Kliendi hallatava krüptovõtme haldamine

Klientidel on andmete privaatsuse ja nõuetele vastavuse nõuded, et kaitsta oma andmeid, krüpteerides oma andmed puhkeolekus. See kaitseb andmeid kokkupuute eest juhul, kui andmebaasi koopia varastatakse. Kui andmed on puhkeolekus krüpteeritud, on varastatud andmebaasiandmed kaitstud selle eest, et neid ei taastata teises serveris ilma krüptovõtmeta.

Kõik sinna Power Platform salvestatud kliendiandmed krüptitakse puhkeolekus tugevate Microsofti hallatavate krüptovõtmetega. Microsoft salvestab ja haldab kõigi teie andmete andmebaasi krüptovõtit, et te ei peaks seda tegema. Power Platform Siiski pakub see kliendi hallatav krüptovõti (CMK) teie lisatud andmekaitsekontrolli jaoks, kus saate ise hallata oma Microsoft Dataverse keskkonnaga seotud andmebaasi krüptovõtit. See võimaldab teil krüptovõtit nõudmisel pöörata või vahetada ning samuti takistada Microsofti juurdepääsu teie kliendiandmetele, kui tühistate võtme juurdepääsu meie teenustele igal ajal.

Kliendi hallatava võtme kohta Power Platform lisateabe saamiseks vaadake kliendi hallatava võtme videot.

Need krüptovõtme toimingud on saadaval kliendi hallatava võtmega (CMK):

• Looge RSA (RSA-HSM) võti oma Azure Key hoidlast.
• Power Platform Looge oma võtme jaoks ettevõtte poliitika.
• Power Platform Andke ettevõttepoliitikale õigus juurdepääsuks oma võtmehoidlale.
• Andke teenuse administraatorile Power Platform võimalus lugeda ettevõtte poliitikat.
• Rakendage oma keskkonnale krüptovõti.
• Ennistage/eemaldage keskkonna CMK krüptimine Microsofti hallatavale võtmele.
• Muutke võtit, luues uue ettevõtte poliitika, eemaldades keskkonna CMK-st ja rakendades CMK-d uuesti uue ettevõtte poliitikaga.
• Lukustage CMK keskkonnad, tühistades CMK võtmehoidla ja/või võtmeõigused.
• Migreerige oma võtme toomise (BYOK) keskkonnad CMK-sse, rakendades CMK-võtit.

Praegu saab kliendi hallatava võtmega krüptida kõiki kliendiandmeid, mis on salvestatud ainult järgmistesse rakendustesse ja teenustesse.

• Dataverse (Kohandatud lahendused ja Microsofti teenused)
• Dataverse Copilot mudelipõhiste rakenduste jaoks
• Power Automate¹
• Power Apps
• Vestlus Dynamics 365-iga
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Finance and operations)
• Dynamics 365 Intelligent Order Management (Finance and operations)
• Dynamics 365 Project Operations (Finance and operations)
• Dynamics 365 Supply Chain Management (Finance and operations)
• Dynamics 365 Fraud Protection (Finance and operations)

1 Kui rakendate kliendi hallatava võtme keskkonnale, kus on olemasolevad Power Automate vood, krüptitakse voogude andmed jätkuvalt Microsofti hallatava võtmega. Lisateave: Power Automate kliendi hallatav võti.

Märkus.

Nuance Conversational IVR ja Maker Welcome Content on kliendi hallatavast võtmekrüptimisest välistatud.

Microsoft Copilot Studio salvestab oma andmed oma salvestusruumi ja sisse Microsoft Dataverse. Kui rakendate nendele keskkondadele kliendi hallatava võtme, krüptitakse teie võtmega ainult salvestatud Microsoft Dataverse andmed. Microsoft Dataverse Mitteandmed krüptitakse jätkuvalt Microsofti hallatava võtmega.

Märkus.

Konnektorite ühendussätted krüptitakse jätkuvalt Microsofti hallatava võtmega.

Võtke ühendust esindajaga teenuste puhul, mida pole eespool loetletud, et saada teavet kliendi hallatava võtmetoe kohta.

Märkus.

Power Apps kuvatavad nimed, kirjeldused ja ühenduse metaandmed krüptitakse jätkuvalt Microsofti hallatava võtmega.

Finance and Operationsi rakendustega keskkondi, kus Power Platform integratsioon on lubatud , saab samuti krüptida. Integratsioonita Power Platform Finance and Operationsi keskkonnad kasutavad andmete krüptimiseks jätkuvalt Microsofti hallatava vaikevõtme kasutamist. Lisateave: Krüptimine finance and operationsi rakendustes

Kliendi hallatava võtme tutvustus

Kliendi hallatava võtme abil saavad administraatorid kliendiandmete krüptimiseks anda talletusteenustele oma krüptovõtme oma Azure Key Vaultist Power Platform . Microsoftil pole otsest juurdepääsu teie Azure Key Vaultile. Selleks Power Platform et teenused pääseksid krüptovõtmele juurde teie Azure Key Vaultist, loob Power Platform administraator ettevõttepoliitika, mis viitab krüptovõtmele ja annab sellele ettevõttepoliitikale juurdepääsu võtme lugemiseks teie Azure Key Vaultist.

