Šifrēšanas atslēgas pārvaldība
Visas Microsoft Dataverse vides izmanto SQL servera caurskatāmo datu šifrēšanu (Transparent Data Encryption — TDE), lai veiktu datu reāllaika šifrēšanu, tos ierakstot diskā, sauktu arī par neaktīvo šifrēšanu.
Pēc noklusējuma Microsoft glabā un pārvalda datu bāzu šifrēšanas atslēgu jūsu vidēm, lai jums tas nebūtu jādara. Administrēšanas centra pārvaldīto atslēgu līdzeklis Microsoft Power Platform sniedz administratoriem iespēju patstāvīgi pārvaldīt datu bāzes šifrēšanas atslēgu, kas ir saistīta ar nomnieku Dataverse .
Svarīgi
Sākot ar 2026. gada 6. janvāri, mēs pārtrauksim atbalstu savai atslēgai (Bring-your-own-key — BYOK). Klienti tiek aicināti pāriet uz klientu pārvaldītām atslēgām (CMK) — uzlabotu risinājumu, kas piedāvā uzlabotu funkcionalitāti, plašāku atbalstu datu avotiem un labāku veiktspēju. Papildinformāciju skatiet rakstā Klienta pārvaldītas šifrēšanas atslēgas pārvaldība un Savas atslēgas (BYOK) vides migrēšana uz klienta pārvaldītu atslēgu.
Šifrēšanas atslēgas pārvaldība ir piemērojama tikai Azure SQL vides datu bāzēm. Tālāk norādītie līdzekļi un pakalpojumi turpina izmantot Microsoft pārvaldīto šifrēšanas atslēgu, lai šifrētu savus datus, un tos nevar šifrēt ar pašu pārvaldītu šifrēšanas atslēgu:
- Copilots un ģeneratīvais AI funkcijas un Microsoft Power Platform Microsoft Dynamics 365
- Dataverse meklēšana
- Elastīgās tabulas
- Mobile Offline
- Darbību žurnāls (Microsoft 365 portāls)
- Exchange (servera puses sinhronizācija)
Piezīmes
- Lai varētu izmantot šo līdzekli, korporācijai Microsoft nomniekam ir jāieslēdz pašpārvaldības datu bāzes šifrēšanas atslēgas līdzeklis.
- Lai videi izmantotu datu šifrēšanas pārvaldības līdzekļus videi, vide ir jāveido pēc tam, kad Microsoft ir ieslēgusi pašpārvaldītu datu bāzes šifrēšanas atslēgu.
- Pēc tam, kad līdzeklis nomniekā ir ieslēgts, visas jaunās vides tiek izveidotas, izmantojot tikai Azure SQL krātuvi. Šīm vidēm neatkarīgi no tā, vai tās ir šifrētas ar jūsu pašu atslēgu (Bring-your-own-key — BYOK) vai Microsoft pārvaldītu atslēgu, tām ir ierobežojumi attiecībā uz failu augšupielādes lielumu, tās nevar izmantot Cosmos un Datalake pakalpojumus, un Dataverse meklēšanas indeksi tiek šifrēti ar Microsoft pārvaldītu atslēgu. Lai izmantotu šos pakalpojumus, jums ir jāmigrē uz klienta pārvaldītu atslēgu.
- Failus un attēlus , kuru izmērs ir mazāks par 128 MB, var izmantot, ja jūsu vide ir versija 9.2.21052.00103 vai jaunāka.
- Lielākajā daļā esošo vides failu un žurnālu tiek glabāti ne-Azure SQL datu bāzēs. Šīs vides nevar izvēlēties pašpārvaldītajai šifrēšanas atslēgai. Ar pašpārvaldītu šifrēšanas atslēgu var iespējot tikai jaunas vides (tiklīdz esat pierakstījies šai programmai).
Iepazīšanās ar atslēgu pārvaldību
Izmantojot atslēgu pārvaldību, administratori var nodrošināt paši savu šifrēšanas atslēgu vai iegūt viņiem ģenerētu šifrēšanas atslēgu, kas tiek izmantota, lai aizsargātu vides datu bāzi.
