נהל את מפתח הצפנת הסביבה שלך המנוהל על-ידי לקוח

ללקוחות יש דרישות פרטיות ותאימות לאבטחת הנתונים שלהם על ידי הצפנת הנתונים שלהם בזמן מנוחה. זה מבטיח את הנתונים מפני חשיפה במקרה שבו עותק של מסד הנתונים נגנב. עם הצפנת נתונים במנוחה, נתוני מסד הנתונים הגנובים מוגנים מפני שחזור לשרת אחר ללא מפתח ההצפנה.

כל נתוני הלקוחות המאוחסנים ב- Power Platform מוצפנים במצב מנוחה עם מפתחות הצפנה חזקים בניהול Microsoft כברירת מחדל. Microsoft מאחסנת ומנהלת את מפתח ההצפנה של מסד הנתונים עבור כל הנתונים שלך, כך שאינך נדרש לעשות זאת בעצמך. עם זאת, Power Platform מספק מפתח הצפנה בניהול לקוח (CMK) עבור בקרת הגנת הנתונים הנוספת שלך, כך שתוכל לנהל בעצמך את מפתח ההצפנה של מסד הנתונים המשויך לסביבת Microsoft Dataverse שלך. זה מאפשר לך לסובב או להחליף את מפתח ההצפנה לפי דרישה, וגם למנוע את הגישה של Microsoft לנתוני הלקוחות שלך כאשר אתה מבטל את גישת המפתח לשירותים שלנו בכל עת.

למידע נוסף על המפתח המנוהל של הלקוח ב- Power Platform, צפה בסרטון על המפתח המנוהל של הלקוח.

פעולות מפתח הצפנה אלו זמינות עם מפתח בניהול לקוח (CMK):

• צור מפתח RSA ‏(RSA-HSM) מהכספת שלך ב-Azure Key.
• צור מדיניות ארגונית של Power Platform עבור המפתח שלך.
• הענק למדיניות ארגונית שלך ב- Power Platform הרשאת גישה לכספת המפתחות שלך.
• הענק למנהל שירות Power Platform הרשאה לקרוא את מדיניות הארגון.
• החלת מפתח ההצפנה שלך על סביבה.
• שנה/הסר את הצפנת CML של הסביבה למפתח שמנוהל על-ידי Microsoft.
• שנה מפתח על ידי יצירת מדיניות ארגונית חדשה, הסרת הסביבה מ- CMK והחלה מחדש של CMK עם מדיניות ארגונית חדשה.
• נעל סביבות CMK על ידי ביטול כספת מפתח CMK ו/או הרשאות מפתח.
• העבר סביבות מסוג bring-your-own-key (BYOK) ל- CMK על ידי החלת מפתח CMK.

נכון לעכשיו, כל נתוני הלקוחות שלך המאוחסנים רק באפליקציות ובשירותים הבאים יכולים להיות מוצפנים באמצעות מפתח בניהול לקוחות:

• Dataverse (פתרונות מותאמים אישית ושירותי Microsoft)
• Power Automate¹
• צ'אט עבור Dynamics 365
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance ‏(Finance ו- operations)
• Dynamics 365 Intelligent Order Management ‏(Finance ו- operations)
• Dynamics 365 Project Operations (Finance ו- Operations)
• Dynamics 365 Supply Chain Management (Finance ו- Operations)
• Dynamics 365 Fraud Protection (Finance ו- Operations)

¹ כאשר אתה מחיל את המפתח המנוהל על-ידי הלקוח על סביבה שיש בה זרימות Power Automate קיימות, נתוני הזרימה ממשיכים להיות מוצפנים עם מפתח מנוהל של Microsoft. מידע נוסף: Power Automate מפתח מנוהל על-ידי לקוח.

הערה

Nuance Conversational IVR ו תוכן הפתיחה של Maker אינם נכללים בהצפנת מפתח בניהול הלקוח.

Power Apps ו- Power Virtual Agent מאחסנים את הנתונים שלו באחסון משלהם וב- Microsoft Dataverse. כאשר אתה מחיל את המפתח המנוהל על ידי הלקוח על סביבות אלה, רק מאגרי הנתונים ב- Microsoft Dataverse מוצפנים עם המפתח שלך. הנתונים שאינם Microsoft Dataverse, כולל קוד מקור של Power Apps וסמלים של יישומי קנבס, ממשיכים להיות מוצפנים עם המפתח המנוהל על ידי Microsoft.