Seejärel Power Platform saab teenuse administraator lisada Dataverse ettevõtte poliitikale keskkondi, et alustada kõigi keskkonnas olevate kliendiandmete krüptimist teie krüptovõtmega. Administraatorid saavad muuta keskkonna krüptovõtit, luues teise ettevõttepoliitika, ja lisada keskkonna (pärast selle eemaldamist) uude ettevõttepoliitikasse. Kui keskkonda ei pea enam kliendi hallatava võtme abil krüptima, saab administraator keskkonna ettevõtte poliitikast eemaldada Dataverse , et taastada andmete krüptimine Microsofti hallatavale võtmele.

Administraator saab lukustada kliendi hallatavad võtmekeskkonnad, tühistades ettevõtte poliitikast võtmejuurdepääsu, ja avada keskkonnad, taastades võtme juurdepääsu. Lisateave: Keskkondade lukustamine võtmehoidla ja/või võtmeõiguste juurdepääsu tühistamisega

Peamiste haldusülesannete lihtsustamiseks on ülesanded jagatud kolme põhivaldkonda:

1. Looge krüptovõti.
2. Looge ettevõttepoliitika ja andke juurdepääs.
3. Hallake keskkonna krüptimist.

Hoiatus

Kui keskkonnad on lukus, ei pääse neile keegi, sealhulgas Microsofti tugiteenused, juurde. Lukustatud keskkonnad keelatakse ja andmed võivad kaduda.

Kliendi hallatava võtme litsentsimisnõuded

Kliendi hallatava võtme poliitika jõustatakse ainult keskkondades, mis on aktiveeritud hallatavate keskkondade jaoks. Hallatud keskkonnad kaasatakse õigusena autonoomsetele Power Apps,, Power Automate Power Virtual Agents ja Dynamics 365 litsentsidele, Power Pages mis annavad tasulisi kasutusõigusi. Lugege lisateavet hallatud keskkonna litsentsimise kohtalitsentsimise ülevaates Microsoft Power Platform.

Lisaks nõuab juurdepääs kliendi hallatava võtme Microsoft Power Platform ja Dynamics 365-i kasutamisele, et kasutajatel keskkondades, kus krüptovõtme poliitika on jõustatud, oleks üks järgmistest tellimustest.

• Microsoft 365 või Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 vastavus
• Microsoft 365 F5 Turvalisus ja nõuetele vastavus
• Microsoft 365 A5/E5/F5/G5 Teabe kaitse ja haldamine
• Microsoft 365 A5/E5/F5/G5 siseriskide juhtimine

Lisateave nende litsentside kohta.

Võtme haldamisega seotud võimalike riskide mõistmine

Nagu mis tahes äriliselt kriitilise tähtsusega rakenduse puhul peab organisatsioonisisene personal, kellel on administraatoritasemel juurdepääs, olema usaldusväärne. Enne võtmehalduse funktsiooni kasutamist peate mõistma andmebaasi krüptovõtmete haldamisega seotud ohtu. On mõeldav, et teie organisatsioonis töötav pahatahtlik administraator (isik, kellele on antud või kes on saanud administraatoritasemel juurdepääsu kavatsusega kahjustada organisatsiooni turbe- või äriprotsesse) võib kasutada võtmete haldamise funktsiooni võtme loomiseks ja kasutada seda teie keskkondade lukustamiseks rentnikus.

Kaaluge järgmist sündmuste jada.

Pahatahtlik võtmehoidla administraator loob Azure’i portaalis võtme ja ettevõttepoliitika. Azure Key Vaulti administraator läheb halduskeskusesse Power Platform ja lisab ettevõttepoliitikale keskkondi. Seejärel naaseb pahatahtlik administraator Azure’i portaali ja tühistab võtmejuurdepääsu ettevõttepoliitikale, lukustades seega kõik keskkonnad. See põhjustab ärikatkestusi, kuna kõik keskkonnad muutuvad ligipääsmatuks ja kui seda sündmust ei lahendata, st võtmejuurdepääs taastatakse, võivad keskkonnaandmed potentsiaalselt kaduma minna.

Märkus.

• Azure Key Vaultil on sisseehitatud kaitsemeetmed, mis aitavad võtit taastada, mis nõuavad pehme kustutamise ja puhastamise võtmehoidla sätete lubamist.
• Veel üks kaitsemeede, mida tuleb arvesse võtta, on tagada, et ülesanded, mille puhul Azure Key Vaulti administraatorile ei anta juurdepääsu halduskeskusele Power Platform , oleksid eraldatud.

Kohustuse lahusus riski maandamiseks

Selles jaotises kirjeldatakse kliendi hallatavate põhifunktsioonide ülesandeid, mille eest iga administraatoriroll vastutab. Nende ülesannete eraldamine aitab leevendada kliendi hallatavate võtmetega kaasnevaid riske.

Azure Key Vault ja Power Platform/Dynamics 365 teenuse administraatori ülesanded

Kliendi hallatavate võtmete lubamiseks loob esmalt võtmehoidla administraator Azure’i võtmehoidlas võtme ja ettevõtte Power Platform poliitika. Ettevõtte poliitika loomisel luuakse spetsiaalne Microsoft Entra ID hallatav identiteet. Järgmisena naaseb võtmehoidla administraator Azure’i võtmehoidlasse ja annab ettevõtte poliitikale / hallatavale identiteedile juurdepääsu krüptovõtmele.

