Управление на вашия управляван от клиента ключ за шифроване

Клиентите имат изисквания за поверителност на данните и съответствие, за да защитят данните си чрез криптиране на данните си в покой. Това предпазва данните от излагане в случай, че копие от базата данни е откраднато. С криптиране на данни в покой, откраднатите данни от базата данни са защитени от възстановяване на друг сървър без ключ за шифроване.

Всички клиентски данни, съхранявани в Power Platform , са криптирани в покой със силни управлявани от Microsoft ключове за шифроване по подразбиране. Microsoft съхранява и управлява ключа за шифроване на базата данни за всичките ви данни, така че да не се налага да го правите. Въпреки това, Power Platform предоставя този управляван от клиента ключ за шифроване (CMK) за вашия допълнителен контрол за защита на данните, където можете самостоятелно да управлявате ключа за шифроване на базата данни, който е свързан с вашата Microsoft Dataverse среда. Това Ви позволява да завъртате или разменяте ключа за шифроване при поискване, а също така Ви позволява да предотвратите достъпа на Microsoft до Вашите клиентски данни, когато отмените ключовия достъп до нашите услуги по всяко време.

За да научите повече за ключа Power Platform, управляван от клиента, гледайте управляваното от клиента ключово видео.

Тези операции с криптиращ ключ са достъпни с управляван от клиента ключ (CMK):

• Създайте RSA (RSA-HSM) ключ от вашия трезор на Azure Key.
• Създайте корпоративна Power Platform политика за вашия ключ.
• Дайте разрешение на корпоративните правила за достъп до хранилището Power Platform на ключове.
• Дайте на администратора на Power Platform услугата да прочете корпоративните правила.
• Приложете ключ за шифроване към вашата среда.
• Върнете / премахнете CMK криптирането на околната среда към управляван от Microsoft ключ.
• Промяна на ключа чрез създаване на нова корпоративна политика, премахване на средата от CMK и повторно прилагане на CMK с нова корпоративна политика.
• Заключване CMK среди чрез отмяна на CMK ключ трезор и / или ключови разрешения.
• Мигрирайте средата на собствения си ключ (BYOK) към CMK, като приложите CMK ключ.

Понастоящем всички ваши клиентски данни, съхранявани само в следните приложения и услуги, могат да бъдат криптирани с управляван от клиента ключ:

• Dataverse (Персонализирани решения и услуги на Microsoft)
• Dataverse Copilot за приложения, задвижвани от модели
• Power Automate¹
• Power Apps
• Чат за Dynamics 365
• Dynamics 365 Продажби
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Финанси (Финанси и операции)
• Dynamics 365 Intelligent Order Management (Финанси и операции)
• Dynamics 365 Project Operations (Финанси и операции)
• Dynamics 365 Supply Chain Management (Финанси и операции)
• Dynamics 365 Fraud Protection (Финанси и операции)

1 Когато приложите управлявания от клиента ключ към среда, която има съществуващи Power Automate потоци, данните за потоците продължават да бъдат шифровани с управляван от Microsoft ключ. Повече информация: Power Automate клиент manged ключ.

Бележка

Nuance Conversational IVR и Maker Welcome Content са изключени от шифроването на ключове, управлявани от клиента.

Microsoft Copilot Studio съхранява данните си в собственото си хранилище и в Microsoft Dataverse. Когато приложите управлявания от клиента ключ към тези среди, само хранилищата на данни в Microsoft Dataverse са шифровани с вашия ключ. Не-даннитеMicrosoft Dataverse продължават да бъдат шифровани с управлявания от Microsoft ключ.

Бележка

Настройките на връзката за съединителите ще продължат да бъдат шифровани с управляван от Microsoft ключ.

Обърнете се към представител за услуги, които не са изброени по-горе, за информация относно управляваната от клиента ключова поддръжка.

Бележка

Power Apps показваните имена, описанията и метаданните за връзка продължават да бъдат шифровани с управляван от Microsoft ключ.

Среди с приложения за финанси и операции, където Power Platform интеграцията е активирана , също могат да бъдат криптирани. Финансовите и оперативните среди без Power Platform интеграция ще продължат да използват управлявания ключ по подразбиране на Microsoft за шифроване на данни. Повече информация: Криптиране в приложения за финанси и операции

Въведение в управлявания от клиента ключ

С управляван от клиента ключ администраторите могат да предоставят свой собствен ключ за шифроване от собствения си Azure Key Vault към Power Platform услугите за съхранение, за да шифроват своите клиентски данни. Microsoft няма директен достъп до вашия Azure Key Vault. За услуги за достъп до ключа за шифроване от вашия Azure Key Vault, администраторът създава Power Platform корпоративни правила, които препращат към ключа за Power Platform шифроване и предоставят на тези корпоративни правила достъп за четене на ключа от вашия Azure Key Vault.

