفير على شريط الأدوات.

  3. حدد تأكيد لتقر لقبول خطر إدارة المفتاح.

  4. حدد مفتاح جديد في شريط الأدوات.

  5. في الجزء الأيسر، أكمل التفاصيل لإنشاء مفتاح أو تحميله:

    • حدد منطقة. لا يظهر هذا الخيار الا إذا كان للمستأجر الخاص بك مناطق متعددة.
    • أدخل اسم المفتاح.
    • حدد من الخيارات التالية:

  6. حدد التالي.

إنشاء مفتاح جديد (pfx.)

  1. أدخل كلمة مرور، ثم أعد إدخال كلمة المرور للتأكيد.
  2. حدد إنشاء، ثم حدد إعلام الملف الذي تم إنشاؤه في المستعرض.
  3. يتم تنزيل ملف مفتاح التشفير PFX. في مجلد التنزيل الافتراضي الخاص بمستعرض الويب. قم بحفظ الملف في موقع آمن (نوصي بعمل نسخة احتياطية من هذا المفتاح مع كلمة المرور الخاصة به).

تحميل مفتاح (pfx. أو byok.)

  1. حدد تحميل المفتاح، وحدد ملف pfx. أو byok‎.1، ثم حدد فتح.
  2. أدخل كلمة مرور للمفتاح، ثم انقر فوق إنشاء.

1 بالنسبة إلى ملفات مفاتيح التشفير byok.، تأكد من استخدام معرف الاشتراك الذي يظهر على الشاشة عند تصدير مفتاح التشفير من وحدة HSM المحلية. مزيد من المعلومات: كيفية إنشاء مفاتيح محمية بواسطة HSM لمخزن Azure الأساسي ونقلها

‏‫ملاحظة‬

لتقليل عدد الخطوات للمسؤول لإدارة عملية المفتاح، يتم تنشيط المفتاح تلقائيًا عندما يتم تحميله في المرة الأولى. تتطلب جميع عمليات تحميل المفاتيح اللاحقة خطوة إضافية لتنشيط المفتاح.

تنشيط مفتاح تشفير للمستأجر

بمجرد إنشاء مفتاح تشفير أو تحميله للمستأجر، يمكن تنشيطه.

  1. سجل دخولك إلى مركز مسؤولي Power Platform كمسؤول (مسؤول Dynamics 365 أو Microsoft Power Platform)
  2. حدد علامة تبويب البيئات، ثم حدد إضافة مفاتيح التشفير على شريط الأدوات.
  3. حدد تأكيد لتقر لقبول خطر إدارة المفتاح.
  4. حدد مفتاحًا حالته متاح ثم حدد مفتاح التنشيط في شريط الأدوات.
  5. حدد تأكيد لتقر بالتغيير الرئيسي.

عند تنشيط مفتاح للمستأجر ، فإن خدمة إدارة المفاتيح تستغرق بعض الوقت لكي تقوم بتنشيط المفتاح. تعرض حالة ‏‫حالة المفتاح‬ المفتاح على أنها ‏‫جارٍ التثبيت‬ عند تنشيط المفتاح الجديد أو الذي تم تحميله. بمجرد تنشيط المفتاح، يحدث ما يلي:

  • يتم تشفير كافة البيئات المشفرة تلقائيًا باستخدام المفتاح النشط (ليس هناك وقت توقف عن العمل مع هذا الإجراء).
  • عند التنشيط، يتم تطبيق مفتاح التشفير على كافة البيئات التي تم تغييرها من مفتاح التشفير المقدم من Microsoft إلى مفتاح التشفير المُدار ذاتيًا.

هام

لتنظيم عملية إدارة المفاتيح بحيث تتم إدارة جميع البيئات بنفس المفتاح، لا يمكن تحديث المفتاح النشط عند وجود بيئات مؤمنة. يجب إلغاء تأمين جميع البيئات المؤمنة قبل أن تتمكن من تنشيط مفتاح جديد. إذا كانت هناك بيئات مؤمنة لا تحتاج إلى إلغاء تأمينها، فيجب حذفها.

‏‫ملاحظة‬

بعد تنشيط مفتاح التشفير، لا يمكنك تنشيط مفتاح آخر لمدة 24 ساعة.

إدارة تشفير بيئة

بشكل افتراضي، تكون كل بيئة مشفرة باستخدام مفتاح التشفير المتوفر من قبل Microsoft. وبمجرد تنشيط مفتاح التشفير للمستأجر، يمكن للمسؤولين اختيار تغيير التشفير الافتراضي لاستخدام مفتاح التشفير المنشط. لاستخدام المفتاح المنشط، اتبع الخطوات التالية.

