एनक्रिप्शन कुंजी प्रबंधित करें

Microsoft Dataverse डेटाबेस के सभी परिवेश SQL सर्वर पारदर्शी डेटा एनक्रिप्शन (TDE) का उपयोग करते हैं ताकि डिस्क में लिखते समय डेटा के वास्तविक-समय एनक्रिप्शन को निष्पादित किया जा सके जिसे एनक्रिप्शन एट रेस्ट कहते हैं.

डिफ़ॉल्ट द्वारा, आपकी परिस्थिति के लिए डेटाबेस एन्क्रिप्शन कुंजियों को संग्रहीत और प्रबंधित Microsoft करता है, ताकि आपको ऐसा न करना पड़े. Microsoft Power Platform व्यवस्थापक केंद्र में प्रबंधित कुंजी सुविधा प्रशासकों को Dataverse टेनेंट से संबद्ध डेटाबेस एन्क्रिप्शन कुंजी को स्वयं प्रबंधित करने की क्षमता प्रदान करती है।

एन्क्रिप्शन कुंजी प्रबंधन केवल Azure SQL परिस्थिति डेटाबेस पर लागू होता है. निम्नलिखित सुविधाएँ और सेवाएँ अपने डेटा को एन्क्रिप्ट करने के लिए Microsoft-प्रबंधित एन्क्रिप्शन कुंजी का उपयोग करना जारी रखती हैं और उन्हें स्व-प्रबंधित एन्क्रिप्शन कुंजी के साथ एन्क्रिप्ट नहीं किया जा सकता है:

• Microsoft Power Platform और Microsoft Dynamics 365 में सह-पायलट और जनरेटिव AI सुविधाएँ
• Dataverse खोज
• इलास्टिक टेबल
• Mobile Offline
• गतिविधि लॉग (Microsoft 365 पोर्टल)
• एक्सचेंज (सर्वर-साइड सिंक)

कुंजी प्रबंधन का परिचय

कुंजी प्रबंधन के साथ, व्यवस्थापक अपनी स्वयं की एन्क्रिप्शन कुंजी प्रदान कर सकते हैं या अपने लिए एक एन्क्रिप्शन कुंजी जेनरेट करवा सकते हैं, जिसका उपयोग परिवेश के डेटाबेस की सुरक्षा करने के लिए किया जाता है.

कुंजी प्रबंधन सुविधा PFX और BYOK एन्क्रिप्शन कुंजी फ़ाइलों का समर्थन करती है, जैसे कि वे जो हार्डवेयर सुरक्षा मॉड्यूल (HSM) में संग्रहीत किए जाते हैं. अपलोड एन्क्रिप्शन कुंजी विकल्प का उपयोग करने के लिए, आपको सार्वजनिक और निजी दोनों एन्क्रिप्शन कुंजी की आवश्यकता होगी।

कुंजी प्रबंधन सुविधा एन्क्रिप्शन कुंजियों को सुरक्षित रूप से संग्रहीत करने के लिए Azure Key Vault का उपयोग करके एन्क्रिप्शन कुंजी प्रबंधन की जटिलता को दूर करती है। Azure Key Vault क्लाउड अनुप्रयोगों और सेवाओं द्वारा उपयोग की जाने वाली क्रिप्टोग्राफ़िक कुंजियों और रहस्यों की सुरक्षा करने में सहायता करती है. कुंजी प्रबंधन सुविधा के लिए यह आवश्यक नहीं है कि आपके पास Azure Key Vault सदस्यता हो और अधिकांश स्थितियों में वॉल्ट के भीतर उपयोग की जाने वाली एन्क्रिप्शन कुंजियों तक पहुँचने की आवश्यकता नहीं होती है। Dataverse

प्रबंधित कुंजी सुविधा आपको निम्नलिखित कार्य करने देती है।

• डेटाबेस एन्क्रिप्शन कुंजियों को स्वयं प्रबंधित करने की क्षमता सक्षम करें जो परिस्थिति से संबद्ध हैं.

• नई एन्क्रिप्शन कुंजियाँ जेनरेट करें या मौजूदा .PFX या .BYOK एन्क्रिप्शन कुंजी फ़ाइलें अपलोड करें.

• टेनेंट परिस्थिति को लॉक और अनलॉक करें.