След Power Platform това администраторът на услугата може да добави Dataverse среди към правилата на предприятието, за да започне шифроването на всички клиентски данни в средата с вашия ключ за шифроване. Администраторите могат да променят ключа за шифроване на средата, като създадат друга корпоративна политика и добавят средата (след като я премахнат) към новите корпоративни правила. Ако средата вече не се нуждае от шифроване с помощта на вашия клиентски управляван ключ, администраторът може да премахне Dataverse средата от корпоративните правила, за да върне шифроването на данни обратно към управлявания от Microsoft ключ.

Администраторът може да заключи управляваните от клиента ключови среди, като отмени достъпа до ключове от корпоративните правила и отключи средите чрез възстановяване на достъпа до ключа. Повече информация: Заключване на среди чрез анулиране на ключ трезор и / или ключ разрешение достъп

За да се опростят ключовите управленски задачи, задачите са разделени на три основни области:

1. Създаване на ключ за шифроване.
2. Създаване на корпоративна политика и предоставяне на достъп.
3. Управление на шифроването на околната среда.

Предупреждение

Когато средите са заключени, никой не може да има достъп до тях, включително поддръжката на Microsoft. Средите, които са заключени, стават забранени и може да възникне загуба на данни.

Изисквания за лицензиране на управляван от клиента ключ

Правилата за ключове, управлявани от клиенти, се прилагат само в среди, които са активирани за управлявани среди. Управляваните среди са включени като право в самостоятелни Power Apps, Power Automate, Power Virtual Agents,, Power Pages и Dynamics 365 лицензи, които дават права за използване на премия. Научете повече за лицензирането на управлявана среда с общ преглед на лицензирането за Microsoft Power Platform.

В допълнение, достъпът до използването на клиентски управляван ключ за Microsoft Power Platform и Dynamics 365 изисква потребителите в средите, където се прилагат правилата за шифроване на ключове, да имат един от следните абонаменти:

• Microsoft 365 или Office 365 A5/E5/G5
• Microsoft 365 Съответствие с A5/E5/F5/G5
• Microsoft 365 F5 Сигурност и съответствие
• Microsoft 365 A5/E5/F5/G5 Защита на информацията и управление
• Microsoft 365 A5/E5/F5/G5 Управление на риска от вътрешна информация

Научете повече за тези лицензи.

Разберете потенциалния риск, когато управлявате ключа си

Както при всяко важно за бизнеса приложение, трябва да се има доверие на персонала в организацията, който има достъп на административно ниво. Преди да използвате функцията за управление на ключове, трябва да разберете риска при управлението на шифроващите ключове за базата данни. Възможно е злонамерен администратор (лице, на което е предоставен или е получил достъп на ниво администратор с намерение да навреди на защитата или бизнес процесите на организацията), работещ във вашата организация, да използва функцията за управление на ключове, за да създаде ключ и да го използва, за да заключи вашите среди в клиента.

Обмислете следната последователност от събития.

Администраторът на хранилището за злонамерени ключове създава ключ и правила за предприятието в портала на Azure. Администраторът на Azure Key Vault отива в центъра за Power Platform администриране и добавя среди към правилата на предприятието. След това злонамереният администратор се връща в портала на Azure и отменя ключовия достъп до правилата на предприятието, като по този начин заключва всички среди. Това води до прекъсвания на бизнеса, тъй като всички среди стават недостъпни и ако това събитие не бъде разрешено, т.е. ключовият достъп е възстановен, данните за околната среда могат потенциално да бъдат загубени.

Бележка

• Azure Key Vault има вградени предпазни мерки, които помагат за възстановяването на ключа, които изискват активирани настройки на клавиша за защита от меко изтриване и изчистване.
• Друга предпазна мярка, която трябва да се има предвид, е да се уверите, че има разделяне на задачите, при които администраторът на Azure Key Vault не получава достъп до центъра за Power Platform администриране.

Разделение на задълженията за намаляване на риска

Този раздел описва задълженията за ключови функции, управлявани от клиента, за които отговаря всяка администраторска роля. Разделянето на тези задачи помага за намаляване на риска, свързан с ключовете, управлявани от клиента.

Azure Key Vault и Power Platform/Dynamics 365 service admin tasks

За да разрешите ключове, управлявани от клиенти, първо администраторът на хранилището за ключове създава ключ в хранилището за ключове на Azure и създава Power Platform корпоративни правила. Когато се създават корпоративни правила, се създава специална Microsoft Entra самоличност, управлявана от ИД. След това администраторът на хранилището за ключове се връща в хранилището за ключове на Azure и предоставя на корпоративните правила/управляваната самоличност достъп до ключа за шифроване.

