Gestionați-vă cheia de criptare gestionată de client

Clienții au cerințe privind confidențialitatea și conformitatea datelor pentru a-și securiza datele prin criptarea datelor lor în repaus. Acest lucru protejează datele de expunere într-un eveniment în care o copie a bazei de date este furată. Cu criptarea datelor în repaus, datele furate ale bazei de date sunt protejate împotriva restaurării pe un alt server fără cheia de criptare.

Toate datele clienților stocate în Power Platform sunt criptate în repaus cu chei de criptare puternice gestionate de Microsoft în mod implicit. Microsoft stochează și gestionează cheia de criptare a bazei de date pentru toate datele dvs., astfel încât să nu fie nevoie. Cu toate acestea, Power Platform oferă această cheie de criptare gestionată de client (CMK) pentru controlul suplimentar al protecției datelor, unde puteți gestiona singur cheia de criptare a bazei de date asociată Microsoft Dataverse mediului dumneavoastră. Acest lucru vă permite să rotiți sau să schimbați cheia de criptare la cerere și, de asemenea, vă permite să împiedicați accesul Microsoft la datele clienților dvs. atunci când revocați accesul cheii la serviciile noastre în orice moment.

Pentru a afla mai multe despre cheia gestionată de client în Power Platform, urmăriți videoclipul cu cheia gestionată de client.

Aceste operațiuni cu cheia de criptare sunt disponibile cu cheia gestionată de client (CMK):

• Creați o cheie RSA (RSA-HSM) din seiful dumneavoastră Azure Key.
• Creați o Power Platform politică de întreprindere pentru cheia dvs.
• Acordați Power Platform politica de întreprindere permisiunea de a accesa seiful dvs. de chei.
• Acordați Power Platform administratorul serviciului să citească politica companiei.
• Aplicați cheia de criptare mediului dumneavoastră.
• Reveniți/eliminați criptarea CMK a mediului la cheia gestionată de Microsoft.
• Schimbați cheia prin crearea unei noi politici de întreprindere, eliminând mediul din CMK și reaplicați CMK cu o nouă politică de întreprindere.
• Blocați mediile CMK revocând seiful de chei CMK și/sau permisiunile pentru chei.
• Migrați mediile bring-your-your-own-key (BYOK) la CMK aplicând cheia CMK.

În prezent, toate datele clienților dvs. stocate numai în următoarele aplicații și servicii pot fi criptate cu cheia gestionată de client:

• Dataverse (Soluții personalizate și servicii Microsoft)
• Dataverse Copilot pentru aplicații bazate pe model
• Power Automate
• Chat pentru Dynamics 365
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Finanțe și operațiuni)
• Dynamics 365 Intelligent Order Management (Finanțe și operațiuni)
• Dynamics 365 Project Operations (Finanțe și operațiuni)
• Dynamics 365 Supply Chain Management (Finanțe și operațiuni)
• Dynamics 365 Fraud Protection (Finanțe și operațiuni)

Microsoft Copilot Studio își stochează datele în propria lor stocare și în Microsoft Dataverse. Când aplicați cheia gestionată de client în aceste medii, numai depozitele de date din Microsoft Dataverse sunt criptate cu cheia dvs. Datele care nu sunt Microsoft Dataverse continuă să fie criptate cu cheia gestionată de Microsoft.

Mediile cu aplicații financiare și operaționale în care Power Platform integrarea este activată pot fi, de asemenea, criptate. Mediile financiare și operaționale fără Power Platform integrare vor continua să utilizeze cheia gestionată Microsoft implicită pentru a cripta datele. Mai multe informații: Criptarea în aplicațiile financiare și operaționale

Introducere în cheia gestionată de client

Cu cheia gestionată de client, administratorii își pot furniza propria cheie de criptare din propriul lor Azure Key Vault la serviciile de stocare Power Platform pentru a-și cripta datele clienților. Microsoft nu are acces direct la Azure Key Vault. Pentru ca serviciile Power Platform să acceseze cheia de criptare din Azure Key Vault, administratorul creează o Power Platform politică de întreprindere, care face referire la cheia de criptare și acordă acestei politici de întreprindere acces pentru a citi cheia din Azure Key Vault.