Atslēgu pārvaldības līdzeklis atbalsta gan PFX, gan BYOK šifrēšanas atslēgu failus, piemēram, failus, kas tiek glabāti aparatūras drošības modulī (HSM). Lai izmantotu šifrēšanas atslēgas augšupielādes opciju, ir nepieciešama gan publiskā, gan privātā šifrēšanas atslēga.
Atslēgu pārvaldības līdzeklis vienkāršo šifrēšanas atslēgu pārvaldību, izmantojot Azure Key Vault, lai droši glabātu šifrēšanas atslēgas. Azure Key Vault palīdz aizsargāt šifrēšanas atslēgas un slepenu informāciju, kas izmantota mākoņa programmās un pakalpojumos. Atslēgu pārvaldības līdzeklim nav nepieciešams Azure Key Vault abonements, un lielākajā daļā gadījumu nav nepieciešams piekļūt šifrēšanas atslēgām, kas Dataverse tiek izmantotas seifā.
Pārvaldīto atslēgu līdzeklis ļauj veikt tālāk norādītos uzdevumus.
Iespējot ar vidēm saistītu datu bāzu šifrēšanas atslēgu patstāvīgas pārvaldības iespēju.
Ģenerēt jaunas šifrēšanas atslēgas vai augšupielādēt esošus .PFX vai .BYOK šifrēšanas atslēgu failus.
Bloķēt un atbloķēt nomnieka vides.
Brīdinājums.
Kamēr nomnieks ir bloķēts, neviens nevar piekļūt nevienai nomnieka videi. Papildinformācija: Nomnieka bloķēšana.
Izprotiet iespējamo risku, veicot atslēgu pārvaldību
Tāpat kā jebkuras citas kritiskās biznesa programmas gadījumā jūsu organizācijas darbiniekiem, kuriem ir piekļuve administratīvā līmenī, jābūt uzticamiem. Pirms izmantojat atslēgu pārvaldības līdzekli, jums jāizprot risks, veicot datu bāzu šifrēšanas atslēgu pārvaldību. Ir iespējams, ka ļaunprātīgs administrators (persona, kurai ir piešķirta vai kura ir ieguvusi administratora līmeņa piekļuvi ar nolūku kaitēt organizācijas drošības vai biznesa procesiem), kas strādā jūsu organizācijā, var izmantot pārvaldīto atslēgu līdzekli, lai izveidotu atslēgu, un izmantot to, lai bloķētu visas nomnieka vides.
Apsveriet šādu scenāriju.
Ļaunprātīgais administrators pierakstās Power Platform administrēšanas centrā, pāriet uz cilni Vides un atlasa Pārvaldīt šifrēšanas atslēgu. Pēc tam ļaunprātīgs administrators izveido jaunu atslēgu ar paroli, lokālajā diskā lejupielādē šifrēšanas atslēgu un aktivizē jaunu atslēgu. Tagad visas vides datu bāzes tiek šifrētas ar jauno atslēgu. Pēc tam ļaunprātīgais administrators bloķē nomnieku, izmantojot tikko lejupielādēto atslēgu, un pēc tam paņem vai dzēš lejupielādēto šifrēšanas atslēgu.
Šo darbību rezultātā tiek atspējota tiešsaistes piekļuve visām nomnieka vidēm un visi datu bāzu dublējumi kļūst neatjaunojami.
Svarīgi
Lai neļautu ļaunprātīgajam administratoram traucēt uzņēmējdarbību, bloķējot datu bāzi, pārvaldīto atslēgu līdzeklis nepieļauj nomnieka vides bloķēšanu 72 stundas pēc šifrēšanas atslēgas maiņas vai aktivizācijas. Tādejādi citi administratori var 72 stundu laikā atritināt jebkādas neautorizētas atslēgas izmaiņas.
Šifrēšanas atslēgas prasības
Ja nodrošināt savu šifrēšanas atslēgu, jūsu atslēgai ir jāatbilst šīm prasībām, kas tiek pieņemtas pakalpojumā Azure Key Vault.
- Šifrēšanas atslēgas failu formātam ir jābūt PFX vai BYOK.
- 2048 bitu RSA.