Seejärel annab võtmehoidla administraator vastavale Power Platform/Dynamics 365-i teenuseadministraatorile lugemisõiguse ettevõttepoliitikale. Kui lugemisõigus on antud, saab teenuse/ Power PlatformDynamics 365 administraator minna Power Platform halduskeskusesse ja lisada ettevõttepoliitikale keskkondi. Kõik lisatud keskkondade kliendiandmed krüptitakse seejärel selle ettevõtte poliitikaga lingitud kliendi hallatava võtmega.

eeltingimused

• Azure’i tellimus, mis sisaldab Azure Key Vaulti või Azure Key Vaulti hallatavaid riistvara turbemooduleid.
• Rentniku üldadministraator või ID, Microsoft Entra millel on:
  • Kaasautori luba tellimusele Microsoft Entra .
  • Luba Azure’i võtmehoidla ja võtme loomiseks.
  • Juurdepääs ressursirühma loomiseks. See on vajalik võtmehoidla seadistamiseks.

Võtme loomine ja juurdepääsu andmine Azure Key Vaulti abil

Azure Key Vaulti administraator teeb neid toiminguid Azure’is.

1. Looge Azure’i tasuline tellimus ja Key Vault. Ignoreerige seda toimingut, kui teil on juba tellimus, mis sisaldab Azure Key Vaulti.
2. Avage teenus Azure Key Vault ja looge võti. Lisateave: võtme loomine võtmehoidlas
3. Lubage Power Platform oma Azure’i tellimuse jaoks ettevõttepoliitika teenus. Tehke seda ainult üks kord. Lisateave: Ettevõttepoliitika teenuse lubamine Power Platform oma Azure’i tellimuse jaoks
4. Power Platform Looge ettevõtte poliitika. Lisateave: Ettevõttepoliitika loomine
5. Andke ettevõttepoliitika õigused võtmehoidlale juurdepääsuks. Lisateave: Ettevõttepoliitika õiguste andmine võtmehoidlale juurdepääsuks
6. Andke Power Platform ja Dynamics 365-i administraatoritele õigus lugeda ettevõtte poliitikat. Lisateave: Administraatorile Power Platform ettevõttepoliitika lugemise õiguse andmine

Power Platform/Dynamics 365 teenuse administraatori Power Platform halduskeskuse ülesanded

Eeltingimus

• Power Platform administraator peab olema määratud kas Power Platform või Dynamics 365 Service’i administraatori Microsoft Entra rollile.

Keskkonna krüptimise Power Platform haldamine halduskeskuses

Administraator Power Platform haldab kliendi hallatavaid keskkonnaga Power Platform seotud võtmetoiminguid halduskeskuses.

1. Power Platform Lisage keskkonnad ettevõtte poliitikasse, et krüptida andmeid kliendi hallatava võtmega. Lisateave: Andmete krüptimiseks ettevõtte poliitikale keskkonna lisamine
2. Eemaldage keskkonnad ettevõttepoliitikast, et tagastada krüptimine Microsofti hallatavale võtmele. Lisateave: Keskkondade eemaldamine poliitikast, et naasta Microsofti hallatava võtme juurde
3. Muutke võtit, eemaldades keskkonnad vanast ettevõttepoliitikast ja lisades keskkondi uuele ettevõttepoliitikale. Lisateave: Krüptovõtme loomine ja juurdepääsu andmine
4. Migreerige BYOK-ist. Kui kasutate varasemat isehallatava krüptovõtme funktsiooni, saate võtme migreerida kliendi hallatavasse võtmesse. Lisateave: Isikliku võtme toomise keskkondade migreerimine kliendi hallatavasse võtmesse

Krüptovõtme loomine ja juurdepääsu andmine

Azure’i tasulise tellimuse ja võtmehoidla loomine

Tehke Azure’is järgmist.

1. Looge Pay-as-you-go või selle samaväärne Azure’i tellimus. Seda toimingut pole vaja, kui rentnikul on juba tellimus.

2. Ressursirühma loomine. Lisateave: ressursirühmade loomine

   Märkus.

   Looge või kasutage ressursigruppi, mille asukoht (nt Kesk-USA) Power Platform vastab keskkonna piirkonnale (nt Ameerika Ühendriigid).

3. Looge tasulise tellimuse abil võtmehoidla, mis sisaldab pehme kustutamise ja puhastamise kaitset eelmises etapis loodud ressursirühmaga.

