Kliento valdomo šifravimo rakto valdymas

Klientai turi duomenų privatumo ir atitikties reikalavimus, kad apsaugotų savo duomenis šifruodami savo duomenis ramybės būsenoje. Tai apsaugo duomenis nuo poveikio tuo atveju, jei pavagiama duomenų bazės kopija. Naudojant duomenų šifravimą ramybės būsenoje, pavogti duomenų bazės duomenys yra apsaugoti nuo atkūrimo į kitą serverį be šifravimo rakto.

Visi klientų duomenys, saugomi Power Platform ramybės būsenoje, pagal numatytuosius nustatymus yra šifruojami naudojant stiprius "Microsoft" valdomus šifravimo raktus. "Microsoft" saugo ir tvarko visų jūsų duomenų duomenų bazės šifravimo raktą, kad jums to nereikėtų daryti. Tačiau suteikia šį kliento valdomą šifravimo raktą (CMK) jūsų pridėtam duomenų apsaugos valdikliui, Power Platform kuriame galite savarankiškai valdyti duomenų bazės šifravimo raktą, susietą su jūsų Microsoft Dataverse aplinka. Tai leidžia pasukti arba pakeisti šifravimo raktą pagal poreikį, taip pat leidžia neleisti "Microsoft" pasiekti jūsų klientų duomenų, kai bet kuriuo metu atšaukiate rakto prieigą prie mūsų paslaugų.

Norėdami sužinoti daugiau apie kliento valdomą raktą, peržiūrėkite kliento valdomo rakto vaizdo Power Platform įrašą.

Šios šifravimo rakto operacijos galimos naudojant kliento valdomą raktą (CMK):

• Sukurkite RSA (RSA-HSM) raktą iš savo "Azure Key" saugyklos.
• Power Platform Sukurkite savo rakto įmonės strategiją.
• Suteikite įmonės strategijai Power Platform leidimą pasiekti raktų saugyklą.
• Suteikite tarnybos administratoriui Power Platform galimybę perskaityti įmonės strategiją.
• Taikykite šifravimo raktą savo aplinkai.
• Grąžinkite / pašalinkite aplinkos CMK šifravimą į "Microsoft" valdomą raktą.
• Pakeiskite raktą sukurdami naują įmonės strategiją, pašalindami aplinką iš CMK ir iš naujo pritaikydami CMK su nauja įmonės strategija.
• Užrakinkite CMK aplinkas atšaukdami CMK raktų saugyklos ir (arba) rakto teises.
• Perkelkite atsineškite savo rakto (BYOK) aplinkas į CMK taikydami CMK raktą.

Šiuo metu visus jūsų klientų duomenis, saugomus tik šiose programose ir paslaugose, galima užšifruoti naudojant kliento valdomą raktą:

• Dataverse (Pasirinktiniai sprendimai ir "Microsoft" paslaugos)
• Dataverse Kopilotas, skirtas modeliu pagrįstoms programoms
• Power Automate
• Pokalbiai apie "Dynamics 365"
• "Dynamics 365 Sales"
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• "Dynamics 365 Finance" ("Finance and Operations")
• Dynamics 365 Intelligent Order Management ("Finance and Operations")
• Dynamics 365 Project Operations ("Finance and Operations")
• Dynamics 365 Supply Chain Management ("Finance and Operations")
• Dynamics 365 Fraud Protection ("Finance and Operations")

Microsoft Copilot Studio saugo savo duomenis savo saugykloje ir in Microsoft Dataverse. Kai šioms aplinkoms taikote kliento valdomą raktą, jūsų raktu šifruojami tik juose saugomi Microsoft Dataverse duomenys. NeMicrosoft Dataverse duomenys ir toliau šifruojami naudojant "Microsoft" valdomą raktą.

Aplinkos su "Finance and Operations" programomis, kuriose Power Platform įjungtas integravimas, taip pat gali būti užšifruotos. "Finance and Operations" aplinkose be Power Platform integracijos ir toliau bus naudojamas numatytasis "Microsoft" valdomasis raktas duomenims šifruoti. Daugiau informacijos: Šifravimas "Finance and Operations" programose

Įvadas į kliento valdomą raktą

Naudodami kliento valdomą raktą, administratoriai gali pateikti savo šifravimo raktą iš savo "Azure Key Vault" į saugojimo tarnybas Power Platform , kad užšifruotų savo klientų duomenis. "Microsoft" neturi tiesioginės prieigos prie jūsų "Azure Key Vault". Kad Power Platform tarnybos galėtų pasiekti šifravimo raktą iš jūsų "Azure Key Vault", administratorius sukuria Power Platform įmonės strategiją, kuri nurodo šifravimo raktą ir suteikia šiai įmonės strategijai prieigą nuskaityti raktą iš jūsų "Azure Key Vault".

