Управлявайте вашия управляван от клиента ключ за криптиране

Клиентите имат изисквания за поверителност на данните и съответствие, за да защитят данните си чрез криптиране на данните си в покой. Това предпазва данните от излагане в случай, че копие на базата данни е откраднато. При криптиране на данни в покой откраднатите данни от базата данни са защитени от възстановяване на друг сървър без ключа за криптиране.

Всички клиентски данни, съхранявани в Power Platform тях, са криптирани в покой със силни ключове за криптиране, управлявани от Microsoft. Microsoft съхранява и управлява ключа за шифроване на базата данни за всички ваши данни, така че да не се налага да го правите. Въпреки това, Power Platform предоставя този управляван от клиента шифроващ ключ (CMK) за вашата добавена контрола за защита на данните, където можете самостоятелно да управлявате ключа за шифроване на базата данни, който е свързан с вашата Microsoft Dataverse среда. Това Ви позволява да завъртите или разменяте шифроващия ключ при поискване, а също така Ви позволява да предотвратите достъпа на Microsoft до Вашите клиентски данни, когато отмените достъпа на ключа до нашите услуги по всяко време.

За да научите повече за управлявания от клиента ключ Power Platform, гледайте видеоклипа за управляван от клиента ключ.

Тези операции с шифроващ ключ са налични с управляван от клиента ключ (CMK):

• Създайте RSA (RSA-HSM) ключ от вашето хранилище за ключове на Azure.
• Създайте корпоративни Power Platform правила за вашия ключ.
• Дайте разрешение на корпоративната Power Platform политика за достъп до хранилището за ключове.
• Дайте на Power Platform администратора на услугата да прочете корпоративните правила.
• Приложете шифроващ ключ към вашата среда.
• Върнете/премахнете CMK криптирането на средата до ключ, управляван от Microsoft.
• Променете ключа, като създадете нова корпоративна политика, премахнете средата от CMK и приложите отново CMK с нови корпоративни правила.
• Заключване на CMK среди чрез отмяна на CMK ключови трезори и/или ключови разрешения.
• Мигрирайте среди с носене на собствен ключ (BYOK) към CMK, като приложите CMK ключ.

Понастоящем всички ваши клиентски данни, съхранявани само в следните приложения и услуги, могат да бъдат шифровани с управляван от клиента ключ:

• Dataverse (Персонализирани решения и услуги на Microsoft)
• Dataverse Copilot за приложения, управлявани от модел
• Power Automate
• Чат за Dynamics 365
• Dynamics 365 Продажби
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Финанси (Финанси и операции)
• Dynamics 365 Intelligent Order Management (Финанси и операции)
• Dynamics 365 Project Operations (Финанси и операции)
• Dynamics 365 Supply Chain Management (Финанси и операции)
• Dynamics 365 Fraud Protection (Финанси и операции)

Microsoft Copilot Studio съхранява данните си в собствено хранилище и в Microsoft Dataverse. Когато приложите управлявания от клиента ключ към тези среди, само съхраняваните Microsoft Dataverse данни в тях се шифроват с вашия ключ. Не-даннитеMicrosoft Dataverse продължават да бъдат шифровани с ключа, управляван от Microsoft.

Среди с приложения за финанси и операции, където Power Platform интеграцията е разрешена , също могат да бъдат криптирани. Финансовите и оперативните среди без Power Platform интеграция ще продължат да използват управлявания от Microsoft ключ по подразбиране за шифроване на данни. Повече информация: Шифроване в приложения за финанси и операции

Въведение в управлявания от клиента ключ

С управлявания от клиента ключ администраторите могат да предоставят свой собствен ключ за шифроване от собственото си хранилище за ключове на Azure на Power Platform услугите за съхранение, за да криптират своите клиентски данни. Microsoft няма директен достъп до вашето хранилище за ключове на Azure. За Power Platform услуги за достъп до шифроващия ключ от вашето хранилище за ключове на Azure, администраторът създава корпоративна Power Platform политика, която препраща към ключа за шифроване и предоставя на тази корпоративна политика достъп за четене на ключа от вашето хранилище за ключове на Azure.

