Бөлісу құралы:

Шифрлау кілтін басқару

  • Мақала

Ескертпе

жаңа және жақсартылған Power Platform басқару орталығы қазір жалпыға қолжетімді! Біз жаңа басқару орталығын нақты нәтижелерге тезірек қол жеткізуге көмектесетін тапсырмаларға бағытталған навигация арқылы пайдалану оңай болатындай етіп жасадық. Жаңа Power Platform басқару орталығы жалпы қолжетімділікке ауысқанда, біз жаңа және жаңартылған құжаттаманы жариялайтын боламыз.

Барлық Microsoft Dataverse орталары дискіге жазылған кезде деректердің нақты уақытта шифрлануын орындау үшін әрі әрекетсіз күйдегі шифрлау ретінде белгілі SQL серверінің Transparent Data Encryption (TDE) шифрлауын пайдаланады.

Әдепкі бойынша, Microsoft корпорациясы орныңызға орталарыңыз үшін дерекқорды шифрлау кілтін сақтайды және басқарады. Microsoft Power Platform басқару орталығындағы басқарылатын кілттер мүмкіндігі әкімшілерге Dataverse жалға алушымен байланысты дерекқор шифрлау кілтін өзін-өзі басқару мүмкіндігін береді.

Маңызды

2026 жылдың 6 қаңтарынан бастап біз өз кілтіңізді әкелу (BYOK) қызметіне қолдау көрсетуді тоқтатамыз. Тұтынушылар жақсартылған функционалдылықты, деректер көздеріне кеңірек қолдауды және жақсы өнімділікті ұсынатын жақсартылған шешім - тұтынушы басқаратын кілттерге (CMK) өтуге шақырылады. Толығырақ ақпаратты Тұтынушы басқаратын шифрлау кілтін басқару және Өз кілтіңізді әкелу (BYOK) орталарын тұтынушы басқаратын кілтке көшіру.

Шифрлау кілтін басқару мүмкіндігі тек Azure SQL ортасының дерекқорларына қолданылады. Келесі мүмкіндіктер мен қызметтер өздерінің деректерін шифрлау үшін Microsoft басқаратын шифрлау кілтін пайдалануды жалғастыруда және өзін-өзі басқаратын шифрлау кілтімен шифрлау мүмкін емес:

  • Копилоттар және генеративті AI мүмкіндіктері Microsoft Power Platform және Microsoft Dynamics 365
  • Dataverse бойынша іздеу
  • Эластикалық үстелдер
  • Mobile Offline
  • Әрекет журналы (Microsoft 365 порталы)
  • Exchange (сервер тарапында синхрондау)

Ескертпе

  • Өздігінен басқарылатын дерекқорды шифрлау кілті мүмкіндігін Microsoft корпорациясы мүмкіндікті пайдаланбас бұрын жалға алушы үшін қосуы керек.
  • Орта үшін Деректерді шифрлауды басқару мүмкіндіктерін пайдалану үшін Microsoft арқылы дерекқорды шифрлау кілтін өздігінен басқару мүмкіндігі қосылғаннан кейін орта жасалуы тиіс.
  • Мүмкіндік жалға алушыда қосылғаннан кейін барлық жаңа орталар тек Azure SQL жадымен жасалады. Бұл орталар өз кілтіңізбен (BYOK) немесе Microsoft басқаратын кілтпен шифрланғанына қарамастан, файлды жүктеп салу өлшеміне шектеулер бар, Cosmos және Datalake қызметтерін пайдалана алмайды және Dataverse Іздеу индекстері Microsoft басқаратын кілтпен шифрланады. Бұл қызметтерді пайдалану үшін тұтынушы басқаратын кілтке көшу керек.
  • Өлшемдері 128 МБ-тан аз файлдар және суреттер егер ортаңыз 9.2.21052.00103 немесе одан жоғары нұсқасы болса, пайдалануға болады.
  • Бар орталардың көпшілігінде Azure емес SQL дерекқорларында сақталған файл мен журнал бар. Бұл орталарды өздігінен басқарылатын шифрлау кілтіне қосу мүмкін емес. Өздігінен басқарылатын шифрлау кілтімен тек жаңа орталарды (осы бағдарламаға тіркелгеннен кейін) қосуға болады.