   Oluline

   • Tagamaks, et teie keskkond on kaitstud krüptovõtme juhusliku kustutamise eest, peab võtmehoidlal olema lubatud pehme kustutamise ja puhastamise kaitse. Te ei saa oma keskkonda oma võtmega krüptida ilma neid seadeid lubamata. Lisateave: Azure’i võtmehoidla pehme kustutamise ülevaade Lisateave: Võtmehoidla loomine Azure’i portaali abil

Võtme loomine võtmehoidlas

1. Veenduge, et eeltingimused oleksid täidetud.

2. Minge Azure’i portaali>võtmehoidlasse ja leidke võtmehoidla, kus soovite krüptovõtme luua.

3. Kontrollige Azure’i võtmehoidla sätteid.

   1. Valige jaotises Sätted suvand Atribuudid.
   2. Seadke või kontrollige jaotises Pehme kustutamine, et selle väärtuseks on seatud Pehme kustutamine on sellel võtmehoidla suvandil lubatud.
   3. Seadke või kontrollige jaotises Puhastuskaitse, et suvand Luba puhastuskaitse (jõustage kustutatud võlvidele ja võlvobjektidele kohustuslik säilitusperiood) on lubatud.
   4. Kui tegite muudatusi, valige Salvesta.

   

RSA-klahvide loomine

1. Looge või importige võti, millel on järgmised atribuudid.
   1. Valige võtmehoidla atribuutide lehtedel Võtmed .
   2. Valige Loo/impordi.
   3. Määrake kuval Loo klahv järgmised väärtused ja seejärel valige Loo.
      • Suvandid: Loo
      • Nimi: sisestage võtmele nimi
      • Võtme tüüp: RSA
      • RSA võtme suurus: 2048

Riistvara turbemoodulite (HSM) kaitstud võtmete importimine

Keskkondade krüptimiseks Power Platform Dataverse saate riistvaraliste turbemoodulite (HSM) kaitstud võtmeid kasutada. HSM-kaitsega võtmed tuleb importida võtmehoidlasse , et saaksite luua ettevõtte poliitika. Lisateavet vaadake jaotisest Toetatud HSM-ideabil kaitstud võtmete importimine võtmehoidlasse (BYOK).

Võtme loomine Azure Key Vaulti hallatavas HSM-is

Keskkonnaandmete krüptimiseks saate kasutada Azure Key Vaulti hallatavast HSM-ist loodud krüptovõtit. See annab teile FIPS 140-2 3. taseme toe.

RSA-HSM-võtmete loomine

1. Veenduge, et eeltingimused oleksid täidetud.

2. Avage Azure’i portaal.

3. Looge hallatud HSM:

   1. hallatava riistvara turvamooduli ettevalmistamine.
   2. Aktiveerige hallatud HSM.

4. Lubage oma hallatavas HSM-is puhastuskaitse .

5. Andke hallatava HSM-i krüptokasutaja roll isikule, kes lõi hallatava HSM-i võtmehoidla.

   1. Juurdepääs hallatavale HSM-võtmehoidlale Azure’i portaalis.
   2. Liikuge jaotisse Local RBAC ja valige + Lisa.
   3. Valige ripploendist Roll lehel Rolli määramine roll hallatud HSM-i krüptokasutaja roll .
   4. Valige jaotises Ulatus kõik klahvid.
   5. Valige Turbeprintsipaali valimine ja seejärel valige lehel Printsipaali lisamine administraator .
   6. Valige käsk Loo.

6. Looge RSA-HSM-võti:

   • Suvandid: Loo
   • Nimi: sisestage võtmele nimi
   • Võtme tüüp: RSA-HSM
   • RSA võtme suurus: 2048

   Märkus.

   Toetatud RSA-HSM-võtme suurused: 2048-bitine, 3072-bitine, 4096-bitine.

Keskkonna krüptimine Azure Key Vaulti võtmega privaatse lingiga

Saate värskendada oma Azure Key hoidla võrku, lubades privaatse lõpp-punkti ja kasutades võtmehoidla võtit oma Power Platform keskkondade krüptimiseks.

Saate luua uue võtmehoidla ja luua privaatse lingi ühenduse või luua privaatse lingi ühenduse olemasoleva võtmehoidlaga ning luua sellest võtmehoidlast võtme ja kasutada seda oma keskkonna krüptimiseks. Samuti saate luua privaatse lingi ühenduse olemasoleva võtmehoidlaga pärast seda, kui olete võtme juba loonud, ja kasutada seda oma keskkonna krüptimiseks.

Krüpteerige andmed võtmehoidla võtmega privaatse lingiga

1. Looge Azure’i võtmehoidla järgmiste suvanditega.

   • Puhastuskaitse lubamine
   • Võtme tüüp: RSA
   • Võtme suurus: 2048

2. Kopeerige võtmehoidla URL ja krüptovõtme URL, mida kasutatakse ettevõtte poliitika loomiseks.

   Märkus.

   Kui olete lisanud oma võtmehoidlasse privaatse lõpp-punkti või keelanud avaliku juurdepääsuvõrgu, ei näe te võtit, kui teil pole selleks vastavat luba.

3. Looge virtuaalne võrk.

4. Naaske oma võtmehoidlasse ja lisage oma Azure Key hoidlasse privaatsed lõpp-punkti ühendused.

   Märkus.

   Peate valima suvandi Keela avaliku juurdepääsu võrgundus ja lubama Luba usaldusväärsetel Microsofti teenustel sellest tulemüüri erandist mööda hiilida.