Tada Power Platform aptarnavimo administratorius gali įtraukti Dataverse aplinkas į įmonės strategiją, kad pradėtų šifruoti visus kliento duomenis aplinkoje naudodamas jūsų šifravimo raktą. Administratoriai gali pakeisti aplinkos šifravimo raktą sukurdami kitą įmonės strategiją ir įtraukti aplinką (ją pašalinę) į naują įmonės strategiją. Jei aplinkos nebereikia šifruoti naudojant kliento valdomą raktą, administratorius gali pašalinti Dataverse aplinką iš įmonės strategijos, kad grąžintų duomenų šifravimą atgal į "Microsoft" valdomąjį raktą.

Administratorius gali užrakinti kliento valdomas raktų aplinkas atšaukdamas raktų prieigą iš įmonės strategijos ir atrakinti aplinkas atkurdamas raktų prieigą. Daugiau informacijos: Aplinkos užrakinimas atšaukiant raktų skliautą ir (arba) rakto teisių prieigą

Siekiant supaprastinti pagrindines valdymo užduotis, užduotys suskirstytos į tris pagrindines sritis:

1. Sukurkite šifravimo raktą.
2. Sukurkite įmonės strategiją ir suteikite prieigą.
3. Valdykite aplinkos šifravimą.

Kliento valdomo rakto licencijavimo reikalavimai

Kliento valdomojo rakto strategija taikoma tik tose aplinkose, kurios suaktyvintos valdomose aplinkose. Valdomos aplinkos yra įtrauktos kaip teisių suteikimas į atskiras Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, ir "Dynamics 365" licencijas, kurios suteikia aukščiausios kokybės naudojimo teises. Sužinokite daugiau apie valdomosios aplinkos licencijavimą naudodami licencijavimo apžvalgą Microsoft Power Platform.

Be to, norint gauti prieigą prie kliento valdomojo rakto Microsoft Power Platform naudojimo ir "Dynamics 365", reikia, kad vartotojai, esantys aplinkose, kuriose taikoma šifravimo rakto strategija, turėtų vieną iš šių prenumeratų:

• „Microsoft 365“ arba „Office 365“ A5 / E5 / G5
• „Microsoft 365“ A5 / E5 / F5 / G5 atitiktis
• „Microsoft 365 F5“ sauga ir atitiktis
• „Microsoft 365“ A5/E5/F5/G5 informacijos apsauga ir valdymas
• „Microsoft 365“ A5 / E5 / F5 / G5 prekybos naudojantis viešai neatskleista informacija rizikos valdymas

Sužinokite daugiau apie šias licencijas.

Supraskite galimą riziką, kai tvarkote raktą

Kaip ir bet kurioje verslui gyvybiškai svarbioje srityje, administracinio lygio prieigą turintys jūsų organizacijos darbuotojai privalo būti patikimi. Prieš naudojant raktų valdymo funkciją, reikėtų suprasti duomenų bazės šifravimo raktų valdymo pavojus. Gali būti, kad jūsų organizacijoje dirbantis kenkėjiškas administratorius (asmuo, kuriam suteikta arba kuris gavo administratoriaus lygio prieigą, siekdamas pakenkti organizacijos saugai arba verslo procesams), gali naudoti raktų valdymo funkciją, kad sukurtų raktą ir naudotų jį užrakindamas savo aplinkas nuomotojuje.

Apsvarstykite tokią įvykių seką.

Kenkėjiškų raktų saugyklos administratorius "Azure" portale sukuria raktą ir įmonės strategiją. "Azure Key Vault" administratorius eina į Power Platform administravimo centrą ir įtraukia aplinkas į įmonės strategiją. Tada kenkėjiškas administratorius grįžta į "Azure" portalą ir atšaukia rakto prieigą prie įmonės strategijos, taip užrakindamas visas aplinkas. Tai sukelia verslo trikdžius, nes visos aplinkos tampa nepasiekiamos, o jei šis įvykis neišsprendžiamas, t. y. atkuriama pagrindinė prieiga, aplinkos duomenys gali būti prarasti.

Pareigos sumažinti riziką atskyrimas

Šiame skyriuje aprašomos kliento valdomų pagrindinių funkcijų pareigos, už kurias atsakingas kiekvienas administratoriaus vaidmuo. Šių užduočių atskyrimas padeda sumažinti riziką, susijusią su kliento valdomais raktais.

"Azure Key Vault" ir (arba) Power Platform "Dynamics 365" tarnybos administravimo užduotys

Norėdami įgalinti kliento valdomus raktus, pirmiausia raktų saugyklos administratorius sukuria raktą "Azure" raktų saugykloje ir sukuria Power Platform įmonės strategiją. Sukūrus įmonės strategiją, sukuriama speciali Microsoft Entra ID valdoma tapatybė. Tada raktų saugyklos administratorius grįžta į "Azure" raktų saugyklą ir suteikia įmonės strategijai / valdomai tapatybei prieigą prie šifravimo rakto.

