Administrar la clau de xifratge gestionada pel client

Els clients tenen requisits de privadesa i compliment de dades per protegir les seves dades xifrant les seves dades en repòs. Això protegeix les dades de l'exposició en cas de robatori d'una còpia de la base de dades. Amb el xifratge de dades en repòs, les dades de la base de dades robades estan protegides de ser restaurades a un servidor diferent sense la clau de xifratge.

Totes les dades del client emmagatzemades es Power Platform xifren en repòs amb claus de xifratge segures gestionades per Microsoft per defecte. Microsoft emmagatzema i administra la clau de xifratge de la base de dades per a totes les vostres dades perquè no hàgiu de fer-ho. No obstant això, Power Platform proporciona aquesta clau de xifratge gestionada pel client (CMK) per al control de protecció de dades afegit on podeu autogestionar la clau de xifratge de la base de dades associada al vostre Microsoft Dataverse entorn. Això us permet girar o intercanviar la clau de xifratge sota demanda i també us permet impedir l'accés de Microsoft a les vostres dades de client quan revocau l'accés de la clau als nostres serveis en qualsevol moment.

Per obtenir més informació sobre l'entrada Power Platform de claus gestionades pel client, mireu el vídeo de claus gestionades pel client.

Aquestes operacions de clau de xifratge estan disponibles amb la clau gestionada pel client (CMK):

• Creeu una clau RSA (RSA-HSM) des del vostre dipòsit de claus de l'Azure.
• Creeu una Power Platform política d'empresa per a la clau.
• Concediu permís a la política d'empresa Power Platform per accedir al vostre dipòsit de claus.
• Concediu a l'administrador Power Platform del servei que llegeixi la política d'empresa.
• Apliqueu la clau de xifratge al vostre entorn.
• Revertir o suprimir el xifratge CMK de l'entorn a la clau administrada per Microsoft.
• Canvieu la clau creant una nova política d'empresa, eliminant l'entorn de CMK i tornant a aplicar CMK amb una nova política d'empresa.
• Bloquejar entorns CMK revocant els permisos de clau o de clau de la CMK.
• Migreu entorns BYOK a CMK aplicant la clau CMK.

Actualment, totes les dades dels clients emmagatzemades només a les aplicacions i serveis següents es poden xifrar amb clau gestionada pel client:

• Dataverse (Solucions personalitzades i serveis de Microsoft)
• Dataverse Copilot per a aplicacions basades en models
• Power Automate
• Xat per al Dynamics 365
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (finances i operacions)
• Dynamics 365 Intelligent Order Management (Finances i operacions)
• Dynamics 365 Project Operations (Finances i operacions)
• Dynamics 365 Supply Chain Management (Finances i operacions)
• Dynamics 365 Fraud Protection (Finances i operacions)

Microsoft Copilot Studio emmagatzema les seves dades en el seu propi emmagatzematge i en Microsoft Dataverse. Quan apliqueu la clau gestionada pel client a aquests entorns, només els magatzems de dades es Microsoft Dataverse xifren amb la vostra clau. Les dades que no sónMicrosoft Dataverse es continuen xifrant amb la clau administrada per Microsoft.

Els entorns amb aplicacions de finances i operacions on Power Platform la integració està habilitada també es poden xifrar. Els entorns de finances i operacions sense Power Platform integració continuaran utilitzant la clau administrada per defecte de Microsoft per xifrar les dades. Més informació: Encriptació a les aplicacions de finances i operacions

Introducció a la clau gestionada pel client

Amb la clau gestionada pel client, els administradors poden proporcionar la seva pròpia clau de xifratge des del seu propi Azure Key Vault als serveis d'emmagatzematge Power Platform per xifrar les dades dels clients. Microsoft no té accés directe al vostre Azure Key Vault. Per Power Platform als serveis per accedir a la clau de xifratge des de l'Azure Key Vault, l'administrador crea una Power Platform norma d'empresa, que fa referència a la clau de xifratge i concedeix a aquesta política d'empresa accés per llegir la clau de l'Azure Key Vault.

L'administrador Power Platform del servei pot afegir Dataverse entorns a la política d'empresa per començar a xifrar totes les dades del client de l'entorn amb la vostra clau de xifratge. Els administradors poden canviar la clau de xifratge de l'entorn creant una altra política d'empresa i afegint l'entorn (després de suprimir-la) a la nova política d'empresa. Si l'entorn ja no s'ha de xifrar amb la clau administrada pel client, l'administrador pot suprimir l'entorn Dataverse de la norma d'empresa per revertir el xifratge de dades a la clau administrada per Microsoft.