След Power Platform това администраторът на услугата може да добави Dataverse среди към корпоративните правила, за да започне да шифрова всички клиентски данни в средата с вашия шифроващ ключ. Администраторите могат да променят ключа за шифроване на средата, като създадат друга корпоративна политика и добавят средата (след като я премахнат) към новите корпоративни правила. Ако средата вече не трябва да се шифрова с помощта на вашия управляван от клиента ключ, администраторът може да премахне средата Dataverse от корпоративните правила, за да върне шифроването на данни обратно към управлявания от Microsoft ключ.

Администраторът може да заключи управляваните от клиента ключови среди, като отмени достъпа до ключ от корпоративните правила и да отключи средите, като възстанови достъпа до ключа. Повече информация: Заключване на среди чрез отмяна на достъп до хранилище за ключове и/или достъп до разрешение за ключ

За да се опростят ключовите задачи за управление, задачите са разделени на три основни области:

1. Създайте ключ за криптиране.
2. Създайте корпоративни правила и дайте достъп.
3. Управление на криптирането на средата.

Изисквания за лицензиране на управляван от клиента ключ

Правилата за управлявани от клиента ключове се прилагат само за среди, които са активирани за управлявани среди. Управляваните среди са включени като право в самостоятелни Power Apps Power Automate Microsoft Copilot Studio Power Pages лицензи и лицензи на Dynamics 365, които дават първокласни права за използване. Научете повече за лицензирането на управлявана среда с прегледа на лицензирането за Microsoft Power Platform.

В допълнение, достъпът до използването на управляван от клиента ключ за Microsoft Power Platform и Dynamics 365 изисква потребителите в средите, където се прилагат правилата за шифроване на ключове, да имат един от следните абонаменти:

• Microsoft 365 или Office 365 A5/E5/G5
• Съответствие за Microsoft 365 A5/E5/F5/G5
• Сигурност и съответствие за Microsoft 365 F5
• Microsoft 365 A5/E5/F5/G5 Защита на информацията и управление
• Управление на вътрешния риск за Microsoft 365 A5/E5/F5/G5

Научете повече за тези лицензи.

Разберете потенциалния риск, когато управлявате ключа си

Както при всяко важно за бизнеса приложение, трябва да се има доверие на персонала в организацията, който има достъп на административно ниво. Преди да използвате функцията за управление на ключове, трябва да разберете риска при управлението на шифроващите ключове за базата данни. Възможно е злонамерен администратор (лице, на което е предоставен или е получил достъп на ниво администратор с намерение да навреди на защитата или бизнес процесите на организацията), работещ във вашата организация, да използва функцията за управление на ключове, за да създаде ключ и да го използва, за да заключи вашите среди в клиента.

Обмислете следната последователност от събития.

Администраторът на хранилището за злонамерени ключове създава ключ и корпоративна политика на портала на Azure. Администраторът на Azure Key Vault отива в Power Platform центъра за администриране и добавя среди към корпоративните правила. След това злонамереният администратор се връща към портала на Azure и отменя ключовия достъп до корпоративната политика, като по този начин заключва всички среди. Това причинява прекъсвания на бизнеса, тъй като всички среди стават недостъпни и ако това събитие не бъде разрешено, т.е. достъпът до ключа е възстановен, данните за средата могат да бъдат потенциално загубени.

Разделяне на задълженията за намаляване на риска

Този раздел описва управляваните от клиента задължения за ключови функции, за които отговаря всяка роля на администратор. Разделянето на тези задачи помага за намаляване на риска, свързан с ключовете, управлявани от клиента.

Задачи за администриране на Azure Key Vault и Power Platform/Dynamics 365 Service

За да разреши управлявани от клиента ключове, първо администраторът на хранилището за ключове създава ключ в хранилището за ключове на Azure и създава корпоративни Power Platform правила. Когато се създаде корпоративната политика, се създава специална Microsoft Entra самоличност, управлявана от ИД. След това администраторът на хранилището за ключове се връща в хранилището за ключове на Azure и предоставя достъп до ключа за шифроване на корпоративните правила/управляваната самоличност.