Power Platform Administratorul serviciului poate apoi să adauge Dataverse medii la politica întreprinderii pentru a începe criptarea tuturor datelor clienților din mediu cu cheia dvs. de criptare. Administratorii pot modifica cheia de criptare a mediului creând o altă politică de întreprindere și adaugă mediul (după ce l-au eliminat) la noua politică de întreprindere. Dacă mediul nu mai trebuie criptat utilizând cheia gestionată de client, administratorul poate elimina Dataverse mediul din politica întreprinderii pentru a reveni la criptarea datelor la cheia gestionată de Microsoft.

Administratorul poate bloca mediile cheie gestionate de client prin revocarea accesului la cheie din politica companiei și poate debloca mediile prin restabilirea accesului cu cheie. Mai multe informații: Blocați medii prin revocarea accesului la seiful de chei și/sau la permisiunea cheii

Pentru a simplifica sarcinile cheie de management, sarcinile sunt împărțite în trei domenii principale:

1. Creați cheia de criptare.
2. Creați o politică de întreprindere și acordați acces.
3. Gestionați criptarea mediului.

Cerințe de licențiere pentru cheia gestionată de client

Politica privind cheile gestionate de client este aplicată numai în mediile care sunt activate pentru mediile gestionate. Mediile gestionate sunt incluse ca drepturi în licențele autonome Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages și Dynamics 365 care oferă drepturi de utilizare premium. Aflați mai multe despre licențele pentru mediu gestionat, cu Prezentarea generală a licențelor pentru Microsoft Power Platform.

În plus, accesul la utilizarea cheii gestionate de client pentru Microsoft Power Platform și Dynamics 365 necesită ca utilizatorii din mediile în care este aplicată politica cheii de criptare să aibă unul dintre aceste abonamente:

• Microsoft 365 sau Office 365 A5/E5/G5
• Conformitate Microsoft 365 A5/E5/F5/G5
• Securitate și conformitate Microsoft 365 F5
• Protecția informațiilor și guvernanța Microsoft 365 A5/E5/F5/G5
• Gestionarea riscurilor interne Microsoft 365 A5/E5/F5/G5

Aflați mai multe despre aceste licențe.

Înțelegeți riscul potențial atunci când vă gestionați cheia

Ca la orice aplicație vitală de business, personalul din organizație care are acces la nivel de administrator trebuie să fie de încredere. Înainte de a utiliza caracteristica de gestionare a cheilor, ar trebui să înțelegeți riscul asumat atunci când vă gestionați cheile de criptare ale bazei de date. Este posibil ca un administrator rău intenționat (o persoană căreia i se acordă sau a obținut acces la nivel de administrator cu intenția de a dăuna securității sau proceselor de afaceri ale unei organizații) care lucrează în cadrul organizației dvs. ar putea folosi caracteristica de gestionare a cheilor pentru a crea o cheie și a o utiliza pentru a vă bloca mediile în chiriaș.

Luați în considerare următoarea succesiune de evenimente.

Administratorul seifului de chei rău intenționate creează o cheie și o politică de întreprindere pe portalul Azure. Administratorul Azure Key Vault merge la Power Platform centrul de administrare și adaugă medii la politica companiei. Administratorul rău intenționat revine apoi la portalul Azure și revocă accesul cheie la politica de întreprindere blocând astfel toate mediile. Acest lucru provoacă întreruperi ale afacerii, deoarece toate mediile devin inaccesibile, iar dacă acest eveniment nu este rezolvat, adică accesul cheie restabilit, datele de mediu se pot pierde.

Separarea sarcinilor de atenuare a riscului

Această secțiune descrie atribuțiile cheie ale caracteristicilor gestionate de client pentru care este responsabil fiecare rol de administrator. Separarea acestor sarcini ajută la atenuarea riscului implicat de cheile gestionate de client.