Кілттерді басқаруға кіріспе

Әкімшілер кілтті басқару мүмкіндігімен жеке шифрлау кілтін бере алады немесе орта дерекқорын қорғауға пайдаланылатын жеке құрылған шифрлау кілтін ала алады.

Кілттерді басқару мүмкіндігі PFX және BYOK шифрлау кілті файлдарына қолдау көрсетеді, мысалы, HSM модулінде сақталған. Жүктеп салу шифрлау кілті опциясын пайдалану үшін сізге жалпы және жеке шифрлау кілті қажет.

Кілттерді басқару мүмкіндігі шифрлау кілттерін қауіпсіз түрде сақтау үшін Azure Key Vault қызметін пайдаланып, шифрлау кілттерін басқару қиындығын жеңілдетеді. Azure Key Vault бұлттық бағдарламалар мен қызметтер пайдаланатын криптографиялық кілттер мен құпияларды қорғауға көмектеседі. Кілттерді басқару мүмкіндігі сізде Azure Key Vault жазылымының болуын талап етпейді және көптеген жағдайларда қойма ішінде Dataverse үшін пайдаланылатын шифрлау кілттеріне қол жеткізудің қажеті жоқ.

Басқарылатын кілттер мүмкіндігі келесі тапсырмаларды орындауға мүмкіндік береді.

  • Орталармен байланысты дерекқорды шифрлау кілттерін өздігінен басқару қабілетін беріңіз.

  • Жаңа шифрлау кілттерін жасаңыз немесе бар .PFX немесе .BYOK шифрлау кілті файлдарын жүктеп салыңыз.

  • Қатысушы орталарын құлыптаңыз және құлпын ашыңыз.

    Ескерту

    Қатысушы құлыптаулы болса, қатысушыдағы барлық орталарға ешкім кіре алмайды. Қосымша ақпарат: Қатысушыны құлыптау.

Кілттерді басқарған кезде ықтимал қауіптерді түсіну

Кез келген бизнеске маңызды бағдарламада ұйымдағы әкімшілік деңгейіндегі рұқсаты бар қызметкерлерге сену керек. Кілттерді басқару мүмкіндігін пайдаланбас бұрын, дерекқорды шифрлау кілттерін басқарған кезде қауіпті түсіну қажет. Ұйымыңызда жұмыс істейтін зиянды әкімші (ұйымның қауіпсіздігіне немесе бизнес процестеріне зиян келтіру мақсатында әкімші деңгейінде рұқсат алған немесе оған қол жеткізген адам) кілт жасау үшін басқарылатын кілттер мүмкіндігін пайдалануы және оны жалға алушыдағы барлық орталарды құлыптау үшін пайдалануы мүмкін.

Оқиғалардың мына тізбегін қарастырыңыз.

Зиянкес әкімші Power Platform басқару орталығына кіріп, Орталар қойыншасына өтіп, Шифрлау кілтін басқару параметрін таңдайды. Одан кейін зиянкес әкімші құпиясөзбен жаңа кілт жасайды және шифрлау кілтін жергілікті дискіге жүктеп, жаңа кілтті белсендіреді. Енді барлық орта дерекқорлары жаңа кілтпен шифрланады. Одан кейін зиянкес әкімші қатысушыны жаңа жүктелген кілтпен құлыптап, одан кейін жүктелген шифрлау кілтін алады немесе жояды.

Бұл әрекеттер жалға алушының ішіндегі барлық орталарды желіге кіруден ажыратады және барлық дерекқордың сақтық көшірмелерін қалпына келтірілмейтін етеді.

Маңызды

Зиянкес әкімшінің дерекқорды құлыптау арқылы бизнес әрекеттерін үзуіне жол бермеу үшін басқарылатын кілттер мүмкіндігі шифрлау кілті өзгертілгеннен немесе белсендірілгеннен кейін қатысушы орталарын 72 сағат бойы құлыптауға рұқсат етпейді. Бұл басқа әкімшілерге кез келген рұқсатсыз кілт өзгерістерін шегіндіруге 72 сағатқа дейін қамтамасыз етеді.

Шифрлау кілтінің талаптары

Егер жеке шифрлау кілтін берсеңіз, кілт Azure Key Vault қабылдаған осы талаптарға жауап беруі тиіс.