L'administrador pot bloquejar els entorns de claus gestionats pel client revocant l'accés de clau de la política d'empresa i desbloquejar els entorns restaurant l'accés de clau. Més informació: Bloquejar entorns revocant l'accés al dipòsit de claus i/o als permisos de clau

Per simplificar les tasques clau de gestió, les tasques es divideixen en tres àrees principals:

1. Crea una clau de xifratge.
2. Creeu una política d'empresa i concediu accés.
3. Gestionar el xifratge de l'entorn.

Requisits de llicència per a la clau gestionada pel client

La norma de claus gestionades pel client només s'aplica als entorns activats per als entorns gestionats. Els entorns administrats s'inclouen com a dret a les llicències autònomes Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, i del Dynamics 365 que atorguen drets d'ús premium. Obteniu més informació sobre les llicències de l'entorn administrat, amb la informació general de les llicències per Microsoft Power Platform.

A més, l'accés a l'ús de la clau administrada pel client per al Microsoft Power Platform Dynamics 365 requereix que els usuaris dels entorns on s'aplica la norma de clau de xifratge tinguin una d'aquestes subscripcions:

• Microsoft 365 o Office 365 A5/E5/G5
• Compliment del Microsoft 365 A5/E5/F5/G5
• Seguretat i compliment del Microsoft 365 F5
• Microsoft 365 A5/E5/F5/G5 Protecció de la informació i govern
• Administració de riscos interns del Microsoft 365 A5/E5/F5/G5

Obteniu més informació sobre aquestes llicències.

Entendre el risc potencial quan gestioneu la clau

Com qualsevol altra aplicació de negocis fonamental, el personal de la vostra organització que té accés administratiu ha de ser de confiança. Abans d'utilitzar la funció d'administració de claus, heu de comprendre el risc d'administrar les claus de xifratge de base de dades. És concebible que un administrador maliciós (una persona a qui se li concedeix o ha obtingut accés de nivell d'administrador amb la intenció de danyar la seguretat o els processos empresarials d'una organització) que treballa dins de la vostra organització pugui utilitzar la característica d'administració de claus per crear una clau i utilitzar-la per bloquejar els vostres entorns a l'inquilí.

Tingueu en compte ka seqüència d'esdeveniments següent.

L'administrador del dipòsit de claus maliciós crea una clau i una norma d'empresa al portal de l'Azure. L'administrador de l'Azure Key Vault va al centre d'administració Power Platform i afegeix entorns a la norma d'empresa. L'administrador maliciós torna al portal de l'Azure i revoca l'accés amb clau a la política d'empresa, bloquejant així tots els entorns. Això provoca interrupcions empresarials a mesura que tots els entorns es tornen inaccessibles i, si aquest esdeveniment no es resol, és a dir, es restaura l'accés a claus, es poden perdre les dades de l'entorn.

Separació de deures per mitigar el risc

En aquesta secció es descriuen les funcions de característiques clau gestionades pel client de les quals és responsable cada funció d'administrador. Separar aquestes tasques ajuda a mitigar el risc que comporten les claus gestionades pel client.

Tasques d'administració del servei Azure Key Vault i Power Platform/o Dynamics 365

Per habilitar les claus gestionades pel client, primer l'administrador del dipòsit de claus crea una clau al dipòsit de claus de l'Azure i crea una Power Platform norma empresarial. Quan es crea la norma d'empresa, es crea una identitat administrada d'ID especial Microsoft Entra . A continuació, l'administrador del dipòsit de claus torna al dipòsit de claus de l'Azure i concedeix accés a la política d'empresa/identitat administrada a la clau de xifratge.

L'administrador del dipòsit de claus concedeix a l'administrador del servei del Dynamics 365 accés Power Platform de lectura a la norma d'empresa. Un cop concedit el permís de lectura, l'administrador Power Platform del servei del Dynamics 365 pot anar al Centre d'administració Power Platform i afegir entorns a la norma d'empresa. Les dades del client de tots els entorns afegits es xifren amb la clau gestionada pel client enllaçada a aquesta política empresarial.

