Поділитися через

Керувати ключем шифрування

  • Стаття

Усі середовища Microsoft Dataverse використовують Прозоре шифрування даних (TDE) SQL Server для шифрування в режимі реального часу даних під час запису на диск, що також відоме як шифрування в стані спокою.

За замовчуванням Microsoft зберігає ключ шифрування бази даних для ваших середовищ і керує ним, тому вам не доведеться робити це самим. Функція керованих ключів у Microsoft Power Platform Центрі адміністрування дає адміністраторам можливість самостійно керувати ключем шифрування бази даних, пов'язаним із Dataverse клієнтом.

Важливо

Починаючи з 6 січня 2026 року, ми припиняємо підтримку функції «Принеси свій власний ключ» (BYOK). Ми заохочуємо клієнтів перейти на керовані клієнтами ключі (CMK) – удосконалене рішення, яке пропонує покращену функціональність, ширшу підтримку джерел даних і кращу продуктивність. Дізнайтеся більше в статтях Керування керованим клієнтом ключем шифрування та Міграція середовищ принесення власного ключа (BYOK) на керований клієнтом ключ.

Керування ключами шифрування застосовується лише до баз даних середовища SQL Azure. Перелічені нижче функції та служби продовжують використовувати керований корпорацією Майкрософт ключ шифрування для шифрування, і його не можна зашифрувати за допомогою самокерованого ключа шифрування.

  • Другі пілоти та функції генеративного штучного інтелекту в Microsoft Power Platform та Microsoft Dynamics 365
  • Пошук у Dataverse
  • Еластичні столи
  • Mobile Offline
  • Журнал справ (портал Microsoft 365)
  • Exchange (синхронізація на сервері)

Нотатка

  • Ключова функція шифрування самокерованої бази даних має бути ввімкнена корпорацією Майкрософт для вашого клієнта, перш ніж ви зможете використовувати цю функцію.
  • Щоб скористатися функціями керування шифруванням даних для середовища, необхідно створити середовище після ввімкнення корпорацією Майкрософт функції самостійного керування ключем шифрування бази даних.
  • Після ввімкнення цієї функції в клієнті всі нові середовища створюються лише в сховищі Azure SQL. Ці середовища, незалежно від того, чи зашифровано вони за допомогою ключа (BYOK) чи ключа, керованого Microsoft, мають обмеження щодо розміру завантаження, не можуть використовувати служби Cosmos і Datalake, а Dataverse індекси пошуку шифруються ключем, керованим Microsoft. Щоб скористатися цими службами, потрібно перейти на ключ, керований клієнтом.
  • Файли та зображення розміром менше 128 МБ можна використовувати, якщо ваше середовище має версію 9.2.21052.00103 або вище.
  • У більшості існуючих середовищ файли та журнали зберігаються в базах даних SQL, відмінних від Azure. У цих середовищах не можна ввімкнути самокерований ключ шифрування. Лише нові середовища (після реєстрації в цій програмі) можна ввімкнути за допомогою ключа шифрування для самостійного керування.

Вступ до керування ключами

За допомогою керування ключами адміністратори можуть надавати свої власні ключі шифрування або використовувати згенеровані для них ключі шифрування, які використовуються для захисту бази даних для середовища.

Функція керування ключами підтримує файли ключа шифрування PFX і BYOK, наприклад ті, що зберігаються в модулі безпеки устаткування (HSM). Щоб використовувати ключ шифрування завантаження, потрібен як загальнодоступний, так і приватний ключ шифрування.

Функція керування ключами спрощує керування ключами шифрування за допомогою сховища ключів ,Azure щоб надійно зберігати їх. Сховище ключів Azure допомагає захистити криптографічні ключі і таємниці, що використовуються хмарними програмами та послугами. Функція керування ключами не вимагає наявності передплати на Azure Key Vault, і в більшості ситуацій немає потреби в доступі до ключів шифрування, які використовуються в Dataverse сховищі.

Функція керованих клавіш дає змогу виконувати наведені нижче завдання.