Tada rakto saugyklos administratorius suteikia atitinkamam Power Platform / "Dynamics 365" tarnybos administratoriui skaitymo prieigą prie įmonės strategijos. Suteikus skaitymo teises, Power Platform "/Dynamics 365" tarnybos administratorius gali eiti į Power Platform administravimo centrą ir įtraukti aplinkas į įmonės strategiją. Tada visos įtrauktos aplinkos klientų duomenys užšifruojami naudojant kliento valdomą raktą, susietą su šia įmonės strategija.

Būtinosios sąlygos

• "Azure" prenumerata, apimanti "Azure Key Vault" arba "Azure Key Vault" valdomus aparatūros saugos modulius.
• ID Microsoft Entra su:
  • Prenumeratos bendraautorio leidimas Microsoft Entra .
  • Teisė kurti "Azure Key Vault" ir raktą.
  • Prieiga išteklių grupei kurti. Tai reikalinga norint nustatyti raktų skliautą.

Sukurkite raktą ir suteikite prieigą naudodami "Azure Key Vault"

"Azure Key Vault" administratorius atlieka šias užduotis "Azure".

1. Sukurkite "Azure" mokamą prenumeratą ir "Key Vault". Nepaisykite šio veiksmo, jei jau turite prenumeratą, kuri apima "Azure Key Vault".
2. Eikite į "Azure Key Vault" tarnybą ir sukurkite raktą. Daugiau informacijos: Rakto kūrimas raktų saugykloje
3. Įjunkite Power Platform įmonės strategijų tarnybą savo "Azure" prenumeratai. Padarykite tai tik vieną kartą. Daugiau informacijos: Įmonės strategijų tarnybos įjungimas Power Platform "Azure" prenumeratai
4. Power Platform Sukurkite įmonės strategiją. Daugiau informacijos: Įmonės strategijos kūrimas
5. Suteikite įmonės strategijai teises pasiekti raktų saugyklą. Daugiau informacijos: Įmonės strategijos teisių suteikimas prieigai prie raktų saugyklos
6. Suteikite Power Platform ir "Dynamics 365" administratoriams teisę skaityti įmonės strategiją. Daugiau informacijos: Suteikite administratoriaus Power Platform teisę skaityti įmonės strategiją

Power Platform/Dynamics 365 tarnybos administravimo Power Platform centro užduotys

Būtinoji sąlyga

• Power Platform administratorius turi būti priskirtas arba Power Platform "Dynamics 365 Service" administratoriaus Microsoft Entra vaidmeniui.

Aplinkos šifravimo Power Platform valdymas administravimo centre

Administratorius Power Platform valdo klientų valdomas pagrindines užduotis, susijusias su administravimo centro aplinka Power Platform .

1. Power Platform Įtraukite aplinkas į įmonės strategiją, kad užšifruotumėte duomenis naudodami kliento valdomą raktą. Daugiau informacijos: Aplinkos įtraukimas į įmonės strategiją duomenims šifruoti
2. Pašalinkite aplinkas iš įmonės strategijos, kad grąžintumėte šifravimą į "Microsoft" valdomąjį raktą. Daugiau informacijos: Aplinkų šalinimas iš strategijos, kad grįžtumėte į "Microsoft" valdomąjį raktą
3. Pakeiskite raktą pašalindami aplinkas iš senosios įmonės strategijos ir įtraukdami aplinkas į naują įmonės strategiją. Daugiau informacijos: Šifravimo rakto kūrimas ir prieigos suteikimas
4. Perkelti iš BYOK. Jei naudojate ankstesnę savarankiškai valdomo šifravimo rakto funkciją, galite perkelti raktą į kliento valdomą raktą. Daugiau informacijos: Perkelkite savo rakto aplinkas į kliento valdomą raktą

Sukurkite šifravimo raktą ir suteikite prieigą

"Azure" mokamos prenumeratos ir raktų saugyklos kūrimas

"Azure" atlikite šiuos veiksmus:

1. Sukurkite "Pay-as-you-go" arba jos atitikmenį "Azure" prenumeratą. Šio veiksmo atlikti nereikia, jei nuomotojas jau turi prenumeratą.

2. Sukurkite išteklių grupę. Daugiau informacijos: Išteklių grupių kūrimas

   Pastaba.

   Sukurkite arba naudokite išteklių grupę, kurios vieta, pvz., Centrinė JAV, atitinka Power Platform aplinkos regioną, pvz., JAV.

3. Sukurkite raktų saugyklą naudodami mokamą prenumeratą, kuri apima apsaugą nuo minkštojo ištrynimo ir išvalymo su išteklių grupe, kurią sukūrėte atlikdami ankstesnį veiksmą.