  चेतावनी

  जबकि एक टेनेंट लॉक है, टेनेंट के अंतर्गत सभी परिस्थितियां किसी के द्वारा एक्सेस नहीं किए जा सकती हैं. अधिक जानकारी: टेनेंट को लॉक करें.

अपनी कुंजियों को प्रबंधित करते समय संभावित जोख़िम को समझें

किसी भी महत्वपूर्ण व्यावसायिक अनुप्रयोग से, आपके संगठन के भीतर व्यस्थापन-स्तर-तक पहुँच वाले कर्मचारियों पर विश्वास किया जाना चाहिए. आपके द्वारा मुख्य प्रबंधन सुविधा का उपयोग किए जाने से पूर्व, आपको अपने डेटाबेस एनक्रिप्शन कंजियों को प्रबंधित करते समय जोख़िम को समझना चाहिए. यह संभव है कि आपके संगठन में कार्यरत कोई दुर्भावनापूर्ण व्यवस्थापक (ऐसा व्यक्ति जिसे किसी संगठन की सुरक्षा या व्यावसायिक प्रक्रियाओं को नुकसान पहुंचाने के इरादे से व्यवस्थापक-स्तर की पहुँच प्रदान की गई हो या प्राप्त की हो) प्रबंधित कुंजी सुविधा का उपयोग करके कुंजी बना सकता है और उसका उपयोग टेनेंट में सभी परिवेशों को लॉक करने के लिए कर सकता है।

निम्नलिखित घटनाओं के अनुक्रम पर विचार करें.

दुर्भावनापूर्ण व्यवस्थापक Power Platform व्यवस्थापन केंद्र पर साइन इन करता है, परिवेश टैब पर जाता है और एनक्रिप्शन कुंजी प्रबंधित करें का चयन करता है. इसके बाद, दुर्भावनापूर्ण व्यवस्थापक पासवर्ड के साथ एक नई कुंजी बनाता है और एन्क्रिप्शन कुंजी को अपने स्थानीय ड्राइव पर डाउनलोड करता है, और नई कुंजी को सक्रिय करता है. अब सभी परिस्थतियां डेटाबेस नई कुंजी के साथ एन्क्रिप्टेड हैं. इसके बाद, दुर्भावनापूर्ण व्यवस्थापक टेनेंट को नई डाउनलोड की गई कुंजी के साथ लॉक करता है, और फिर डाउनलोड की गई एन्क्रिप्शन कुंजी को लेता या हटाता है.

इन क्रियाओं के परिणामस्वरूप टेनेंट के भीतर सभी वातावरणों को ऑनलाइन पहुंच से अक्षम कर दिया जाता है और सभी डेटाबेस बैकअप को पुनर्स्थापित नहीं किया जा सकता है।

एनक्रिप्शन कुंजी आवश्यकताएँ

यदि आप अपनी स्वयं की एन्क्रिप्शन कुंजी प्रदान करते हैं, तो आपकी कुंजी को इन आवश्यकताओं को पूरा करना होगा जो कि Azure की वॉल्ट द्वारा स्वीकार की जाती हैं।

• एनक्रिप्शन कुंजी फ़ाइल स्वरूप PFX या BYOK होना चाहिए.
• 2048-बिट आरएसए.
• RSA-HSM कुंजी प्रकार (Microsoft समर्थन अनुरोध की आवश्यकता है).
• PFX एनक्रिप्शन कुंजी फ़ाइल पासवर्ड सुरक्षित होना चाहिए.

इंटरनेट पर HSM-संरक्षित कुंजी जनरेट करने और स्थानांतरित करने के बारे में अधिक जानकारी के लिए, देखें Azure Key Vault के लिए HSM-संरक्षित कुंजी जनरेट करने और स्थानांतरित करने का तरीका. केवल nCipher विक्रेता HSM कुंजी समर्थित है. अपनी HSM कुंजी बनाने से पहले, अपने परिवेश क्षेत्र के लिए सहस्यता ID प्राप्त करने के लिए Power Platform व्यवस्थापन केंद्र एनक्रिप्शन कुंजी प्रबंधित करें/नई कुंजी बनाएँ विंडो पर जाएँ. कुंजी बनाने के लिए आपको इस सदस्यता ID को अपने HSM में कॉपी और पेस्ट करना होगा. इससे यह सुनिश्चित होता है कि केवल हमारा Azure Key Vault ही आपकी फ़ाइल खोल सकता है.

