إدارة مفتاح التشفير

  • مقالة

تستخدم جميع بيئات Microsoft Dataverse ميزة تشفير البيانات الشفاف (TDE) في SQL Server لإجراء عملية تشفير البيانات وفك تشفيرها في الوقت الحقيقي عند كتابتها إلى القرص، تُعرف أيضًا باسم تشفير البيانات غير المتنقلة عبر الشبكات.

بشكل افتراضي، تقوم Microsoft بتخزين وإدارة مفتاح تشفير قاعدة البيانات لبيئاتك بحيث لن تحتاج إلى القيام بذلك. توفر ميزة إدارة المفاتيح في مركز إدارة Microsoft Power Platform للمسؤولين القدرة على الإدارة الذاتية لمفتاح تشفير قاعدة البيانات المقترن بمستأجر Dataverse.

مهم

  • في 2 يونيو من عام 2023، تمت ترقية هذه الخدمة إلى مفتاح التشفير الذي يديره العملاء. سيستخدم العملاء الجدد الذين يحتاجون إلى إدارة مفتاح التشفير الخاص بهم الخدمة التي تمت ترقيتها حيث لم تعد هذه الخدمة عرضا.
  • تتوفر مفاتيح تشفير قاعدة البيانات المدارة ذاتيًا فقط للعملاء الذين لديهم أكثر من 1000 ترخيص Power Apps ترخيص مستخدم، أو أكثر من 1000 ترخيص من تراخيص Dynamics 365 Enterprise، أو أكثر من 1000 ترخيص من مزيج منهما في مستأجر واحد. لرفض الاشتراك في هذا البرنامج، قم بإرسال طلب دعم.

لا تنطبق إدارة مفتاح التشفير إلا على قواعد بيانات بيئة Azure SQL فقط. تستمر الميزات والخدمات التالية في استخدام مفتاح التشفير المُدار من قِبل Microsoft لتشفير بياناتها ولا يمكن تشفيرها باستخدام مفتاح التشفير المُدار ذاتياً:

  • ميزات المساعدين وميزات الذكاء الاصطناعي التوليدي في Microsoft Power Platform وMicrosoft Dynamics 365
  • بحث Dataverse
  • جداول مرنة
  • Mobile Offline
  • سجل النشاط (مدخل Microsoft 365)
  • Exchange (‏‫المزامنة على جانب الخادم‬)

‏‫ملاحظة‬

  • يجب تشغيل ميزة مفتاح تشفير قاعدة البيانات ذات الإدارة الذاتية من قبل Microsoft للمستأجر قبل أن تتمكن من استخدام الميزة.
  • لاستخدام ميزات إدارة تشفير البيانات لبيئة ما، يجب إنشاء البيئة بعد تشغيل ميزة الإدارة الذاتية لمفتاح تشفير قاعدة البيانات بواسطة Microsoft.
  • يمكن تمكين دعم الملف والصورة بحجم أكبر من < 128 ميغابايت إذا كان إصدار البيئة لديك 9.2.21052.00103 أو أعلى.
  • تحتوي معظم البيئات الموجودة على ملف وسجل مخزنين في قواعد بيانات بخلاف Azure SQL. لا يمكن لهذه البيئات الاشتراك في مفتاح تشفير مدار ذاتيًا. يمكن تمكين البيئات الجديدة فقط (بمجرد التسجيل لهذا البرنامج) باستخدام مفتاح التشفير المدار ذاتيًا.

مقدمة إلى إدارة المفاتيح

باستخدام وظيفة إدارة المفاتيح في ، بإمكان المسؤولين توفير مفتاح تشفير خاص بهم أو طلب إنشاء مفتاح تشفير لهم، والذي يستخدم لحماية قاعدة البيانات التابعة لبيئة.

تدعم ميزة إدارة المفاتيح ملفات مفاتيح التشفير PFX وBYOK، كتلك التي تم تخزينها في وحدة نمطية لأمان الأجهزة (HSM). لاستخدام خيار تحميل مفتاح التشفير، يجب أن يتوفر لديك مفتاح التشفير العام ومفتاح التشفير الخاص على حدٍ سواء.