   Svarbu

   Siekiant užtikrinti, kad jūsų aplinka būtų apsaugota nuo atsitiktinio šifravimo rakto ištrynimo, raktų saugykloje turi būti įjungta minkštojo ištrynimo ir valymo apsauga. Negalėsite užšifruoti aplinkos naudodami savo raktą neįjungę šių nustatymų. Daugiau informacijos: "Azure Key Vault" minkštojo naikinimo apžvalga Daugiau informacijos: Raktų saugyklos kūrimas naudojant "Azure" portalą

Sukurkite raktą raktų saugykloje

1. Įsitikinkite, kad įvykdėte būtinas sąlygas.
2. Eikite į "Azure" portalo>"Key Vault " ir raskite raktų saugyklą, kurioje norite generuoti šifravimo raktą.
3. Patikrinkite "Azure" rakto saugyklos parametrus:
   1. pasirinkti Nekilnojamasis turtas dalyje Nustatymai.
   2. Dalyje Minkštas ištrynimas nustatykite arba patikrinkite, ar jis nustatytas į Minkštas ištrynimas buvo įjungtas šioje klavišų saugyklos parinktyje.
   3. Dalyje Valymo apsauga nustatykite arba patikrinkite, ar įjungta parinktis Įjungti apsaugą nuo valymo (taikyti privalomą panaikintų saugyklų ir saugyklos objektų saugojimo laikotarpį).
   4. Jei atlikote pakeitimų, pasirinkite Įrašyti.

RSA raktų kūrimas

1. Sukurkite arba importuokite raktą, turintį šias ypatybes:

   1. "Key Vault " ypatybių puslapiuose pasirinkite Raktai.
   2. Pasirinkite Generuoti/importuoti.
   3. Ekrane Kurti raktą nustatykite šias reikšmes, tada pasirinkite Kurti.
      • Parinktys: Generuoti
      • Pavadinimas: pateikite rakto pavadinimą
      • Rakto tipas: RSA
      • RSA rakto dydis: 2048 arba 4096

   Svarbu

   Jei rakte nustatysite galiojimo datą ir raktas nebegalios, visos šiuo raktu užšifruotos aplinkos bus išjungtos. Nustatykite įspėjimą, kad būtų stebimi galiojimo pabaigos sertifikatai su el. pašto pranešimais vietiniam Power Platform administratoriui ir "Azure key vault" administratoriui, kaip priminimą atnaujinti galiojimo datą. Tai svarbu norint išvengti neplanuotų sistemos gedimų.

Aparatūros saugos modulių (HSM) apsaugotų raktų importavimas

Norėdami užšifruoti Power Platform Dataverse savo aplinkas, galite naudoti apsaugotus aparatūros saugos modulių (HSM) raktus. Jūsų HSM apsaugoti raktai turi būti importuoti į raktų saugyklą , kad būtų galima sukurti įmonės strategiją. Daugiau informacijos ieškokite Palaikomi HSMImportuokite HSM apsaugotus raktus į "Key Vault" (BYOK).

Rakto kūrimas "Azure Key Vault" valdomame HSM

Galite naudoti šifravimo raktą, sukurtą naudojant "Azure Key Vault" valdomą HSM, kad užšifruotumėte savo aplinkos duomenis. Tai suteikia jums FIPS 140-2 3 lygio palaikymą.

Sukurkite RSA-HSM raktus

1. Įsitikinkite, kad įvykdėte būtinas sąlygas.

2. Eikite į "Azure" portalą.

3. Sukurkite valdomą HSM:

   1. teikti valdomą HSM.
   2. Suaktyvinkite valdomą HSM.

4. Įjunkite valymo apsaugą valdomame HSM.

5. Suteikite valdomo HSM kriptografinio vartotojo vaidmenį asmeniui, kuris sukūrė valdomo HSM rakto saugyklą.

   1. Pasiekite valdomo HSM rakto saugyklą "Azure" portale.
   2. Eikite į Vietinis RBAC ir pasirinkite + Pridėti.
   3. Išskleidžiamajame sąraše Vaidmuo puslapyje Vaidmenų priskyrimas pasirinkite Tvarkomas HSM kriptovaliutos naudotojas .
   4. Skiltyje Taikymo sritis pasirinkite Visi klavišai.
   5. Pasirinkite Select Security Principal, tada pasirinkite administratorių puslapyje Add Principal .
   6. Pasirinkite Kurti.

6. Sukurkite RSA-HSM raktą:

   • Parinktys: Generuoti
   • Pavadinimas: pateikite rakto pavadinimą
   • Rakto tipas: RSA-HSM
   • RSA rakto dydis: 2048

   Pastaba.

   Palaikomi RSA-HSM raktų dydžiai: 2048 bitų ir 3072 bitų.

Užšifruokite aplinką naudodami raktą iš Azure Key Vault su privačia nuoroda

Galite atnaujinti „Azure Key“ saugyklos tinklą įgalindami privatų galinį tašką ir naudodami raktų saugykloje esantį raktą savo Power Platform aplinkai užšifruoti.