След това администраторът на хранилището на ключове предоставя на съответния Power Platform администратор на услугата Dynamics 365 достъп за четене до корпоративните правила. След като бъде дадено разрешение за четене, администраторът на Power Platform услугата / Dynamics 365 може да отиде в центъра за Power Platform администриране и да добави среди към корпоративните правила. След това всички добавени среди клиентски данни се шифроват с управлявания от клиента ключ, свързан с тази корпоративна политика.

Предварителни изисквания

• Абонамент за Azure, който включва управлявани хардуерни модули за защита на Azure Key Vault или Azure Key Vault.
• Глобален администратор на Microsoft Entra клиент или ИД с:
  • Разрешение на сътрудник за абонамента Microsoft Entra .
  • Разрешение за създаване на трезор за ключове и ключ на Azure.
  • Достъп за създаване на група ресурси. Това е необходимо, за да настроите трезора за ключове.

Създаване на ключа и предоставяне на достъп с помощта на Azure Key Vault

Администраторът на Azure Key Vault изпълнява тези задачи в Azure.

1. Създайте платен абонамент за Azure и Key Vault. Игнорирайте тази стъпка, ако вече имате абонамент, който включва Azure Key Vault.
2. Отидете в услугата Azure Key Vault и създайте ключ. Повече информация: Създаване на ключ в трезора за ключове
3. Разрешете Power Platform услугата за корпоративни правила за вашия абонамент за Azure. Направете това само веднъж. Повече информация: Разрешаване на Power Platform услугата за корпоративни правила за вашия абонамент за Azure
4. Създаване на корпоративна Power Platform политика. Повече информация: Създаване на корпоративни правила
5. Даване на разрешения за корпоративни правила за достъп до хранилището за ключове. Повече информация: Предоставяне на разрешения за корпоративни правила за достъп до хранилището за ключове
6. Дайте Power Platform на администраторите на Dynamics и Dynamics 365 разрешение да четат правилата за предприятието. Повече информация: Дайте на администратора привилегията да чете корпоративните Power Platform правила

Power Platform/Dynamics 365 service admin Power Platform admin center tasks

Предварително изискване

• Power Platform администратор трябва да бъде назначен или на или на ролята на администратор Power Platform на Microsoft Entra услугата на Dynamics 365.

Управление на шифроването на средата в Power Platform центъра за администриране

Администраторът Power Platform управлява управлявани от клиента ключови задачи, свързани със средата в Power Platform центъра за администриране.

1. Добавете средите Power Platform към корпоративните правила, за да шифровате данни с управлявания от клиента ключ. Повече информация: Добавяне на среда към корпоративните правила за шифроване на данни
2. Премахване на среди от корпоративните правила, за да се върне шифроването към управлявания ключ на Microsoft. Повече информация: Премахване на среди от правилата, за да се върнете към управляван ключ на Microsoft
3. Променете ключа, като премахнете среди от старите корпоративни правила и добавите среди към нови корпоративни правила. Повече информация: Създаване на ключ за шифроване и предоставяне на достъп
4. Мигрирайте от BYOK. Ако използвате по-старата функция за самоуправляващ се ключ за шифроване, можете да мигрирате ключа си към ключ, управляван от клиента. Повече информация: Мигриране на средата за пренасяне на собствения ви ключ към управляван от клиента ключ

Създаване на ключ за шифроване и предоставяне на достъп

Създаване на платен абонамент за Azure и трезор за ключове

В Azure изпълнете следните стъпки:

1. Създайте Pay-as-you-go или еквивалентен абонамент за Azure. Тази стъпка не е необходима, ако клиентът вече има абонамент.

2. Създаване на група ресурси. Повече информация: Създаване на ресурсни групи

   Бележка

   Създайте или използвайте група ресурси, която има местоположение, например Централна САЩ, което съответства на региона на Power Platform околната среда, като например САЩ.

3. Създайте трезор за ключове, като използвате платения абонамент, който включва защита от меко изтриване и изчистване с групата ресурси, която създадохте в предишната стъпка.

   Важно

   • За да се гарантира, че вашата среда е защитена от случайно изтриване на ключа за шифроване, трезорът на ключовете трябва да има активирана защита от меко изтриване и прочистване. Няма да можете да шифровате средата си със собствен ключ, без да активирате тези настройки. Повече информация: Azure Key Vault soft-delete overview Повече информация: Създаване на трезор за ключове с помощта на портала Azure

Създаване на ключ в трезора за ключове

1. Уверете се, че сте изпълнили предпоставките.

