Gestionar la clau de xifratge

Tots els entorns del Microsoft Dataverse utilitzen el xifrat de dades transparent (TDE) de l'SQL Server per realitzar un xifratge en temps real de dades escrites en un disc, que també es coneix com a xifratge en repòs.

Per defecte, Microsoft emmagatzema i gestiona la clau de xifratge de la base de dades dels vostres entorns per tal que no hagueu de fer-ho vosaltres. La característica de claus administrades del Microsoft Power Platform centre d'administració ofereix als administradors la possibilitat d'administrar automàticament la clau de xifratge de la base de dades associada amb l'inquilí Dataverse .

L'administració de claus de xifratge només és aplicable a bases de dades de l'entorn de l'Azure SQL. Les característiques i serveis següents continuen utilitzant la clau de xifratge administrada per Microsoft per xifrar les seves dades i no es poden xifrar amb la clau de xifratge autoadministrada:

• Copilots i funcions d'IA generativa a Microsoft Power Platform i Microsoft Dynamics 365
• Cerca del Dataverse
• Taules elàstiques
• Mobile Offline
• Registre d'activitat (portal de l'Microsoft 365)
• Exchange (sincronització del servidor)

Introducció a l'administració de claus

Amb l'administració de claus, els administradors poden proporcionar la seva pròpia clau de xifratge o tenir una clau de xifratge generada per a ells, que s'utilitza per protegir un entorn d'una base de dades.

La funció d'administració de claus admet fitxers de claus de xifratge PFX i BYOK, com ara els que s'emmagatzemen en un mòdul de seguretat de maquinari (HSM). Per utilitzar l'opció de clau de xifratge de càrrega, necessiteu la clau de xifratge pública i privada.

La funció d'administració de claus elimina la complexitat de l'administració de claus de xifratge mitjançant l'Azure Key Vault per emmagatzemar les claus de xifratge de forma segura. L'Azure Key Vault ajuda a protegir els secrets i les claus criptogràfiques que utilitzen els serveis i les aplicacions del núvol. La característica d'administració de claus no requereix que tingueu una subscripció a Azure Key Vault i, per a la majoria de situacions, no cal accedir a les claus de xifratge utilitzades dins Dataverse del vault.

La característica de claus gestionades us permet realitzar les tasques següents.

• Habiliteu la capacitat d'administrar automàticament claus de xifratge associades amb entorns

• Genereu noves claus de xifratge o carregeu fitxers de clau de xifratge .PFX o .BYOK existents.

• Blocar i desblocar els entorns dels inquilins.

  Advertiment

  Mentre un inquilí està bloquejat, a tots els entorns de l'inquilí no hi pot accedir ningú. Més informació: Blocar l'inquilí.

Comprendre el possible risc d'administrar les claus

Com qualsevol altra aplicació de negocis fonamental, el personal de la vostra organització que té accés administratiu ha de ser de confiança. Abans d'utilitzar la funció d'administració de claus, heu de comprendre el risc d'administrar les claus de xifratge de base de dades. És concebible que un administrador maliciós (una persona a qui se li concedeix o ha obtingut accés de nivell d'administrador amb la intenció de perjudicar la seguretat o els processos empresarials d'una organització) que treballa dins de la vostra organització pugui utilitzar la característica de claus administrades per crear una clau i utilitzar-la per bloquejar tots els entorns de l'inquilí.

Tingueu en compte ka seqüència d'esdeveniments següent.

L'administrador maliciós inicia la sessió al Centre d'administració del Power Platform, va a la pestanya Entorns i selecciona Administra la clau de xifratge. L'administrador maliciós crea una clau nova amb una contrasenya i baixa la clau de xifratge a la unitat local i activa la clau nova. Ara, totes les bases de dades de l'entorn es xifren amb la clau nova. A continuació, l'administrador maliciós bloqueja l'inquilí amb la clau descarregada recentment i, a continuació, agafa o suprimeix la clau de xifratge baixada.

Aquestes accions fan que tots els entorns de l'inquilí tinguin accés en línia i facin que totes les còpies de seguretat de la base de dades no es puguin restaurar.