Galite sukurti naują raktų saugyklą ir užmegzti privataus saito ryšį arba užmegzti privataus saito ryšį su esama raktų saugykla, sukurti raktą iš šios raktų saugyklos ir naudoti jį aplinkai šifruoti. Taip pat galite užmegzti privataus saito ryšį su esama raktų saugykla po to, kai jau sukūrėte raktą ir naudojate jį savo aplinkai šifruoti.

Šifruokite duomenis naudodami raktą iš raktų saugyklos su privačia nuoroda

1. Sukurkite Azure Key saugyklą naudodamiesi šiomis parinktimis:

   • Įgalinti apsaugą nuo valymo
   • Rakto tipas: RSA
   • Rakto dydis: 2048 arba 4096

2. Nukopijuokite rakto saugyklos URL ir šifravimo rakto URL, kurie bus naudojami kuriant įmonės politiką.

   Pastaba.

   Pridėję privatų galinį tašką prie raktų saugyklos arba išjungę viešąjį prieigos tinklą, rakto nematysite, nebent turėsite atitinkamą leidimą.

3. Sukurkite virtualųjį tinklą.

4. Grįžkite į savo raktų saugyklą ir pridėkite privačių galinių taškų jungčių prie savo Azure Key saugyklos.

   Pastaba.

   Turite pasirinkti parinktį Išjungti viešąją prieigą tinklo ir įgalinti Leisti patikimoms „Microsoft“ paslaugoms apeiti šią ugniasienės išimtį.

5. Power Platform Sukurkite įmonės strategiją. Daugiau informacijos: Įmonės strategijos kūrimas

6. Suteikite įmonės strategijai teises pasiekti raktų saugyklą. Daugiau informacijos: Įmonės strategijos teisių suteikimas prieigai prie raktų saugyklos

7. Suteikite Power Platform ir "Dynamics 365" administratoriams teisę skaityti įmonės strategiją. Daugiau informacijos: Suteikite administratoriaus Power Platform teisę skaityti įmonės strategiją

8. Power Platform administravimo centras administratorius pasirenka aplinką, kurią norite užšifruoti, ir įgalina valdomą aplinką. Daugiau informacijos: Įgalinkite valdomą aplinką įtraukti į įmonės politiką

9. Power Platform administravimo centras admin prideda valdomą aplinką į įmonės politiką. Daugiau informacijos: Aplinkos įtraukimas į įmonės strategiją duomenims šifruoti

Įgalinkite Power Platform įmonės politikos paslaugą savo „Azure“ prenumerata

Užsiregistruokite Power Platform kaip išteklių tiekėju. Šią užduotį turite atlikti tik vieną kartą kiekvienai „Azure“ prenumeratai, kurioje yra jūsų „Azure Key“ saugykla. Norėdami užregistruoti išteklių tiekėją, turite turėti prieigos prie prenumeratos teises.

1. Prisijunkite prie Azure portalo ir eikite į Prenumeratos>Išteklių teikėjus.
2. Išteklių teikėjų sąraše ieškokite Microsoft.PowerPlatform ir Užregistruokite .

Sukurkite įmonės politiką

1. Įdiekite „PowerShell MSI“. Daugiau informacijos: Įdiekite „PowerShell“ sistemoje „Windows“, „Linux“ ir „MacOS“
2. Įdiegę „PowerShell MSI“, grįžkite į Įdiegti tinkintą šabloną „Azure“.
3. Redagavimo priemonėje pasirinkite Sukurkite savo šabloną .
4. Nukopijuokite šį JSON šabloną į teksto rengyklę, pvz., Notepad. Daugiau informacijos: Įmonės politikos JSON šablonas
5. Pakeiskite reikšmes JSON šablone: EnterprisePolicyName, vieta, kur reikia sukurti EnterprisePolicy, keyVaultId. ir keyName. Daugiau informacijos: Json šablono laukų apibrėžimai
6. Nukopijuokite atnaujintą šabloną iš savo teksto rengyklės, tada įklijuokite jį į Redagavimo šabloną , esantį Tinkinto diegimo „Azure“ programoje, ir pasirinkite Išsaugoti.
7. Pasirinkite Prenumerata ir Išteklių grupę , kurioje turi būti sukurta įmonės politika.
8. Pasirinkite Peržiūrėti + kurti, tada pasirinkite Sukurti.

Pradedamas dislokavimas. Kai tai bus padaryta, sukuriama įmonės politika.

Įmonės politikos json šablonas

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON šablono laukų apibrėžimai

• vardas. Įmonės politikos pavadinimas. Tai politikos, kuri rodoma Power Platform administravimo centre, pavadinimas.