تأخذ ميزة إدارة المفاتيح التعقيد من إدارة مفاتيح التشفير باستخدام Azure Key Vault لتخزين مفاتيح التشفير بأمان. يحمي Azure Key Vault helps مفاتيح وأسرار التشفير التي تستخدمها التطبيقات والخدمات السحابية. لا تتطلب ميزة إدارة المفاتيح أن يكون لديك اشتراك Azure Key Vault، وفي معظم الحالات لا حاجة للوصول إلى مفاتيح التشفير المستخدمة في Dataverse داخل المخزن.

تسمح لك ميزة إدارة المفاتيح بتنفيذ المهام التالية.

  • تمكين القدرة على تنفيذ الإدارة الذاتية لمفاتيح تشفير قاعدة البيانات المقترنة بالبيئات.

  • إنشاء مفاتيح تشفير جديدة أو موجودة أو تحميل ملفات مفاتيح تشفير موجودة .PFX أو .BYOK.

  • تأمين بيئات المستأجر وإلغاء تأمينها.

    تحذير

    عند تأمين مستأجر ما، لا يمكن لأي شخص الوصول إلى جميع البيئات الموجودة في هذا المستأجر. مزيد من المعلومات: تأمين مستأجر.

فهم المخاطر المحتملة عند إدارة المفاتيح

كما هو الحال مع أي تطبيق مهم للأعمال، يجب الوثوق بالعاملين داخل المؤسسة الذين لديهم حق الوصول على مستوى المسؤول. وقبل استخدام ميزة إدارة المفاتيح، يجب فهم المخاطر المحتملة عند إدارة مفاتيح تشفير قاعدة البيانات. وليس من المستبعد أن يقوم مسؤول ضار (شخص تم منحه حق الوصول على مستوى المسؤول أو اكتسب هذا الحق بقصد إلحاق الضرر بأمان المؤسسة أو إجراءات العمل فيها) يعمل داخل مؤسستك باستخدام ميزة إدارة المفاتيح لإنشاء مفتاح واستخدامه لتأمين جميع البيئات في هذا المستأجر .

خذ بعين الاعتبار التسلسل التالي للأحداث.

يقوم المسؤول الضار بتسجيل الدخول إلى مركز إدارة Power Platform، وينتقل إلى علامة تبويب البيئات ويحدد إدارة مفتاح التشفير. بعدئذ يقوم المسؤول الضارة بإنشاء مفتاح جديد باستخدام كلمة مرور وينزيل مفتاح التشفير على محرك الأقراص المحلي الخاص به، وينشط المفتاح الجديد. بذلك تكون جميع قواعد بيانات البيئة مشفرة باستخدام المفتاح الجديد. بعد ذلك، يقوم المسؤول الضار بتأمين المستأجر باستخدام المفتاح الذي تم تنزيله مؤخرا، ثم يأخذ أو يحذف مفتاح التشفير الذي تم تنزيله.

ستؤدي هذه الإجراءات إلى تعطيل كافة البيئات الموجودة في المستأجر من الوصول عبر الإنترنت وجعل جميع عمليات النسخ الاحتياطي لقواعد البيانات غير قابلة للاسترداد.

هام

لمنع المسؤول الضار من مقاطعة عمليات الأعمال بتأمين قاعدة البيانات، لا تسمح ميزة المفاتيح المُدارة بتأمين بيئات المستأجر لمدة 72 ساعة بعد تغيير مفتاح التشفير أو تنشيطه. وهذا يتيح مدة 72 ساعة للمسؤولين الآخرين للتراجع عن كل تغييرات المفاتيح غير المخوّلة.

متطلبات مفاتيح التشفير

إذا قمت بتوفير مفتاح تشفير خاص بك، فيجب أن يلبي مفتاحك هذه المتطلبات التي يقبلها Azure Key Vault.

  • يجب أن يكون تنسيق ملف مفتاح التشفير PFX أو BYOK.
  • 2048-bit RSA.
  • نوع المفتاح RSA-HSM (يتطلب طلب دعم Microsoft).
  • يجب أن تكون ملفات مفاتيح التشفير PFX محمية بكلمة مرور.