कुंजी प्रबंधन कार्य

प्रमुख प्रबंधन कार्यों को सरल बनाने के लिए, कार्यों को तीन क्षेत्रों में विभाजित किया गया है:

1. किसी टेनेंट के लिए एन्क्रिप्शन कुंजी बनाएं या अपलोड करें
2. किसी किरायेदार के लिए एन्क्रिप्शन कुंजी सक्रिय करें
3. किसी परिवेश के लिए एन्क्रिप्शन प्रबंधित करें

व्यवस्थापक Power Platform व्यवस्थापक केंद्र या Power Platform व्यवस्थापक मॉड्यूल cmdlets का इस्तेमाल कर सकता है ताकि यहां वर्णित टैनेंट सुरक्षा कुंजी प्रबंधन कार्यों को किया जा सके।

एक टेनेंट के लिए एन्क्रिप्शन कुंजी बनाएं या अपलोड करें

सभी एन्क्रिप्शन कुंजियाँ Azure कुंजी वॉल्ट में संग्रहीत की जाती हैं, और एक समय में केवल एक सक्रिय कुंजी हो सकती है. चूंकि, टेनेंट के अंतर्गत परिस्थिति को एन्क्रिप्ट करने के लिए सक्रिय कुंजी का उपयोग किया जाता है, इसलिए एन्क्रिप्शन का प्रबंधन टेनेंट के स्तर पर संचालित होता है. एक बार कुंजी सक्रिय हो जाने के बाद, प्रत्येक व्यक्तिगत परिस्थिति को, एन्क्रिप्शन की कुंजी का उपयोग करने के लिए चुना जा सकता है.

किसी परिवेश के लिए पहली बार प्रबंधित कुंजी सुविधा सेट करने या पहले से ही स्व-प्रबंधित टेनेंट के लिए एन्क्रिप्शन कुंजी को बदलने (या रोल ओवर करने) के लिए इस प्रक्रिया का उपयोग करें.

1. Power Platform व्यवस्थापक केंद्र में एक व्यवस्थापक (Dynamics 365 व्यवस्थापक या Microsoft Power Platform व्यवस्थापक) के रूप में लॉग इन करें.

2. परिस्थिति टैब चुनें, और फिर टूलबार पर एन्क्रिप्शन कुंजी प्रबंधित करें चुनें.

3. प्रबंधित कुंजी जोखिम को स्वीकार करने के लिए पुष्टि करें का चयन करें।

4. टूलबार पर नई कुंजी चुनें.

5. बाएँ फलक पर, कुंजी बनाने या अपलोड करने के लिए विवरण भरें:

   • क्षेत्र चुनें. यह विकल्प केवल तभी दिखाया जाता है जब आपके टेनेंट के पास कई क्षेत्र हों.
   • कोई कुंजी का नाम दर्ज करें.
   • निम्न विकल्पों में से चुनें:
     • नई कुंजी बनाने के लिए, चुनें नया उत्पन्न करें (.pfx). अधिक जानकारी: एक नई कुंजी (.pfx) उत्पन्न करें.
     • स्वयं की उत्पन्न की गई कुंजी का उपयोग करने के लिए अपलोड (.pfx या .byok) का चयन करें. अधिक जानकारी: एक कुंजी (.pfx या .byok) अपलोड करें.

6. अगला चुनें.

एक नई कुंजी जनरेट करें (.pfx)

1. पासवर्ड दर्ज करें, और फिर पुष्टि करने के लिए पासवर्ड पुनः दर्ज करें।
2. बनाएं का चयन करें और फिर अपने ब्राउज़र पर बनाई गई फ़ाइल सूचना का चयन करें.
3. एन्क्रिप्शन कुंजी .PFX फ़ाइल आपके वेब ब्राउज़र के डिफ़ॉल्ट डाउनलोड फ़ोल्डर में डाउनलोड की जाती है. फ़ाइल को एक सुरक्षित स्थान पर सहेजें (हम अनुशंसा करते हैं कि यह कुंजी इसके पासवर्ड के साथ-साथ समर्थित हो).