2. Отидете в хранилището за ключове на портала> Azure и намерете хранилището за ключове, където искате да генерирате ключ за шифроване.

3. Проверете настройките на хранилището за ключове на Azure:

   1. Изберете Свойства под Настройки.
   2. Под Soft-delete задайте или проверете дали е зададено на Soft delete е разрешено в тази опция за трезор на ключове.
   3. Под Защита от прочистване задайте или проверете дали Разреши защита от прочистване (налагане на задължителен период на съхранение за изтрити трезори и обекти на хранилището) е разрешено.
   4. Ако сте направили промени, изберете Запиши.

   

Създаване на RSA ключове

1. Създаване или импортиране на ключ, който има следните свойства:
   1. На страниците със свойства на хранилището за ключове изберете Клавиши.
   2. Изберете Генериране/импортиране.
   3. На екрана Създаване на ключ задайте следните стойности и след това изберете Създай.
      • Опции: Генериране
      • Име: Посочете име за ключа
      • Тип ключ: RSA
      • RSA размер на ключа: 2048

Импортиране на защитени ключове за хардуерни модули за сигурност (HSM)

Можете да използвате защитените ключове за хардуерни модули за сигурност (HSM), за да шифровате средите си Power Platform Dataverse . Вашите ключове, защитени с HSM, трябва да бъдат импортирани в хранилището за ключове, за да може да се създаде корпоративна политика. За повече информация вижте Поддържани HSMs Импортиране назащитени с HSM ключове в хранилището за ключове (BYOK).

Създаване на ключ в управляваната от Azure Key Vault HSM

Можете да използвате ключ за шифроване, създаден от управлявания от Azure Key Vault HSM, за да шифровате данните от вашата среда. Това ви дава поддръжка на FIPS 140-2 Level 3.

Създаване на RSA-HSM ключове

1. Уверете се, че сте изпълнили предпоставките.

2. Отидете на портала наAzure.

3. Създаване на управляван HSM:

   1. Осигуряване на управляваната HSM.
   2. Активирайте управляваната HSM.

4. Активирайте защитата от прочистване във вашия управляван HSM.

5. Дайте ролята на управляван HSM крипто потребител на лицето, което е създало хранилището за управлявани HSM ключове.

   1. Достъп до хранилището за управлявани ключове HSM в портала на Azure.
   2. Навигирайте до Локален RBAC и изберете + Добави.
   3. В падащия списък Роля изберете ролята на управляван HSM крипто потребител на страницата Присвояване на роли.
   4. Изберете Всички клавиши под Обхват.
   5. Изберете Избор на главница на защитата и след това изберете администратора на страницата Добавяне на главница .
   6. Изберете Създаване.

6. Създаване на RSA-HSM ключ:

   • Опции: Генериране
   • Име: Посочете име за ключа
   • Тип ключ: RSA-HSM
   • RSA размер на ключа: 2048

   Бележка

   Поддържани размери на ключовете RSA-HSM: 2048-битов, 3072-битов, 4096-битов.

Шифровайте средата си с ключ от Azure Key Vault с частна връзка

Можете да актуализирате мрежата на хранилището на Azure Key, като активирате частна крайна точка и използвате ключа в хранилището за ключове, за да шифровате вашите Power Platform среди.

Можете или да създадете нов трезор за ключове и да установите връзка за частна връзка, или да установите частна връзка към съществуващ трезор за ключове и да създадете ключ от този трезор за ключове и да го използвате, за да шифровате вашата среда. Можете също така да установите частна връзка към съществуващ трезор за ключове, след като вече сте създали ключ, и да го използвате за шифроване на вашата среда.

Шифроване на данни с ключ от ключ трезор с частна връзка

1. Създайте трезор за ключове на Azure със следните опции:

   • Разреши защитата от прочистване
   • Тип ключ: RSA
   • Размер на ключа: 2048

2. Копирайте URL адреса на хранилището за ключове и URL адреса на ключа за шифроване, които да се използват за създаване на корпоративните правила.

   Бележка

   След като добавите частна крайна точка към хранилището за ключове или забраните мрежата за публичен достъп, няма да можете да видите ключа, освен ако нямате съответното разрешение.

3. Създаване на виртуална мрежа.

4. Върнете се в хранилището си за ключове и добавете частни връзки за крайни точки към хранилището за ключове на Azure.

   Бележка

   Трябва да изберете опцията Забрани публичния достъп до мрежи и да разрешите на надеждните услуги на Microsoft да заобиколят това изключение за защитната стена .