הערה

הגדרות החיבור למחברים ימשיכו להיות מוצפנות עם מפתח מנוהל של Microsoft.

צור קשר עם נציג עבור שירותים שאינם מופיעים ברשימה שלמעלה, לקבלת מידע על תמיכה במפתח בניהול לקוחות.

ניתן להצפין גם סביבות עם אפליקציות פיננסים ותפעול שבהן מופעלת האינטגרציה של Power Platform. סביבות פיננסים ותפעול ללא שילוב של Power Platform ימשיכו להשתמש במפתח המנוהל המוגדר כברירת מחדל של Microsoft כדי להצפין נתונים. מידע נוסף: הצפנה באפליקציות פיננסים ותפעול

מבוא למפתח שמנוהל על ידי לקוח

עם מפתח שמנוהל על ידי לקוחות, מנהלי המערכת יכולים לספק מפתח הצפנה משלהם מהכספת של Azure Key Vault לשירותי האחסון של Power Platform כדי להצפין את נתוני הלקוחות שלהם. ל- Microsoft אין גישה ישירה ל- Azure Key Vault שלך. כדי ששירותי Power Platform יוכלו לגשת למפתח ההצפנה מ- Azure Key Vault, מנהל המערכת יוצר מדיניות ארגונית ב- Power Platform, המתייחסת למפתח ההצפנה ומעניקה למדיניות ארגונית זו גישה לקריאת המפתח מ- Azure Key Vault.

לאחר מכן, מנהל המערכת של שירות Power Platform יכול להוסיף סביבות Dataverse למדיניות הארגונית כדי להתחיל להצפין את כל נתוני הלקוחות בסביבה באמצעות מפתח ההצפנה שלך. מנהלי מערכת יכולים לשנות את מפתח ההצפנה של הסביבה על ידי יצירת מדיניות ארגונית אחרת ולהוסיף את הסביבה (לאחר הסרתה) למדיניות הארגונית החדשה. במקרה שאין עוד צורך להצפין את הסביבה באמצעות המפתח המנוהל על ידי הלקוח שלך, מנהל מערכת יכול להסיר את סביבת Dataverse מהמדיניות הארגונית כדי להחזיר את הצפנת הנתונים למפתח המנוהל על ידי Microsoft.

מנהל המערכת יכול לנעול את סביבות המפתח המנוהלות על ידי הלקוח על ידי ביטול גישת מפתח ממדיניות הארגון ולבטל את נעילת הסביבות על ידי שחזור גישת המפתח. מידע נוסף: נעל סביבות על ידי ביטול גישת כספת מפתח ו/או הרשאת מפתח

כדי לפשט את משימות ניהול המפתח, המשימות מחולקות לשלושה תחומים עיקריים:

1. צור מפתח הצפנה.
2. צור מדיניות ארגונית והענק גישה.
3. נהל הצפנה של הסביבה.

אזהרה

כאשר סביבות נעולות, אף אחד לא יכול לגשת אליהן, כולל תמיכת Microsoft. סביבות שנעולות מושבתות, מה שיכול לגרום לאובדן נתונים.

דרישות רישוי עבור מפתח מנוהל על ידי לקוח

מדיניות המפתחות שמנוהלת על ידי לקוח נאכפת רק על סביבות המופעלות עבור סביבות מנוהלות. סביבות מנוהלות נכללות כזכאות ברישיונות עצמאיים של Power Apps, Power Automate, Power Virtual Agents, Power Pages ו- Dynamics 365 המעניקים זכויות שימוש מובחרות. למידע נוסף על רישוי לסביבה מנוהלת, עם סקירת רישוי עבור Microsoft Power Platform.