След това администраторът на хранилището за ключове предоставя на съответния Power Platform администратор на услугата Dynamics 365 достъп за четене до корпоративните правила. След като бъде предоставено разрешение за четене, Power Platform администраторът на услугата на Dynamics 365 може да отиде в центъра за Power Platform администриране и да добави среди към корпоративните правила. След това всички добавени данни за клиенти се шифроват с управлявания от клиента ключ, свързан с тази корпоративна политика.

Предварителни изисквания

• Абонамент за Azure, който включва хардуерни модули за сигурност, управлявани от Azure Key Vault или Azure Key Vault.
• Документ Microsoft Entra за самоличност с:
  • Разрешение на сътрудника за абонамента Microsoft Entra .
  • Разрешение за създаване на хранилище за ключове и ключ на Azure.
  • Достъп за създаване на група ресурси. Това е необходимо за настройка на хранилището за ключове.

Създаване на ключа и предоставяне на достъп с помощта на Azure Key Vault

Администраторът на Azure Key Vault изпълнява тези задачи в Azure.

1. Създайте платен абонамент за Azure и хранилище за ключове. Игнорирайте тази стъпка, ако вече имате абонамент, който включва Azure Key Vault.
2. Отидете в услугата Azure Key Vault и създайте ключ. Повече информация: Създаване на ключ в хранилището за ключове
3. Разрешете услугата корпоративни Power Platform правила за вашия абонамент за Azure. Направете това само веднъж. Повече информация: Разрешаване на услугата за корпоративни Power Platform правила за вашия абонамент за Azure
4. Създайте корпоративни Power Platform правила. Повече информация: Създаване на корпоративна политика
5. Предоставяне на разрешения за корпоративни правила за достъп до хранилището за ключове. Повече информация: Предоставяне на разрешения на корпоративни правила за достъп до хранилище за ключове
6. Дайте Power Platform разрешение на администраторите и администраторите на Dynamics 365 да четат корпоративните правила. Повече информация: Предоставяне на привилегия на Power Platform администратор за четене на корпоративни правила

Power Platform/Задачи на центъра за администриране Power Platform на услуги на Dynamics 365

Предварително изискване

• Power Platform администратор трябва да бъде присвоен или Power Platform на ролята на администратор Microsoft Entra на услугата на Dynamics 365.

Управление на шифроването на средата в Power Platform центъра за администриране

Администраторът Power Platform управлява управлявани от клиента ключови задачи, свързани със средата в Power Platform центъра за администриране.

1. Добавете средите Power Platform към корпоративните правила, за да шифровате данните с управлявания от клиента ключ. Повече информация: Добавяне на среда към корпоративните правила за шифроване на данни
2. Премахнете среди от корпоративните правила, за да върнете шифроването към управлявания ключ на Microsoft. Повече информация: Премахване на среди от правила, за да се върнете към управлявания ключ на Microsoft
3. Променете ключа, като премахнете среди от старите корпоративни правила и добавите среди към нови корпоративни правила. Повече информация: Създаване на ключ за шифроване и предоставяне на достъп
4. Мигрирайте от BYOK. Ако използвате по-ранната функция за самоуправляван шифроващ ключ, можете да мигрирате ключа си към управляван от клиента ключ. Повече информация: Мигриране на среди с донеси собствен ключ към управляван от клиента ключ

Създаване на шифроващ ключ и предоставяне на достъп

Създаване на платен абонамент за Azure и хранилище за ключове

В Azure изпълнете следните стъпки:

1. Създайте абонамент за Pay-as-you-go или еквивалентен абонамент за Azure. Тази стъпка не е необходима, ако клиентът вече има абонамент.

2. Създайте група ресурси. Повече информация: Създаване на групи ресурси

   Бележка

   Създайте или използвайте група ресурси, която има местоположение, например Централна САЩ, което съответства на Power Platform региона на средата, като например САЩ.

3. Създайте хранилище за ключове, като използвате платения абонамент, който включва защита от меко изтриване и изчистване с групата ресурси, която сте създали в предишната стъпка.