Requisits previs

• Una subscripció a l'Azure que inclou mòduls de seguretat de maquinari administrats per Azure Key Vault o Azure Key Vault.
• Un Microsoft Entra document d'identitat amb:
  • Permís de col·laborador a la Microsoft Entra subscripció.
  • Permís per crear una clau i un Azure Key Vault.
  • Accés per crear un grup de recursos. Això és necessari per configurar la volta de claus.

Crear la clau i concedir accés mitjançant Azure Key Vault

L'administrador de l'Azure Key Vault realitza aquestes tasques a l'Azure.

1. Creeu una subscripció de pagament de l'Azure i Key Vault. Ignoreu aquest pas si ja teniu una subscripció que inclogui Azure Key Vault.
2. Aneu al servei Azure Key Vault i creeu una clau. Més informació: Crear una clau al dipòsit de claus
3. Habiliteu el servei de polítiques d'empresa per a la vostra subscripció de l'Azure Power Platform . Fes-ho només una vegada. Més informació: Habilitar el servei de polítiques d'empresa per a la subscripció de l'Azure Power Platform
4. Creeu una Power Platform política d'empresa. Més informació: Crear una política d'empresa
5. Concediu permisos de política d'empresa per accedir al dipòsit de claus. Més informació: Concedir permisos de política d'empresa per accedir al dipòsit de claus
6. Concediu Power Platform permís als administradors del Dynamics 365 per llegir la norma d'empresa. Més informació: Concedir privilegis d'administrador per llegir la Power Platform política d'empresa

Power Platform/Tasques del Centre d'administració del Power Platform servei del Dynamics 365

Requisit previ

• Power Platform administrador ha d'estar assignat a la funció d'administrador Power Platform del Microsoft Entra servei del Dynamics 365.

Administrar el xifratge de l'entorn al Power Platform centre d'administració

L'administrador Power Platform administra les tasques clau administrades pel client relacionades amb l'entorn al Power Platform centre d'administració.

1. Afegiu els Power Platform entorns a la política d'empresa per xifrar les dades amb la clau gestionada pel client. Més informació: Afegir un entorn a la norma d'empresa per xifrar dades
2. Suprimiu els entorns de la política empresarial per retornar el xifratge a la clau administrada de Microsoft. Més informació: Suprimir entorns de la norma per tornar a la clau administrada de Microsoft
3. Canvieu la clau eliminant entorns de l'antiga política d'empresa i afegint entorns a una nova política d'empresa. Més informació: Crear una clau d'encriptació i concedir accés
4. Migrar des de BYOK. Si utilitzeu la característica anterior de clau de xifratge autoadministrada, podeu migrar la clau a la clau administrada pel client. Més informació: Migrar entorns de porteu la vostra pròpia clau a clau gestionada pel client

Crear una clau de xifratge i concedir accés

Crear una subscripció de pagament de l'Azure i un dipòsit de claus

A Azure, realitzeu els passos següents:

1. Creeu una subscripció de pagament per consum o la seva equivalent a l'Azure. Aquest pas no és necessari si l'inquilí ja té una subscripció.

2. Creeu un grup de recursos. Més informació: Crear grups de recursos

   Nota

   Creeu o utilitzeu un grup de recursos que tingui una ubicació, per exemple, Centre dels EUA, que coincideixi amb la regió de l'entorn Power Platform , com ara Estats Units.

3. Creeu un dipòsit de claus amb la subscripció de pagament que inclogui la protecció contra supressió i purga amb el grup de recursos que heu creat al pas anterior.

   Important

   Per garantir que l'entorn estigui protegit de la supressió accidental de la clau de xifratge, la caixa de voltes de claus ha de tenir habilitada la protecció contra supressió i purga. No podreu xifrar el vostre entorn amb la vostra pròpia clau sense habilitar aquesta configuració. Més informació: Informació general sobre la supressió suau de l'Azure Key Vault Més informació: Crear un dipòsit de claus mitjançant el portal de l'Azure

Crear una clau al dipòsit de claus

1. Assegureu-vos que heu complert els requisits previs.
2. Aneu al Key Vault del portal>de l'Azure i localitzeu el dipòsit de claus on voleu generar una clau de xifratge.
3. Verifiqueu la configuració del voltant de claus de l'Azure:
   1. Seleccioneu Propietats a Configuració.
   2. A Supressió parcial, definiu o verifiqueu que estigui definit com a S'ha habilitat la supressió suau en aquesta opció de volta de claus.
   3. A Protecció de purga, definiu o verifiqueu que Habilita la protecció de purga (aplicar un període de retenció obligatori per a les voltes suprimides i els objectes de la caixa).
   4. Si heu fet canvis, seleccioneu Desa.