• vieta. Vienas iš šių. Tai yra įmonės politikos vieta ir ji turi atitikti Dataverse aplinkos regioną:

  • "Jungtinės Valstijos"
  • "Pietų Afrika"
  • '"uk"'
  • "Japonija"
  • "Indija"
  • "Prancūzija"
  • "Europa"
  • "Vokietija"
  • "Šveicarija"
  • "Kanada"
  • "Brazilija"
  • ''australija''
  • ''azija''
  • '' JAE''
  • "Korėja"
  • "Norvegija"
  • „Singapūras“
  • "Švedija"

• Nukopijuokite šias reikšmes iš pagrindinių saugyklos ypatybių Azure portale:

  • keyVaultId: eikite į Key saugyklas> pasirinkite raktų saugyklą >Apžvalga. Šalia Essentials pasirinkite JSON rodinys. Nukopijuokite ištekliaus ID į mainų sritį ir įklijuokite visą turinį į savo JSON šabloną.
  • keyName: eikite į Raktų saugyklas> pasirinkite raktų saugyklą >Raktai. Atkreipkite dėmesį į raktą Name ir įveskite pavadinimą į savo JSON šabloną.

Suteikite įmonės politikos leidimus pasiekti raktų saugyklą

Sukūrus įmonės politiką, raktų saugyklos administratorius suteikia įmonės strategijos valdomai tapatybei prieigą prie šifravimo rakto.

1. Prisijunkite prie Azure portalo ir eikite į Key saugyklas.
2. Pasirinkite raktų saugyklą, kurioje raktas buvo priskirtas įmonės politikai.
3. Pasirinkite skirtuką Prieigos valdymas (IAM) , tada pasirinkite + Pridėti.
4. Išskleidžiamajame sąraše pasirinkite Pridėti vaidmens priskyrimą ,
5. Ieškokite Key Vault Crypto Service Encryption User ir pasirinkite jį.
6. Pasirinkite Toliau.
7. Pasirinkite + Pasirinkite narius.
8. Ieškokite sukurtos įmonės politikos.
9. Pasirinkite įmonės politiką, tada pasirinkite Pasirinkti.
10. Pasirinkite Peržiūra + priskirti.

Suteikite Power Platform administratoriaus teises skaityti įmonės politiką

Administratoriai, turintys „Dynamics 365“ arba Power Platform administravimo vaidmenis, gali pasiekti Power Platform administravimo centrą ir priskirti aplinkas įmonės politikai. Norint pasiekti įmonės politiką, administratorius, turintis „Azure“ raktų saugyklos prieigą, turi suteikti Skaitytojo vaidmenį Power Platform administratoriui. Kai suteikiamas Skaitytojo vaidmuo, Power Platform administratorius gali peržiūrėti įmonės politiką Power Platform administravimo centre.

Suteikite skaitytojo vaidmenį Power Platform administratoriui

1. Prisijunkite prie Azure portalo.
2. Nukopijuokite Power Platform arba „Dynamics 365“ administratoriaus objekto ID. Norėdami tai padaryti:
   1. Eikite į Naudotojų sritį Azure.
   2. Sąraše Visi naudotojai raskite naudotoją, turintį Power Platform arba „Dynamics 365“ administratoriaus leidimus, naudodami Paieškos naudotojus.
   3. Atidarykite vartotojo įrašą, skirtuke Apžvalga nukopijuokite naudotojo Objekto ID. Įklijuokite jį į teksto rengyklę, pvz., „Notepad“, kad galėtumėte naudoti vėliau.
3. Nukopijuokite įmonės strategijos išteklių ID. Norėdami tai padaryti:
   1. Eikite į Resource Graph Explorer „Azure“.
   2. Įveskite microsoft.powerplatform/enterprisepolicies į Search ir pasirinkite microsoft.powerplatform/enterprisepolicies išteklius.
   3. Komandų juostoje pasirinkite Vykdyti užklausą . Rodomas visų Power Platform įmonių strategijų sąrašas.
   4. Raskite įmonės politiką, kurioje norite suteikti prieigą.
   5. Slinkite į dešinę nuo įmonės politikos ir pasirinkite Žr. išsamią informaciją.
   6. Puslapyje Išsami informacija nukopijuokite id.
4. Paleiskite Azure Cloud Shell ir paleiskite šią komandą, pakeisdami objId vartotojo objekto ID ir EP šaltinio ID į enterprisepoliciesNew-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Tvarkyti aplinkos šifravimą

Norėdami tvarkyti aplinkos šifravimą, jums reikia šio leidimo:

• Microsoft Entra aktyvus vartotojas, turintis Power Platform ir (arba) „Dynamics 365“ administratoriaus saugos vaidmenį.
• Microsoft Entra naudotojas, turintis Power Platform arba „Dynamics 365“ paslaugos administratoriaus vaidmenį.

Raktų saugyklos administratorius praneša Power Platform administratoriui, kad buvo sukurtas šifravimo raktas ir įmonės strategija, ir pateikia įmonės politiką Power Platform administratoriui. Kad įgalintų kliento valdomą raktą, Power Platform administratorius priskiria savo aplinką įmonės politikai. Kai aplinka yra priskirta ir išsaugota, Dataverse pradeda šifravimo procesą, kad nustatytų visus aplinkos duomenis ir užšifruotų juos kliento valdomu raktu.