   Важно

   За да сте сигурни, че вашата среда е защитена от случайно изтриване на ключа за криптиране, хранилището за ключове трябва да има активирана защита от меко изтриване и изчистване. Няма да можете да шифровате средата си със собствен ключ, без да активирате тези настройки. Повече информация: Преглед на мекото изтриване на Azure Key Vault Повече информация: Създаване на хранилище за ключове с помощта на портала на Azure

Създаване на ключ в хранилището за ключове

1. Уверете се, че сте изпълнили предпоставките.
2. Отидете в хранилището за ключове на портала> на Azure и намерете хранилището за ключове, където искате да генерирате ключ за шифроване.
3. Проверете настройките на хранилището за ключове на Azure:
   1. Изберете Свойства под Настройки.
   2. Под Меко изтриване задайте или проверете дали е зададено на Меко изтриване е активирано при тази опция за хранилище за ключове.
   3. Под Защита от изчистване задайте или проверете дали Разрешаване на защитата от изчистване (налагане на задължителен период на съхранение за изтрити трезори и обекти на трезор) е разрешено.
   4. Ако сте направили промени, изберете Запазване.

Създаване на RSA ключове

1. Създайте или импортирайте ключ, който има следните свойства:

   1. На страниците със свойства на хранилището за ключове изберете Ключове.
   2. Изберете Генериране/импортиране.
   3. На екрана Създаване на ключ задайте следните стойности и след това изберете Създаване.
      • Опции: Генериране
      • Име: Посочете име за ключа
      • Тип ключ: RSA
      • Размер на RSA ключ: 2048 или 4096

   Важно

   Ако зададете дата на изтичане на ключа и ключът е изтекъл, всички среди, които са шифровани с този ключ, ще не работят. Задайте предупреждение за наблюдение на сертификати за изтичане с известия по имейл за вашия местен Power Platform администратор и администратор на хранилището за ключове на Azure като напомняне за подновяване на датата на изтичане. Това е важно, за да се предотвратят непланирани прекъсвания на системата.

Импортиране на защитени ключове за хардуерни модули за сигурност (HSM)

Можете да използвате защитените си ключове за хардуерни модули за сигурност (HSM), за да шифровате средите си Power Platform Dataverse . Вашите HSM защитени ключове трябва да бъдат импортирани в хранилището за ключове, за да може да се създаде корпоративна политика. За повече информация вижте Поддържани HSMустройства Импортиране на защитени с HSM ключове в хранилището за ключове (BYOK).

Създаване на ключ в управлявания HSM на Azure Key Vault

Можете да използвате шифроващ ключ, създаден от управлявания HSM на Azure Key Vault, за да шифровате данните на вашата среда. Това ви дава поддръжка на FIPS 140-2 ниво 3.

Създаване на RSA-HSM ключове

1. Уверете се, че сте изпълнили предпоставките.

2. Отидете на портала наAzure.

3. Създайте управляван HSM:

   1. Осигурете управлявания HSM.
   2. Активирайте управлявания HSM.

4. Разрешете защитата от прочистване във вашия управляван HSM.

5. Дайте ролята на управляван HSM крипто потребител на лицето, което е създало хранилището за управлявани HSM ключове.

   1. Достъп до хранилището за управлявани HSM ключове в портала наAzure.
   2. Отидете до Local RBAC и изберете + Добавяне.
   3. В падащия списък Роля изберете ролята Управляван HSM Crypto потребител на страницата Присвояване на роля.
   4. Изберете Всички клавиши под Обхват.
   5. Изберете Избор на принципал за защита и след това изберете администратора на страницата Добавяне на принципал .
   6. Изберете Създаване.

6. Създайте RSA-HSM ключ:

   • Опции: Генериране
   • Име: Посочете име за ключа
   • Тип ключ: RSA-HSM
   • Размер на RSA ключа: 2048

   Бележка

   Поддържани RSA-HSM ключови размери: 2048-битови и 3072-битови.

Шифроване на вашата среда с ключ от Azure Key Vault с частна връзка

Можете да актуализирате мрежата на вашето хранилище за ключове на Azure, като разрешите частна крайна точка и използвате ключа в хранилището за ключове, за да шифровате средите си Power Platform .