Crear claus RSA

1. Creeu o importeu una clau que tingui aquestes propietats:

   1. A les pàgines de propietats del Key Vault , seleccioneu Claus.
   2. Seleccioneu Genera/Importa.
   3. A la pantalla Crea una clau , definiu els valors següents i, a continuació, seleccioneu Crea.
      • Opcions: Genera
      • Nom: proporcioneu un nom per a la clau
      • Tipus de clau: RSA
      • Mida de la clau RSA: 2048 o 4096

   Important

   Si definiu una data de caducitat a la clau i la clau ha caducat, tots els entorns xifrats amb aquesta clau estaran inactius. Definiu una alerta per supervisar els certificats de caducitat amb notificacions per correu electrònic per a l'administrador local Power Platform i l'administrador del voltat de claus de l'Azure com a recordatori per renovar la data de caducitat. Això és important per evitar interrupcions no planificades del sistema.

Importar claus protegides per als mòduls de seguretat de maquinari (HSM)

Podeu utilitzar les claus protegides per als mòduls de seguretat de maquinari (HSM) per xifrar els entorns Power Platform Dataverse . Les claus protegides per HSM s'han d'importar al dipòsit de claus perquè es pugui crear una norma d'empresa. Per obtenir més informació, vegeu HSM admesos Importar clausprotegides per HSM al Key Vault (BYOK).

Crear una clau a l'HSM administrat de l'Azure Key Vault

Podeu utilitzar una clau de xifratge creada a partir de l'HSM administrat de l'Azure Key Vault per xifrar les dades de l'entorn. Això us ofereix suport FIPS 140-2 Nivell 3.

Crear claus RSA-HSM

1. Assegureu-vos que heu complert els requisits previs.

2. Aneu al portal de l'Azure.

3. Crear un HSM administrat:

   1. Proveïu l'HSM administrat.
   2. Activeu l'HSM administrat.

4. Habiliteu la protecció de purga al vostre HSM administrat.

5. Concediu la funció d'usuari criptogràfic de l'HSM gestionat a la persona que ha creat la caixa de claus de l'HSM administrat.

   1. Accediu al dipòsit de claus de l'HSM gestionat al portal de l'Azure.
   2. Aneu a RBAC local i seleccioneu + Afegeix.
   3. A la llista desplegable Funció , seleccioneu la funció Usuari criptogràfic de l'HSM administrat a la pàgina Assignació de funcions.
   4. Seleccioneu Totes les claus a Àmbit.
   5. Seleccioneu Seleccioneu l'entitat de seguretat i, a continuació, seleccioneu l'administrador a la pàgina Afegeix una entitat principal .
   6. Seleccioneu Crea.

6. Creeu una clau RSA-HSM:

   • Opcions: Genera
   • Nom: proporcioneu un nom per a la clau
   • Tipus de clau: RSA-HSM
   • Mida de la clau RSA: 2048

   Nota

   Mides de clau RSA-HSM compatibles: 2048 bits i 3072 bits.

Xifreu el vostre entorn amb clau d'Azure Key Vault amb enllaç privat

Podeu actualitzar la xarxa del vostre magatzem de claus d'Azure si activeu un punt final privat i feu servir la clau del magatzem de claus per xifrar els vostres Power Platform entorns.

Podeu crear un magatzem de claus nou i establir una connexió d'enllaç privat o establir una connexió d'enllaç privat a un magatzem de claus existent, i crear una clau des d'aquest magatzem de claus i utilitzar-lo per xifrar el vostre entorn. També podeu establir una connexió d'enllaç privat a un magatzem de claus existent un cop ja hàgiu creat una clau i l'utilitzeu per xifrar el vostre entorn.

Xifra les dades amb la clau del magatzem de claus amb un enllaç privat

1. Creeu una magatzem de claus d'Azure amb aquestes opcions:

   • Activa Protecció de purga
   • Tipus de clau: RSA
   • Mida de la clau: 2048 o 4096

2. Copieu l'URL del magatzem de claus i l'URL de la clau de xifratge que s'utilitzaran per crear la política empresarial.