5. Създаване на корпоративна Power Platform политика. Повече информация: Създаване на корпоративни правила

6. Даване на разрешения за корпоративни правила за достъп до хранилището за ключове. Повече информация: Предоставяне на разрешения за корпоративни правила за достъп до хранилището за ключове

7. Дайте Power Platform на администраторите на Dynamics и Dynamics 365 разрешение да четат правилата за предприятието. Повече информация: Дайте на администратора привилегията да чете корпоративните Power Platform правила

8. Power Platform администратор център администратор избира средата за шифроване и разрешаване на управлявана среда. Повече информация: Разрешаване на добавянето на управлявана среда към правилата за предприятието

9. Power Platform администраторският център за администриране добавя управляваната среда към корпоративните правила. Повече информация: Добавяне на среда към корпоративните правила за шифроване на данни

Разрешаване на Power Platform услугата за корпоративни правила за вашия абонамент за Azure

Регистрирайте се Power Platform като доставчик на ресурси. Трябва да изпълните тази задача само веднъж за всеки абонамент за Azure, където се намира трезорът на Azure Key. Трябва да имате права за достъп до абонамента, за да регистрирате доставчика на ресурси.

1. влезте в портала на Azure и отидете на Доставчици на>абонаментниресурси.
2. В списъка с доставчици на ресурси потърсете Microsoft.PowerPlatform и го регистрирайте .

Създаване на корпоративни правила

1. Инсталирайте PowerShell MSI. Повече информация: Инсталиране на PowerShell на Windows, Linux и macOS
2. След като PowerShell MSI е инсталиран, се върнете към Разполагане на шаблон по избор в Azure.
3. Изберете връзката Създаване на собствен шаблон в редактора .
4. Копирайте шаблона JSON в текстов редактор, като например Notepad. Повече информация: Корпоративна политика json шаблон
5. Заместете стойностите в шаблона JSON за: EnterprisePolicyName,местоположение, където трябва да се създаде EnterprisePolicy,keyVaultId и keyName. Повече информация: Дефиниции на полета за json шаблон
6. Копирайте актуализирания шаблон от текстовия редактор, след което го поставете в шаблона за редактиране на разполагането по избор в Azure и изберете Запиши.
7. Изберете група абонаменти и ресурси, където да бъдат създадени корпоративните правила.
8. Изберете Преглед + създаване и след това изберете Създаване.

Стартира разполагане. Когато това е направено, се създава политиката на предприятието.

Шаблон json за корпоративни правила

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Дефиниции на полета за шаблон JSON

• име. Наименование на политиката на предприятието. Това е името на правилата, които се появяват в Power Platform центъра за администриране.

• местоположение. Едно от следните. Това е местоположението на политиката на предприятието и тя трябва да съответства на региона на Dataverse околната среда:

  • "Съединени щати"
  • "Южна Африка"
  • '"Обединено кралство"'
  • "Япония"
  • "Индия"
  • "Франция"
  • "Европа"
  • "Германия"
  • "Швейцария"
  • "Канада"
  • '"Бразилия"'
  • "Австралия"
  • "Азия"
  • '"ОАЕ"'
  • "Корея"
  • "Норвегия"
  • '"Сингапур"'
  • '"Швеция"'

• Копирайте тези стойности от свойствата на хранилището за ключове в портала на Azure:

  • keyVaultId: Отидете на Ключови трезори> изберете вашия ключ трезор >Общ преглед. До Essentials изберете JSON View. Копирайте ИД на ресурс в клипборда и поставете цялото съдържание във вашия JSON шаблон.
  • keyName: Отидете на Key трезори> изберете ключовете си ключ трезор >. Обърнете внимание на ключовото име и въведете името във вашия шаблон JSON.

Даване на разрешения за корпоративни правила за достъп до хранилището за ключове

След като се създадат правилата за предприятието, администраторът на хранилището за ключове предоставя на управляваната самоличност на корпоративните правила достъп до ключа за шифроване.

1. влезте в портала на Azure и отидете на Key трезори.
2. Изберете хранилището за ключове, където ключът е присвоен на корпоративните правила.
3. Изберете раздела Контрол на достъпа (IAM) и след това изберете + Добави.
4. Изберете Добавяне на присвояване на роля от падащия списък,
5. Търсене Key Vault Crypto Service Encryption Потребител и да го изберете.
6. Изберете Напред.
7. Избери + Избери членове.
8. Потърсете корпоративните правила, които сте създали.
9. Изберете корпоративните правила и след това изберете Избор.
10. Изберете Преглед + присвояване.