لمزيد من المعلومات حول إنشاء مفتاح محمي بواسطة HSM ونقله عبر الإنترنت، راجع كيفية إنشاء مفاتيح محمية بواسطة HSM لمخزن Azure الأساسي ونقلها. يتم دعم مفتاح nCipher لبائع HSM فقط. قبل إنشاء مفتاح HSM الخاص بك، انتقل إلى نافذة مركز إدارة Power Platform admin center إدارة مفاتيح التشفير/إنشاء مفتاح جديد للحصول على معرف الاشتراك لمنطقتك البيئية. يلزمك نسخ معر ها الاشتراك ولصقه إلى HSM لإنشاء المفتاح. سيضمن ذلك أن مخزن Azure الأساسي فقط يمكنه فتح الملف الخاص بك.

مهام إدارة المفاتيح

لتبسيط مهام إدارة المفاتيح، يتم تقسيم المهام إلى ثلاث مناطق:

  1. إنشاء مفتاح التشفير أو تحميله للمستأجر
  2. تنشيط مفتاح تشفير للمستأجر
  3. إدارة تشفير بيئة

يمكن للمسؤولين استخدام مركز مسؤولي Power Platform أو cmdlets لوحدة إدارة Power Platform لتنفيذ مهام إدارة مفتاح حماية المستأجر الموضحة هنا.

إنشاء مفتاح التشفير أو تحميله للمستأجر

يتم تخزين كافة مفاتيح التشفير في مخزن Azure الأساسي، ولا يتوفر سوى مفتاح نشط واحد في المرة الواحدة. وبما أن المفتاح النشط يتم استخدامه لتشفير جميع البيئات في المستأجر، يتم تشغيل إدارة التشفير على مستوي المستأجر. بمجرد تنشيط المفتاح، يمكن تحديد كل بيئة فردية بعد ذلك لاستخدام المفتاح للتشفير.

استخدم هذا الإجراء لإعداد ميزة إدارة المفاتيح للمرة الأولى لبيئة أو لتغيير (أو نقل) مفتاح تشفير لمستأجر مدار ذاتيًا بالفعل.

تحذير

عندما تنفذ الخطوات الموضحة هنا لأول مرة، فأنت بذلك تختار إدارة مفاتيح التشفير ذاتيًا. مزيد من المعلومات: فهم المخاطر المحتملة عند إدارة المفاتيح

  1. سجل دخولك إلى مركز إدارة Power Platform، كمسؤول (مسؤول Dynamics 365 أو مسؤول عمومي أو مسؤول Microsoft Power Platform).

  2. حدد علامة تبويب البيئات، ثم حدد إضافة مفاتيح التشفير على شريط الأدوات.

  3. حدد تأكيد لتقر لقبول خطر إدارة المفتاح.

  4. حدد مفتاح جديد في شريط الأدوات.

  5. في الجزء الأيسر، أكمل التفاصيل لإنشاء مفتاح أو تحميله:

    • حدد منطقة. لا يظهر هذا الخيار الا إذا كان للمستأجر الخاص بك مناطق متعددة.
    • أدخل اسم المفتاح.
    • حدد من الخيارات التالية:

  6. حدد التالي.

إنشاء مفتاح جديد (pfx.)

  1. أدخل كلمة مرور، ثم أعد إدخال كلمة المرور للتأكيد.
  2. حدد إنشاء، ثم حدد إعلام الملف الذي تم إنشاؤه في المستعرض.
  3. يتم تنزيل ملف مفتاح التشفير PFX. في مجلد التنزيل الافتراضي الخاص بمستعرض الويب. قم بحفظ الملف في موقع آمن (نوصي بعمل نسخة احتياطية من هذا المفتاح مع كلمة المرور الخاصة به).

تحميل مفتاح (pfx. أو byok.)

  1. حدد تحميل المفتاح، وحدد ملف pfx. أو byok‎.1، ثم حدد فتح.
  2. أدخل كلمة مرور للمفتاح، ثم انقر فوق إنشاء.