  • Шифрлау кілті файлының пішімі PFX немесе BYOK болуы керек.
  • 2048 биттік RSA.
  • RSA-HSM кілт түрі (Microsoft қолдау көрсету сұрауын қажет етеді).
  • PFX шифрлау кілтінің файлдары құпия сөзбен қорғалу керек.

Интернет арқылы HSM қорғалған кілтті жасау және тасымалдау туралы қосымша ақпаратты Azure Key Vault үшін HSM қорғалған кілттерді жасау және тасымалдау жолы бөлімін қараңыз. Тек nCipher Vendor HSM кілтіне қолдау көрсетіледі. HSM кілтін жасамас бұрын, орта аймағы үшін жазылым идентификаторын алу мақсатында Power Platform басқару орталығы Шифрлау кілттерін басқару/Жаңа кілт жасау тармағына өтіңіз. Кілт жасау үшін осы жазылым идентификаторын HSM файлына көшіріп, қою керек. Бұл тек Azure Key Vault файлыңызды аша алатынын қамтамасыз етеді.

Кілттерді басқару тапсырмалары

Кілтті басқару тапсырмаларын жеңілдету үшін, тапсырмалар үш аймаққа бөлінеді:

  1. Жалға алушы үшін шифрлау кілтін жасаңыз немесе жүктеп салыңыз
  2. Жалға алушы үшін шифрлау кілтін іске қосыңыз
  3. Орта үшін шифрлауды басқарыңыз

Әкімшілер осы жерде сипатталған клиентті қорғауға арналған негізгі басқару тапсырмаларын орындау үшін Power Platform басқару орталығын немесе Power Platform басқару модулі командлеттерін пайдалана алады.

Қатысушының шифрлау кілтін құру немесе жүктеп салу

Барлық шифрлау кілттері Azure Key Vault қоймасында сақталады және кез келген уақытта бір белсенді кілтке айналуы мүмкін. Белсенді кілт қатысушыдағы барлық орталарды шифрлау үшін пайдаланылатындықтан, шифрлауды басқару мүмкіндігі қатысушы деңгейінде басқарылады. Кілт іске қосылғаннан кейін әрбір жеке ортаны таңдап, оны шифрлау үшін қолдануға болады.

Бұл процедураны басқарылатын кілт мүмкіндігін орта үшін бірінші рет орнату немесе әлдеқашан өзін-өзі басқаратын жалға алушы үшін шифрлау кілтін өзгерту (немесе айналдыру) үшін пайдаланыңыз.

Ескерту

Мұнда сипатталған қадамдарды бірінші рет орындаған кезде, сіз шифрлау кілттерін өзін-өзі басқаруды таңдайсыз. Қосымша ақпарат: Кілттерді басқарған кезде ықтимал қауіптерді түсіну.

  1. Power Platform басқару орталығына әкімші ретінде кіріңіз (Dynamics 365 әкімшісі немесе Microsoft Power Platform әкімші).

  2. Орталар қойыншасын таңдап, құралдар тақтасынан Шифрлау пернелерін басқару параметрін таңдаңыз.

  3. Басқарылатын кілт тәуекелін растау үшін Растау тармағын таңдаңыз.

  4. Құралдар тақтасынан Жаңа кілт параметрін таңдаңыз.

  5. Сол жақ тақтада кілтті құру немесе жүктеп салу мәліметтерін толтырыңыз:

    • Аудан параметрін таңдаңыз. Қатысушыда бірнеше аудан болса ғана осы опция көрсетіледі.
    • Кілт атауын енгізіңіз.
    • Келесі параметрлерден таңдаңыз:

  6. Келесі пәрменін таңдаңыз.

Жаңа кілт құру (.pfx)

  1. Құпия сөзді енгізіп, растау үшін құпия сөзді қайта енгізіңіз.
  2. Жасау параметрін таңдап, шолғышта жасалған файл туралы хабарландыруды таңдаңыз.
  3. Шифрлау кілтінің .PFX файлы веб-шолғышыңыздың әдепкі жүктеу қалтасына жүктеледі. Файлды қорғалған орынға сақтаңыз (бұл кілтті құпиясөзімен бірге сақтық көшіруді ұсынамыз).