Можете или да създадете нов трезор за ключове и да установите връзка с частна връзка, или да установите връзка с частна връзка към съществуващ трезор за ключове, да създадете ключ от този трезор за ключове и да го използвате за шифроване на вашата среда. Можете също така да установите връзка с частна връзка към съществуващ трезор за ключове, след като вече сте създали ключ, и да го използвате за шифроване на вашата среда.

Криптиране на данни с ключ от хранилище за ключове с частна връзка

1. Създайте хранилище за ключове на Azure с тези опции:

   • Активиране на защитата от продухване
   • Тип ключ: RSA
   • Размер на ключа: 2048 или 4096

2. Копирайте URL адреса на хранилището за ключове и URL адреса на шифроващия ключ, които да се използват за създаване на корпоративните правила.

   Бележка

   След като добавите частна крайна точка към хранилището за ключове или забраните мрежата за обществен достъп, няма да можете да видите ключа, освен ако нямате съответното разрешение.

3. Създайте виртуална мрежа.

4. Върнете се в хранилището си за ключове и добавете връзки с частни крайни точки към хранилището за ключове на Azure.

   Бележка

   Трябва да изберете опцията Забраняване на мрежата с публичен достъп и да разрешите на надеждните услуги на Microsoft да заобикалят това изключение от защитната стена .

5. Създайте корпоративни Power Platform правила. Повече информация: Създаване на корпоративна политика

6. Предоставяне на разрешения за корпоративни правила за достъп до хранилището за ключове. Повече информация: Предоставяне на разрешения на корпоративни правила за достъп до хранилище за ключове

7. Дайте Power Platform разрешение на администраторите и администраторите на Dynamics 365 да четат корпоративните правила. Повече информация: Предоставяне на привилегия на Power Platform администратор за четене на корпоративни правила

8. Power Platform администраторът на центъра за администриране избира средата за шифроване и разрешаване на управлявана среда. Повече информация: Разрешаване на добавяне на управлявана среда към корпоративните правила

9. Power Platform администраторът на центъра за администриране добавя управляваната среда към корпоративните правила. Повече информация: Добавяне на среда към корпоративните правила за шифроване на данни

Разрешаване на услугата за корпоративни Power Platform правила за вашия абонамент за Azure

Регистрирайте Power Platform се като доставчик на ресурси. Трябва да изпълните тази задача само веднъж за всеки абонамент за Azure, където се намира вашето хранилище за ключове на Azure. Трябва да имате права за достъп до абонамента, за да регистрирате доставчика на ресурса.

1. влезте в портала на Azure и отидете на Доставчици> на абонаментниресурси.
2. В списъка с доставчици на ресурси потърсете Microsoft.PowerPlatform и го регистрирайте .

Създаване на корпоративна политика

1. Инсталирайте PowerShell MSI. Повече информация: Инсталиране на PowerShell на Windows, Linux и macOS
2. След като PowerShell MSI е инсталиран, върнете се към Разполагане на персонализиран шаблон в Azure.
3. Изберете връзката Създайте свой собствен шаблон в редактора .
4. Копирайте този JSON шаблон в текстов редактор като Notepad. Повече информация: Json шаблон за корпоративна политика
5. Заменете стойностите в шаблона JSON за: EnterprisePolicyName, местоположение, където трябва да се създаде EnterprisePolicy, keyVaultId, и име на ключ. Повече информация: Дефиниции на полета за json шаблон
6. Копирайте актуализирания шаблон от вашия текстов редактор, след което го поставете в Редактиране на шаблон на Персонализирано внедряване в Azure и изберете Запазване.
7. Изберете Абонамент и Група ресурси където трябва да се създаде корпоративната политика.
8. Изберете Преглед + създаване и след това изберете Създаване.

Стартира разгръщане. Когато е готово, корпоративната политика се създава.

Корпоративна политика JSON шаблон

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Дефиниции на полета за JSON шаблон

• име. Име на корпоративната политика. Това е името на правилото, което се появява в Power Platform административния център.