Įgalinti valdomą aplinką įtraukti į įmonės politiką

1. Prisijunkite prie Power Platform administravimo centro ir suraskite aplinką.
2. Aplinkų sąraše pasirinkite ir patikrinkite aplinką.
3. Veiksmų juostoje pasirinkite piktogramą Įgalinti valdomas aplinkas .
4. Pasirinkite Įjungti.

Į įmonės politiką įtraukite aplinką duomenims užšifruoti

1. Prisijunkite prie Power Platform administravimo centro ir eikite į Politika>Įmonės politika.
2. Pasirinkite strategiją, tada komandų juostoje pasirinkite Redaguoti.
3. Pasirinkite Pridėti aplinkų, pasirinkite norimą aplinką, tada pasirinkite Tęsti.
4. Pasirinkite Išsaugoti, tada pasirinkite Patvirtinti.

Pašalinkite aplinkas iš politikos, kad grįžtumėte į „Microsoft“ valdomą raktą

Atlikite šiuos veiksmus, jei norite grįžti prie „Microsoft“ valdomo šifravimo rakto.

1. Prisijunkite prie Power Platform administravimo centro ir eikite į Politika>Įmonės politika.
2. Pasirinkite skirtuką Aplinka su politika ir raskite aplinką, kurią norite pašalinti iš kliento valdomo rakto.
3. Pasirinkite skirtuką Visos strategijos , pasirinkite aplinką, kurią patvirtinote atlikdami 2 veiksmą, tada komandų juostoje pasirinkite Redaguoti politiką .
4. Komandų juostoje pasirinkite Pašalinti aplinką , pasirinkite aplinką, kurią norite pašalinti, tada pasirinkite Tęsti.
5. Pasirinkite Įrašyti.

Peržiūrėkite aplinkos šifravimo būseną

Peržiūrėkite šifravimo būseną įmonės strategijose

1. Prisijunkite prie „Power Platform“ administravimo centro.

2. Pasirinkite Politika>Įmonės politika.

3. Pasirinkite strategiją, tada komandų juostoje pasirinkite Redaguoti.

4. Peržiūrėkite aplinkos šifravimo būsenąAplinkos su šia politika skiltyje.

   Pastaba.

   Aplinkos šifravimo būsena gali būti:

   • Šifruota – įmonės strategijos šifravimo raktas yra aktyvus, o aplinka užšifruota naudojant jūsų raktą.

   • Nepavyko – įmonės strategijos šifravimo rakto nenaudoja visos Dataverse saugyklos paslaugos. Jiems apdoroti reikia daugiau laiko ir galite iš naujo paleisti Aplinkos pridėjimo operaciją. Susisiekite su palaikymo tarnyba, jei pakartotinis paleidimas nepavyksta.

     A Nepavyko šifravimo būsena neturi įtakos jūsų aplinkos duomenims ir jos operacijoms. Tai reiškia, kad kai kurios Dataverse saugojimo paslaugos šifruoja jūsų duomenis naudodami jūsų raktą, o kai kurios ir toliau naudoja „Microsoft“ valdomą raktą. Grąžinti nerekomenduojama, nes iš naujo paleidus operaciją Pridėti aplinką , paslauga tęsiama nuo tos vietos, kur buvo baigta.

   • Įspėjimas – įmonės strategijos šifravimo raktas yra aktyvus, o vienas iš paslaugos duomenų ir toliau šifruojamas naudojant „Microsoft“ valdomą raktą. Sužinokite daugiau: Power Automate CMK programos įspėjimo pranešimai

Peržiūrėkite šifravimo būseną Aplinkos istorijos puslapyje

Galite pamatyti aplinkos istoriją.

1. Prisijunkite prie „Power Platform“ administravimo centro.

2. Naršymo srityje pasirinkite Aplinkos , tada sąraše pasirinkite aplinką.

3. Komandų juostoje pasirinkite Istorija.

4. Raskite Atnaujinti kliento valdomą raktą istoriją.

   Pastaba.

   Būsena rodoma Vykdoma , kai vyksta šifravimas. Rodoma, Pavyko , kai šifravimas baigtas. Būsena rodoma Nepavyko , kai kyla problemų dėl vienos iš paslaugų, negalinčių pritaikyti šifravimo rakto.

   A Nepavyko būsena gali būti įspėjimas ir jums nereikia iš naujo paleisti parinkties Pridėti aplinką . Galite patvirtinti, ar tai yra įspėjimas.

Pakeiskite aplinkos šifravimo raktą naudodami naują įmonės politiką ir raktą

Norėdami pakeisti šifravimo raktą, sukurkite naują raktą ir naują įmonės politiką. Tada galite pakeisti įmonės politiką pašalindami aplinkas ir įtraukdami aplinkas į naują įmonės politiką. Sistema neveikia du kartus, kai keičiama į naują įmonės politiką – 1) norint grąžinti šifravimą į „Microsoft“ valdomą raktą ir 2) taikyti naują įmonės politiką.