Кілтті жүктеп салу (.pfx немесе .byok)

  1. Кілтті жүктеп салу параметрін таңдап, .pfx немесе .byok1 файлын таңдап, Ашу параметрін таңдаңыз.
  2. Кілттің құпиясөзін енгізіп, Жасау параметрін таңдаңыз.

1 .byok шифрлау кілтінің файлдары үшін жергілікті HSM ішінен шифрлау кілтін экспорттаған кезде экранда көрсетілген жазылым идентификаторын пайдаланыңыз. Қосымша ақпарат: Azure Key Vault қоймасының HSM қорғалған кілттерін құру және тасымалдау жолы.

Ескертпе

Әкімшіге кілт процесін басқару қадамдарының санын азайту үшін кілт бірінші рет жүктеп салынған кезде автоматты түрде іске қосылады. Барлық кейінгі кілт жүктеп салулары кілтті белсендіру үшін қосымша қадамды қажет етеді.

Қатысушының шифрлау кілтін белсендіру

Қатысушы үшін шифрлау кілті құрылғаннан немесе жүктеп салынғаннан кейін оны іске қосуға болады.

  1. Power Platform басқару орталығына әкімші ретінде кіріңіз (Dynamics 365 әкімшісі немесе Microsoft Power Platform әкімші).
  2. Орталар қойыншасын таңдап, құралдар тақтасынан Шифрлау пернелерін басқару параметрін таңдаңыз.
  3. Басқарылатын кілт тәуекелін растау үшін Растау тармағын таңдаңыз.
  4. Қолжетімді күйіндегі кілтті таңдап, одан кейін құралдар тақтасынан Кілтті белсендіру параметрін таңдаңыз.
  5. Негізгі өзгерісті растау үшін Растау пәрменін таңдаңыз.

Қатысушының кілтін белсендірген кезде кілтті басқару қызметінің кілтті белсендіруіне біраз уақыт кетеді. Жаңа немесе жүктеп салынған кілт белсендірілген кезде Кілт күйі күйінде Орнату деп көрсетіледі. Кілт белсендірілген кезде мыналар орын алады:

  • Барлық шифрланған орталар белсенді кілтпен автоматты түрде шифрланады (бұл әрекетте тоқтау уақыты болмайды).
  • Іске қосылғанда, шифрлау кілті Microsoft қамтамасыз еткеннен өзін-өзі басқаратын шифрлау кілтіне өзгертілген барлық орталарға қолданылады.

Маңызды

Барлық орталарды бір кілтпен басқаруға болатын кілттерді басқару процесін жеңілдету үшін, белсенді кілтті құлыптаулы орталарда жаңарту мүмкін емес. Жаңа кілтті белсендіру алдында барлық құлыптаулы орталар құлыптан босатылуы қажет. Егер құлыптан босату қажеті жоқ құлыптаулы орталар болса, оларды жою қажет.

Ескертпе

Шифрлау кілті белсендіргеннен кейін 24 сағат ішінде басқа кілтті белсендіру мүмкін емес.

Ортаның шифрлауын басқару

Әдепкі бойынша әрбір орта Microsoft корпорациясы қамтамасыз еткен шифрлау кілтімен шифрланады. Қатысушы үшін шифрлау кілті белсендірілген соң, әкімшілер белсенді шифрлау кілтін пайдалану үшін әдепкі шифрлауды өзгерте алады. Белсендірілген кілтті пайдалану үшін келесі қадамдарды орындаңыз.

Ортаға шифрлау кілтін қолдану

  1. Power Platform басқару орталығына орта әкімшісі немесе жүйелік әкімші рөлінің тіркелгі деректерімен кіріңіз.
  2. Орталар қойыншасын таңдаңыз.
  3. Microsoft қамтамасыз еткен шифрланған ортаны ашыңыз.
  4. Барлығын көру параметрін таңдаңыз.
  5. Ортаны шифрлаубөлімінен Басқару параметрін таңдаңыз.
  6. Басқарылатын кілт тәуекелін растау үшін Растау тармағын таңдаңыз.
  7. Белсендірілген кілтті пайдалану үшін шифрлау өзгерісін қабылдау үшін Бұл кілтті қолдану параметрін таңдаңыз.
  8. Кілтті тікелей басқарып жатқаныңызды және бұл әрекеттің тоқтау уақыты бар екенін растау үшін Растау тәрменін таңдаңыз.