Бележка

Горната настройка за разрешение се основава на модела за разрешение на хранилището ви за ключове за управление на достъпа, базиран на роли на Azure. Ако хранилището ви за ключове е настроено на правила задостъп до хранилището, препоръчително е да мигрирате към модела, базиран на роли. За да предоставите на вашите корпоративни правила достъп до хранилището за ключове с помощта на правилата за достъп дохранилището, създайте правила за достъп, изберете Достъп до операции за управление на ключове и Разопаковане на ключ и обтичане на ключове за криптографски операции.

Даване на привилегията на администратора да чете корпоративните Power Platform правила

Администраторите, които имат глобални роли на Azure, Dynamics 365 и Power Platform администрация, имат достъп до центъра за Power Platform администриране, за да присвояват среди към корпоративните правила. За да получите достъп до корпоративните правила, глобалният администратор с достъп до хранилището за ключове на Azure е необходим, за да предостави ролята на четец на администратора Power Platform . След като бъде предоставена ролята на четец , администраторът Power Platform може да преглежда корпоративните правила в центъра за Power Platform администриране.

Бележка

Само Power Platform администраторите на Dynamics 365, на които е предоставена ролята на четец на корпоративните правила, могат да добавят среда към правилата. Други Power Platform администратори или администратори на Dynamics 365 може да са в състояние да видят правилата за предприятието, но ще получат грешка, когато се опитат да добавят среда към правилата.

Предоставяне на ролята на читател на Power Platform администратор

1. влезте в портала наAzure.
2. Копирайте ИД на обект на администратор на Power Platform или Dynamics 365. За да направите това:
   1. Отидете в областта Потребители в Azure.
   2. В списъка Всички потребители намерете потребителя с Power Platform или администраторски разрешения на Dynamics 365, като използвате потребителите наТърсене.
   3. Отворете потребителския запис, в раздела Общ преглед копирайте ИД на обекта на потребителя. Поставете това в текстов редактор, като например NotePad, за по-късно.
3. Копирайте ИД на ресурс за корпоративни правила. За да направите това:
   1. Отидете на Resource Graph Explorer в Azure.
   2. Въведете microsoft.powerplatform/enterprisepolicies в полето за търсене и след това изберете ресурса microsoft.powerplatform/enterprisepolicies .
   3. Изберете Изпълнение на заявка в командната лента. Показва се списък на Power Platform всички корпоративни правила.
   4. Намерете корпоративните правила, където искате да предоставите достъп.
   5. Превъртете надясно от корпоративните правила и изберете Вижте подробни данни.
   6. На страницата Подробни данни копирайте идентификатора .
4. Стартирайте Azure Cloud Shell и изпълнете следната команда, замествайки objId с идентификатора на обекта на потребителя и ИД на ресурса на EP с ИД, enterprisepolicies копиран в предишните стъпки: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Управление на шифроването на средата

За да управлявате шифроването на средата, ви е необходимо следното разрешение:

• Microsoft Entra активен потребител, който има и/или администраторски Power Platform права за достъп на Dynamics 365.
• Microsoft Entra потребител, който има или глобален администратор на клиент, Power Platform или администраторска роля на услуга на Dynamics 365.

Администраторът на хранилището за ключове уведомява администратора Power Platform , че са създадени ключ за шифроване и правила за предприятието, и предоставя корпоративните правила на администратора Power Platform . За да разреши ключа, управляван от клиента, администраторът Power Platform присвоява своите среди на корпоративните правила. След като средата е зададена и запазена, Dataverse инициира процеса на криптиране, за да зададе всички данни за околната среда и да ги криптира с управлявания от клиента ключ.

Разрешаване на добавянето на управлявана среда към корпоративните правила

1. Влезте в центъра Power Platform заадминистриране и намерете околната среда.
2. Изберете и проверете средата в списъка с среди.
3. Изберете иконата Разрешаване на управлявани среди в лентата с действия.
4. Изберете Разрешаване.

Добавяне на среда към корпоративните правила за шифроване на данни

Важно

Средата ще бъде забранена, когато се добави към корпоративните правила за шифроване на данни.

1. влезте в центъра Power Platform за администриране и отидетена Политики>Корпоративни правила.
2. Изберете правила и след това в командната лента изберете Редактиране.
3. Изберете Добавяне на среди, изберете желаната среда и след това изберете Продължи.
4. Изберете Запиши и след това изберете Потвърди.

Важно

• Само среди, които са в същия регион като корпоративните правила, се показват в списъка Добавяне на среди.
• Шифроването може да отнеме до четири дни, но средата може да бъде разрешена, преди да завърши операцията Добавяне на среди.
• Операцията може да не завърши и ако не успее, данните ви продължават да бъдат шифровани с управляван ключ на Microsoft. Можете отново да изпълните операцията Добавяне на среди .