Requisits de les claus de xifratge

Si proporcioneu una clau de xifratge, la clau ha de complir aquests requisits que s'accepten mitjançant l'Azure Key Vault.

• El format del fitxer de clau de xifratge ha de ser PFX o BYOK.
• RSA de 2048 bits.
• Tipus de clau RSA-HSM (requereix una sol·licitud de suport tècnic de Microsoft).
• Els fitxers de clau de xifratge PFX han d'estar protegits per contrasenyes.

Per obtenir més informació sobre com generar i transferir una clau protegida per HSM a través d'Internet, vegeu Com generar i transferir claus protegides per HSM per a Azure Key Vault. Només s'admet la clau HSM del proveïdor de nCipher. Abans de generar la clau HSM, aneu a la finestra Administrar les claus de xifratge/Crea una clau nova del Centre d'administració de Power Platform per obtenir l'identificador de subscripció de la regió del vostre entorn. Heu de copiar i enganxar aquest identificador de subscripció al vostre HSM per crear la clau. Això garanteix que només el nostre Azure Key Vault pugui obrir el vostre fitxer.

Tasques d'administració de claus

Per simplificar les tasques d'administració de claus, les tasques es desglossen en tres àrees:

1. Generar o carregar la clau de xifratge d'un inquilí
2. Activar una clau de xifratge per a un inquilí
3. Administrar l'encriptació d'un entorn

Els administradors poden utilitzar el Centre d'administració del Power Platformo els cmdlets del mòdul d'administració del Power Platform per dur a terme les tasques d'administració de claus de protecció de l'inquilí que es descriuen aquí.

Generar o carregar la clau de xifratge per a un inquilí

Totes les claus de xifratge s'emmagatzemen l'Azure Key Vault i només pot haver-hi una clau activa en qualsevol moment. Atès que la clau activa s'utilitza per xifrar tots els entorns de l'inquilí, l'administració del xifratge es fa a nivell d'inquilí. Quan s'activa la clau, es pot seleccionar cada entorn individual per utilitzar la clau per al xifratge.

Utilitzeu aquest procediment per definir la característica de clau administrada la primera vegada per a un entorn o per canviar (o renovar) una clau de xifratge per a un inquilí ja autoadministrat.

1. Inicieu la sessió al centre Power Platform d'administraciócom a administrador (administrador o Microsoft Power Platform administrador del Dynamics 365).

2. Seleccioneu la pestanya Entorns i, a continuació, a la barra d'eines, seleccioneu Administra les claus de xifratge.

3. Seleccioneu Confirma per reconèixer el risc de la clau administrada.

4. A la barra d'eines, seleccioneu Crea una clau.

5. A la subfinestra esquerra, empleneu els detalls per generar o carregar una clau:

   • Seleccioneu una regió. Aquesta opció només es mostra si el vostre inquilí té diverses regions.
   • Introduïu un Nom de la clau.
   • Trieu alguna de les opcions següents:
     • Seleccioneu Genera'n una de nova (.pfx) per crear una clau nova. Més informació: Generar una clau nova (.pfx).
     • Per utilitzar la vostra pròpia clau generada, seleccioneu Carrega (.pfx o.byok). Més informació: Carregar una clau (.pfx o.byok).

6. Seleccioneu Següent.

Generar una clau nova (.pfx)

1. Introduïu una contrasenya i torneu a introduir-la per confirmar-la.
2. Seleccioneu Crea i, a continuació, seleccioneu la notificació de fitxer creat al navegador.
3. El fitxer .PFX de la clau de xifratge es baixa a la carpeta de baixades per defecte del navegador web. Deseu el fitxer en una ubicació segura (recomanem que feu una còpia de seguretat d'aquesta clau juntament amb la seva contrasenya).

Carregar una clau (.pfx o .byok)

1. Seleccioneu Carrega la clau, seleccioneu el fitxer.pfx o.byok¹ i, a continuació, seleccioneu Obre.
2. Introduïu la contrasenya per a la clau i seleccioneu Crea.