تطبيق مفتاح التشفير علي بيئة

  1. قم بتسجيل الدخول إلى مركز إدارة Power Platform، استخدام بيانات اعتماد دور مسؤول البيئة أو مسؤول النظام.
  2. حدد علامة التبويب البيئات.
  3. افتح إحدى البيئات المشفرة لـ ‏‫تقدمه Microsoft‬.
  4. حدد عرض الكل.
  5. في قسم تشفير البيئة، حدد إدارة.
  6. حدد تأكيد لتقر لقبول خطر إدارة المفتاح.
  7. حدد تطبيق هذا المفتاح لقبول تغيير التشفير لاستخدام المفتاح المنشط.
  8. حدد تأكيد للإقرار بأنك تدير المفتاح مباشرةً وأن هناك فترة توقف عن العمل لهذا الإجراء.

إرجاع مفتاح تشفير مدار إلى مفتاح التشفير المتوفر من قبل Microsoft

يؤدي إرجاع مفتاح التشفير المتوفر من قبل Microsoft إلى تكوين البيئة مرة أخرى إلى الحالة الافتراضية عندما تدير Microsoft مفتاح التشفير لك.

  1. قم بتسجيل الدخول إلى مركز إدارة Power Platform، استخدام بيانات اعتماد دور مسؤول البيئة أو مسؤول النظام.
  2. حدد علامة علامة التبويب البيئات، ثم حدد بيئة مشفره باستخدام مفتاح مدار ذاتيًا.
  3. حدد عرض الكل.
  4. في القسم تشفير البيئة، حدد إدارة، ثم حدد تأكيد.
  5. أسفل العودة إلى إدارة التشفير القياسي، حدد إرجاع.
  6. بالنسبة لبيئات الإنتاج، قم بتأكيد البيئة من خلال إدخال اسم البيئة.
  7. حدد تأكيد للعودة إلى إدارة التشفير القياسي.

تأمين المستأجر

نظرًا لوجود مفتاح واحد نشط فقط لكل مستأجر، فإن تأمين التشفير للمستأجر يُعطل كافة جميع البيئات الموجودة في المستأجر. تبقى إمكانية الوصول إلى جميع البيئات المؤمّنة غير متاحة للجميع، بمن فيهم Microsoft، حتى يقوم مسؤول خدمة Power Platform في مؤسستك بإلغاء تأمينها باستخدام المفتاح الذي تم استخدامه لتأمينها.

تنبيه

يجب ألا تقوم إطلاقًا بتأمين بيئات المستأجر كجزء من إجراءات العمل العادية. عند تأمين مستأجر Dataverse، سيتم أخذجميع البيئات غير متصلة بالإنترنت ولا يمكن لأي شخص الوصول إليها، بما في ذلك Microsoft. بالإضافة إلى ذلك، سيتوقف عمل خدمات بكاملها مثل المزامنة والصيانة. إذا قررت ترك الخدمة، فقد يؤدي تأمين المستأجر إلى التأكد من عدم الوصول إلى البيانات عبر الإنترنت نهائيًا مره أخرى من قبل أي شخص.
لاحظ التالي حول تأمين بيئات المستأجر:

  • لا يمكن استعادة البيئات المؤمنة من النسخة الاحتياطية.
  • يتم حذف البيئات المؤمنة إذا لم يتم إلغاء تأمينها بعد 28 يومًا.
  • لا يمكنك تأمين البيئات لمدة 72 ساعة بعد تغيير مفتاح تشفير.
  • يؤدي تأمين مستأجر إلى تأمين جميع البيئات النشطة داخل المستأجر.

هام

  • يجب عليك الانتظار لمده ساعة واحده علي الأقل بعدما تقوم بتأمين البيئات النشطة قبل أن تتمكن من إلغاء تامينها.
  • وبمجرد أن تبدأ عملية التأمين، يتم حذف كافة مفاتيح التشفير التي تكون إما بحالة نشطة أو متاحة. يمكن أن تستغرق عملية التأمين ساعة وأثناء هذه المرة لا يكون إلغاء قفل البيئات المؤمنة ممكنًا.
  1. سجل دخولك إلى مركز مسؤولي Power Platform كمسؤول (مسؤول Dynamics 365 أو Microsoft Power Platform)
  2. حدد علامة تبويب البيئات، ثم على شريط الأوامر، حدد إدارة مفاتيح التشفير.
  3. حدد المفتاح النشط ثم حدد تأمين البيئات النشطة.
  4. في الجزء الأيسر، حدد تحميل المفتاح النشط، وقم باستعراض المفتاح وتحديده، ثم أدخل كلمة المرور، وحدد تأمين.
  5. عند المطالبة، أدخل النص الذي يتم عرضه على الشاشة للتأكد من أنك تريد تأمين كافة البيئات في المنطقة، ثم قم بتحديد تأكيد.