Бележка

Можете да добавяте само среди, които са разрешени като управлявани среди. Типовете среда "Пробни периоди" и "Екипи" не могат да се добавят към корпоративните правила.

Премахване на среди от правилата, за да се върнете към управляван ключ на Microsoft

Следвайте тези стъпки, ако искате да се върнете към управляван от Microsoft ключ за шифроване.

Важно

Средата ще бъде забранена, когато бъде премахната от корпоративните правила за връщане на шифроване на данни с помощта на управлявания ключ на Microsoft.

1. влезте в центъра Power Platform за администриране и отидетена Политики>Корпоративни правила.
2. Изберете раздела Среда с правила и след това намерете средата, която искате да премахнете от управлявания от клиента ключ.
3. Изберете раздела Всички правила , изберете средата, която проверихте в стъпка 2, и след това изберете Редактиране на правила в командната лента.
4. Изберете Премахване на среда в командната лента, изберете средата, която искате да премахнете, и след това изберете Продължи.
5. Изберете Запиши.

Важно

Средата ще бъде забранена, когато бъде премахната от корпоративните правила, за да се върне шифроването на данни към управлявания от Microsoft ключ. Не изтривайте или забранявайте ключа, не изтривайте или забранявайте трезора за ключове или не премахвайте разрешенията на правилата за ентепрайз в трезора за ключове. Достъпът до ключа и трезора за ключове е необходим, за да се поддържа възстановяването на базата данни. Можете да изтриете и премахнете разрешенията на корпоративните правила след 30 дни.

Преглед на състоянието на шифроване на средата

Преглед на състоянието на шифроването от корпоративните правила

1. Влезте в центъра за администриране на Power Platform.

2. Изберете Правила>Корпоративни правила.

3. Изберете правила и след това в командната лента изберете Редактиране.

4. Прегледайте състоянието на шифроване на средата в средите с този раздел с правила .

   Бележка

   Състоянието на шифроване на средата може да бъде:

   • Шифровано - ключът за шифроване на правилата на предприятието е активен и средата е криптирана с вашия ключ.
   • Неуспешно - ключът за шифроване на правилата на предприятието не се използва и средата продължава да бъде шифрована с управлявания от Microsoft ключ.
   • Предупреждение – ключът за шифроване на правилата на предприятието е активен и една от данните на услугата продължава да бъде шифрована с управлявания от Microsoft ключ. Научете повече: Power Automate CMK приложение предупредителни съобщения

   Можете да изпълните отново опцията Добавяне на среда за средата, която има състояние на неуспешно шифроване.

Преглед на състоянието на шифроване от страницата "История на околната среда"

Можете да видите историята наоколната среда.

1. Влезте в центъра за администриране на Power Platform.

2. Изберете Среди в навигационния екран и след това изберете среда от списъка.

3. В командната лента изберете Хронология.

4. Намерете хронологията за актуализиране на управляван от клиента ключ.

   Бележка

   Състоянието показва Изпълнява, когато шифроването е в ход. Показва се "Успешно ", когато шифроването завърши. Състоянието показва Неуспешно , когато има някакъв проблем с една от услугите, които не могат да приложат ключа за шифроване.

   Неуспешното състояние може да бъде предупреждение и не е необходимо да изпълнявате отново опцията Добавяне на среда . Можете да потвърдите, ако това е предупреждение.

Промяна на ключа за шифроване на средата с нови корпоративни правила и ключ

За да промените ключа за шифроване, създайте нов ключ и нови корпоративни правила. След това можете да промените корпоративните правила, като премахнете средите и след това добавите средите към новите корпоративни правила. Системата е изключена 2 пъти, когато се преминава към нова корпоративна политика - 1) за връщане на криптирането към Microsoft Managed key и 2) за прилагане на новата корпоративна политика.

[! Препоръка] За да завъртите ключа за шифроване, препоръчваме да използвате новата версия на трезорите за ключове или да зададете правила за ротация.

1. В портала на Azure създайте нов ключ и нови корпоративни правила. Повече информация: Създаване на ключ за шифроване и предоставяне на достъп и създаване на корпоративни правила
2. След като новите ключови и корпоративни правила са създадени, отидете на Политики>Корпоративни правила.
3. Изберете раздела Среда с правила и след това намерете средата, която искате да премахнете от управлявания от клиента ключ.
4. Изберете раздела Всички правила , изберете средата, която проверихте в стъпка 2, и след това изберете Редактиране на правила в командната лента.
5. Изберете Премахване на среда в командната лента, изберете средата, която искате да премахнете, и след това изберете Продължи.
6. Изберете Запиши.
7. Повторете стъпки 2-6, докато всички среди в корпоративните правила бъдат премахнати.