¹ Per als fitxers de clau de xifratge .byok, assegureu-vos que utilitzeu l'identificador de la subscripció com es mostra a la pantalla quan exporteu la clau de xifratge de l'HSM local. Més informació: Com es generen i transfereixen claus protegides per HSM per a l'Azure Key Vault.

Activar una clau de xifratge per a un inquilí

Un cop generada una clau de xifratge o una pujada per a l'inquilí, pot activar-se.

1. Inicieu la sessió al centre Power Platform d'administraciócom a administrador (administrador o Microsoft Power Platform administrador del Dynamics 365).
2. Seleccioneu la pestanya Entorns i, a continuació, a la barra d'eines, seleccioneu Administra les claus de xifratge.
3. Seleccioneu Confirma per reconèixer el risc de la clau administrada.
4. Seleccioneu una clau que tingui un estat Disponible i, a continuació, seleccioneu Activa la clau a la barra d'eines.
5. Seleccioneu Confirma per confirmar el canvi de clau.

Quan activeu una clau per a l'inquilí, es necessita una estona perquè el servei d'administració de claus activi la clau. L'estat de l'Estat de la clau mostra la clau com a Instal·lant quan la clau nova o carregada s'activa. Un cop activada la clau, es produeix el següent:

• Tots els entorns xifrats es xifren automàticament amb la clau activa (no hi ha temps d'inactivitat amb aquesta acció).
• Quan s'activa, la clau de xifratge s'aplica a tots els entorns que canvien de clau de xifratge proporcionada per Microsoft a clau de xifratge autoadministrada.

Administrar el xifratge d'un entorn

Per defecte, cada entorn es xifra amb la clau de xifratge proporcionada per Microsoft. Quan s'activa una clau de xifratge per a l'inquilí, els administradors poden optar per canviar el xifratge per defecte per utilitzar la clau de xifratge activada. Per utilitzar la clau activada, seguiu aquests passos.

Aplicar la clau de xifratge a un entorn

1. Inicieu la sessió al centre d'administració del Power Platform amb les credencials de les funcions Administrador de l'entorn o Administrador del sistema.
2. Seleccioneu la pestanya Entorns.
3. Obriu un entorn xifrat Proporcionat per Microsoft.
4. Seleccioneu Mostra-ho tot.
5. A la secció Xifratge de l'entorn, seleccioneu Administra.
6. Seleccioneu Confirma per reconèixer el risc de la clau administrada.
7. Seleccioneu Aplica aquesta clau per acceptar que canviï el xifratge per utilitzar la clau activada.
8. Seleccioneu Confirma per reconèixer que esteu administrant la clau directament i que hi ha temps d'inactivitat per a aquesta acció.

Retornar una clau de xifrat administrada a la clau de xifratge proporcionada per Microsoft

El retorn a la clau de xifratge proporcionada per Microsoft configura l'entorn al comportament per defecte on Microsoft administra la clau de xifratge.

1. Inicieu la sessió al centre d'administració del Power Platform amb les credencials de les funcions Administrador de l'entorn o Administrador del sistema.
2. Seleccioneu la pestanya Entorns i, a continuació, seleccioneu un entorn que es xifra amb una clau autogestionada.
3. Seleccioneu Mostra-ho tot.
4. A la secció Xifratge de l'entorn, seleccioneu Administra i, a continuació, seleccioneu Confirma .
5. A Tornar a la gestió estàndard del xifratge seleccioneu Torna.
6. Per a entorns de producció, confirmeu l'entorn introduint el nom de l'entorn.
7. Seleccioneu Confirma per tornar a la gestió estàndard de la clau de xifratge.

Blocar l'inquilí

Com que només hi ha una clau activa per inquilí, bloquejar el xifratge per a l'inquilí inhabilita tots els entorns que hi ha a l'inquilí. Tots els entorns bloquejats romanen inaccessibles per a tothom, incloent-hi Microsoft, fins que un administrador del Power Platform de la vostra organització els desbloqueja amb la clau que va utilitzar per bloquejar-los.