إلغاء تأمين البيئات المؤمنة

إلغاء تأمين البيئات، يجب عليك أولاً تحميل ثم تنشيط مفتاح تشفير المستأجر بنفس المفتاح الذي تم استخدامه في تأمين المستأجر. لاحظ أن البيئات المقفلة لا يتم فتح قفلها تلقائيًا بمجرد تنشيط المفتاح. يجب إلغاء تأمين كل بيئة مؤمنه بشكل فردي.

هام

  • يجب عليك الانتظار لمده ساعة واحده علي الأقل بعدما تقوم بتأمين البيئات النشطة قبل أن تتمكن من إلغاء تامينها.
  • يمكن أن تستغرق عملية إلغاء التأمين ساعة. بمجرد إلغاء تأمين المفتاح، يمكنك استخدام المفتاح لإدارة تشفير بيئة.
  • لا يمكنك إنشاء متفاح جديد أو تحميل مفتاح موجود حتى يتم إلغاء تأمين كل البيئات المؤمنة.
إلغاء تأمين مفتاح التشفير
  1. سجل دخولك إلى مركز مسؤولي Power Platform كمسؤول (مسؤول Dynamics 365 أو Microsoft Power Platform)
  2. حدد علامة تبويب البيئات، ثم حدد إضافة مفاتيح التشفير.
  3. حدد المفتاح الذي حالته مؤمّن ثم حدد إلغاء تأمين المفتاح في شريط الأوامر.
  4. حددتحميل المفتاح المؤمن، وقم باستعراض المفتاح الذي تم استخدامه لتأمين المستأجر، ثم أدخل كلمة المرور، وحدد إلغاء التأمين. ينتقل المفتاح إلى حالة ‏‫جارٍ التثبيت‬. يجب الانتظار حتى يصبح المفتاح في حالة نشط قبل أن تتمكن من إلغاء تامين البيئات المؤمنة.
  5. لإلغاء تأمين بيئة، راجع القسم التالي.
إلغاء تأمين البيئات

  1. حدد علامة التبويب البيئات، ثم حدد اسم البيئة المؤمنة.

    تلميح

    لا تحدد الصف. حدد اسم البيئة. فتح البيئة لعرض الإعدادات.

  2. في القسم التفاصيل، قم بتحديد عرض الكل لعرض جزء التفاصيل الموجود علي اليمين.

  3. في القسم التشفير البيئة على جزء التفاصيل، حدد إدارة.

    Environment-details-pane.

  4. في صفحة تشفير البيئة، حدد إلغاء التأمين.

    إلغاء تأمين البيئة.

  5. حدد تأكيد لتأكيد رغبتك في إلغاء تأمين البيئة.

  6. كرر الخطوات السابقة لفتح البيئات الأخرى.

عمليات قاعدة بيانات البيئة

يمكن أن يكون للمستأجر العميل بيئات يتم تشفيرها باستخدام المفتاح المدار والبيئات المُدارة بواسطة Microsoft والمشفرة باستخدام المفتاح المدار بواسطة العميل. للحفاظ على تكامل البيانات وحماية البيانات، تتوفر عناصر التحكم التالية عند إدارة عمليات قاعدة بيانات البيئة.

  1. استعادة تقتصر البيئة المراد استبدالها (التي تم استعادتها إلى البيئة) على البيئة نفسها التي تم الحصول عليها من النسخة الاحتياطية من أو إلى بيئة أخرى تم تشفيرها باستخدام المفتاح نفسه المدار بواسطة العميل.

    استعادة النسخة الاحتياطية.

  2. نسخ تقتصر البيئة المراد استبدالها (التي تم نسخها إلى البيئة) على بيئة أخرى مشفرة باستخدام المفتاح نفسه المدار بواسطة العميل.

    نسخ البيئة.

    ‏‫ملاحظة‬

    في حال إنشاء بيئة استقصاء الدعم لحل مشكلة الدعم في بيئة مدارة بواسطة العميل، فإنه يجب تغيير مفتاح التشفير الخاص ببيئة استقصاء الدعم إلى مفتاح مدار بواسطة العميل قبل تنفيذ عملية نسخ البيئة.

  3. إعادة تعيين يتم حذف البيانات المشفرة للبيئة بما في ذلك النسخ الاحتياطية. بعد إعادة تعيين البيئة، سيتم إرجاع تشفير البيئة مرة أخرى إلى المفتاح المدار بواسطة Microsoft.

المحتوى ذو الصلة

SQL Server: تشفير البيانات الشفاف (TDE)