בנוסף, גישה לשימוש במפתח מנוהל על ידי לקוח עבור Microsoft Power Platform ו- Dynamics 365 מחייבת משתמשים בסביבות שבהן מדיניות מפתח ההצפנה נאכפת להחזיק באחד מהמנויים הבאים:

• Microsoft 365 או Office 365 A5/E5/G5
• Microsoft 365 תאימות A5/E5/F5/G5
• Microsoft 365 F5 אבטחה ותאימות
• Microsoft 365 A5/E5/F5/G5 הגנה ופיקוח על מידע
• Microsoft 365 A5/E5/F5/G5 ניהול סיכוני פנים

מידע נוסף על רישיונות אלה

הבנת הסיכון הפוטנציאלי בעת ניהול המפתח שלך

כמו בכל יישום עסקי קריטי, כוח אדם בארגון שלך, בעל גישה ברמת ניהול, חייב להיות מהימן. לפני שתשתמש בתכונה 'ניהול מפתחות', עליך להבין את הסיכון בעת ניהול מפתחות ההצפנה של מסד הנתונים שלך. ייתכן שמנהל מערכת זדוני (אדם שהוענקה לו או שקיבל גישה ברמת מנהל עם כוונה לפגוע באבטחת הארגון או בתהליכים העסקיים) שעובד בתוך הארגון שלך ישתמש בתכונה 'ניהול מפתחות' כדי ליצור מפתח ולהשתמש בו לנעילת כל הסביבות שלך בדייר.

שקול את רצף האירועים הבא.

המנהל הזדוני של כספת המפתחות יוצר מפתח ומדיניות ארגונית בפורטל Azure. מנהל המערכת של Azure Key Vault נכנס אל מרכז הניהול של Power Platform ומוסיף סביבות למדיניות הארגונית. לאחר מכן, מנהל המערכת הזדוני חוזר לפורטל Azure ומבטל גישת מפתח למדיניות הארגונית ובכך נועל את כל הסביבות. כתוצאה מכך יהיו הפרעות בכל העסק, מכיוון שכל הסביבות הופכות בלתי נגישות, ואם אירוע זה לא נפתר, כלומר, הגישה למפתח לא משוחזרת, נתוני הסביבות עלולים ללכת לאיבוד.

הערה

• ל- Azure Key Vault יש אמצעי הגנה מובנים שמסייעים בשחזור המפתח, ודורשים שהגדרות כספת המפתחות מחיקה זמנית וגם הגנה מפני מחיקה לצמיתות יהיו מופעלות.
• אמצעי הגנה נוסף שיש לקחת בחשבון הוא לוודא שיש הפרדה בין משימות שבהן לא ניתנת גישה למנהל מערכת של Azure Key Vault במרכז הניהול של Power Platform.

הפרדת החובה להפחתת הסיכון

סעיף זה מתאר את החובות של תכונת המפתח בניהול לקוח שכל תפקיד מנהל אחראי עליהן. הפרדת המשימות הללו עוזרת להפחית את הסיכון הכרוך במפתחות בניהול לקוחות.

Azure Key Vault ומשימות של Power Platform לניהול שירות/Dynamics 365

כדי לאפשר מפתחות בניהול לקוחות, תחילה מנהל המערכת של כספת המפתחות יוצר מפתח ב- Azure Key Vault ויוצר מדיניות ארגונית של Power Platform. כאשר מדיניות הארגון נוצרת, נוצרת זהות מנוהלת מיוחדת של Microsoft Entra ID. לאחר מכן, מנהל המערכת של כספת המפתחות חוזר ל- Azure Key Vault ומעניק למדיניות הארגונית/לזהות המנוהלת גישה למפתח ההצפנה.

מנהל המערכת של כספת המפתחות מעניק את גישת הקריאה המתאימה של מנהל שירות Power Platform/Dynamics 365 למדיניות הארגונית. לאחר שניתנת הרשאת קריאה, מנהל שירות Power Platform/Dynamics 365 יכול להיכנס אל מרכז הניהול של Power Platform ולהוסיף סביבות למדיניות הארגונית. כל נתוני הלקוחות בסביבות שנוספו מוצפנים לאחר מכן עם המפתח המנוהל על ידי הלקוח המקושר למדיניות ארגונית זו.

‏‫דרישות מוקדמות‬

• מנוי Azure הכולל מודולי אבטחת חומרה מנוהלים של Azure Key Vault או Azure Key Vault ‏(Preview).
• מנהל דייר כללי או Microsoft Entra ID עם הרשאת משתתף למינוי Microsoft Entra והרשאה ליצור Azure Key Vault ומפתח. זה נדרש כדי להגדיר את כספת המפתחות.