- RSA-HSM atslēgas tips (nepieciešams Microsoft atbalsta pieprasījums).
- PFX šifrēšanas atslēgu failiem jābūt aizsargātiem ar paroli.
Papildinformāciju par HSM aizsargātas atslēgas ģenerēšanu un pārsūtīšanu internetā skatiet sadaļā Kā ģenerēt un pārsūtīt ar HSM aizsargātas atslēgas pakalpojumam Azure Key Vault. Tikai nCipher Piegādātāja HSM atslēga tiek atbalstīta. Pirms HSM atslēgas ģenerēšanas dodieties uz Power Platform administrēšanas centra logu Pārvaldīt šifrēšanas atslēgas/Izveidot jaunu atslēgu, lai iegūtu savas vides reģiona abonementa ID. Lai izveidotu atslēgu, nokopējiet un ielīmējiet šo abonementa ID savā HSM. Tādējādi tiek nodrošināts, ka tikai mūsu Azure Key Vault var atvērt jūsu failu.
Atslēgu pārvaldības uzdevumi
Lai vienkāršotu galvenos pārvaldības uzdevumus, uzdevumi tiek sadalīti trīs jomās:
- Šifrēšanas atslēgas ģenerēšana vai augšupielāde nomniekam
- Šifrēšanas atslēgas aktivizēšana nomniekam
- Šifrēšanas pārvaldība videi
Administratori var lietot Power Platform administrēšanas centru vai Power PlatformMicrosoft.Xrm.OnlineManagementAPI PowerShell moduli cmdlets, lai veiktu šeit aprakstītos nomnieku drošības atslēgu pārvaldības uzdevumus.
Šifrēšanas atslēgas ģenerēšana vai augšupielāde nomniekam
Visas šifrēšanas atslēgas tiek glabātas Azure Key Vault, un jebkurā brīdī var būt tikai viena aktīva atslēga. Tā kā aktīvā atslēga tiek izmantota, lai šifrētu visas nomnieka vides, šifrēšanas pārvaldība tiek veikta nomnieka līmenī. Pēc tam, kad atslēga ir aktivizēta, var atlasīt katru atsevišķu vidi, lai atslēgu izmantotu šifrēšanai.
Izmantojiet šo procedūru, lai pirmo reizi videi iestatītu pārvaldītās atslēgas līdzekli vai mainītu (vai apgāztu) šifrēšanas atslēgu nomniekam, kas jau pats sevi pārvalda.
Brīdinājums.
Pirmo reizi veicot šeit aprakstītās darbības, jūs izvēlaties patstāvīgi pārvaldīt savas šifrēšanas atslēgas. Papildinformācija: Iespējamā riska izprašana, pašam veicot atslēgu pārvaldību.
Piesakieties administrēšanas Power Platform centrā kā administrators (Dynamics 365 administrators vai Microsoft Power Platform administrators).
Atlasiet cilni Vides un pēc tam rīkjoslā atlasiet Pārvaldīt šifrēšanas atslēgas.
Atlasiet Apstiprināt , lai apstiprinātu pārvaldītās atslēgas risku.
Rīkjoslā atlasiet Jauna atslēga.
Kreisajā rūtī aizpildiet detalizēto informāciju, lai ģenerētu vai augšupielādētu atslēgu:
- Atlasiet Reģions. Šī opcija tiek rādīta tikai tad, ja nomniekam ir vairāki reģioni.
- Ievadiet Atslēgas nosaukums.
- Izvēlieties kādu no tālāk minētajām opcijām:
- Lai izveidotu jaunu atslēgu, atlasiet Ģenerēt jaunu (.pfx). Papildinformācija: Jaunas atslēgas izveide (. pfx).
- Lai izmantotu savu ģenerēto atslēgu, atlasiet Augšupielādēt (.pfx vai.byok). Papildinformācija: Atslēgas augšupielāde (.pfx vai .byok).
Atlasiet Tālāk.
Jaunas atslēgas ģenerēšana (.pfx)
- Ievadiet paroli un pēc tam atkārtoti ievadiet paroli, lai apstiprinātu.
- Atlasiet Izveidot un pēc tam pārlūkprogrammā atlasiet izveidoto faila paziņojumu.