Басқарылатын шифрлау кілтін Microsoft қамтамасыз еткен шифрлау кілтіне қайтару

Microsoft қамтамасыз еткен шифрлау кілтіне оралу ортаны Microsoft сіз үшін шифрлау кілтін басқаратын әдепкі әрекетке теңшейді.

  1. Power Platform басқару орталығына орта әкімшісі немесе жүйелік әкімші рөлінің тіркелгі деректерімен кіріңіз.
  2. Орталар қойыншасын таңдап, өздігінен басқарылатын кілтпен шифрланған ортаны таңдаңыз.
  3. Барлығын көру параметрін таңдаңыз.
  4. Ортаны шифрлау бөлімінен Басқару параметрін таңдап, Растау параметрін таңдаңыз.
  5. Стандартты шифрлау кілтін басқаруға оралу астынан Қайтару параметрін таңдаңыз.
  6. Өндіріс орталарында орта атауын енгізу арқылы ортаны растаңыз.
  7. Стандартты шифрлау кілтін басқаруға оралу үшін Растау параметрін таңдаңыз.

Қатысушыны құлыптау

Әр қатысушыға бір ғана белсенді кілт болғандықтан, жалға алушының шифрлауын құлыптау жалға алушыдағы барлық орталарды өшіреді. Құлыпталған барлық орта ұйымдағы Power Platform қызмет әкімшісі оны құлыптау үшін пайдаланылған кілтпен ашқанша Microsoft корпорациясын қоса барлығына қолжетімсіз күйде қалады.

Абайлаңыз

Қалыпты бизнес процесі аясында қатысушы орталарын мүлдем құлыптамау қажет. Dataverse жалға алушыны құлыптаған кезде, барлық орталар желіден тыс болады және оларға ешкім, соның ішінде Microsoft кіре алмайды. Сонымен қатар синхрондау және қызмет көрсету сияқты қызметтердің барлығы тоқтатылады. Қызметтен шығуды шешсеңіз, қатысушыны құлыптау онлайн деректеріңізге ешқашан ешкім қатынаса алмайтын етеді.
Қатысушы орталарын құлыптау туралы мынаны ескеріңіз:

  • Құлыптаулы орталарды сақтық көшірмеден қалпына келтіру мүмкін емес.
  • Егер 28 күн ішінде құлыптан босатылмаса, құлыптаулы орталар жойылады.
  • Шифрлау кілті өзгергеннен кейін 72 сағат ішінде орталарды құлыптай алмайсыз.
  • Қатысушыны құлыптау қатысушыдағы барлық белсенді орталарды құлыптайды.

Маңызды

  • Белсенді орталарды құлыптан босатар алдында құлыптаған соң, кемінде бір сағат күтуіңіз керек.
  • Құлыптау процесі басталғаннан кейін Белсенді немесе Қолжетімді күйдегі барлық шифрлау кілттері жойылады. Құлыптау процесі бір сағатқа созылуы мүмкін және осы уақыт ішінде құлыпталған орталардың құлпын ашуға рұқсат етілмейді.
  1. Power Platform басқару орталығына әкімші ретінде кіріңіз (Dynamics 365 admin немесе Microsoft Power Platform admin).
  2. Орталар қойыншасын таңдап, пәрмен жолағынан Шифрлау пернелерін басқару параметрін таңдаңыз.
  3. Белсенді кілтті таңдап, Белсенді орталарды құлыптау параметрін таңдаңыз.
  4. Оң жақ тақтадан Белсенді кілтті жүктеп салу параметрін таңдап, кілтті шолып таңдап, құпиясөзді енгізіп, Құлыптау параметрін таңдаңыз.
  5. Нұсқау берілген кезде аудандағы барлық орталарды құлыптағыңыз келетінін растау үшін экранда көрсетілген мәтінді енгізіп, Растау параметрін таңдаңыз.

Құлыптаулы орталарды құлыптан босату

Орталардың құлпын ашу үшін алдымен жүктеп салу және одан кейін жалға алушыны құлыптау үшін қолданылған кілтпенқосу керек. Кілт іске қосылғаннан кейін құлыпталған орталардың құлпы автоматты түрде ашылмайтынын ескеріңіз. Әрбір құлыптаулы орта жеке-жеке құлыптан босатылуы керек.