Activități de administrare a serviciului Azure Key Vault și Power Platform/Dynamics 365

Pentru a activa cheile gestionate de client, mai întâi administratorul seifului de chei creează o cheie în seiful de chei Azure și creează o Power Platform politică de întreprindere. Când este creată politica de întreprindere, este creată o identitate specială Microsoft Entra ID gestionată. Apoi, administratorul seifului de chei revine la seiful de chei Azure și acordă politicii întreprinderii/identității gestionate acces la cheia de criptare.

Administratorul seifului de chei acordă apoi administratorului serviciului respectiv Power Platform/Dynamics 365 acces de citire la politica companiei. Odată ce permisiunea de citire este acordată, administratorul serviciului Power Platform/Dynamics 365 poate accesa Power Platform Centrul de administrare și poate adăuga medii la politica companiei. Toate datele clienților din mediile adăugate sunt apoi criptate cu cheia gestionată de client legată de această politică de întreprindere.

Cerințe preliminare

• Un abonament Azure care include module de securitate hardware gestionate Azure Key Vault sau Azure Key Vault.
• A Microsoft Entra ID cu:
  • Permisiunea de colaborator la Microsoft Entra abonament.
  • Permisiune de a crea un seif și o cheie Azure Key.
  • Acces pentru a crea un grup de resurse. Acest lucru este necesar pentru a configura seiful de chei.

Creați cheia și acordați acces folosind Azure Key Vault

Administratorul Azure Key Vault efectuează aceste sarcini în Azure.

1. Creați un abonament Azure plătit și Key Vault. Ignorați acest pas dacă aveți deja un abonament care include Azure Key Vault.
2. Accesați serviciul Azure Key Vault și creați o cheie. Mai multe informații: Creați o cheie în seiful de chei
3. Activați serviciul Power Platform politici de întreprindere pentru abonamentul dvs. Azure. Fă asta o singură dată. Mai multe informații: Activați Power Platform serviciul de politici de întreprindere pentru abonamentul dvs. Azure
4. Creați o Power Platform politică de întreprindere. Mai multe informații: Creați o politică de întreprindere
5. Acordați permisiuni de politică de companie pentru a accesa seiful de chei. Mai multe informații: Acordați permisiuni de politică de companie pentru a accesa seiful de chei
6. Acordați Power Platform și administratorilor Dynamics 365 permisiunea de a citi politica companiei. Mai multe informații: Acordați Power Platform privilegiul de administrator pentru a citi politica companiei

Power Platform/Dynamics 365 service admin Power Platform sarcini ale centrului de administrare

Cerințe preliminare

• Power Platform administratorul trebuie să fie alocat fie rolului Power Platform sau Dynamics 365 Service administrator Microsoft Entra .

Gestionați criptarea mediului în Power Platform centrul de administrare

Power Platform Administratorul gestionează sarcinile cheie gestionate de client legate de mediu în Power Platform centrul de administrare.

1. Adăugați Power Platform mediile la politica companiei pentru a cripta datele cu cheia gestionată de client. Mai multe informații: Adăugați un mediu la politica companiei pentru a cripta datele
2. Eliminați mediile din politica întreprinderii pentru a returna criptarea la cheia gestionată de Microsoft. Mai multe informații: Eliminați mediile din politică pentru a reveni la cheia gestionată Microsoft
3. Schimbați cheia eliminând medii din vechea politică de întreprindere și adăugând medii la o nouă politică de întreprindere. Mai multe informații: Creați cheia de criptare și acordați acces
4. Migrați de la BYOK. Dacă utilizați funcția anterioară a cheii de criptare autogestionate, puteți migra cheia la cheia gestionată de client. Mai multe informații: Migrați mediile cu cheia proprie la cheia gestionată de client

Creați cheia de criptare și acordați acces

Creați un abonament Azure plătit și un seif pentru chei

În Azure, efectuați următorii pași:

1. Creați un abonament Azure Pay-as-you-go sau echivalentul acestuia. Acest pas nu este necesar dacă chiriașul are deja un abonament.

2. Creați un grup de resurse. Mai multe informații: Creați grupuri de resurse

   Notă

   Creați sau utilizați un grup de resurse care are o locație, de exemplu, Statele Unite ale Americii Centrale, care se potrivește cu regiunea Power Platform de mediu, cum ar fi Statele Unite.