1. Azure portale sukurkite naują raktą ir naują įmonės politiką. Daugiau informacijos: Sukurkite šifravimo raktą ir suteikite prieigą ir Sukurkite įmonės politiką
2. Sukūrę naują raktą ir įmonės politiką, eikite į skiltį Politika>Įmonės politika.
3. Pasirinkite skirtuką Aplinka su politika ir raskite aplinką, kurią norite pašalinti iš kliento valdomo rakto.
4. Pasirinkite skirtuką Visos strategijos , pasirinkite aplinką, kurią patvirtinote atlikdami 2 veiksmą, tada komandų juostoje pasirinkite Redaguoti politiką .
5. Komandų juostoje pasirinkite Pašalinti aplinką , pasirinkite aplinką, kurią norite pašalinti, tada pasirinkite Tęsti.
6. Pasirinkite Įrašyti.
7. Kartokite 2–6 veiksmus, kol bus pašalintos visos įmonės strategijos aplinkos.

1. Pašalinus visas aplinkas, iš Power Platform administravimo centro eikite į Įmonės politiką.
2. Pasirinkite naują įmonės politiką, tada pasirinkite Redaguoti politiką.
3. Pasirinkite Pridėti aplinką, pasirinkite aplinkas, kurias norite pridėti, tada pasirinkite Tęsti.

Pasukite aplinkos šifravimo raktą naudodami naują rakto versiją

Galite pakeisti aplinkos šifravimo raktą sukurdami naują rakto versiją. Kai kuriate naują rakto versiją, nauja rakto versija įjungiama automatiškai. Visi saugyklos ištekliai aptinka naują rakto versiją ir pradeda ją taikyti duomenims užšifruoti.

Kai modifikuojate raktą arba rakto versiją, pasikeičia pagrindinio šifravimo rakto apsauga, tačiau saugykloje esantys duomenys visada lieka užšifruoti jūsų raktu. Norėdami užtikrinti, kad jūsų duomenys būtų apsaugoti, jums nereikia imtis jokių veiksmų. Pagrindinės versijos pakeitimas neturi įtakos našumui. Su rakto versijos pasukimu nesusijusios prastovos. Gali užtrukti 24 valandas, kol visi išteklių tiekėjai pritaikys naują rakto versiją fone. Ankstesnė rakto versija negali būti išjungta , nes ji reikalinga, kad paslauga galėtų ją naudoti pakartotiniam šifravimui ir duomenų bazės atkūrimo palaikymui.

Norėdami pasukti šifravimo raktą sukurdami naują rakto versiją, atlikite šiuos veiksmus.

1. Eikite į Azure portalą>Key Vaults ir suraskite raktų saugyklą, kurioje norite sukurti naują rakto versiją.
2. Eikite į Keys.
3. Pasirinkite dabartinį, įjungtą raktą.
4. Pasirinkite + Nauja versija.
5. Įjungta numatytoji nuostata yra Taip, o tai reiškia, kad nauja rakto versija automatiškai įjungiama sukūrus.
6. Pasirinkite Kurti.

Peržiūrėkite šifruotų aplinkų sąrašą

1. Prisijunkite prie Power Platform administravimo centro ir eikite į Politika>Įmonės politika.
2. Puslapyje Įmonės politika pasirinkite skirtuką Aplinkos su politika . Rodomas aplinkų, kurios buvo įtrauktos į įmonės politiką, sąrašas.

Aplinkos duomenų bazės operacijos

Kliento nuomotojas gali turėti aplinkas, kurios užšifruotos naudojant „Microsoft“ valdomą raktą, ir aplinkas, kurios užšifruotos naudojant kliento valdomą raktą. Siekiant išlaikyti duomenų vientisumą ir duomenų apsaugą, tvarkant aplinkos duomenų bazės operacijas pasiekiami šie valdikliai.

• Atkurti Aplinka, kurią reikia perrašyti (atkurta aplinka), apribota ta pačia aplinka, iš kurios buvo padaryta atsarginė kopija, arba į kitą aplinką, užšifruotą tuo pačiu kliento valdomu raktu.

  

• Kopijuoti Aplinka, kurią reikia perrašyti (nukopijuota į aplinką), apribota kita aplinka, kuri yra užšifruota tuo pačiu kliento valdomu raktu.

  

  Pastaba.

  Jei buvo sukurta palaikymo tyrimo aplinka problemai spręsti kliento valdomoje aplinkoje, prieš atliekant operaciją Kopijuoti aplinką, palaikymo tyrimo aplinkos šifravimo raktas turi būti pakeistas kliento valdomu raktu.

• Iš naujo nustatyti Aplinkos užšifruoti duomenys, įskaitant atsargines kopijas, ištrinami. Iš naujo nustačius aplinką, aplinkos šifravimas bus vykdomas naudojant „Microsoft“ valdomą raktą.

Paskesni veiksmai

Apie Azure Key Vault