  • Увімкніть можливість самостійно керувати ключами шифрування бази даних, пов'язаними з середовищами.

  • Генеруйте нові ключі шифрування або завантажте існуючих файли ключа шифрування .PFX або .BYOK.

  • Блокування та розблокування середовищ клієнта.

    Попередження

    Коли клієнт заблоковано, не всі середовища в клієнті доступні для всіх користувачів. Додаткові відомості: Блокування клієнта.

Ви повинні розуміти потенційні ризики, коли ви керуєте ключами

Як і в будь-яких ключових для бізнесу додатках, той персонал у вашій організації, який має доступ на рівні адміністраторів, має користуватися довірою. Перед використанням функції керування ключами, ви повинні розуміти ризик такого керування ключами шифрування бази даних. Можна припустити, що зловмисний адміністратор (особа, яка отримала доступ на рівні адміністратора або отримала його з наміром завдати шкоди безпеці організації або бізнес-процесам), який працює у вашій організації, може використовувати функцію керованих ключів для створення ключа та блокування всіх середовищ у клієнті.

Розглянемо подану нижче послідовність подій.

Зловмисний адміністратор здійснює вхід у центр адміністрування Power Platform, переходить на вкладку Середовища та вибирає Керувати ключами шифрування. Після цього зловмисний адміністратор створює новий ключ із паролем, завантажує цей ключ шифрування на локальний диск і активує новий ключ. Тепер усі бази даних середовища зашифровані за допомогою нового ключа. Далі зловмисний адміністратор блокує клієнт за допомогою нещодавно завантаженого ключа, а потім забирає або видаляє завантажений ключ шифрування.

Ці дії призводять до відключення всіх середовищ у клієнті від онлайн-доступу та роблять усі резервні копії бази даних непридатними для відновлення.

Важливо

Щоб зловмисний адміністратор не перервав роботу бізнес-операцій шляхом блокування бази даних, функція керованих ключів не дає змогу заблокувати середовища клієнта упродовж 72 годин після зміни або активації ключа шифрування в базі даних. Це дає змогу іншим адміністраторам впродовж 72 годин скинути будь-які несанкціоновані зміни ключів.

Вимоги до ключів шифрування

Якщо ви надаєте власний ключ шифрування, ваш ключ має відповідати цим вимогам, які приймаються Сховищем ключів Azure.

  • Формат файлу ключа шифрування має бути PFX або BYOK.
  • 2048-бітний RSA.
  • Тип ключа RSA-HSM (потрібен запит до служби підтримки Microsoft).
  • Файли ключів шифрування PFX повинні бути захищені паролем.

Для отримання додаткових відомостей про створення та передавання ключа, захищеного HSM, через Інтернет перегляньте статтю Створення та передавання ключів, захищених HSM, для Azure Key Vault. Підтримується лише ключ nCipher постачальника HSM. Перед створенням ключа HSM перейдіть до центру адміністрування Power Platform і відкрийте там вікно Керування ключами шифрування/Створення нового ключа, щоб отримати ідентифікатор передплати для регіону вашого середовища. Цей ідентифікатор передплати потрібно скопіювати та вставити в HSM, щоб створити ключ. Це гарантує, що лише наш Сховище ключів Azure зможе відкрити ваш файл.

Завдання керування ключами

Щоб спростити завдання керування ключами, завдання розбиваються на три області.

  1. Як згенерувати або завантажити ключ шифрування для клієнта
  2. Активація ключа шифрування для клієнта
  3. Керування шифруванням для середовища

Адміністратори можуть використовувати центр адміністрування Power Platform або командлети модуля адміністрування Power Platform для виконання завдань керування для захисту ключа клієнта, описаних тут.

Створення або передавання ключа шифрування для клієнта

Усі ключі шифрування зберігаються у сховищі ключів Azure, і в будь-який момент активним може бути лише один ключ. Оскільки активний ключ використовується для шифрування всіх середовищ в клієнті, керування шифруванням використовується на рівні клієнта. Після активації ключа кожне окреме середовище можна вибрати для використання ключа для шифрування.