• местоположение. Едно от следните. Това е местоположението на политиката на предприятието и трябва да съответства на региона на Dataverse средата:

  • "съединени щати"
  • "Южна Африка"
  • '"Обединено кралство"'
  • "япония"
  • "индия"
  • "франция"
  • "европа"
  • "Германия"
  • "швейцария"
  • "Канада"
  • "Бразилия"
  • "австралия"
  • "азия"
  • "ОАЕ"
  • "корея"
  • "Норвегия"
  • "сингапур"
  • "швеция"

• Копирайте тези стойности от вашите свойства на трезора за ключове в портала на Azure:

  • keyVaultId: Отидете на Ключови хранилища> изберете вашето хранилище за ключове >Общ преглед. До Essentials изберете JSON View. Копирайте ИД на ресурс в клипборда и поставете цялото съдържание във вашия JSON шаблон.
  • keyName: Отидете на Key vaults> изберете вашето хранилище за ключове >Keys. Забележете ключа Име и въведете името във вашия JSON шаблон.

Предоставете разрешения на правилата на предприятието за достъп до хранилището за ключове

След като политиката на предприятието е създадена, администраторът на хранилището за ключове предоставя достъп за управлявана самоличност на политиката на предприятието до ключа за шифроване.

1. Влезте в портала на Azure и отидете на Хранилища за ключове.
2. Изберете хранилището за ключове, където ключът е бил присвоен на корпоративната политика.
3. Изберете раздела Контрол на достъпа (IAM) и след това изберете + Добавяне.
4. Изберете Добавяне на присвояване на роля от падащия списък,
5. Потърсете Key Vault Crypto Service Encryption User и го изберете.
6. Изберете Напред.
7. Изберете + Изберете членове.
8. Потърсете корпоративната политика, която сте създали.
9. Изберете корпоративната политика и след това изберете Избор.
10. Изберете Преглед + присвояване.

Предоставете Power Platform администраторска привилегия за четене на корпоративната политика

Администраторите, които имат Dynamics 365 или Power Platform административни роли, могат да получат достъп до Power Platform административния център, за да присвоят среди на корпоративната политика. За достъп до правилата на предприятието се изисква администраторът с достъп до хранилището за ключове на Azure да предостави ролята Читател на Power Platform администратора. След като бъде предоставена ролята Reader , Power Platform администраторът може да преглежда корпоративните политики в Power Platform административния център.

Дайте ролята на читател на Power Platform администратор

1. влезте в портала на Azure.
2. Копирайте ID на обекта Power Platform или Dynamics 365 администратор. За да направите това:
   1. Отидете в областта Потребители в Azure.
   2. В списъка Всички потребители намерете потребителя с Power Platform или администраторски разрешения на Dynamics 365, като използвате Търсене на потребители.
   3. Отворете потребителския запис, в раздела Общ преглед копирайте потребителския ИД на обект. Поставете това в текстов редактор като NotePad за по-късно.
3. Копирайте идентификатора на ресурса за корпоративна политика. За да направите това:
   1. Отидете на Resource Graph Explorer в Azure.
   2. Въведете microsoft.powerplatform/enterprisepolicies в полето търсене и след това изберете ресурса microsoft.powerplatform/enterprisepolicies .
   3. Изберете Изпълни заявка в командната лента. Показва се списък с всички Power Platform корпоративни политики.
   4. Намерете корпоративната политика, на която искате да предоставите достъп.
   5. Превъртете вдясно от корпоративната политика и изберете Вижте подробности.
   6. На страницата Подробности копирайте id.
4. Стартирайте Azure Cloud Shell и изпълнете следната команда, заменяйки objId с ИД на обекта на потребителя и EP Resource Id с enterprisepolicies ID, копиран в предишните стъпки: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Управлявайте криптирането на средата

За да управлявате криптирането на средата, имате нужда от следното разрешение:

• Microsoft Entra активен потребител, който има Power Platform и/или администраторска роля за защита на Dynamics 365.
• Microsoft Entra потребител, който има роля на администратор на услуга Power Platform или Dynamics 365.