- Šifrēšanas atslēgas .PFX fails ir lejupielādēts jūsu tīmekļa pārlūkprogrammas noklusējuma lejupielāžu mapē. Saglabājiet failu drošā vietā (ieteicams šo atslēgu dublēt kopā ar tās paroli).
Atslēgas augšupielāde (.pfx vai .byok)
- Atlasiet Augšupielādēt atslēgu, atlasiet .pfx vai .byok1 failu un pēc tam atlasiet Atvērt.
- Ievadiet atslēgas paroli un pēc tam atlasiet Izveidot.
1 .byok šifrēšanas atslēgas failu gadījumā pārliecinieties, ka, eksportējot šifrēšanas atslēgu no vietējā HSM, izmantojat abonementa ID, kā parādīts attēlā. Papildinformācija: Kā ģenerēt un pārvietot HSM aizsargātas atslēgas Azure Key Vault.
Note
Lai samazinātu darbību skaitu, kas administratoram jāveic, lai pārvaldītu atslēgas procesu, atslēga tiek automātiski aktivizēta, kad tā tiek augšupielādēta pirmo reizi. Visām turpmākajām atslēgu augšupielādēm ir nepieciešama papildu darbība, lai aktivizētu atslēgu.
Šifrēšanas atslēgas aktivizēšana nomniekam
Kad nomniekam ir ģenerēta vai augšupielādēta šifrēšanas atslēga, to var aktivizēt.
- Piesakieties administrēšanas Power Platform centrā kā administrators (Dynamics 365 administrators vai Microsoft Power Platform administrators).
- Atlasiet cilni Vides un pēc tam rīkjoslā atlasiet Pārvaldīt šifrēšanas atslēgas.
- Atlasiet Apstiprināt , lai apstiprinātu pārvaldītās atslēgas risku.
- Atlasiet atslēgu ar statusu Pieejams un pēc tam rīkjoslā atlasiet Aktivizēt atslēgu.
- Atlasiet Apstiprināt , lai apstiprinātu atslēgas maiņu.
Kad aktivizējat nomnieka atslēgu, atslēgas pārvaldības servisam ir nepieciešams laiks, lai atslēgu aktivizētu. Kad tiek aktivizēta jaunā vai augšupielādētā atslēga, Atslēgas statuss parāda atslēgu kā Tiek instalēta. Kad atslēga ir aktivizēta, notiek tālāk minētais.
- Visas šifrētās vides tiek automātiski šifrētas ar aktīvo atslēgu (šai darbībai nav dīkstāves).
- Kad šifrēšanas atslēga ir aktivizēta, tā tiek lietota visās vidēs, kas tiek mainītas no Microsoft nodrošinātas uz pašu pārvaldītu šifrēšanas atslēgu.
Svarīgi
Lai pilnveidotu atslēgas pārvaldības procesu tā, lai visas vides tiktu pārvaldītas ar vienu un to pašu atslēgu, aktīvo atslēgu nevar atjaunināt, ja pastāv bloķētas vides. Lai varētu aktivizēt jaunu atslēgu, vispirms ir jāatbloķē visas bloķētās vides. Ja pastāv bloķētas vides, ko nav nepieciešams atbloķēt, tās ir jāizdzēš.
Note
Pēc tam, kad ir aktivizēta šifrēšanas atslēga, citu atslēgu nevar aktivizēt 24 stundas.
Šifrēšanas pārvaldība videi
Pēc noklusējuma katra vide tiek šifrēta, izmantojot Microsoft nodrošinātu šifrēšanas atslēgu. Pēc tam, kad nomniekam ir aktivizēta šifrēšanas atslēga, administratori var izvēlēties mainīt noklusējuma šifrēšanu, lai izmantotu aktivizēto šifrēšanas atslēgu. Lai izmantotu aktivizēto atslēgu, veiciet tālām minētās darbības.
Šifrēšanas atslēgas lietošana videi
- Piesakieties Power Platform administrēšanas centrā, izmantojot vides administratora vai sistēmas administratora lomas akreditācijas datus.
- Atlasiet cilni Vides.
- Atveriet šifrēto vidi Microsoft nodrošināts.