1 بالنسبة إلى ملفات مفاتيح التشفير byok.، تأكد من استخدام معرف الاشتراك الذي يظهر على الشاشة عند تصدير مفتاح التشفير من وحدة HSM المحلية. مزيد من المعلومات: كيفية إنشاء مفاتيح محمية بواسطة HSM لمخزن Azure الأساسي ونقلها

‏‫ملاحظة‬

لتقليل عدد الخطوات للمسؤول لإدارة عملية المفتاح، يتم تنشيط المفتاح تلقائيًا عندما يتم تحميله في المرة الأولى. تتطلب كل عمليات تحميل المفاتيح اللاحقة خطوة إضافية لتنشيط المفتاح.

تنشيط مفتاح تشفير للمستأجر

بمجرد إنشاء مفتاح تشفير أو تحميله للمستأجر، يمكن تنشيطه.

  1. سجل دخولك إلى مركز إدارة Power Platform، كمسؤول (مسؤول Dynamics 365 أو مسؤول عمومي أو مسؤول Microsoft Power Platform).
  2. حدد علامة تبويب البيئات، ثم حدد إضافة مفاتيح التشفير على شريط الأدوات.
  3. حدد تأكيد لتقر لقبول خطر إدارة المفتاح.
  4. حدد مفتاحًا حالته متاح ثم حدد مفتاح التنشيط في شريط الأدوات.
  5. حدد تأكيد لتقر بالتغيير الرئيسي.

عند تنشيط مفتاح للمستأجر ، فإن خدمة إدارة المفاتيح تستغرق بعض الوقت لكي تقوم بتنشيط المفتاح. تعرض حالة ‏‫حالة المفتاح‬ المفتاح على أنها ‏‫جارٍ التثبيت‬ عند تنشيط المفتاح الجديد أو الذي تم تحميله. بمجرد تنشيط المفتاح، يحدث ما يلي:

  • سيتم تشفير جميع البيئات المشفرة تلقائيًا باستخدام المفتاح النشط (لا توجد حاله توقف في العمل مع هذا الإجراء).
  • عند تنشيطه، سيتم تطبيق مفتاح التشفير على كافة البيئات التي تم تغييرها من Microsoft المتوفرة لمفتاح التشفير المدار ذاتيا.

هام

لتنظيم عملية إدارة المفاتيح بحيث تتم إدارة جميع البيئات بنفس المفتاح، لا يمكن تحديث المفتاح النشط عند وجود بيئات مؤمنة. يجب إلغاء تأمين جميع البيئات المؤمنة قبل أن تتمكن من تنشيط مفتاح جديد. إذا كانت هناك بيئات مؤمنة لا تحتاج إلى إلغاء تأمينها، فيجب حذفها.

‏‫ملاحظة‬

بعد تنشيط مفتاح التشفير، لا يمكنك تنشيط مفتاح آخر لمدة 24 ساعة.

إدارة تشفير بيئة

بشكل افتراضي، تكون كل بيئة مشفرة باستخدام مفتاح التشفير المتوفر من قبل Microsoft. وبمجرد تنشيط مفتاح التشفير للمستأجر، يمكن للمسؤولين اختيار تغيير التشفير الافتراضي لاستخدام مفتاح التشفير المنشط. لاستخدام المفتاح المنشط، اتبع الخطوات التالية.

تطبيق مفتاح التشفير علي بيئة

  1. قم بتسجيل الدخول إلى مركز إدارة Power Platform، استخدام بيانات اعتماد دور مسؤول البيئة أو مسؤول النظام.
  2. حدد علامة التبويب البيئات.
  3. افتح إحدى البيئات المشفرة لـ ‏‫تقدمه Microsoft‬.
  4. حدد عرض الكل.
  5. في قسم تشفير البيئة، حدد إدارة.
  6. حدد تأكيد لتقر لقبول خطر إدارة المفتاح.
  7. حدد تطبيق هذا المفتاح لقبول تغيير التشفير لاستخدام المفتاح المنشط.
  8. حدد تأكيد للاعتراف بقبولك بإدارة المفتاح مباشرة وأنه توجد فتره توقف لهذا الإجراء.

إرجاع مفتاح تشفير مدار إلى مفتاح التشفير المتوفر من قبل Microsoft

يؤدي إرجاع مفتاح التشفير المتوفر من قبل Microsoft إلى تكوين البيئة مرة أخرى إلى الحالة الافتراضية عندما تدير Microsoft مفتاح التشفير لك.