एक कुंजी अपलोड करें (.pfx या .byok)

1. कुंजी अपलोड करें चयन करें, .pfx या .byok¹ फ़ाइल का चयन करें, और फिर खोलें का चयन करें.
2. कुंजी के लिए कोई पासवर्ड दर्ज करें, और फिर ठीक का चयन करें.

¹ .byok एनक्रिप्शन कुंजी फ़ाइलों के लिए, सुनिश्चित करें कि जब आप अपने स्थानीय HSM से एनक्रिप्शन कुंजी निर्यात करते हैं, तो स्क्रीन पर दिखाए अनुसार सदस्यता ID का उपयोग करें. अधिक जानकारी: Azure कुंजी वॉल्ट के लिए HSM- रक्षित कुंजियों को कैसे उत्पन्न और स्थानांतरित करें.

एक किरायेदार के लिए एन्क्रिप्शन कुंजी सक्रिय करें

एक बार एन्क्रिप्शन कुंजी उत्पन्न होने या टेनेंट के लिए अपलोड करने के बाद, इसे सक्रिय किया जा सकता है.

1. Power Platform व्यवस्थापक केंद्र में एक व्यवस्थापक (Dynamics 365 व्यवस्थापक या Microsoft Power Platform व्यवस्थापक) के रूप में लॉग इन करें.
2. परिस्थिति टैब चुनें, और फिर टूलबार पर एन्क्रिप्शन कुंजी प्रबंधित करें चुनें.
3. प्रबंधित कुंजी जोखिम को स्वीकार करने के लिए पुष्टि करें का चयन करें।
4. एक ऐसी कुंजी चुनें जिसमें उपलब्ध स्थिति हो और फिर टूलबार पर कुंजी सक्रिय करें का चयन करें.
5. कुंजी परिवर्तन को स्वीकार करने के लिए पुष्टि करें का चयन करें.

जब आप टेनेंट के लिए एक कुंजी सक्रिय करते हैं, तो कुंजी प्रबंधन सेवा को, कुंजी सक्रिय करने के लिए कुछ समय लगता है. जब नई या अपलोड की गई कुंजी सक्रिय हो तब कुंजी स्थिति की स्थिति कुंजी को स्थापित हो रहा है के रूप में प्रदर्शित होती है. एक बार कुंजी सक्रिय होने के बाद, निम्नलिखित होता है:

• सभी एन्क्रिप्टेड वातावरण स्वचालित रूप से सक्रिय कुंजी के साथ एन्क्रिप्ट हो जाते हैं (इस क्रिया के साथ कोई डाउनटाइम नहीं होता है)।
• सक्रिय होने पर, एन्क्रिप्शन कुंजी उन सभी परिवेशों पर लागू होती है जिन्हें Microsoft द्वारा प्रदत्त से स्व-प्रबंधित एन्क्रिप्शन कुंजी में परिवर्तित किया जाता है।

एक परिस्थिति के लिए एन्क्रिप्शन का प्रबंधन करें

डिफ़ॉल्ट रूप से, प्रत्येक वातावरण को Microsoft द्वारा प्रदान की गई एन्क्रिप्शन कुंजी के साथ एन्क्रिप्ट किया गया है. एक बार जब एक एन्क्रिप्शन कुंजी टेनें के लिए सक्रिय हो जाती है, तो सक्रिय एन्क्रिप्शन कुंजी का उपयोग करने के लिए व्यवस्थापक, डिफ़ॉल्ट एन्क्रिप्शन को बदलने का चुनाव कर सकते हैं. सक्रिय कुंजी का उपयोग करने के लिए, इन चरणों का पालन करें.

परिस्थिति के लिए एन्क्रिप्शन कुंजी लागू करें

1. परिवेश एडमिन या सिस्टम एडमिनिस्ट्रेटर भूमिका क्रेडेंशियल्स का उपयोग करके Power Platform एडमिन केंद्र में साइन इन करें.
2. परिवेश टैब चुनें.
3. एक Microsoft द्वारा प्रदान की गई एन्क्रिप्टेड परिस्थिति खोलें.
4. सभी देखें का चयन करें
5. परिस्थिति एन्क्रिप्शन अनुभाग में, प्रबंधित करें चुनें.
6. प्रबंधित कुंजी जोखिम को स्वीकार करने के लिए पुष्टि करें का चयन करें।
7. सक्रिय कुंजी का उपयोग करने के लिए एन्क्रिप्शन परिवर्तन स्वीकार करने के लिए इस कुंजी को लागू करें चुनें.
8. यह स्वीकार करने के लिए कि आप कुंजी को सीधे प्रबंधित कर रहे हैं और इस कार्रवाई के लिए डाउनटाइम है, पुष्टि करें का चयन करें।