- Atlasiet Skatīt visu
- Sadaļā Vides šifrēšana atlasiet Pārvaldīt.
- Atlasiet Apstiprināt , lai apstiprinātu pārvaldītās atslēgas risku.
- Atlasiet Lietot šo atslēgu, lai akceptētu šifrēšanas maiņu aktivizētās atslēgas izmantošanai.
- Atlasiet Apstiprināt , lai apstiprinātu, ka pārvaldāt atslēgu tieši un ka šai darbībai ir dīkstāve.
Atgriešanās no pārvaldītas šifrēšanas atslēgas pie Microsoft nodrošinātas šifrēšanas atslēgas
Atgriešanās pie Microsoft nodrošinātas šifrēšanas atslēgas konfigurē vidi atpakaļ uz noklusējuma uzvedību, kur Microsoft pārvalda šifrēšanas atslēgu jūsu vietā.
- Piesakieties Power Platform administrēšanas centrā, izmantojot vides administratora vai sistēmas administratora lomas akreditācijas datus.
- Atlasiet cilni Vides un pēc tam atlasiet vidi, kas tiek šifrēta, izmantojot patstāvīgi pārvaldītu atslēgu.
- Atlasiet Skatīt visu
- Sadaļā Vides šifrēšana atlasiet Pārvaldīt un pēc tam atlasiet Apstiprināt.
- Sadaļā Atgriezties pie standarta šifrēšanas pārvaldības atlasiet Atgriezties.
- Ražošanas vidēs apstipriniet vidi, ievadot vides nosaukumu.
- Atlasiet Apstiprināt, lai atgrieztos pie standarta šifrēšanas atslēgas pārvaldības.
Nomnieka bloķēšana
Tā kā katram nomniekam ir tikai viena aktīva atslēga, bloķējot nomnieka šifrēšanu, tiek atspējotas visas nomnieka vides. Visas bloķētās vides paliek pilnībā nepieejamas visiem, ieskaitot Microsoft, līdz Power Platform servisa administrators jūsu organizācijā to atbloķē, izmantojot atslēgu, kas tika izmantota tās bloķēšanai.
Brīdinājums
Nekādā gadījumā nebloķējiet nomnieka vides normāla uzņēmējdarbības procesa ietvaros. Kad bloķējat nomnieku Dataverse , visas vides tiek noņemtas bezsaistē, un tām nevar piekļūt neviens, tostarp Microsoft. Turklāt tiek apturēti tādi pakalpojumi kā sinhronizēšana un uzturēšana. Ja izlemjat pamest servisu, nomnieka bloķēšana var nodrošināt, ka jūsu tiešsaistes datiem neviens vairs nevarēs piekļūt.
Ņemiet vērā tālāk minēto informāciju par nomnieka vides bloķēšanu:
- Bloķētas vides nevar atjaunot no dublējuma.
- Bloķētās vides tiek dzēstas, ja tās netiek atbloķētas pēc 28 dienām.
- Nav iespējams bloķēt vidi 72 stundas pēc šifrēšanas atslēgas maiņas.
- Nomnieka bloķēšana bloķē visas aktīvās vides nomnieka ietvaros.
Svarīgi
- Lai varētu tās atbloķēt, jānogaida vismaz viena stunda pēc aktīvas vides bloķēšanas.
- Kad bloķēšanas process ir sākts, tiek izdzēstas visi šifrēšanas atslēgas, kuru statuss ir "Aktīvs" vai "Pieejams". Bloķēšanas process var ilgt līdz pat stundai, un šajā laikā bloķētas vides atbloķēšana nav atļauta.
- Piesakieties administrēšanas Power Platform centrā kā administrators (Dynamics 365 administrators vai Microsoft Power Platform administrators).
- Atlasiet cilni Vides un pēc tam komandjoslā atlasiet Pārvaldīt šifrēšanas atslēgas.
- Atlasiet atslēgu Aktīvs un pēc tam atlasiet Bloķēt aktīvās vides.
- Labajā rūtī atlasiet Augšupielādēt aktīvo atslēgu, atrodiet un atlasiet atslēgu, ievadiet paroli un pēc tam atlasiet Bloķēt.