Администраторът на хранилището за ключове уведомява Power Platform администратора, че са създадени ключ за криптиране и корпоративна политика и предоставя корпоративната политика на Power Platform администратора. За да активира управлявания от клиента ключ, Power Platform администраторът присвоява своите среди на корпоративната политика. След като средата бъде присвоена и запазена, Dataverse инициира процеса на криптиране, за да зададе всички данни за средата и да ги шифрова с управлявания от клиента ключ.

Разрешаване на добавяне на управлявана среда към корпоративната политика

1. влезте в Power Platform административния център и намерете средата.
2. Изберете и проверете средата в списъка със среди.
3. Изберете иконата Активиране на управлявани среди в лентата с действия.
4. Изберете Разрешаване.

Добавете среда към корпоративната политика за шифроване на данни

1. влезте в Power Platform административния център и отидете на Правила>Правила на предприятието.
2. Изберете правило и след това в командната лента изберете Редактиране.
3. Изберете Добавяне на среди, изберете желаната среда и след това изберете Продължи.
4. Изберете Запазване и след това изберете Потвърждаване.

Премахнете среди от правилата, за да се върнете към управлявания от Microsoft ключ

Следвайте тези стъпки, ако искате да се върнете към управляван от Microsoft ключ за шифроване.

1. влезте в Power Platform административния център и отидете на Правила>Правила на предприятието.
2. Изберете раздела Среда с правила и след това намерете средата, която искате да премахнете от управлявания от клиента ключ.
3. Изберете раздела Всички правила , изберете средата, която проверихте в стъпка 2, и след това изберете Редактиране на политика в командната лента.
4. Изберете Премахване на среда от командната лента, изберете средата, която искате да премахнете, и след това изберете Продължи.
5. Изберете Запиши.

Прегледайте състоянието на криптиране на средата

Прегледайте състоянието на шифроване от корпоративните правила

1. Влезте в центъра за администриране на Power Platform.

2. Изберете Правила>Правила на предприятието.

3. Изберете правило и след това в командната лента изберете Редактиране.

4. Прегледайте състоянието на шифроване на средата в раздела Среди с тази политика .

   Бележка

   Състоянието на криптиране на средата може да бъде:

   • Шифровано - Ключът за шифроване на корпоративната политика е активен и средата е шифрована с вашия ключ.

   • Неуспешно - Ключът за шифроване на корпоративната политика не се използва от всички Dataverse услуги за съхранение. Те изискват повече време за обработка и можете да изпълните отново операцията Добавяне на среда . Свържете се с поддръжката, ако повторното изпълнение е неуспешно.

     Състоянието на криптиране Неуспешно не оказва влияние върху данните за вашата среда и нейните операции. Това означава, че някои от Dataverse услугите за съхранение шифроват вашите данни с вашия ключ, а някои продължават да използват управлявания от Microsoft ключ. Връщане не се препоръчва, тъй като когато стартирате отново операцията Добавяне на среда услугата се възобновява от мястото, където е спряла.

   • Предупреждение - Ключът за шифроване на корпоративната политика е активен и една от данните на услугата продължава да бъде шифрована с управлявания от Microsoft ключ. Научете повече: Power Automate Предупредителни съобщения за приложението CMK

Прегледайте състоянието на шифроване от страницата Environment History

Можете да видите историята на околната среда.

1. Влезте в центъра за администриране на Power Platform.

2. Изберете Среди в навигационния панел и след това изберете среда от списъка.

3. В командната лента изберете История.

4. Намерете хронологията за Актуализиране на управляван от клиента ключ.

   Бележка

   Състояние показва Изпълнява се когато криптирането е в ход. Показва Успешно когато криптирането приключи. Състоянието показва Неуспешно когато има някакъв проблем с една от услугите, която не може да приложи ключа за шифроване.

   Състоянието Неуспешно може да бъде предупреждение и не е необходимо да стартирате отново опцията Добавяне на среда . Можете да потвърдите дали е предупреждение.

Променете ключа за криптиране на средата с нова корпоративна политика и ключ

За да промените своя ключ за шифроване, създайте нов ключ и нова корпоративна политика. След това можете да промените корпоративната политика, като премахнете средите и след това добавите средите към новата корпоративна политика. Системата не работи два пъти при промяна на нова корпоративна политика - 1) за връщане на криптирането към управляван от Microsoft ключ и 2) за прилагане на новата корпоративна политика.