5. Power Platform Looge ettevõtte poliitika. Lisateave: Ettevõttepoliitika loomine

6. Andke ettevõttepoliitika õigused võtmehoidlale juurdepääsuks. Lisateave: Ettevõttepoliitika õiguste andmine võtmehoidlale juurdepääsuks

7. Andke Power Platform ja Dynamics 365-i administraatoritele õigus lugeda ettevõtte poliitikat. Lisateave: Administraatorile Power Platform ettevõttepoliitika lugemise õiguse andmine

8. Power Platform Halduskeskuse administraator valib keskkonna krüptimiseks ja hallatava keskkonna lubamiseks. Lisateave: Hallatava keskkonna lisamise lubamine ettevõtte poliitikasse

9. Power Platform Halduskeskuse administraator lisab hallatava keskkonna ettevõtte poliitikasse. Lisateave: Andmete krüptimiseks ettevõtte poliitikale keskkonna lisamine

Ettevõtte poliitika teenuse lubamine Power Platform oma Azure’i tellimuse jaoks

Registreeruge Power Platform ressursside pakkujaks. Seda toimingut peate tegema ainult üks kord iga Azure’i tellimuse puhul, kus teie Azure Key hoidla asub. Ressursipakkuja registreerimiseks peavad teil olema tellimuse juurdepääsuõigused.

1. Logige sisse Azure’i portaali ja minge tellimisressursside pakkujate> juurde.
2. Ressursipakkujate loendis otsige üles Microsoft.PowerPlatform ja registreerige see.

Ettevõtte poliitika loomine

1. Installige PowerShell MSI. Lisateave: PowerShelli installimine Windowsi, Linuxi ja macOS-i
2. Pärast PowerShelli MSI installimist minge tagasi jaotisse Kohandatud malli juurutamine Azure’is.
3. Valige redaktori lingil Oma malli koostamine.
4. Kopeerige JSON-mall tekstiredaktorisse, näiteks Notepadi. Lisateave: Ettevõttepoliitika JSON-mall
5. Asendage JSON-malli väärtused: EnterprisePolicyName,asukoht, kus EnterprisePolicy tuleb luua, keyVaultId ja keyName. Lisateave: JSON-malli väljamääratlused
6. Kopeerige värskendatud mall tekstiredaktorist, seejärel kleepige see Azure’i kohandatud juurutuse redigeerimismalli ja valige Salvesta.
7. Valige kordustellimus ja ressursirühm , kus ettevõttepoliitika luuakse.
8. Valige Läbivaatus + Loo ja seejärel valige Loo.

Käivitatakse juurutamine. Kui see on tehtud, luuakse ettevõtte poliitika.

Ettevõttepoliitika JSON-mall

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON-malli väljamääratlused

• nimi. Ettevõtte poliitika nimi. See on halduskeskuses kuvatava poliitika Power Platform nimi.

• asukoht. Üks järgmistest. See on ettevõtluspoliitika asukoht ja see peab vastama keskkonna piirkonnale Dataverse :

  • ""Ameerika Ühendriigid""
  • ""Lõuna-Aafrika""
  • ""UK""
  • ""Jaapan""
  • ""India""
  • ""Prantsusmaa""
  • ""Euroopa""
  • ""Saksamaa""
  • ""Šveits""
  • ""Kanada""
  • ""Brasiilia""
  • ""Austraalia""
  • ""Aasia""
  • ""AÜE""
  • ""Korea""
  • ""Norra""
  • ""Singapur""
  • ""Rootsi""

• Kopeerige need väärtused Azure’i portaali võtmehoidla atribuutidest.

  • keyVaultId: minge jaotisse Võtmehoidlad> valige oma võtmehoidla >ülevaade. Essentialsi kõrval valige JSON-vaade. Kopeerige ressursi ID lõikelauale ja kleepige kogu sisu JSON-malli.
  • keyName: minge jaotisse Võtmehoidlad> valige oma võtmehoidla >võtmed. Pange tähele võtit Nimi ja tippige nimi oma JSON-malli.

Ettevõttepoliitika õiguste andmine võtmehoidlale juurdepääsuks

Kui ettevõtte poliitika on loodud, annab võtmehoidla administraator ettevõttepoliitika hallatavale identiteedile juurdepääsu krüptovõtmele.

1. Logige sisse Azure’i portaali ja minge võtmehoidlatesse .
2. Valige võtmehoidla, kus võti ettevõtte poliitikale määrati.
3. Valige vahekaart Juurdepääsu juhtimine (IAM) ja seejärel valige + Lisa.
4. Valige ripploendist Lisa rollimäärang ,
5. Otsige Key Vault krüptoteenuse krüptimise kasutajalt ja valige see.
6. Tehke valik Edasi.
7. Select + Vali liikmed.
8. Otsige enda loodud ettevõttepoliitikat.
9. Valige ettevõtte poliitika ja seejärel valige Vali.
10. Valige Läbivaatus + määra.

Märkus.

Ülaltoodud õigusesäte põhineb teie Azure’i rollipõhise juurdepääsukontrolli võtmehoidla õigusemudelil. Kui teie võtmehoidlaks on seatud Vaulti juurdepääsupoliitika, on soovitatav minna üle rollipõhisele mudelile. Kui soovite anda oma ettevõttepoliitikale juurdepääsu võtmehoidlale, kasutades Vaulti juurdepääsupoliitikat, looge Accessi poliitika, valige Hangivõtmehalduse toimingutele ning Võta võti lahti ja Mähi võti krüptograafilistes toimingutes lahti .