צור את המפתח והענקת גישה באמצעות Azure Key Vault

מנהל המערכת של Azure Key Vault מבצע משימות אלה ב- Azure.

1. צור מנוי בתשלום של Azure ו-Key Vault. התעלם משלב זה אם כבר יש לך מנוי הכולל את Azure Key Vault.
2. עבור לשירות Azure Key Vault, וצור מפתח. מידע נוסף: צור מפתח בכספת המפתחות
3. הפעל את שירות מדיניות ארגוני של Power Platform עבור מנוי Azure שלך. עשה זאת רק פעם אחת. מידע נוסף: הפעל את שירות מדיניות ארגוני של Power Platform עבור מנוי Azure שלך
4. צור מדיניות ארגונית ב- Power Platform. לקבלת מידע נוסף: יצירת מדיניות ארגונית
5. הענק הרשאות של מדיניות ארגונית לצורך גישה לכספת המפתחות. מידע נוסף: הענק הרשאות של מדיניות ארגונית לצורך גישה לכספת המפתחות
6. הענק למנהלי המערכת של Power Platform ו- Dynamics 365 הרשאה לקרוא את המדיניות הארגונית. מידע נוסף: הענק למנהל המערכת של Power Platform הרשאת קריאה של מדיניות הארגון

משימות מרכזיות של מנהל מערכת של Power Platform/מנהל שירות Dynamics 365 Power Platform

דרישה מוקדמת

• מנהל מערכת של Power Platform צריך להיות מוקצה לתפקיד מנהל מערכת של Power Platform או מנהל שירות של Dynamics 365 Service Microsoft Entra.

ניהול הצפנה של סביבה במרכז הניהול של Power Platform

מנהל המערכת של Power Platform מנהל משימות מפתח בניהול לקוחות הקשורות לסביבה במרכז הניהול של Power Platform.

1. הוסף את הסביבות של Power Platform למדיניות הארגונית כדי להצפין נתונים עם המפתח המנוהל על ידי הלקוח. מידע נוסף: הוסף סביבה למדיניות הארגונית כדי להצפין נתונים
2. הסר סביבות ממדיניות הארגון כדי להחזיר הצפנה למפתח המנוהל של Microsoft. מידע נוסף: הסר סביבות ממדיניות הארגון כדי להחזיר הצפנה למפתח המנוהל של Microsoft
3. שנה את המפתח על ידי הסרת סביבות ממדיניות הארגון הישנה והוספת סביבות למדיניות ארגונית חדשה. מידע נוסף: צור מפתח הצפנה והענק גישה
4. העבר מ-BYOK. אם אתה משתמש בתכונה הקודמת של מפתח הצפנה בניהול עצמי, תוכל להעביר את המפתח שלך למפתח בניהול לקוח. מידע נוסף: העבר סביבות מסוג 'מפתח משלך' למפתח בניהול לקוחות

צור את מפתח ההצפנה והענק גישה

צור מנוי בתשלום של Azure ו-Key Vault

ב- Azure, בצע את השלבים הבאים:

1. צור מנוי מסוג '‏‫תשלום לפי שימוש‬' או מנוי Azure המקביל לו. אין צורך בשלב זה אם לדייר כבר יש מנוי.
2. יצירה של קבוצת משאבים. מידע נוסף: יצירת משאב
3. צור כספת מפתחות באמצעות המנוי בתשלום הכולל הגנת מחיקה וניקוי זמני עם קבוצת המשאבים שיצרת בשלב הקודם.

   חשוב

   • כדי להבטיח שהסביבה שלך מוגנת מפני מחיקה מקרית של מפתח ההצפנה, בכספת המפתחות צריך להפעיל הגנה מפני מחיקה זמנית ומחיקה לצמיתות. לא תוכל להצפין את הסביבה שלך עם מפתח משלך מבלי להפעיל את ההגדרות הללו. מידע נוסף: סקירת מחיקה זמנית של Azure Key Vault מידע נוסף: צור כספת מפתחות באמצעות פורטל Azure

צור מפתח בכספת המפתחות

1. וודא כי תנאים מוקדמים אלה מתקיימים.