Маңызды

  • Белсенді орталарды құлыптан босатар алдында құлыптаған соң, кемінде бір сағат күтуіңіз керек.
  • Құлыптан босату процесі бір сағатқа созылуы мүмкін. Кілт құлпын ашқаннан кейін оны Ортаның шифрлауын басқару үшін пайдалануға болады.
  • Барлық құлыптаулы орталар құлыпталғанша жаңа кілтті құру немесе бұрыннан бар кілтті жүктеп салу мүмкін емес.
Шифрлау кілтін құлыптан босату
  1. Power Platform басқару орталығына әкімші ретінде кіріңіз (Dynamics 365 admin немесе Microsoft Power Platform admin).
  2. Орталар қойыншасын таңдап, Шифрлау кілттерін басқару параметрін таңдаңыз.
  3. Құлыптаулы күйдегі кілтті таңдап, пәрмен жолағынан Кілтті құлыптан босату параметрін таңдаңыз.
  4. Құлыптаулы кілтті жүктеп салу параметрін таңдап, қатысушыны құлыптауға қолданылған кілтті шолып таңдап, құпиясөзді енгізіп, Құлыптан босату параметрін таңдаңыз. Кілт Орнату күйіне өтеді. Құлыптаулы орталарды құлыптан босату алдында кілттің Белсенді күйде болғанша күтуіңіз қажет.
  5. Ортаны құлыптан босату үшін мына бөлімді қараңыз.
Орталарды құлыптан босату

  1. Орталар қойыншасын таңдап, құлыптаулы орта атауын таңдаңыз.

    Шайпұл

    Қатарды таңдауға болмайды. Орта атауын таңдаңыз. Параметрлерді көру үшін ортаны ашыңыз.

  2. Мәліметтер бөлімінде оң жақта Мәліметтер тақтасын көрсету үшін Барлығын көру параметрін таңдаңыз.

  3. Ортаны шифрлау бөлімінде Мәліметтер тақтасынан Басқару параметрін таңдаңыз.

    Қоршаған орта туралы мәліметтер тақтасы.

  4. Ортаны шифрлау бетінен Құлыптан босату параметрін таңдаңыз.

    Ортаның құлпын ашу.

  5. Ортаны құлыптан босату қажеттілігін растау үшін Растау параметрін таңдаңыз.

  6. Басқа орталардың құлпын ашу үшін алдыңғы қадамдарды қайталаңыз.

Орта дерекқорының операциялары

Тұтынушының қатысушысында Microsoft жүйесі арқылы басқарылатын кілтпен шифрланған орталар және тұтынушы арқылы басқарылатын кілтпен шифрланған орталар болуы мүмкін. Деректердің тұтастығын және деректердің қорғалуын сақтау үшін, орта дерекқорының операцияларын басқару кезінде келесі басқару элементтері қолжетімді болады.

  1. Қалпына келтіру Қайта жазылатын орта (ортаға қалпына келтірілген) сақтық көшірме алынған ортамен немесе сол тұтынушы басқаратын кілтпен шифрланған басқа ортаға шектелген.

    Сақтық көшірмені қалпына келтіріңіз.

  2. Көшіру Қайта жазылатын орта (ортаға көшірілген) сол тұтынушы басқаратын кілтпен шифрланған басқа ортамен шектелген.

    Ортаны көшіру.

    Ескертпе

    Егер тұтынушы арқылы басқарылатын ортада қолдау мәселесін шешу үшін қолдауды зерттеу ортасы жасалынған болса, көшірме ортасы әрекеті орындалмас бұрын қолдауды зерттеу ортасына арналған шифрлау кілті тұтынушы арқылы басқарылатын кілтке өзгертілуі керек.

  3. Қалпына келтіру Ортаның шифрланған деректері, соның ішінде сақтық көшірмелері жойылады. Орта қалпына келтірілгеннен кейін, ортаны шифрлау Microsoft арқылы басқарылатын кілтке қайтарылады.

Қатысты мазмұн

SQL сервері: мөлдір деректерді шифрлау (TDE)