- Kad tiek piedāvāts, ievadiet tekstu, kas tiek rādīts ekrānā, lai apstiprinātu, ka vēlaties bloķēt visas vides reģionā, un pēc tam atlasiet Apstiprināt.
Bloķētas vides atbloķēšana
Lai atbloķētu vides, vispirms ir jāaugšupielādē un pēc tam jāaktivizē nomnieka šifrēšanas atslēga ar to pašu atslēgu, kas tika izmantota nomnieka bloķēšanai. Ņemiet vērā, ka bloķētās vides netiek atbloķētas automātiski, tiklīdz atslēga ir aktivizēta. Katra bloķētā vide ir jāatbloķē atsevišķi.
Svarīgi
- Lai varētu tās atbloķēt, jānogaida vismaz viena stunda pēc aktīvas vides bloķēšanas.
- Atbloķēšanas process var aizņemt līdz pat vienai stundai. Kad atslēga ir atbloķēta, varat izmantot šo atslēgu, lai Pārvaldītu vides šifrēšanu.
- Nav iespējams izveidot jaunu vai augšupielādēt esošu atslēgu, kamēr nav atbloķētas visas bloķētās vides.
Šifrēšanas atslēgas atbloķēšana
- Piesakieties administrēšanas Power Platform centrā kā administrators (Dynamics 365 administrators vai Microsoft Power Platform administrators).
- Atlasiet cilni Vides un pēc tam atlasiet Pārvaldīt šifrēšanas atslēgas.
- Atlasiet atslēgu ar statusu Bloķēts un pēc tam komandjoslā atlasiet Atbloķēt atslēgu.
- Atlasiet Augšupielādēt bloķēto atslēgu, atrodiet un atlasiet atslēgu, kas izmantota, lai bloķētu nomnieku, ievadiet paroli un pēc tam atlasiet Atbloķēt. Atslēgas status mainās uz Instalēšana. Lai varētu atbloķēt bloķētās vides, jāpagaida, līdz atslēgas statuss ir Aktīvs.
- Lai atbloķētu vidi, skatiet nākamo sadaļu.
Vides atbloķēšana
Atlasiet cilni Vides un pēc tam atlasiet bloķētās vides nosaukumu.
Padoms
Neatlasiet rindu. Atlasiet vides nosaukumu.
Sadaļā Detalizēta informācija atlasiet Skatīt visu, lai labajā pusē parādītu rūti Detalizēta informācija.
Šifrēšanas sadaļā Vides rūtī Detalizēta informācija atlasiet Pārvaldīt.
Lapā Vides šifrēšana atlasiet Atbloķēt.
Atlasiet Apstiprināt, lai apstiprinātu, ka vēlaties atbloķēt vidi.
Atkārtojiet iepriekšējās darbības, lai atbloķētu citas vides.
Vides datubāzes operācijas
Klienta nomniekam var būt vides, kuras ir šifrētas, izmantojot Microsoft pārvaldīto atslēgu, un vides, kuras ir šifrētas ar klienta pārvaldītu atslēgu. Lai saglabātu datu integritāti un aizsardzību, pārvaldot vides datu bāzu operācijas, ir pieejami šādi kontroles pasākumi:
Atjaunot Pārrakstāmā vide (atjaunotā vide) ir ierobežota tajā pašā vidē, no kuras tika ņemts dublējums, vai citā vidē, kas ir šifrēta ar to pašu klienta pārvaldīto atslēgu.
Kopēt Pārrakstāmā vide (kopētā vide) ir ierobežota ar citu vidi, kas ir šifrēta ar to pašu klienta pārvaldīto atslēgu.
Piezīmes
Tika izveidota Atbalsta izpētes vide, lai atrisinātu atbalsta problēmu klienta pārvaldītā vidē, šifrēšanas atslēga Atbalsta izpētes videi ir jāmaina uz klienta pārvaldītu atslēgu iekams var veikt vides kopēšanas darbību.
Atiestatīt Vides šifrētie dati tiek dzēsti, ieskaitot dublējumus. Pēc vides atiestatīšanas vides šifrējums atgriezīsies uz Microsoft pārvaldīto atslēgu.