2. עבור אל פורטל Azure>Key Vault ואתר את כספת המפתחות שבה ברצונך ליצור מפתח הצפנה.

3. אמת את הגדרות Azure key vault:

   1. בחר מאפיינים תחת הגדרות.
   2. תחת מחיקה זמנית, הגדר או ודא שההגדרה היא מחיקה זמנית הופעלה בכספת המפתחות.
   3. תחת הגנה מפני מחיקה לצמיתות, הגדר או ודא שהאפשרות אפשר הגנה מפני מחיקה לצמיתות (אכוף תקופת שמירה חיונית עבור כספות ואובייקטי כספת שנמחקו) מופעלת.
   4. אם עשית שינויים, בחר שמור.

   

צור מפתחות RSA

1. צור או ייבא מפתח בעל המאפיינים הבאים:
   1. בדפי המאפיינים של Key Vault, בחר מפתחות.
   2. בחר Generate/Import.
   3. במסך צור מפתח, הגדר את הערכים הבאים ובחר צור.
      • אפשרויות: צור
      • שם: תן למפתח שם
      • סוג מפתח: RSA
      • גודל מפתח RSA: 2048

ייבוא מפתחות מוגנים עבור מודולי אבטחת חומרה (HSM)

אפשר להשתמש במפתחות המוגנים עבור מודולי אבטחת חומרה (HSM) כדי להצפין את סביבות ה- Power Platform Dataverse שלך. יש לייבא את המפתחות המוגנים ב- HSM אל ה- Key Vault כדי שניתן יהיה ליצור מדיניות ארגונית. למידע נוסף, ראה פריטי HSM נתמכיםייבוא ​​מפתחות מוגני HSM ל-Key Vault ‏(BYOK).

צור מפתח ב-Azure Key Vault Managed HSM (‏Preview)

אפשר להשתמש במפתח הצפנה שנוצר מ-Azure Key Vault Managed HSM כדי להצפין את נתוני הסביבה שלך. זה נותן לך תמיכה ב-Fips 140-2 ברמה 3.

צור מפתחות RSA-HSM

1. וודא כי תנאים מוקדמים אלה מתקיימים.

2. עבור אל פורטלAzure .

3. צור HSM מנוהל:

   1. הקצה את ה-HSM המנוהל.
   2. הפעל את ה-HSM המנוהל.

4. אפשר הגנה מפני מחיקה לצמיתות ב-HSM המנוהל שלך.

5. הענק את התפקיד משתמש Crypto של HSM מנוהל לאדם שיצר את כספת מפתחות HSM המנוהלים.

   1. גש לכספת מפתחות HSM המנוהלת בפורטל Azure.
   2. נווט אל RBAC מקומי ובחר + הוסף.
   3. ברשימה הנפתחת תפקיד בחר את התפקיד משתמש Crypto של HSM מנוהל בדף הקצאת תפקיד.
   4. בחר כל המפתחות תחת טווח.
   5. בחר באפשרות בחר מנהל אבטחה, ולאחר מכן בחר את מנהל המערכת בדף הוסף מנהל אבטחה.
   6. בחר צור.

6. צור מפתח RSA HSM:

   • אפשרויות: צור
   • שם: תן למפתח שם
   • סוג מפתח: RSA-HSM
   • גודל מפתח RSA: 2048

   הערה

   גדלי מפתח RSA-HSM שנתמכים: 2048-bit, 3072-bit, 4096-bit.

הצפן את הסביבה שלך עם מפתח מ-Azure Key Vault עם קישור פרטי

אתה יכול העבודה ברשת של Azure Key Vault שלך על ידי הפעלת נקודת קצה פרטית ושימוש במפתח שב- Key Vault כדי להצפין סביבות ה- Power Platform שלך.

אתה יכול ליצור Key Vault חדשה וליצור חיבור ak קישור פרטי או ליצור חיבור קישור פרטי לכספת Key Vault הקיימת, וצור מפתח ה- Key Vault הזו והשתמש בו כדי להצפין את הסביבה שלך. אתה יכול גם ליצור חיבור קישור פרטי לכספת Key Vault קיימת לאחר שכבר יצרת מפתח והשתמשת בו כדי להצפין את הסביבה שלך.