Використовуйте цю процедуру для першого настроювання функції керованого ключа для середовища або для зміни (або перенесення) ключа шифрування для вже самокерованого клієнта.

Попередження

Виконуючи описані тут кроки вперше, ви погоджуєтеся самостійно керувати своїми ключами шифрування. Додаткові відомості: Ви повинні розуміти потенційні ризики, коли ви керуєте ключами.

  1. Увійдіть у Power Platform Центр адміністрування як адміністратор (адміністратор або Microsoft Power Platform адміністратор Dynamics 365).

  2. Виберіть вкладку Середовища, а потім на панелі інструментів виберіть пункт Керувати ключами шифрування.

  3. Виберіть Підтвердити , щоб підтвердити ризик керованого ключа.

  4. На панелі інструментів натисніть кнопку Створити ключ.

  5. В області зліва додайте відомості, щоб створити або завантажити ключ.

    • Виберіть Регіон. Цей параметр відображається лише в тому разі, якщо ваш клієнт має кілька регіонів.
    • Введіть Ім’я ключа.
    • Виберіть потрібні варіанти з наведених нижче.

  6. Виберіть Далі.

Створення нового ключа (.pfx)

  1. Введіть пароль, а потім введіть його ще раз для підтвердження.
  2. Натисніть кнопку Створити, а потім виберіть сповіщення про створений файл у браузері.
  3. Файл ключа шифрування .PFX завантажується в папку завантажень веб-браузера за замовчуванням. Збережіть файл у безпечному розташуванні (рекомендовано зробити резервну копію ключа та його пароля).

Передавання ключа (.pfx або .byok)

  1. Виберіть елемент Передати ключ, виберіть файл .pfx або .byok1, а потім натисніть кнопку Відкрити.
  2. Введіть пароль для ключа, а потім натисніть кнопку Створити.

1 Для файлів BYOK ключа шифрування упевніться, що ви використовуєте ідентифікатор передплати (як показано на екрані) під час експортування ключа шифрування з локального HSM. Додаткові відомості: Як створити та передати захищені HSM ключі для сховища ключів Azure.

Нотатка

Щоб зменшити кількість кроків для адміністратора для керування процесом ключування, ключ автоматично активується під час першого завантаження. Усі подальші завантаження ключа вимагають додаткового кроку для активації ключа.

Активація ключа шифрування для клієнта

Після створення або передавання ключа шифрування для клієнта його можна активувати.

  1. Увійдіть у Power Platform Центр адміністрування як адміністратор (адміністратор або Microsoft Power Platform адміністратор Dynamics 365).
  2. Виберіть вкладку Середовища, а потім на панелі інструментів виберіть пункт Керувати ключами шифрування.
  3. Виберіть Підтвердити , щоб підтвердити ризик керованого ключа.
  4. Виберіть ключ із станом Доступно, а потім натисніть кнопку Активувати ключ на панелі інструментів.
  5. Виберіть Підтвердити , щоб підтвердити зміну ключа.

Для активації ключа для клієнта службі керування ключами потрібен деякий час. Коли новий або переданий ключ активується, статус Стан ключа відображає його як Інсталюється. Після активації ключа відбувається наступне.

  • Усі зашифровані середовища автоматично шифруються за допомогою активного ключа (ця дія не дає збоїв).
  • Після активації ключ шифрування застосовується до всіх середовищ, які змінено з наданого Microsoft на самокерований ключ шифрування.

Важливо

Щоб упорядкувати процес керування ключами таким чином, щоб усіма середовищами керував той самий ключ, активний ключ не можна оновити за наявності заблокованих середовищ. Усі заблоковані середовища мають бути розблоковані, перш ніж можна буде активувати новий ключ. Якщо наявні заблоковані середовища, які не потрібно розблоковувати, їх потрібно видалити.

Нотатка

Після активації ключа шифрування не можна активувати інший ключ протягом 24 годин.

Керування шифруванням для середовища

За замовчуванням кожне середовище зашифровано за допомогою ключа шифрування, наданого корпорацією Майкрософт. Після активації ключа шифрування для клієнта адміністратори можуть змінити шифрування за замовчуванням для використання активованого ключа шифрування. Щоб використовувати активований ключ, виконайте описані нижче дії.

Застосування ключа шифрування до середовища

  1. Увійдіть у Центр адміністрування Power Platform з використанням облікових даних ролі адміністратора середовища або системного адміністратора.
  2. Перейдіть на вкладку Середовища.
  3. Відкрийте зашифроване середовище, надане корпорацією Майкрософт.
  4. Виберіть Переглянути все.
  5. У розділі Шифрування середовища виберіть елемент Керування.
  6. Виберіть Підтвердити , щоб підтвердити ризик керованого ключа.
  7. Натисніть кнопку Застосувати цей ключ, щоб прийняти зміну шифрування для використання активованого ключа.
  8. Виберіть Підтвердити , щоб підтвердити, що ви безпосередньо керуєте ключем і що для цієї дії є простої.

Повернення керованого ключа шифрування до ключа шифрування, який надається Microsoft

Повернення до ключа шифрування, який надається корпорацією Microsoft, знов налаштовує середовище на поведінку за замовчуванням, при якій Microsoft керує ключем шифрування для вас.

  1. Увійдіть у Центр адміністрування Power Platform з використанням облікових даних ролі адміністратора середовища або системного адміністратора.
  2. Перейдіть на вкладку Середовища, а потім виберіть середовище, зашифроване за допомогою самостійного ключа шифрування.
  3. Виберіть Переглянути все.
  4. У розділі Шифрування середовища виберіть елемент Керування, а потім натисніть кнопку Підтвердити.
  5. У розділі Повернутися до стандартного керування ключами шифрування натисніть кнопку Повернутися.
  6. Для виробничих середовищ підтвердьте середовище шляхом введення імені середовища.
  7. Натисніть кнопку Підтвердити, щоб повернутися до стандартного керування ключами шифрування.

Блокування клієнта

Оскільки на кожного клієнта є лише один активний ключ, блокування шифрування для клієнта вимикає всі середовища в клієнті. Усі заблоковані середовища залишаються недоступними для всіх, у тому числі Microsoft, доки адміністратор служби Power Platform у вашій організації не розблокує їх за допомогою ключа, який був використаний для блокування.

Увага!

Ніколи не слід блокувати середовища клієнта в рамках нормального бізнес-процесу. Коли ви блокуєте Dataverse клієнт, усі середовища переводяться в автономний режим, і ніхто, включно з Microsoft, не зможе до них отримати доступ. Крім того, такі послуги як синхронізація та обслуговування припиняються. Якщо ви вирішите вийти зі служби, блокування клієнта може забезпечити те, що доступ до ваших онлайн-даних ніколи більше не зможе отримати жодний користувач.
Зверніть увагу на інформацію щодо блокування середовищ клієнта.

  • Заблоковані середовища не можна відновити з резервної копії.
  • Заблоковані середовища видаляються, якщо їх не розблокувати через 28 днів.
  • Не можна заблокувати середовище протягом 72 годин після змінення ключа шифрування.
  • Блокування клієнта блокує всі активні середовища в межах клієнта.

Важливо

  • Перш ніж розблокувати активні середовища, слід зачекати щонайменше одну годину після блокування.
  • Після того, як почнеться процес блокування, буде видалено всі ключі шифрування зі станом «Активний» або «Доступний». Процес блокування може тривати до години, і протягом цього часу розблокування заблокованих середовищ заборонено.
  1. Увійдіть у Power Platform Центр адміністрування як адміністратор (адміністратор або Microsoft Power Platform адміністратор Dynamics 365).
  2. Виберіть вкладку Середовища, а потім на панелі команд виберіть Керувати ключами шифрування.
  3. Виберіть ключ Активний, а потім виберіть Заблокувати активні середовища.
  4. В області праворуч виберіть Передати активний ключ, знайдіть і виберіть ключ, введіть пароль, а потім натисніть кнопку Заблокувати.
  5. Коли відобразиться запит, введіть текст, який відображається на екрані, щоб підтвердити, що потрібно блокувати всі середовища в регіоні, а потім натисніть кнопку Підтвердити.

Розблокування заблокованих середовищ

Щоб розблокувати середовища, спочатку потрібно передати , а потім активувати ключ шифрування клієнта за допомогою того самого ключа, який використовувався для блокування клієнта. Зауважте, що заблоковані середовища не розблоковуються автоматично після активації ключа. Кожне заблоковане середовище має бути розблоковано окремо.

Важливо

  • Перш ніж розблокувати активні середовища, слід зачекати щонайменше одну годину після блокування.
  • Процес розблокування може тривати до години. Після розблокування ключа можна використовувати його для керування шифруванням для середовища.
  • Не можна створити новий або передати наявний ключ, доки не буде розблоковано всі заблоковані середовища.
Розблокування ключа шифрування
  1. Увійдіть у Power Platform Центр адміністрування як адміністратор (адміністратор або Microsoft Power Platform адміністратор Dynamics 365).
  2. Виберіть вкладку Середовища, а потім виберіть Керувати ключами шифрування.
  3. Виберіть ключ із станом Заблоковано, а потім на панелі команд виберіть Розблокувати ключ.
  4. Виберіть елемент Передати заблокований ключ, знайдіть і виберіть ключ, використаний для блокування клієнта, введіть пароль, а потім натисніть кнопку Розблокувати. Ключ перейде в стан Інсталяція. Потрібно зачекати, доки ключ перейде в стан Активний, перш ніж розблокувати заблоковані середовища.
  5. Щоб розблокувати середовище, див. наступний розділ.
Розблокування середовищ

  1. Виберіть вкладку Середовища та виберіть ім’я заблокованого середовища.

    Порада

    Не виділяйте рядок. Виберіть ім’я середовища. Відкрийте середовище для перегляду налаштувань.

  2. У розділі Відомості виберіть елемент Переглянути все, щоб відобразити область Відомості.

  3. У розділі Шифрування середовища на панелі Відомості виберіть елемент Керувати.

    Навколишнє середовище-деталі-панель.

  4. На сторінці Шифрування середовища виберіть елемент Розблокувати.

    Розблокування оточення.

  5. Натисніть кнопку Підтвердити, щоб підтвердити, що ви хочете розблокувати середовище.

  6. Повторіть попередні кроки, щоб розблокувати інші середовища.

Операції шифрування бази даних

У користувацькому клієнті можуть бути середовища, зашифровані за допомогою ключа, яким керує Microsoft, і середовища, зашифровані за допомогою ключа, яким керує клієнт. Для підтримки цілісності даних і їх захисту доступні наведені нижче елементи керування доступні під час керування операціями з базами даних у середовищі.

  1. Відновлення Середовище для перезапису (відновлене в середовищі) обмежується тим самим середовищем, з якого було взято резервну копію, або іншим середовищем, яке зашифровано тим самим керованим клієнтом ключем.

    Відновіть резервну копію.

  2. Копіювати Середовище для перезапису (скопійоване в середовище) обмежене іншим середовищем, яке шифрується тим самим керованим клієнтом ключем.

    Середовище копіювання.

    Нотатка

    Якщо середовище «Дослідження підтримки» було створено для вирішення проблеми з підтримкою в середовищі, яким керує клієнт, ключ шифрування для середовища «Дослідження підтримки» необхідно змінити на ключ, яким керує клієнт, перш ніж можна буде виконати операцію копіювання середовища.

  3. Скидання Зашифровані дані середовища видаляються, включно з резервними копіями. Після скидання середовища шифрування середовища повернеться до використання ключа, яким керує Microsoft.

Пов’язаний вміст

SQL Server: прозоре шифрування даних (TDE)