3. Creați un seif de chei utilizând abonamentul plătit care include protecția la ștergere și ștergere soft cu grupul de resurse pe care l-ați creat la pasul anterior.

   Important

   Pentru a vă asigura că mediul dumneavoastră este protejat de ștergerea accidentală a cheii de criptare, seiful de chei trebuie să aibă activată protecția pentru ștergere și ștergere. Nu veți putea să vă criptați mediul cu propria cheie fără a activa aceste setări. Mai multe informații: Prezentare generală a ștergerii soft-delete Azure Key Vault Mai multe informații: Creați un seif de chei utilizând portalul Azure

Creați o cheie în seiful de chei

1. Asigurați-vă că ați îndeplinit condițiile preliminare.
2. Accesați portalul Azure>Key Vault și localizați seiful de chei unde doriți să generați o cheie de criptare.
3. Verificați setările seifului de chei Azure:
   1. Selectați Proprietăți sub Setări.
   2. Sub Ștergerea ușoară, setați sau verificați dacă este setată la Ștergerea ușoară a fost activată în această opțiune seif pentru chei .
   3. Sub Protecția la purjare, setați sau verificați dacă Activați protecția la purjare (aplicați o perioadă de păstrare obligatorie pentru seifurile și obiectele seifului șterse) este activată.
   4. Dacă ați făcut modificări, selectați Salvați.

Creați chei RSA

1. Creați sau importați o cheie care are următoarele proprietăți:

   1. În paginile Seif chei proprietăți, selectați Chei.
   2. Selectați Generați/Importați.
   3. Pe ecranul Creare a key setați următoarele valori, apoi selectați Create.
      • Opțiuni: Generează
      • Nume: furnizați un nume pentru cheie
      • Tip cheie: RSA
      • Dimensiunea cheii RSA: 2048 sau 4096

   Important

   Dacă setați o data de expirare în cheia dvs. și cheia a expirat, toate mediile care sunt criptate cu această cheie vor fi oprite. Setați o alertă pentru a monitoriza certificatele de expirare cu notificări prin e-mail pentru administratorul local Power Platform și administratorul seifului de chei Azure ca memento pentru a reînnoi data de expirare. Acest lucru este important pentru a preveni orice întrerupere neplanificată a sistemului.

Importați chei protejate pentru modulele de securitate hardware (HSM)

Puteți utiliza cheile protejate pentru modulele de securitate hardware (HSM) pentru a cripta Power Platform Dataverse mediile dvs. Cheile dvs. protejate cu HSM trebuie importate în seiful de chei pentru a putea fi creată o politică Enterprise. Pentru mai multe informații, consultați HSM-uri acceptateImportați chei protejate cu HSM în Key Vault (BYOK).

Creați o cheie în Azure Key Vault Managed HSM

Puteți utiliza o cheie de criptare creată din Azure Key Vault Managed HSM pentru a cripta datele din mediu. Acest lucru vă oferă suport pentru FIPS 140-2 Nivel 3.

Creați chei RSA-HSM

1. Asigurați-vă că ați îndeplinit condițiile preliminare.

2. Accesați portalul Azure.

3. Creați un HSM gestionat:

   1. Furnizați HSM gestionat.
   2. Activați HSM gestionat.

4. Activați Purge Protection în HSM gestionat.

5. Acordați rolul Managed HSM Crypto User personei care a creat seiful de chei HSM gestionat.

   1. Accesați seiful de chei HSM gestionat pe portalul Azure.
   2. Navigați la RBAC local și selectați + Adăugați.
   3. În lista drop-down Rol , selectați rolul Utilizator Crypto HSM gestionat rolul de pe pagina Atribuire rol .
   4. Selectați Toate cheile sub Domeniul de aplicare.
   5. Selectați Selectați principalul de securitate, apoi selectați administratorul de pe pagina Adăugați principalul .
   6. Selectați Creați.

6. Creați o cheie RSA-HSM:

   • Opțiuni: Generează
   • Nume: furnizați un nume pentru cheie
   • Tip cheie: RSA-HSM
   • Dimensiunea cheii RSA: 2048

   Notă

   Dimensiuni de chei acceptate RSA-HSM: 2048 de biți și 3072 de biți.