Administraatorile Power Platform ettevõttepoliitika lugemiseks õiguse andmine

Administraatorid, kellel on Azure Global, Dynamics 365 ja Power Platform haldusrollid, pääsevad juurde halduskeskusele Power Platform , et määrata ettevõttepoliitikale keskkondi. Ettevõtte poliitikatele juurdepääsemiseks on vaja Azure’i võtmehoidla juurdepääsuga üldadministraatorit, et anda administraatorile roll Reader Power Platform . Kui lugejaroll on antud, Power Platform saab administraator vaadata ettevõtte poliitikaid Power Platform halduskeskuses.

Märkus.

Ainult Power Platform ja Dynamics 365-i administraatorid, kellele on antud ettevõtte poliitikale lugejaroll, saavad poliitikale keskkonna lisada. Teised Power Platform või Dynamics 365-i administraatorid võivad saada vaadata ettevõtte poliitikat, kuid nad saavad tõrketeate, kui proovivad poliitikale keskkonda lisada.

Lugejarolli andmine administraatorile Power Platform

1. Logige sisse Azure’i portaali.
2. Kopeerige Power Platform või Dynamics 365-i administraatori objekti ID. Selleks toimige järgmiselt.
   1. Minge Azure’is alale Kasutajad .
   2. Otsige loendist Kõik kasutajad otsingukasutajate Power Platform abil üles kasutaja, kellelon või on Dynamics 365-i administraatoriõigused.
   3. Avage kasutajakirje ja kopeerige vahekaardil Ülevaade kasutaja objekti ID. Kleepige see tekstiredaktorisse, näiteks NotePadi, et seda hiljem kasutada.
3. Kopeerige ettevõtte poliitika ressursi ID. Selleks toimige järgmiselt.
   1. Avage Azure’is Resource Graph Explorer .
   2. Sisestage otsinguväljale microsoft.powerplatform/enterprisepoliciestekst ja valige ressurss Microsoft.powerplatform/enterprisepolicies .
   3. Valige käsuribal käsk Käivita päring . Kuvatakse kõigi ettevõtte poliitikate Power Platform loend.
   4. Otsige üles ettevõtte poliitika, kus soovite juurdepääsu anda.
   5. Liikuge kerides ettevõttepoliitikast paremale ja valige Kuva üksikasjad.
   6. Kopeerige lehel Üksikasjad id.
4. Käivitage Azure Cloud Shell ja käivitage järgmine käsk, mis asendab objId kasutaja objekti ID-ga ja EP Resource Id eelmistes juhistes kopeeritud enterprisepolicies ID-ga: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Keskkonna krüptimise haldamine

Keskkonna krüptimise haldamiseks on teil vaja järgmist luba.

• Microsoft Entra aktiivne kasutaja, kellel on Power Platform ja/või Dynamics 365-i administraatori turberoll.
• Microsoft Entra kasutaja, kellel on kas globaalse rentniku administraatori Power Platform või Dynamics 365 teenuse administraatori roll.

Võtmehoidla administraator teavitab administraatorit Power Platform krüptovõtme ja ettevõttepoliitika loomisest ning edastab administraatorile Power Platform ettevõtte poliitika. Kliendi hallatava võtme Power Platform lubamiseks määrab administraator nende keskkonnad ettevõtte poliitikale. Kui keskkond on määratud ja salvestatud, Dataverse käivitab krüptimisprotsessi, et määrata kõik keskkonnaandmed ja krüptida need kliendi hallatava võtmega.

Luba hallatava keskkonna lisamine ettevõtte poliitikasse

1. Logige sisse Power Platform halduskeskusesse ja leidke keskkond.
2. Valige ja kontrollige keskkonda keskkondade loendis.
3. Valige toiminguribal ikoon Luba hallatavad keskkonnad .
4. Valige Luba.

Andmete krüptimiseks ettevõtte poliitikale keskkonna lisamine

Oluline

Keskkond keelatakse, kui see lisatakse andmete krüptimise ettevõttepoliitikasse.

1. Logige sisse Power Platform halduskeskusesse ja minge jaotisse Poliitikad>Ettevõtte poliitikad.
2. Valige reegel ja seejärel valige käsuribal käsk Redigeeri.
3. Valige Lisa keskkondi, valige soovitud keskkond ja seejärel valige Jätka.
4. Valige Salvesta ja seejärel valige Kinnita.

Oluline

• Loendis Keskkondade lisamine kuvatakse ainult need keskkonnad, mis asuvad ettevõtte poliitikaga samas piirkonnas.
• Krüptimise lõpuleviimiseks võib kuluda kuni neli päeva, kuid keskkond võidakse lubada enne, kui toiming Keskkondade lisamine lõpule viiakse.
• Toimingut ei pruugita lõpule viia ja kui see nurjub, krüptitakse teie andmed jätkuvalt Microsofti hallatava võtmega. Saate toimingu Keskkondade lisamine uuesti käivitada.

Märkus.

Saate lisada ainult keskkondi, mis on lubatud hallatavate keskkondadena. Proovikeskkonna ja Teamsi keskkonnatüüpe ei saa ettevõtte poliitikasse lisada.