הצפן את נתונים באמצעות מפתח מ- Key Vault עם קישור פרטי

1. צור Azure Key Vault עם האפשרויות הבאות:

   • הפוך את התכונה הגנה ממחיקה לצמיתות לזמינה
   • סוג מפתח: RSA
   • גודל מפתח: 2048

2. העתק את כתובת האתר של ה- Key Vault ואת כתובת האתר ומפתח ההצפנה שישמשו ליצירת המדיניות הארגונית.

   הערה

   לאחר שהוספת נקודת קצה פרטי ל- Key Vault שלך או השבתת הגישה מהרשת הציבורית, לא תוכל לראות את המפתח אלא אם יש לך הרשאה מתאימה.

3. צור רשת וירטואלית.

4. חזור ל- Key Vault שלך והוסף חיבורי נקודת קצה פרטיות ל- Azure Key Vault שלך.

   הערה

   עליך לבחור באפשרות העבודה ברשת השבת גישה ציבורית ולהפעיל את החריגה אפשר לשירותי Microsoft מהימנים לעקוף את חומת האש.

5. צור מדיניות ארגונית ב- Power Platform. לקבלת מידע נוסף: יצירת מדיניות ארגונית

6. הענק הרשאות של מדיניות ארגונית לצורך גישה לכספת המפתחות. מידע נוסף: הענק הרשאות של מדיניות ארגונית לצורך גישה לכספת המפתחות

7. הענק למנהלי המערכת של Power Platform ו- Dynamics 365 הרשאה לקרוא את המדיניות הארגונית. מידע נוסף: הענק למנהל המערכת של Power Platform הרשאת קריאה של מדיניות הארגון

8. מרכז הניהול של Power Platform בוחר את הסביבה כדי להצפין ולהפעיל סביבה מנוהלת. מידע נוסף: הפוך את האפשרות להוסיף סביבה מנוהלת לסביבה למדיניות הארגונית לזמינה

9. מרכז הניהול של Power Platform מוסיף את הסביבה המנוהלת למדיניות הארגון. מידע נוסף: הוסף סביבה למדיניות הארגונית כדי להצפין נתונים

הפעל את שירות מדיניות ארגוני של Power Platform עבור מנוי Azure שלך

הירשם ל- Power Platform כספק משאבים. אתה צריך לבצע משימה זו פעם אחת בלבד עבור כל מנוי Azure שבו שוכנת ה- Azure Key Vault שלך. אתה צריך להיות בעל זכויות גישה למנוי כדי לרשום את ספק המשאבים.

1. היכנס אל פורטל Azure ועבור אל מנוי>ספקי משאבים.
2. ברשימת ספקי משאבים, חפש את Microsoft.PowerPlatform והירשם.

צור מדיניות ארגונית

1. התקן את PowerShell MSI. למידע נוסף: התקנת PowerShell ב- Windows, ב- Linux וב- macOS
2. לאחר התקנת PowerShell MSI, חזור אל פרוס תבנית מותאמת אישית ב-Azure.
3. בחר בקישור בנה תבנית משלך בעורך.
4. העתק את תבנית JSON לעורך טקסט, כמו 'פנקס רשימות'. מידע נוסף: תבנית json של מדיניות ארגונית
5. החלף את הערכים בתבנית JSON עבור: EnterprisePolicyName, מיקום שבו יש ליצור EnterprisePolicy, keyVaultId, ו- keyName. מידע נוסף: הגדרות שדות עבור תבנית json
6. העתק את התבנית המעודכנת מעורך הטקסט והדבק אותה במקטע ערוך תבנית של פריסה מותאמת אישית ב-Azure, ובחר שמור.
7. בחר מינוי וקבוצת משאבים במקום שבו מדיניות הארגון תיווצר.
8. בחר סקירה + יצירה ולאחר מכן בחר צור.

הפריסה מתחילה. כשהיא תסתיים, מדיניות הארגון נוצרת.

תבנית json של מדיניות ארגונית

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

הגדרות שדות עבור תבנית JSON

• שם. שם של המדיניות הארגונית. זה השם של המדיניות שמופיע במרכז הניהול של Power Platform.