Microsoft द्वारा प्रदान की गई एन्क्रिप्शन कुंजी पर वापस प्रबंधित एन्क्रिप्शन कुंजी लौटाएँ

Microsoft द्वारा प्रदान की गई एन्क्रिप्शन कुंजी पर वापस जाने से परिस्थितित वापस डिफ़ॉल्ट व्यवहार में आ जाती है, जहां Microsoft आपके लिए एन्क्रिप्शन कुंजी का प्रबंधन करता है.

1. परिवेश एडमिन या सिस्टम एडमिनिस्ट्रेटर भूमिका क्रेडेंशियल्स का उपयोग करके Power Platform एडमिन केंद्र में साइन इन करें.
2. परिस्थिति टैब का चयन करें, और फिर एक ऐसी परिस्थिति का चयन करें जो स्व-प्रबंधित कुंजी के साथ एन्क्रिप्ट की गयी है.
3. सभी देखें का चयन करें
4. परिस्थिति एन्क्रिप्शन अनुभाग में, प्रबंधित करें का चयन करें, और फिर पुष्टि करें का चयन करें.
5. मानक एन्क्रिप्शन प्रबंधन पर वापस जाएं के अंतर्गत वापस जाएं का चयन करें.
6. उत्पादन परिवेश के लिए, परिवेश का नाम दर्ज करके परिवेश की पुष्टि करें.
7. मानक एन्क्रिप्शन कुंजी प्रबंधन पर लौटने के लिए पुष्टि करें का चयन करें.

टैनेंट लॉक करें

चूंकि प्रत्येक टेनेंट के लिए केवल एक सक्रिय कुंजी होती है, इसलिए टेनेंट के लिए एन्क्रिप्शन को लॉक करने से टेनेंट में मौजूद सभी वातावरण अक्षम हो जाते हैं। सभी लॉक किए गए परिवेश, Microsoft सहित हर किसी के लिए तब तक न पहुँचने योग्‍य रहते हैं, जब तक कि आपके संगठन में कोई Power Platform व्यवस्थापक उसे लॉक करने के लिए उपयोग की गई कुंजी का उपयोग करके उसे अनलॉक नहीं करता.

1. Power Platform व्यवस्थापक केंद्र में, एक व्यवस्थापक (Dynamics 365 व्यवस्थापक या Microsoft Power Platform व्यवस्थापक) के रूप में लॉग इन करें.
2. परिवेश टैब चुनें और उसके बाद आदेश पट्टी पर एनक्रिप्शन कुंजियाँ प्रबंधित करें चुनें.
3. सक्रिय कुंजी का चयन करें और फिर सक्रिय परिस्थितियों को लॉक करें का चयन करें.
4. दाएँ फलक पर सक्रिय कुंजी अपलोड करें, ब्राउज़ करें और कुंजी का चयन करें, पासवर्ड दर्ज करें, और फिर लॉक चुनें.
5. जब संकेत दिया जाता है, तो यह पुष्टि करने के लिए कि आप इस क्षेत्र में सभी वातावरणों को लॉक करना चाहते हैं, अपनी स्क्रीन पर प्रदर्शित टेक्स्ट दर्ज करें, और फिर पुष्टि करें का चयन करें.

लॉक किए गए परिवेश को अनलॉक करें

परिवेशों को अनलॉक करने के लिए, आपको सबसे पहले टेनेंट एन्क्रिप्शन कुंजी को अपलोड करना होगा और फिर उसी कुंजी के साथ टेनेंट एन्क्रिप्शन कुंजी को सक्रिय करना होगा जिसका उपयोग टेनेंट को लॉक करने के लिए किया गया था। ......... ध्यान रखें कि कुंजी सक्रिय होने के बाद लॉक किए गए वातावरण स्वचालित रूप से अनलॉक नहीं होते हैं। प्रत्येक बंद परिस्थिति को व्यक्तिगत रूप से अनलॉक करना होगा.