  1. قم بتسجيل الدخول إلى مركز إدارة Power Platform، استخدام بيانات اعتماد دور مسؤول البيئة أو مسؤول النظام.
  2. حدد علامة علامة التبويب البيئات، ثم حدد بيئة مشفره باستخدام مفتاح مدار ذاتيًا.
  3. حدد عرض الكل.
  4. في القسم تشفير البيئة، حدد إدارة، ثم حدد تأكيد.
  5. أسفل العودة إلى إدارة التشفير القياسي، حدد إرجاع.
  6. بالنسبة لبيئات الإنتاج، قم بتأكيد البيئة من خلال إدخال اسم البيئة.
  7. حدد تأكيد للعودة إلى إدارة التشفير القياسي.

تأمين المستأجر

نظرًا لوجود مفتاح واحد نشط فقط لكل مستأجر، فإن تأمين التشفير للمستأجر يُعطل كافة جميع البيئات الموجودة في المستأجر. تبقى إمكانية الوصول إلى جميع البيئات المؤمّنة غير متاحة للجميع، بمن فيهم Microsoft، حتى يقوم مسؤول خدمة Power Platform في مؤسستك بإلغاء تأمينها باستخدام المفتاح الذي تم استخدامه لتأمينها.

تنبيه

يجب ألا تقوم إطلاقًا بتأمين بيئات المستأجر كجزء من إجراءات العمل العادية. عند تأمين مستأجر Dataverse، سيتم أخذ كافة البيئات بشكل كامل في حالة عدم الاتصال ولن يمكن الوصول إليها من قبل أي شخص، بما في ذلك Microsoft. بالإضافة إلى ذلك، سيتوقف عمل خدمات بكاملها مثل المزامنة والصيانة. إذا قررت ترك الخدمة، فقد يؤدي تأمين المستأجر إلى التأكد من عدم الوصول إلى البيانات عبر الإنترنت نهائيًا مره أخرى من قبل أي شخص.
لاحظ التالي حول تأمين بيئات المستأجر:

  • لا يمكن استعادة البيئات المؤمنة من النسخة الاحتياطية.
  • يتم حذف البيئات المؤمنة إذا لم يتم إلغاء تأمينها بعد 28 يومًا.
  • لا يمكنك تأمين البيئات لمدة 72 ساعة بعد تغيير مفتاح تشفير.
  • يؤدي تأمين مستأجر إلى تأمين جميع البيئات النشطة داخل المستأجر.

هام

  • يجب عليك الانتظار لمده ساعة واحده علي الأقل بعدما تقوم بتأمين البيئات النشطة قبل أن تتمكن من إلغاء تامينها.
  • وبمجرد أن تبدأ عملية التأمين، يتم حذف كافة مفاتيح التشفير التي تكون إما بحالة نشطة أو متاحة. يمكن أن تستغرق عملية التأمين ساعة وأثناء هذه المرة لا يكون إلغاء قفل البيئات المؤمنة ممكنًا.
  1. سجل دخولك إلى مركز إدارة Power Platform، كمسؤول (مسؤول Dynamics 365 أو مسؤول عمومي أو مسؤول Microsoft Power Platform).
  2. حدد علامة تبويب البيئات، ثم على شريط الأوامر، حدد إدارة مفاتيح التشفير.
  3. حدد المفتاح النشط ثم حدد تأمين البيئات النشطة.
  4. في الجزء الأيسر، حدد تحميل المفتاح النشط، وقم باستعراض المفتاح وتحديده، ثم أدخل كلمة المرور، وحدد تأمين.
  5. عند المطالبة، أدخل النص الذي يتم عرضه على الشاشة للتأكد من أنك تريد تأمين كافة البيئات في المنطقة، ثم قم بتحديد تأكيد.

إلغاء تأمين البيئات المؤمنة

لإلغاء تأمين البيئات، يجب عليك أولاً تحميل ثم تنشيط مفتاح تشفير المستأجر بنفس المفتاح الذي تم استخدامه في تأمين المستأجر. الرجاء ملاحظة أن البيئات المؤمنة لا يتم إلغاء تأمينها تلقائيا بمجرد تنشيط المفتاح. يجب إلغاء تأمين كل بيئة مؤمنه بشكل فردي.