• מיקום. אחת מהאפשרויות הבאות. זהו המיקום של מדיניות הארגון ועליה להתאים לאזור של סביבת Dataverse:

  • "unitedstates"
  • "southafrica"
  • "switzerland”
  • "germany"
  • "unitedarabemirates"
  • "france"
  • "uk”
  • "japan"
  • "india"
  • "canada"
  • "southamerica"
  • "europe"
  • "asia"
  • "australia"
  • "korea"
  • "norway"
  • "singapore"

• העתק את הערכים האלה ממאפייני הכספת המרכזית שלך בפורטל Azure:

  • keyVaultId: עבור אל כספת מפתחות> בחר בכספת המפתחות >סקירה כללית. לצד Essentials בחר JSON View. העתק את מזהה המשאב ללוח והדבק את כל התוכן בתבנית JSON שלך.
  • keyName: עבור אל כספת מפתחות> בחר בכספת המפתחות >מפתחות. שים לב לשם המפתח והקלד את השם בתבנית JSON שלך.

הענק הרשאות של מדיניות ארגונית לצורך גישה לכספת המפתחות

לאחר יצירת מדיניות הארגון, מנהל המערכת של כספת המפתחות מעניק למדיניות הארגונית/לזהות המנוהלת גישה למפתח ההצפנה.

1. היכנס אל פורטל Azure ועבור אל כספות מפתחות.
2. בחר את כספת המפתחות שבה המפתח הוקצה למדיניות הארגונית.
3. בחר את הכרטיסיה פקדי גישה (IAM) ובחר + הוסף.
4. בחר הוסף הקצאת תפקיד‬ מתוך הרשימה הנפתחת.
5. חפש במשתמש הצפנה של שירותי הצפנה של Key Vault ובחר בו.
6. בחר הבא.
7. בחר + בחר חברים.
8. חפש את המדיניות הארגונית שיצרת.
9. בחר את שם המדיניות הארגונית ולאחר מכן בחר באפשרות בחר.
10. בחר סקירה והקצאה.

הערה

הגדרת ההרשאה שלמעלה מבוססת על מודל ההרשאה של ה- Key Vault שלך עבורבקרת גישה מבוססת תפקידים של Azure. אם ה- Key Vault מוגדר למדיניות גישה ל- Vault, מומלץ לעבור למודל מבוסס התפקידים. כדי להעניק גישה למדיניות הארגונית שלך ל- Key vault באמצעות מדיניות גישה ל- Vault, צור מדיניות גישה, בחר קבל בפעולות ניהול מפתחות ופתח אריזת מפתח וארוז מפתח בפעולות הצפנה.

הענק למנהל המערכת של Power Platform הרשאת קריאה של מדיניות הארגון

מנהלי מערכת שיש להם תפקידי ניהול גלובליים של Azure, Dynamics 365 ו- Power Platform יכולים לגשת אל מרכז הניהול של Power Platform כדי להקצות סביבות למדיניות הארגונית. כדי לגשת למדיניות הארגונית, המנהל הגלובלי עם גישה ל- Azure Key Vault נדרש להעניק את התפקיד קורא למנהל המערכת של Power Platform. לאחר הענקת התפקיד קורא, מנהל המערכת של Power Platform יוכל להציג את מדיניות הארגון במרכז הניהול של Power Platform.

הערה

רק מנהלי מערכת של Power Platform ושל Dynamics 365 שקיבלו את תפקיד הקורא למדיניות הארגונית יכולים להוסיף סביבה למדיניות. מנהלי מערכת אחרים של Power Platform או Dynamics 365 עשויים להיות מסוגלים להציג את המדיניות הארגונית, אך הם יקבלו שגיאה כאשר הם מנסים להוסיף סביבה למדיניות.