   Nota

   Un cop hàgiu afegit un punt final privat al vostre magatzem de claus o desactivat la xarxa d'accés públic, no podreu veure la clau tret que tingueu el permís adequat.

3. Creeu una xarxa virtual.

4. Torneu al vostre magatzem de claus i afegiu connexions de punt final privat al vostre magatzem de claus d'Azure.

   Nota

   Heu de seleccionar l'opció Desactiva l'accés públic xarxa i activar l' Permet que els serveis de Microsoft de confiança passin per alt aquest tallafoc excepció.

5. Creeu una Power Platform política d'empresa. Més informació: Crear una política d'empresa

6. Concediu permisos de política d'empresa per accedir al dipòsit de claus. Més informació: Concedir permisos de política d'empresa per accedir al dipòsit de claus

7. Concediu Power Platform permís als administradors del Dynamics 365 per llegir la norma d'empresa. Més informació: Concedir privilegis d'administrador per llegir la Power Platform política d'empresa

8. Power Platform L'administrador del centre d'administració selecciona l'entorn per xifrar i activar l'entorn gestionat. Més informació: Activeu l'entorn gestionat per afegir-lo a la política empresarial

9. Power Platform L'administrador del centre d'administració afegeix l'entorn gestionat a la política de l'empresa. Més informació: Afegir un entorn a la norma d'empresa per xifrar dades

Activeu el Power Platform servei de polítiques d'empresa per a la vostra subscripció a Azure

Registreu-vos Power Platform com a proveïdor de recursos. Només heu de fer aquesta tasca una vegada per a cada subscripció d'Azure on resideix la vostra caixa de seguretat de la clau d'Azure. Heu de tenir drets d'accés a la subscripció per registrar el proveïdor de recursos.

1. Inicieu la sessió al portal d'Azure i aneu a Subscripció>Proveïdors de recursos.
2. A la llista de Proveïdors de recursos, cerqueu Microsoft.PowerPlatform i Registreu-lo .

Crear una política empresarial

1. Instal·leu PowerShell MSI. Més informació: Instal·leu PowerShell a Windows, Linux i macOS
2. Un cop instal·lat el PowerShell MSI, torneu a Implementar una plantilla personalitzada a Azure.
3. Seleccioneu l'enllaç Crea la teva pròpia plantilla a l'enllaç de l'editor .
4. Copieu aquesta plantilla JSON en un editor de text com ara el Bloc de notes. Més informació: Plantilla json de política empresarial
5. Substituïu els valors de la plantilla JSON per a: EnterprisePolicyName, ubicació on s'ha de crear EnterprisePolicy, keyVaultId i keyName. Més informació: Definicions de camp per a la plantilla json
6. Copieu la plantilla actualitzada del vostre editor de text i enganxeu-la a Edita la plantilla del Implementació personalitzada a Azure i seleccioneu Desa.
7. Seleccioneu un Subscripció i Grup de recursos on s'ha de crear la política empresarial.
8. Seleccioneu Revisa + crea i, a continuació, seleccioneu Crea.

S'inicia un desplegament. Quan es fa, es crea la política empresarial.

Plantilla json de política empresarial

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definicions de camp per a la plantilla JSON

• nom. Nom de la política empresarial. Aquest és el nom de la política que apareix al Power Platform centre d'administració.

• ubicació. Un dels següents. Aquesta és la ubicació de la política empresarial i ha de correspondre a la Dataverse regió de l'entorn:

  • "Estats Units"
  • '"Sud-àfrica"'
  • '"regne Unit"'
  • '"Japó"'
  • '"índia"'
  • '"França"'
  • '"europa"'
  • '"Alemanya"'
  • '"Suïssa"'
  • '"Canadà"'
  • '"brasil"'
  • '"Austràlia"'
  • '"Àsia"'
  • '"UAE"'
  • '"Corea"'
  • '"Noruega"'
  • '"Singapur"'
  • '"Suècia"'

• Copieu aquests valors de les propietats del vostre magatzem de claus a l'Azure Portal:

  • keyVaultId: aneu a Magatzems de claus> seleccioneu el vostre magatzem de claus >Visió general. Al costat de Essentials seleccioneu Vista JSON. Copieu l' Identificador del recurs al porta-retalls i enganxeu tot el contingut a la vostra plantilla JSON.
  • keyName: vés a Claus magatzems> seleccioneu el vostre magatzem de claus >Claus. Observeu la clau Nom i escriviu el nom a la vostra plantilla JSON.