Eemaldage keskkonnad poliitikast, et naasta Microsofti hallatava võtme juurde

Kui soovite naasta Microsofti hallatava krüptovõtme juurde, tehke järgmist.

Oluline

Keskkond keelatakse, kui see eemaldatakse ettevõtte poliitikast andmete krüptimise tagastamiseks Microsofti hallatava võtme abil.

1. Logige sisse Power Platform halduskeskusesse ja minge jaotisse Poliitikad>Ettevõtte poliitikad.
2. Valige vahekaart Keskkond poliitikatega ja seejärel leidke keskkond, mille soovite kliendi hallatavast võtmest eemaldada.
3. Valige vahekaart Kõik poliitikad , valige keskkond, mille 2. juhises kinnitasite, ja seejärel valige käsuribal Redigeeri poliitikat .
4. Valige käsuribalt Eemalda keskkond , valige eemaldatav keskkond ja seejärel valige Jätka.
5. Valige käsk Salvesta.

Oluline

Keskkond keelatakse, kui see eemaldatakse ettevõtte poliitikast, et taastada andmete krüptimine Microsofti hallatavale võtmele. Ärge kustutage ega keelake võtit, kustutage või keelake võtmehoidlat ega eemaldage entepriispoliitika õigusi võtmehoidlale. Võtme ja võtmehoidla juurdepääs on vajalik andmebaasi taastamise toetamiseks. Võite ettevõttepoliitika õigused kustutada ja eemaldada 30 päeva pärast.

Keskkonna krüptimise oleku ülevaatamine

Krüptimise oleku ülevaatamine ettevõtte poliitikate kaudu

1. Logige sisse Power Platformi halduskeskusesse.

2. Valige Poliitikad>Ettevõtte poliitikad.

3. Valige reegel ja seejärel valige käsuribal käsk Redigeeri.

4. Vaadake selle poliitika jaotisega üle keskkonna krüptimise olek keskkondades.

   Märkus.

   Keskkonna krüptimise olek võib olla:

   • Krüptitud – ettevõttepoliitika krüptovõti on aktiivne ja keskkond krüptitakse teie võtmega.
   • Nurjus – ettevõttepoliitika krüptovõtit ei kasutata ja keskkond krüptitakse jätkuvalt Microsofti hallatava võtmega.
   • Hoiatus – ettevõttepoliitika krüptovõti on aktiivne ja üks teenuse andmetest on jätkuvalt krüptitud Microsofti hallatava võtmega. Lisateave: Power Automate CMK rakenduse hoiatusteated

   Saate uuesti käivitada suvandi Lisa keskkond keskkonna jaoks, mille krüptimine nurjus.

Vaadake krüptimise olekut lehelt Keskkonnaajalugu

Näete keskkonna ajalugu.

1. Logige sisse Power Platformi halduskeskusesse.

2. Valige navigeerimispaanil Keskkonnad ja seejärel valige loendist keskkond.

3. Valige käsuribal Ajalugu.

4. Otsige üles jaotise Kliendi hallatava võtme värskendamise ajalugu.

   Märkus.

   Olek näitab Töötab , kui krüptimine on pooleli. See näitab õnnestunud , kui krüptimine on lõpule viidud. Olek kuvab nurjunud , kui on probleeme mõne teenusega, mis ei saa krüptovõtit rakendada.

   Nurjunud olek võib olla hoiatus ja te ei pea suvandit Lisa keskkond uuesti käivitama. Saate kinnitada, kas see on hoiatus .

Keskkonna krüptovõtme muutmine uue ettevõttepoliitika ja võtme abil

Krüptovõtme muutmiseks looge uus võti ja uus ettevõttepoliitika. Seejärel saate muuta ettevõtte poliitikat, eemaldades keskkonnad ja lisades seejärel keskkonnad uude ettevõttepoliitikasse. Süsteem on uuele ettevõttepoliitikale üleminekul 2 korda maas - 1) krüptimise ennistamiseks Microsofti hallatavale võtmele ja 2) uue ettevõtte poliitika rakendamiseks.

[! Soovitus] Krüptovõtme pööramiseks soovitame kasutada võtmehoidlaid’Uus versioon või määrata pööramispoliitika.

1. Looge Azure’i portaalis uus võti ja uus ettevõttepoliitika. Lisateave: Krüptovõtme loomine ja juurdepääsu andmine ning ettevõttepoliitika loomine
2. Kui uus võti ja ettevõtte poliitika on loodud, minge jaotisse Poliitikad>Ettevõtte poliitikad.
3. Valige vahekaart Keskkond poliitikatega ja seejärel leidke keskkond, mille soovite kliendi hallatavast võtmest eemaldada.
4. Valige vahekaart Kõik poliitikad , valige keskkond, mille 2. juhises kinnitasite, ja seejärel valige käsuribal Redigeeri poliitikat .
5. Valige käsuribalt Eemalda keskkond , valige eemaldatav keskkond ja seejärel valige Jätka.
6. Valige käsk Salvesta.
7. Korrake juhiseid 2–6, kuni kõik ettevõttepoliitika keskkonnad on eemaldatud.