Criptați mediul dvs. cu cheia de la Azure Key Vault cu link privat

Puteți actualiza rețeaua seifului dvs. Azure Key activând un punct final privat și folosiți cheia din seiful de chei pentru a cripta Power Platform mediile dvs.

Puteți fie să creați un nou seif de chei și să stabiliți o conexiune de legătură privată sau să stabiliți o conexiune de legătură privată la un seif de chei existent și să creați o cheie din acest seif de chei și să o utilizați pentru a cripta mediul dvs. De asemenea, puteți să stabiliți o conexiune de legătură privată la un seif de chei existent după ce ați creat deja o cheie și ați folosit-o pentru a cripta mediul.

Criptați datele cu cheia din seiful de chei cu link privat

1. Creați un Seif pentru chei Azure cu aceste opțiuni:

   • Activați Purge Protection
   • Tip cheie: RSA
   • Dimensiunea cheii: 2048 sau 4096

2. Copiați adresa URL a seifului de chei și adresa URL a cheii de criptare pentru a fi utilizate pentru crearea politicii de întreprindere.

   Notă

   După ce ați adăugat un punct final privat la seiful de chei sau ați dezactivat rețeaua de acces public, nu veți putea vedea cheia decât dacă aveți permisiunea corespunzătoare.

3. Creați o rețea virtuală.

4. Reveniți la seiful dvs. de chei și adăugați conexiuni private la punctul final la seiful dvs. Azure Key.

   Notă

   Trebuie să selectați Dezactivați accesul public opțiunea de rețea și să activați Permiteți serviciilor Microsoft de încredere să ocolească această excepție de firewall .

5. Creați o Power Platform politică de întreprindere. Mai multe informații: Creați o politică de întreprindere

6. Acordați permisiuni de politică de companie pentru a accesa seiful de chei. Mai multe informații: Acordați permisiuni de politică de companie pentru a accesa seiful de chei

7. Acordați Power Platform și administratorilor Dynamics 365 permisiunea de a citi politica companiei. Mai multe informații: Acordați Power Platform privilegiul de administrator pentru a citi politica companiei

8. Power Platform administratorul centrului de administrare selectează mediul pentru a cripta și a activa Mediul gestionat. Mai multe informații: Activați ca mediul gestionat să fie adăugat la politica companiei

9. Power Platform admin center admin adaugă mediul gestionat la politica companiei. Mai multe informații: Adăugați un mediu la politica companiei pentru a cripta datele

Activați serviciul Power Platform politici de întreprindere pentru abonamentul dvs. Azure

Înregistrați Power Platform ca furnizor de resurse. Trebuie să faceți această sarcină o singură dată pentru fiecare abonament Azure în care se află seiful Azure Key. Trebuie să aveți drepturi de acces la abonament pentru a înregistra furnizorul de resurse.

1. conectați-vă la portalul Azure și accesați Abonament>Furnizori de resurse.
2. În lista de Furnizori de resurse, căutați Microsoft.PowerPlatform și Înregistrați-l .

Creați o politică de întreprindere

1. Instalați PowerShell MSI. Mai multe informații: Instalați PowerShell pe Windows, Linux și macOS
2. După ce PowerShell MSI este instalat, reveniți la Implementați un șablon personalizat în Azure.
3. Selectați Creați propriul șablon în linkul editor .
4. Copiați acest șablon JSON într-un editor de text, cum ar fi Notepad. Mai multe informații: Șablon json de politică de întreprindere
5. Înlocuiți valorile din șablonul JSON pentru: EnterprisePolicyName, llocația în care trebuie creată EnterprisePolicy , keyVaultId și key>. Mai multe informații: Definițiile câmpurilor pentru șablonul json
6. Copiați șablonul actualizat din editorul dvs. de text, apoi inserați-l în Editați șablonul din Implementare personalizată în Azure și selectați Salvare.
7. Selectați un Abonament și Grup de resurse unde urmează să fie creată politica de întreprindere.
8. Selectați Examinați + creați, apoi selectați Creați.

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }