فهم اللغة خدمة تشفير البيانات في حالة السكون

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

تقوم خدمة فهم اللغة تلقائيا بتشفير بياناتك عند استمرارها في السحابة. يحمي تشفير خدمة فهم اللغة بياناتك ويساعدك على الوفاء بالتزامات الأمان والامتثال المؤسسية.

حول تشفير الخدمات المعرفية

يتم تشفير البيانات وفك تشفيرها باستخدام تشفير AES 256 بت المتوافق مع FIPS 140-2. التشفير وفك التشفير شفافان ، مما يعني أن التشفير والوصول تتم إدارتهما نيابة عنك. بياناتك آمنة بشكل افتراضي ولا تحتاج إلى تعديل التعليمات البرمجية أو التطبيقات للاستفادة من التشفير.

حول إدارة مفاتيح التشفير

افتراضياً، يستخدم اشتراكك مفاتيح التشفير التي تديرها Microsoft. هناك أيضا خيار لإدارة اشتراكك باستخدام مفاتيحك الخاصة التي تسمى المفاتيح المدارة من قبل العميل (CMK). يوفر CMK مرونة أكبر لإنشاء عناصر التحكم في الوصول وتدويرها وتعطيلها وإبطالها. يمكنك أيضا تدقيق مفاتيح التشفير المستخدمة لحماية بياناتك.

المفاتيح المدارة من قبل العميل باستخدام Azure Key Vault

هناك أيضا خيار لإدارة اشتراكك باستخدام مفاتيحك الخاصة. توفر المفاتيح المدارة من قبل العميل (CMK)، والمعروفة أيضا باسم إحضار المفتاح الخاص بك (BYOK)، مرونة أكبر لإنشاء عناصر التحكم في الوصول وتدويرها وتعطيلها وإبطالها. يمكنك أيضا تدقيق مفاتيح التشفير المستخدمة لحماية بياناتك.

يجب عليك استخدام Azure Key Vault لتخزين المفاتيح التي يديرها العميل. يمكنك إما إنشاء المفاتيح الخاصة بك وتخزينها في قبو المفاتيح، أو يمكنك استخدام واجهات برمجة تطبيقات Azure Key Vault لإنشاء المفاتيح. يجب أن يكون مورد الخدمات المعرفية والمخزن الرئيسي في نفس المنطقة وفي نفس مستأجر Azure Active Directory (Azure AD)، ولكن يمكن أن يكونا في اشتراكات مختلفة. لمزيد من المعلومات حول Azure Key Vault، راجع ما هو Azure Key Vault؟.

مفاتيح يديرها العميل لفهم اللغة

لطلب القدرة على استخدام المفاتيح المدارة من قبل العميل، قم بملء نموذج طلب مفتاح خدمة LUIS Customer-Managed وإرساله. سيستغرق الأمر حوالي 3-5 أيام عمل للاستماع إلى حالة طلبك. بناء على الطلب، قد يتم وضعك في قائمة انتظار والموافقة عليك عندما تصبح المساحة متاحة. بمجرد الموافقة على استخدام CMK مع LUIS، ستحتاج إلى إنشاء مورد جديد لفهم اللغة من مدخل Azure وتحديد E0 كطبقة التسعير. ستعمل SKU الجديدة بنفس طريقة عمل F0 SKU المتوفرة بالفعل باستثناء CMK. لن يتمكن المستخدمون من الترقية من F0 إلى E0 SKU الجديد.

التقييدات

هناك بعض القيود عند استخدام طبقة E0 مع التطبيقات الموجودة/التي تم إنشاؤها مسبقا:

• سيتم حظر الترحيل إلى مورد E0. سيتمكن المستخدمون فقط من ترحيل تطبيقاتهم إلى موارد F0. بعد ترحيل مورد موجود إلى F0، يمكنك إنشاء مورد جديد في طبقة E0. تعرف على المزيد حول الترحيل هنا.
• سيتم حظر نقل التطبيقات من أو إلى مورد E0. الحل البديل لهذا القيد هو تصدير التطبيق الموجود لديك واستيراده كمورد E0.
• ميزة التدقيق الإملائي Bing غير مدعومة.
• يتم تعطيل تسجيل حركة مرور المستخدم النهائي إذا كان التطبيق الخاص بك هو E0.
• لا يتم دعم إمكانية تحضير الكلام من خدمة Azure Bot للتطبيقات في طبقة E0. تتوفر هذه الميزة عبر خدمة Azure Bot، التي لا تدعم CMK.
• تتطلب إمكانية تحضير الكلام من البوابة الإلكترونية تخزين Azure Blob. لمزيد من المعلومات، راجع إحضار مساحة التخزين الخاصة بك.

تمكين المفاتيح المُدارة بواسطة العملاء

يتم دائما تشفير مورد جديد للخدمات المعرفية باستخدام المفاتيح المدارة من قبل Microsoft. لا يمكن تمكين المفاتيح التي يديرها العميل في وقت إنشاء المورد. يتم تخزين المفاتيح المدارة من قبل العميل في Azure Key Vault، ويجب تزويد مخزن المفاتيح بنهج الوصول التي تمنح أذونات المفاتيح للهوية المدارة المقترنة بمورد الخدمات المعرفية. لا تتوفر الهوية المدارة إلا بعد إنشاء المورد باستخدام طبقة التسعير ل CMK.

لمعرفة كيفية استخدام المفاتيح المدارة من قبل العميل مع تشفير Azure Key Vault للخدمات المعرفية، راجع:

• تكوين المفاتيح المدارة من قبل العميل باستخدام Key Vault تشفير الخدمات المعرفية من مدخل Azure

سيؤدي تمكين المفاتيح المدارة من قبل العملاء أيضا إلى تمكين هوية مدارة معينة من قبل النظام، وهي ميزة من ميزات Azure AD. بمجرد تمكين الهوية المدارة المعينة من قبل النظام، سيتم تسجيل هذا المورد في Azure Active Directory. بعد التسجيل، سيتم منح الهوية المدارة حق الوصول إلى Key Vault المحدد أثناء إعداد المفتاح المدار من قبل العميل. يمكنك معرفة المزيد عن الهويات المدارة.

هام

إذا قمت بتعطيل الهويات المدارة المعينة من قبل النظام، فستتم إزالة الوصول إلى مخزن المفاتيح ولن يكون من الممكن الوصول إلى أي بيانات مشفرة باستخدام مفاتيح العميل. ستتوقف أي ميزات تعتمد على هذه البيانات عن العمل.

هام

لا تدعم الهويات المُدارة حالياً سيناريوهات عبر الدليل. عند تكوين المفاتيح المدارة من قبل العميل في مدخل Azure، يتم تعيين هوية مدارة تلقائيا تحت الأغطية. إذا قمت لاحقا بنقل الاشتراك أو مجموعة الموارد أو المورد من دليل Azure AD إلى آخر، فلن يتم نقل الهوية المدارة المقترنة بالمورد إلى المستأجر الجديد، لذلك قد لا تعمل المفاتيح التي يديرها العميل بعد الآن. لمزيد من المعلومات، راجع نقل اشتراك بين دلائل Azure AD في الأسئلة المتداولة والمشكلات المعروفة المتعلقة بالهويات المدارة لموارد Azure.

تخزين المفاتيح المدارة من قبل العميل في Azure Key Vault

لتمكين المفاتيح التي يديرها العميل، يجب عليك استخدام Azure Key Vault لتخزين مفاتيحك. يجب تمكين كل من خاصيتي الحذف الناعم وعدم التطهير على المخزن الرئيسي.

يتم دعم مفاتيح RSA فقط بحجم 2048 مع تشفير الخدمات المعرفية. لمزيد من المعلومات حول المفاتيح، راجع مفاتيح Key Vault في حول Azure Key Vault المفاتيح والأسرار والشهادات.

تدوير المفاتيح التي يديرها العميل

يمكنك تدوير مفتاح يديره العميل في Azure Key Vault وفقًا لسياسات الامتثال الخاصة بك. عند تدوير المفتاح، يجب تحديث مورد الخدمات المعرفية لاستخدام مفتاح URI الجديد. لمعرفة كيفية تحديث المورد لاستخدام إصدار جديد من المفتاح في مدخل Azure، راجع القسم المعنون تحديث إصدار المفتاح في تكوين المفاتيح المدارة من قبل العميل للخدمات المعرفية باستخدام مدخل Azure.

لا يؤدي تدوير المفتاح إلى إعادة تشفير البيانات في المورد. لا يوجد أي إجراء آخر مطلوب من المستخدم.

إبطال الوصول إلى المفاتيح التي يديرها العميل

لإلغاء الوصول إلى المفاتيح التي يديرها العميل، استخدم PowerShell أو Azure CLI. لمزيد من المعلومات، راجع Azure Key Vault PowerShell أو Azure Key Vault CLI. يؤدي إبطال الوصول إلى حظر الوصول بشكل فعال إلى جميع البيانات الموجودة في مورد الخدمات المعرفية، حيث يتعذر على الخدمات المعرفية الوصول إلى مفتاح التشفير.

الخطوات التالية

• خدمة LUIS Customer-Managed نموذج طلب المفتاح
• تعرف على المزيد حول Azure Key Vault