هام

  • يجب عليك الانتظار لمده ساعة واحده علي الأقل بعدما تقوم بتأمين البيئات النشطة قبل أن تتمكن من إلغاء تامينها.
  • يمكن أن تستغرق عملية إلغاء التأمين ساعة. بمجرد إلغاء تأمين المفتاح، يمكنك استخدام المفتاح لإدارة تشفير بيئة.
  • لا يمكنك إنشاء متفاح جديد أو تحميل مفتاح موجود حتى يتم إلغاء تأمين كل البيئات المؤمنة.
إلغاء تأمين مفتاح التشفير
  1. سجل دخولك إلى مركز إدارة Power Platform، كمسؤول (مسؤول Dynamics 365 أو مسؤول عمومي أو مسؤول Microsoft Power Platform).
  2. حدد علامة تبويب البيئات، ثم حدد إضافة مفاتيح التشفير.
  3. حدد المفتاح الذي حالته مؤمّن ثم حدد إلغاء تأمين المفتاح في شريط الأوامر.
  4. حددتحميل المفتاح المؤمن، وقم باستعراض المفتاح الذي تم استخدامه لتأمين المستأجر، ثم أدخل كلمة المرور، وحدد إلغاء التأمين. ينتقل المفتاح إلى حالة ‏‫جارٍ التثبيت‬. يجب الانتظار حتى يصبح المفتاح في حالة نشط قبل أن تتمكن من إلغاء تامين البيئات المؤمنة.
  5. لإلغاء تأمين بيئة، راجع القسم التالي.
إلغاء تأمين البيئات

  1. حدد علامة التبويب البيئات، ثم حدد اسم البيئة المؤمنة.

    تلميح

    لا تحدد الصف. حدد اسم البيئة. فتح البيئة لعرض الإعدادات.

  2. في القسم التفاصيل، قم بتحديد عرض الكل لعرض جزء التفاصيل الموجود علي اليمين.

  3. في القسم التشفير البيئة على جزء التفاصيل، حدد إدارة.

    Environment-details-pane.

  4. في صفحة تشفير البيئة، حدد إلغاء التأمين.

    إلغاء تأمين البيئة.

  5. حدد تأكيد لتأكيد رغبتك في إلغاء تأمين البيئة.

  6. كرر الخطوات السابقة لإلغاء تأمين البيئات الإضافية.

عمليات قاعدة بيانات البيئة

يمكن أن يكون للمستأجر العميل بيئات يتم تشفيرها باستخدام المفتاح المدار والبيئات المُدارة بواسطة Microsoft والمشفرة باستخدام المفتاح المدار بواسطة العميل. للحفاظ على تكامل البيانات وحماية البيانات، تتوفر عناصر التحكم التالية عند إدارة عمليات قاعدة بيانات البيئة.

  1. استعادة تقتصر البيئة المراد استبدالها (التي تم استعادتها إلى البيئة) على البيئة نفسها التي تم الحصول عليها من النسخة الاحتياطية من أو إلى بيئة أخرى تم تشفيرها باستخدام المفتاح نفسه المدار بواسطة العميل.

    استعادة النسخة الاحتياطية.

  2. نسخ تقتصر البيئة المراد استبدالها (التي تم نسخها إلى البيئة) على بيئة أخرى مشفرة باستخدام المفتاح نفسه المدار بواسطة العميل.

    نسخ البيئة.

    ‏‫ملاحظة‬

    في حال إنشاء بيئة استقصاء الدعم لحل مشكلة الدعم في بيئة مدارة بواسطة العميل، فإنه يجب تغيير مفتاح التشفير الخاص ببيئة استقصاء الدعم إلى مفتاح مدار بواسطة العميل قبل تنفيذ عملية نسخ البيئة.

  3. إعادة تعيين سيتم حذف البيانات المشفرة الخاصة بالبيئة بما في ذلك النسخ الاحتياطية. بعد إعادة تعيين البيئة، سيتم إرجاع تشفير البيئة مرة أخرى إلى المفتاح المدار بواسطة Microsoft.

(راجع أيضًا)

SQL Server: تشفير البيانات الشفاف (TDE)