Важно

Средата ще бъде забранена, когато бъде премахната от корпоративните правила, за да се върне шифроването на данни към управлявания от Microsoft ключ. Не изтривайте или забранявайте ключа, не изтривайте или забранявайте трезора за ключове или не премахвайте разрешенията на правилата за ентепрайз в трезора за ключове. Достъпът до ключа и трезора за ключове е необходим, за да се поддържа възстановяването на базата данни. Можете да изтриете и премахнете разрешенията на корпоративните правила след 30 дни.

1. След като всички среди бъдат премахнати, от центъра за Power Platform администриране отидете на Корпоративни правила.
2. Изберете новата корпоративна политика и след това изберете Редактиране на правила.
3. Изберете Добавяне на среда, изберете средите, които искате да добавите, и след това изберете Продължи.

Важно

Средата ще бъде деактивирана, когато бъде добавена към новата корпоративна политика.

Завъртане на ключа за шифроване на средата с нова версия на ключа

Можете да промените ключа за шифроване на средата, като създадете нова версия на ключа. Когато създавате нова ключова версия, новата версия на ключа се разрешава автоматично. Всички ресурси за съхранение откриват новата ключова версия и започват да я прилагат, за да криптират данните ви.

Когато модифицирате ключа или версията на ключа, защитата на ключа за криптиране на корена се променя, но данните в хранилището винаги остават криптирани с вашия ключ. Не са необходими повече действия от ваша страна, за да се гарантира, че данните ви са защитени. Завъртането на ключовата версия не влияе на производителността. Няма престой, свързан с завъртането на ключовата версия. Може да отнеме 24 часа на всички доставчици на ресурси да приложат новата ключова версия във фонов режим. Предишната версия на ключа не трябва да се забранява , тъй като е необходима, за да може услугата да я използва за повторно шифроване и за поддръжка на възстановяване на база данни.

За да завъртите ключа за шифроване чрез създаване на нова версия на ключа, използвайте следните стъпки.

1. Отидете в Azure portal>Key Vaults и намерете трезора за ключове, където искате да създадете нова ключова версия.
2. Навигирайте до "Клавиши".
3. Изберете текущия, разрешен ключ.
4. Изберете + Нова версия.
5. Настройката Enabled по подразбиране е Yes, което означава, че новата версия на клавиша се активира автоматично при създаването.
6. Изберете Създаване.

[! Препоръка] За да спазите правилата си за ротация на ключовете, можете да завъртите ключа за шифроване, като използвате правилата за ротация. Можете или да конфигурирате ротационни правила, или да завъртите при поискване, като извикате Завъртане сега.

Важно

Новата версия на ключа автоматично се завърта във фонов режим и няма действие, изисквано от администратора Power Platform . Важно е предишната ключова версия да не бъде забранена или изтрита поне 28 дни, за да се поддържа възстановяване на базата данни. Забраняването или изтриването на предишната ключова версия твърде рано може да изведе средата ви офлайн.

Преглед на списъка с криптирани среди

1. влезте в центъра Power Platform за администриране и отидетена Политики>Корпоративни правила.
2. На страницата Корпоративни правила изберете раздела Среди с правила . Показва се списъкът със среди, които са добавени към корпоративните правила.

Бележка

Възможно е да има ситуации, при които състоянието на средата или състоянието на шифроване показват състояние " Неуспешно ". Когато това се случи, изпратете искане за помощ от поддръжката на Microsoft.

Операции на база данни на среда

Клиентският клиент може да има среди, които са криптирани с помощта на управлявания ключ на Microsoft, и среди, които са криптирани с управлявания от клиента ключ. За да се поддържа целостта на данните и защитата на данните, са налични следните контроли при управление на операции с база данни на среда.

• Възстановяване Средата за презаписване (възстановената в среда) е ограничена до същата среда, от която е направена архивирането или от друга среда, която е криптирана със същия ключ, управляван от клиента.

  

• Копиране Средата за презаписване (копираната в среда) е ограничена до друга среда, която е криптирана със същия ключ, управляван от клиента.

  

  Бележка

  Ако среда за разследване на поддръжка е създадена за разрешаване на проблема с поддръжката в среда, управлявана от клиента, ключът за криптиране на средата за разследване на поддръжката трябва да бъде променен на ключ, управляван от клиента, преди да може да се извърши операцията за копиране на среда.

• Нулиране Криптираните данни на средата се изтриват, включително архивите. След като средата е нулирана, криптирането на средата ще се върне обратно към управлявания ключ на Microsoft.

Следващи стъпки

За Azure Key Vault