एनक्रिप्शन कुंजी अनलॉक करें

1. Power Platform व्यवस्थापक केंद्र में, एक व्यवस्थापक (Dynamics 365 व्यवस्थापक या Microsoft Power Platform व्यवस्थापक) के रूप में लॉग इन करें.
2. परिवेश टैब चुनें और उसके बाद उपकरण पट्टी पर एनक्रिप्शन कुंजियाँ प्रबंधित करें चुनें.
3. उस कुंजी का चयन करें जिसमें लॉक्ड स्थिति है, और फिर कमांड बार पर अनलॉक कुंजी का चयन करें.
4. अपलोड लॉक कुंजी का चयन करें, टेनेंट को लॉक करने के लिए उपयोग की गई कुंजी को ब्राउज़ करें और चुनें, पासवर्ड दर्ज करें, और फिर अनलॉक का चयन करें. कुंजी स्थापित करने की स्थिति में चली जाती है. इससे पहले कि आप लॉक परिस्थितियों को अनलॉक कर सकें, आपको तब तक प्रतीक्षा करनी होगी जब तक कुंजी एक सक्रिय स्थिति में है.
5. परिस्थिति को अनलॉक करने के लिए, अगला खंड देखें.

परिवेश अनलॉक करें

1. परिस्थिति टैब का चयन करें, और फिर लॉक परिस्थति के नाम का चयन करें.

   टिप

   पंक्ति का चयन न करें. परिस्थिति का नाम का चुनें.

2. विवरण अनुभाग में, दाईं ओर विवरण फलक प्रदर्शित करने के लिए सभी देखें का चयन करें.

3. परिस्थिति एन्क्रिप्शन अनुभाग में विवरण फलक पर बंधित करें का चयन करें.

   

4. परिस्थिति एन्क्रिप्शन पेज पर अनलॉक का चयन करें.

   

5. यह पुष्टि करने के लिए कि आप परिस्थिति को अनलॉक करना चाहते हैं, पुष्टि करें का चयन करें.

6. अन्य वातावरणों को अनलॉक करने के लिए पिछले चरणों को दोहराएं।

परिवेश डेटाबेस कार्रवाइयाँ

एक ग्राहक टैनेंट के पास ऐसे परिवेश हो सकते हैं जो Microsoft प्रबंधित कुंजी का उपयोग करके एन्क्रिप्ट किए गए हैं और ग्राहक प्रबंधित कुंजी का उपयोग करके परिवेश एन्क्रिप्ट किए गए हैं. डेटा अक्षतता और डेटा सुरक्षा बनाए रखने के लिए, परिवेश डेटाबेस संचालन का प्रबंधन करते समय निम्नलिखित नियंत्रण उपलब्ध होते हैं.

1. पुनर्स्थापित करें अधिलेखित किया जाने वाला वातावरण (पुनर्स्थापित किया जाने वाला वातावरण) उसी वातावरण तक सीमित होता है, जहां से बैकअप लिया गया था या किसी अन्य वातावरण तक सीमित होता है, जो उसी ग्राहक प्रबंधित कुंजी के साथ एन्क्रिप्ट किया गया होता है।

   

2. कॉपी करें अधिलेखित किया जाने वाला वातावरण (कॉपी किया जाने वाला वातावरण) किसी अन्य वातावरण तक सीमित होता है, जो उसी ग्राहक प्रबंधित कुंजी से एन्क्रिप्ट किया गया होता है।

   

   नोट

   यदि एक ग्राहक प्रबंधित परिवेश में सहायता संबंधित समस्या को हल करने के लिए एक सहायता जाँच-पड़ताल परिवेश बनाया गया था, तो परिवेश की प्रतिलिपि बनाएं संचालन निष्पादित किए जाने से पहले सहायता जाँच-पड़ताल परिवेश के लिए एन्क्रिप्शन कुंजी को ग्राहक प्रबंधित कुंजी में परिवर्तित किया जाना चाहिए.

3. रीसेट करें बैकअप सहित पर्यावरण का एन्क्रिप्टेड डेटा हटा दिया जाता है। परिवेश रीसेट होने के बाद, परिवेश एन्क्रिप्शन Microsoft प्रबंधित कुंजी पर वापस आ जाएगा.

संबंधित सामग्री

SQL सर्वर: पारदर्शी डेटा एन्क्रिप्शन (TDE)