Concediu permisos de política empresarial per accedir al magatzem de claus

Un cop creada la política empresarial, l'administrador del magatzem de claus concedeix l'accés a la identitat gestionada de la política empresarial a la clau de xifratge.

1. Inicieu la sessió al portal de l'Azure i aneu a Caus de claus.
2. Seleccioneu el magatzem de claus on s'ha assignat la clau a la política d'empresa.
3. Seleccioneu la pestanya Control d'accés (IAM) i, a continuació, seleccioneu + Afegeix.
4. Seleccioneu Afegeix una assignació de rol a la llista desplegable,
5. Cerqueu Usuari d'encriptació del servei Crypto de Key Vault i seleccioneu-lo.
6. Seleccioneu Següent.
7. Seleccioneu + Seleccioneu membres.
8. Cerqueu la política empresarial que heu creat.
9. Seleccioneu la política d'empresa i, a continuació, trieu Selecciona.
10. Seleccioneu Revisa + assigna.

Concediu el Power Platform privilegi d'administrador per llegir la política de l'empresa

Els administradors que tinguin funcions d'administració del Dynamics 365 o Power Platform poden accedir al Power Platform centre d'administració per assignar entorns a la política empresarial. Per accedir a les polítiques d'empresa, cal que l'administrador amb accés al magatzem de claus d'Azure atorgui la funció Lector a l' Power Platform administrador. Un cop concedida la funció Lector , l'administrador Power Platform podeu veure les polítiques empresarials al Power Platform centre d'administració.

Concediu la funció de lector a un Power Platform administrador

1. Inicieu sessió al portal d'Azure.
2. Copieu l'identificador d'objecte Power Platform o de l'administrador del Dynamics 365. Per fer això:
   1. Aneu a l'àrea Usuaris a Azure.
   2. A la llista Tots els usuaris , cerqueu l'usuari amb permisos d'administració Power Platform o del Dynamics 365 mitjançant Cerca usuaris.
   3. Obriu el registre d'usuari, a la pestanya Visió general copieu l' ID de l'objecte de l'usuari. Enganxeu-ho en un editor de text com el Bloc de notes per a més endavant.
3. Copieu l'identificador de recurs de la política empresarial. Per fer això:
   1. Aneu a Explorador de gràfics de recursos a Azure.
   2. Introduïu microsoft.powerplatform/enterprisepolicies al quadre Cerca i, a continuació, seleccioneu el recurs microsoft.powerplatform/enterprisepolicies .
   3. Seleccioneu Executa la consulta a la barra d'ordres. Es mostra una llista de totes les Power Platform polítiques empresarials.
   4. Localitzeu la política empresarial on voleu concedir accés.
   5. Desplaceu-vos a la dreta de la política d'empresa i seleccioneu Mostra els detalls.
   6. A la pàgina Detalls , copieu l' id.
4. Inicieu Azure Cloud Shell i executeu l'ordre següent substituint objId per l'ID d'objecte de l'usuari i Identificador de recurs EP amb les còpies enterprisepolicies ID dels passos anteriors: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Gestioneu el xifratge de l'entorn

Per gestionar el xifratge de l'entorn, necessiteu el permís següent:

• Microsoft Entra usuari actiu que té un rol de seguretat d'administrador Power Platform i/o del Dynamics 365.
• Microsoft Entra usuari que té un rol d'administrador del servei Power Platform o del Dynamics 365.

L'administrador del magatzem de claus notifica a l' Power Platform administrador que s'ha creat una clau de xifratge i una política d'empresa i proporciona la política d'empresa a l' Power Platform administrador. Per habilitar la clau gestionada pel client, l' Power Platform administrador assigna els seus entorns a la política de l'empresa. Un cop assignat i desat l'entorn, Dataverse inicia el procés de xifratge per configurar totes les dades de l'entorn i xifrar-les amb la clau gestionada pel client.

Habiliteu l'entorn gestionat per afegir-lo a la política empresarial

1. Inicieu sessió al Power Platform centre d'administració i localitzeu l'entorn.
2. Seleccioneu i comproveu l'entorn a la llista d'entorns.
3. Seleccioneu la icona Activa els entorns gestionats a la barra d'accions.
4. Seleccioneu Habilita.