1. В портала на Azure създайте нов ключ и нова корпоративна политика. Повече информация: Създаване на ключ за криптиране и предоставяне на достъп и Създаване на корпоративна политика
2. След като новият ключ и корпоративната политика са създадени, отидете на Правила>Правила на предприятието.
3. Изберете раздела Среда с правила и след това намерете средата, която искате да премахнете от управлявания от клиента ключ.
4. Изберете раздела Всички правила , изберете средата, която проверихте в стъпка 2, и след това изберете Редактиране на политика в командната лента.
5. Изберете Премахване на среда от командната лента, изберете средата, която искате да премахнете, и след това изберете Продължи.
6. Изберете Запиши.
7. Повторете стъпки 2-6, докато всички среди в правилата на предприятието бъдат премахнати.

1. След като всички среди бъдат премахнати, от Power Platform административния център отидете на Правила на предприятието.
2. Изберете новата корпоративна политика и след това изберете Редактиране на политика.
3. Изберете Добавяне на среда, изберете средите, които искате да добавите, и след това изберете Продължи.

Завъртете ключа за шифроване на средата с нова версия на ключа

Можете да промените ключа за шифроване на средата, като създадете нова версия на ключа. Когато създадете нова версия на ключ, новата версия на ключ се активира автоматично. Всички ресурси за съхранение откриват новата версия на ключа и започват да я прилагат за шифроване на вашите данни.

Когато промените ключа или версията на ключа, защитата на основния ключ за шифроване се променя, но данните в хранилището винаги остават шифровани с вашия ключ. Не се изискват повече действия от ваша страна, за да гарантирате, че вашите данни са защитени. Завъртането на ключовата версия не оказва влияние върху производителността. Няма престой, свързан с ротацията на версията на ключа. Може да отнеме 24 часа, докато всички доставчици на ресурси приложат новата версия на ключа във фонов режим. Предишната версия на ключа не трябва да бъде дезактивирана тъй като е необходимо услугата да я използва за повторно криптиране и за поддръжка на възстановяване на база данни.

За да завъртите ключа за шифроване чрез създаване на нова версия на ключ, използвайте следните стъпки.

1. Отидете на портала на Azure>Key Vaults и намерете хранилището за ключове, където искате да създадете нова версия на ключ.
2. Придвижете се до Ключове.
3. Изберете текущия активиран ключ.
4. Изберете + Нова версия.
5. Настройката Enabled по подразбиране е Yes, което означава, че новата версия на ключа се активира автоматично при създаването.
6. Изберете Създаване.

Вижте списъка с криптирани среди

1. влезте в Power Platform административния център и отидете на Правила>Правила на предприятието.
2. На страницата Правила на предприятието изберете раздела Среди с политики . Показва се списъкът със среди, които са добавени към корпоративните политики.

Операции на база данни на среда

Клиентският клиент може да има среди, които са криптирани с помощта на управлявания ключ на Microsoft, и среди, които са криптирани с управлявания от клиента ключ. За да се поддържа целостта на данните и защитата на данните, са налични следните контроли при управление на операции с база данни на среда.

• Възстановяване Средата за презаписване (възстановената среда) е ограничена до същата среда, от която е взето архивирането, или до друга среда, която е шифрована със същия управляван от клиента ключ.

  

• Копиране Средата за презаписване (копираната в среда) е ограничена до друга среда, която е шифрована със същия управляван от клиента ключ.

  

  Бележка

  Ако среда за разследване на поддръжка е създадена за разрешаване на проблема с поддръжката в среда, управлявана от клиента, ключът за криптиране на средата за разследване на поддръжката трябва да бъде променен на ключ, управляван от клиента, преди да може да се извърши операцията за копиране на среда.

• Нулиране Шифрованите данни на средата се изтриват, включително резервни копия. След като средата е нулирана, криптирането на средата ще се върне обратно към управлявания ключ на Microsoft.

Следващи стъпки

Относно Azure Key Vault