Oluline

Keskkond keelatakse, kui see eemaldatakse ettevõtte poliitikast, et taastada andmete krüptimine Microsofti hallatavale võtmele. Ärge kustutage ega keelake võtit, kustutage või keelake võtmehoidlat ega eemaldage entepriispoliitika õigusi võtmehoidlale. Võtme ja võtmehoidla juurdepääs on vajalik andmebaasi taastamise toetamiseks. Võite ettevõttepoliitika õigused kustutada ja eemaldada 30 päeva pärast.

1. Kui kõik keskkonnad on eemaldatud, Power Platform minge halduskeskuses jaotisse Ettevõtte poliitikad.
2. Valige uus ettevõttepoliitika ja seejärel valige Redigeeri poliitikat.
3. Valige Lisa keskkond, valige keskkonnad, mida soovite lisada, ja seejärel valige Jätka.

Oluline

Keskkond keelatakse, kui see lisatakse uude ettevõttepoliitikasse.

Keskkonna krüptovõtme pööramine uue võtmeversiooniga

Keskkonna krüptovõtit saate muuta, luues uue võtmeversiooni. Uue võtmeversiooni loomisel lubatakse uus võtmeversioon automaatselt. Kõik salvestusressursid tuvastavad uue võtmeversiooni ja hakkavad seda oma andmete krüptimiseks rakendama.

Kui muudate võtit või võtmeversiooni, muutub juurkrüptovõtme kaitse, kuid salvestusruumis olevad andmed jäävad alati võtmega krüptituks. Teie andmete kaitse tagamiseks pole vaja rohkem midagi teha. Võtmeversiooni pööramine ei mõjuta jõudlust. Võtmeversiooni pööramisega ei kaasne seisakuid. Kõigil ressursside pakkujatel võib uue võtmeversiooni taustal rakendamiseks kuluda 24 tundi. Eelmist võtmeversiooni ei tohi keelata , kuna see on vajalik selleks, et teenus saaks seda uuesti krüptimiseks ja andmebaasi taastamise toetamiseks kasutada.

Krüptovõtme pööramiseks uue võtmeversiooni loomisega toimige järgmiselt.

1. Minge Azure’i portaali>võtmehoidlatesse ja leidke võtmehoidla, kus soovite uue võtmeversiooni luua.
2. Liikuge jaotisse Klahvid.
3. Valige praegune lubatud klahv.
4. Vali + uus versioon.
5. Sätte Lubatud vaikeväärtuseks on Jah, mis tähendab, et uus võtmeversioon lubatakse loomisel automaatselt.
6. Valige käsk Loo.

[! Soovitus] Võtme pööramispoliitika järgimiseks võite krüptovõtit pöörata, kasutades pööramispoliitikat. Saate konfigureerida pööramispoliitika või pöörata nõudmisel, kasutades funktsiooni Pööra kohe.

Oluline

Uus võtmeversioon pööratakse automaatselt taustal ja administraator ei vaja Power Platform mingeid toiminguid. Andmebaasi taastamise toetamiseks on oluline, et eelmist võtmeversiooni ei tohi keelata ega kustutada vähemalt 28 päeva jooksul. Eelmise võtmeversiooni liiga varajane keelamine või kustutamine võib viia teie keskkonna võrguühenduseta.

Vaadake krüptitud keskkondade loendit

1. Logige sisse Power Platform halduskeskusesse ja minge jaotisse Poliitikad>Ettevõtte poliitikad.
2. Valige lehel Ettevõtte poliitikad vahekaart Poliitikatega keskkonnad. Kuvatakse ettevõtte poliitikatele lisatud keskkondade loend.

Märkus.

Võib esineda olukordi, kus olek Keskkond või Krüptimine näitab olekut Nurjus. Kui see juhtub, esitage Microsofti tugiteenuse abitaotlus.

Keskkonna andmebaasi toimingud

Kliendi rentnikul võib olla keskkondi, mis on krüptitud Microsofti hallatava võtmega ja keskkondi, mis on krüptitud kliendi hallatava võtmega. Andmete terviklikkuse ja andmekaitse tagamiseks on keskkonna andmebaasi toimingute haldamisel saadaval järgmised juhtelemendid.

• Taastamine Ülekirjutatav keskkond (keskkond, millele taastatakse) peab olema sama keskkond, kust varukoopia oli võetud või mõni muu keskkond, mis on krüptitud sama kliendi hallatava võtmega.

  

• Kopeerimine Ülekirjutatav keskkond (keskkond, kuhu kopeeritakse) peab olema mõni muu keskkond, mis on krüptitud sama kliendi hallatava võtmega.

  

  Märkus.

  Kui kliendi hallatava keskkonna tugiteenuse probleemi lahendamiseks loodi toeuuringu keskkond, tuleb toeuuringu keskkonna krüptovõti muuta kliendi hallatavaks enne, kui keskkonna kopeerimise toimingut võib sooritada.

• Lähtesta – keskkonna krüptitud andmed kustutatakse koos varukoopiatega. Pärast keskkonna lähtestamist muutub keskkonna krüptimine tagasi Microsofti hallatavale võtmele.

Järgmised toimingud

Teave Azure Key Vaulti kohta