Afegiu un entorn a la política empresarial per xifrar les dades

1. Inicieu sessió al Power Platform Centre d'administració i aneu a Polítiques>Polítiques empresarials.
2. Seleccioneu una política i, a continuació, a la barra d'ordres, seleccioneu Edita.
3. Seleccioneu Afegeix entorns, seleccioneu l'entorn que vulgueu i, a continuació, seleccioneu Continua.
4. Seleccioneu Desa i, a continuació, seleccioneu Confirma.

Elimineu entorns de la política per tornar a la clau gestionada de Microsoft

Seguiu aquests passos si voleu tornar a una clau de xifratge gestionada per Microsoft.

1. Inicieu sessió al Power Platform Centre d'administració i aneu a Polítiques>Polítiques empresarials.
2. Seleccioneu la pestanya Entorn amb polítiques i, a continuació, cerqueu l'entorn que voleu eliminar de la clau gestionada pel client.
3. Seleccioneu la pestanya Totes les polítiques , seleccioneu l'entorn que heu verificat al pas 2 i, a continuació, seleccioneu Edita la política a la barra d'ordres.
4. Seleccioneu Elimina l'entorn a la barra d'ordres, seleccioneu l'entorn que voleu eliminar i, a continuació, seleccioneu Continua.
5. Seleccioneu Desa.

Reviseu l'estat de xifratge de l'entorn

Reviseu l'estat de xifratge de les polítiques d'empresa

1. Inicieu la sessió al Centre d'administració del Power Platform.

2. Seleccioneu Polítiques>Polítiques empresarials.

3. Seleccioneu una política i, a continuació, a la barra d'ordres, seleccioneu Edita.

4. Reviseu l' estat del xifratge de l'entorn a la secció Entorns amb aquesta política .

   Nota

   L'estat de xifratge de l'entorn pot ser:

   • Encriptat : la clau de xifratge de la política d'empresa està activa i l'entorn està encriptat amb la vostra clau.

   • Error : tots Dataverse els serveis d'emmagatzematge no utilitzen la clau de xifratge de la política empresarial. Requereixen més temps per processar-se i podeu tornar a executar l'operació Afegeix un entorn . Poseu-vos en contacte amb l'assistència si la reexecució falla.

     L'estat d'encriptació error no afecta les dades de l'entorn i les seves operacions. Això vol dir que alguns dels Dataverse serveis d'emmagatzematge estan xifrant les vostres dades amb la vostra clau i alguns continuen utilitzant la clau gestionada per Microsoft. No es recomana revertir, ja que quan torneu a executar l'operació Afegeix un entorn , el servei es reprèn des d'on es va deixar.

   • Avís : la clau de xifratge de la política d'empresa està activa i una de les dades del servei continua xifrada amb la clau gestionada per Microsoft. Més informació: Power Automate Missatges d'advertència de l'aplicació CMK

Reviseu l'estat del xifratge des de la pàgina Historial de l'entorn

Podeu veure l' historial del medi ambient.

1. Inicieu la sessió al Centre d'administració del Power Platform.

2. Seleccioneu Entorns al panell de navegació i, a continuació, seleccioneu un entorn de la llista.

3. A la barra d'ordres, seleccioneu Historial.

4. Localitzeu l'historial de Actualització de la clau gestionada pel client.

   Nota

   L' Estat mostra En execució quan el xifratge està en curs. Mostra S'ha aconseguit quan s'ha completat el xifratge. L'estat mostra Error quan hi ha algun problema amb un dels serveis que no pot aplicar la clau de xifratge.

   Un estat Error pot ser un avís i no cal que torneu a executar l'opció Afegeix un entorn . Pots confirmar si es tracta d'un avís.

Canvieu la clau de xifratge de l'entorn amb una nova política i clau empresarial

Per canviar la clau de xifratge, creeu una nova clau i una nova política empresarial. A continuació, podeu canviar la política empresarial eliminant els entorns i afegint-los a la nova política empresarial. El sistema està caigut dues vegades quan es canvia a una política empresarial nova: 1) per revertir el xifratge a la clau gestionada de Microsoft i 2) per aplicar la nova política empresarial.