1. Inicieu la sessió al centre Power Platform d'administraciócom a administrador (administrador o Microsoft Power Platform administrador del Dynamics 365).
2. Seleccioneu la pestanya Entorns i, a continuació, a la barra d'ordres, seleccioneu Administra les claus de xifratge.
3. Seleccioneu la clau Activa i, a continuació, seleccioneu Bloca els entorns actius.
4. A la subfinestra dreta, seleccioneu Carrega la clau activa, navegueu i seleccioneu la clau, introduïu la contrasenya i, a continuació, seleccioneu Bloca.
5. Quan se us demani, introduïu el text que es mostra a la pantalla per confirmar que voleu blocar tots els entorns de la regió i, a continuació, seleccioneu Confirma.

Desblocar entorns blocats

Per desbloquejar entorns, primer heu de carregar i després activar la clau de xifratge de l'inquilí amb la mateixa clau que es va utilitzar per bloquejar l'inquilí. Tingueu en compte que els entorns bloquejats no es desbloquegen automàticament un cop s'ha activat la clau. Cada entorn bloquejat s'ha de desblocar individualment.

Desbloquejar la clau de xifratge

1. Inicieu la sessió al centre Power Platform d'administraciócom a administrador (administrador o Microsoft Power Platform administrador del Dynamics 365).
2. Seleccioneu la pestanya Entorns i, a continuació, seleccioneu Administra les claus de xifratge.
3. Seleccioneu la clau que tingui un estat Bloquejada i, a continuació, seleccioneu Activa la clau a la barra d'ordres.
4. Seleccioneu Carrega la clau bloquejada, navegueu i seleccioneu la clau que es va utilitzar per bloquejar l'inquilí, introduïu la contrasenya i, a continuació, seleccioneu Desbloqueja. La clau entra en un estat Instal·lant. Heu d'esperar que la clau estigui en estat Activa abans de desbloquejar els entorns blocats.
5. Per desbloquejar un entorn, vegeu la secció següent.

Desbloquejar entorns

1. Seleccioneu la pestanya Entorns i, a continuació, seleccioneu el nom de l'entorn bloquejat.

   Propina

   No seleccioneu la fila. Seleccioneu el nom de l'entorn.

2. A la secció Detalls, seleccioneu Mostra-ho tot per visualitzar la subfinestra Detalls de la dreta.

3. A la secció Xifratge de l'entorn a la subfinestra Detalls, seleccioneu Administra .

   

4. A la pàgina Xifratge de l'entorn, seleccioneu Desbloqueja.

   

5. Seleccioneu Confirma per confirmar que voleu desbloquejar l'entorn.

6. Repetiu els passos anteriors per desbloquejar altres entorns.

Operacions de la base de dades de l'entorn

Un inquilí de client pot tenir entorns xifrats mitjançant la clau gestionada per Microsoft i entorns xifrats amb la clau administrada pel client. Per mantenir la integritat de les dades i protegir les dades, els controls següents estan disponibles per administrar les operacions de la base de dades de l'entorn.

1. Restaura L'entorn a sobreescriure (l'entorn restaurat) està restringit al mateix entorn del qual s'ha fet la còpia de seguretat o a un altre entorn que està xifrat amb la mateixa clau gestionada pel client.

   

2. Còpia L'entorn que cal sobreescriure (l'entorn copiat a) està restringit a un altre entorn que està xifrat amb la mateixa clau gestionada pel client.

   

   Nota

   Si es va crear un entorn d'investigació de suport per resoldre problemes de suport en un entorn gestionat pel client, la clau de xifratge de l'entorn d'investigació de suport s'ha de canviar a la clau administrada pel client abans que l'operació Copia l'entorn es pugui executar.

3. Restableix Les dades xifrades de l'entorn se suprimeixen, incloses les còpies de seguretat. Un cop s'hagi restablert l'entorn, el xifratge de l'entorn tornarà a la clau administrada per Microsoft.

Contingut relacionat

SQL Server: xifratge transparent de dades (TDE)