1. Al Portal d'Azure, creeu una clau nova i una política empresarial nova. Més informació: Creeu una clau d'encriptació i concediu accés i Creeu una política empresarial
2. Un cop creada la nova clau i la política empresarial, aneu a Polítiques>Polítiques empresarials.
3. Seleccioneu la pestanya Entorn amb polítiques i, a continuació, cerqueu l'entorn que voleu eliminar de la clau gestionada pel client.
4. Seleccioneu la pestanya Totes les polítiques , seleccioneu l'entorn que heu verificat al pas 2 i, a continuació, seleccioneu Edita la política a la barra d'ordres.
5. Seleccioneu Elimina l'entorn a la barra d'ordres, seleccioneu l'entorn que voleu eliminar i, a continuació, seleccioneu Continua.
6. Seleccioneu Desa.
7. Repetiu els passos 2-6 fins que s'hagin eliminat tots els entorns de la política empresarial.

1. Un cop eliminats tots els entorns, des del Power Platform centre d'administració aneu a Polítiques empresarials.
2. Seleccioneu la política empresarial nova i, a continuació, seleccioneu Edita la política.
3. Seleccioneu Afegeix un entorn, seleccioneu els entorns que voleu afegir i, a continuació, seleccioneu Continua.

Gireu la clau de xifratge de l'entorn amb una versió de clau nova

Podeu canviar la clau de xifratge de l'entorn creant una nova versió de la clau. Quan creeu una nova versió de clau, la nova versió de clau s'habilitarà automàticament. Tots els recursos d'emmagatzematge detecten la nova versió de la clau i comencen a aplicar-la per xifrar les vostres dades.

Quan modifiqueu la clau o la versió de la clau, la protecció de la clau de xifratge arrel canvia, però les dades de l'emmagatzematge romanen sempre xifrades amb la vostra clau. No cal més acció per part vostra per assegurar-vos que les vostres dades estiguin protegides. Girar la versió de la clau no afecta el rendiment. No hi ha temps d'inactivitat associat a la rotació de la versió clau. Tots els proveïdors de recursos poden trigar 24 hores a aplicar la nova versió de la clau en segon pla. La versió de clau anterior no s'ha de desactivar ja que és necessària perquè el servei la faci servir per tornar a xifrar i per donar suport a la restauració de la base de dades.

Per girar la clau de xifratge creant una versió de clau nova, seguiu els passos següents.

1. Aneu al portal d'Azure>Key Vaults i localitzeu el magatzem de claus on vulgueu crear una versió de clau nova.
2. Navegueu a Tecles.
3. Seleccioneu la clau activada actual.
4. Seleccioneu + Versió nova.
5. La configuració Activada per defecte és Sí, la qual cosa significa que la nova versió de la clau s'activa automàticament en crear-la.
6. Seleccioneu Crea.

Veure la llista d'entorns xifrats

1. Inicieu sessió al Power Platform Centre d'administració i aneu a Polítiques>Polítiques empresarials.
2. A la pàgina Polítiques empresarials , seleccioneu la pestanya Entorns amb polítiques . Es mostra la llista d'entorns que s'han afegit a les polítiques empresarials.

Operacions de la base de dades de l'entorn

Un inquilí de client pot tenir entorns xifrats mitjançant la clau gestionada per Microsoft i entorns xifrats amb la clau administrada pel client. Per mantenir la integritat de les dades i protegir les dades, els controls següents estan disponibles per administrar les operacions de la base de dades de l'entorn.

• Restaura L'entorn a sobreescriure (l'entorn restaurat) està restringit al mateix entorn del qual s'ha fet la còpia de seguretat o a un altre entorn que està xifrat amb la mateixa clau gestionada pel client.

  

• Còpia L'entorn que cal sobreescriure (l'entorn copiat a) està restringit a un altre entorn que està xifrat amb la mateixa clau gestionada pel client.

  

  Nota

  Si es va crear un entorn d'investigació de suport per resoldre problemes de suport en un entorn gestionat pel client, la clau de xifratge de l'entorn d'investigació de suport s'ha de canviar a la clau administrada pel client abans que l'operació Copia l'entorn es pugui executar.

• Restableix Les dades xifrades de l'entorn se suprimeixen, incloses les còpies de seguretat. Un cop s'hagi restablert l'entorn, el xifratge de l'entorn tornarà a la clau administrada per Microsoft.

Passos següents

Sobre Azure Key Vault