הענק תפקיד קורא למנהל המערכת של Power Platform

1. היכנס אל פורטל Azure.
2. העתק את מזהה האובייקט של מנהל המערכת של Power Platform או Dynamics 365. לשם כך:
   1. עבור לאזור משתמשים ב-Azure.
   2. ברשימה כל המשתמשים מצא את המשתמש בעל הרשאות הניהול של Power Platform או Dynamics 365 באמצעות חיפוש משתמשים.
   3. פתח את רשומת המשתמש, בכרטיסייה סקירה העתק את מזהה האובייקט של המשתמש. הדבק אותו בעורך טקסט כמו 'פנקס רשימות'.
3. העתק את מזהה המשאב של המדיניות הארגונית. לשם כך:
   1. עבור אל Resource Graph Explorer ב-Azure.
   2. הזן microsoft.powerplatform/enterprisepolicies בתיבה חיפוש ולאחר מכן בחר את המשאב microsoft.powerplatform/enterprisepolicies.
   3. בחר הפעל שאילתה בסרגל הפקודות. רשימת כל המדיניות הארגוניות של Power Platform מוצגת.
   4. אתר את המדיניות הארגונית שאליה ברצונך להעניק גישה.
   5. גלול מימין למדיניות הארגונית ובחר ראה פרטים.
   6. בדף פרטים העתק את המזהה.
4. הפעל את Azure Cloud Shell, והפעל את הפקודה הבאה תוך החלפת objId בזיהוי האובייקט של המשתמש וזיהוי משאב EP עם enterprisepolicies המזהה שהועתק בשלבים הקודמים: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

נהל הצפנה של הסביבה

כדי לנהל את ההצפנה של הסביבה, אתה זקוק להרשאה הבאה:

• משתמש פעיל של Microsoft Entra שיש לו תפקיד מנהל אבטחה ב- Power Platform ו/או Dynamics 365.
• משתמש Microsoft Entra שיש לו תפקיד מנהל דייר גלובלי, או תפקיד מנהל שירות ב- Power Platform או ב- Dynamics 365.

מנהל כספת המפתחות מודיע למנהל המערכת של Power Platform שנוצרו מפתח הצפנה ומדיניות ארגונית ומספק את מדיניות הארגון למנהל מערכת ב- Power Platform. כדי להפעיל את המפתח המנוהל על ידי לקוחות, מנהל המערכת ב- Power Platform מקצה את הסביבות שלו למדיניות הארגונית. לאחר שהסביבה מוקצית ונשמרת, Dataverse מתחיל את תהליך ההצפנה כדי להגדיר את כל נתוני הסביבה, ולהצפין אותם עם המפתח המנוהל על ידי הלקוח.

הפוך את האפשרות להוסיף סביבה מנוהלת לסביבה למדיניות הארגונית לזמינה

1. היכנס אל מרכז הניהול של Power Platform, ולאחר מכן אתר את הסביבה.
2. מרשימת הסביבות בחר את הסביבה הרצויה וסמן אותה.
3. בחר את הסמל אפשר סביבות מנוהלות בסרגל הפעולות.
4. בחר הפוך לזמין.

הוסף סביבה למדיניות הארגונית כדי להצפין נתונים

חשוב

הסביבה תושבת כאשר היא תתווסף למדיניות הארגונית להצפנת נתונים.

1. היכנס אל מרכז הניהול של Power Platform ועבור אל מדיניות>מדיניות ארגונית.
2. בחר מדיניות ולאחר מכן, בסרגל הפקודות, בחר ערוך.
3. בחר הוסף סביבות, בחר את הסביבה הרצויה ולאחר מכן בחר המשך.
4. בחר שמור ולאחר מכן בחר אשר.

חשוב

• רק סביבות שנמצאות באותו אזור כמו מדיניות הארגון מוצגות ברשימה הוסף סביבות.
• השלמת ההצפנה עשויה להימשך עד ארבעה ימים, אך ייתכן שהסביבה תופעל לפני שתסתיים הפעולה הוסף סביבות.
• ייתכן שהפעולה לא תושלם. אם היא תיכשל, הנתונים שלך ממשיכים להיות מוצפנים עם מפתח מנוהל של Microsoft. תוכל להפעיל שוב את הפעולה הוסף סביבות.

הערה

ניתן להוסיף רק סביבות שהוגדרו כזמינות כסביבות מנוהלות. לא ניתן להוסיף סוגי סביבת ניסיון ו-Teams למדיניות הארגון.

הסר סביבות מהמדיניות כדי לחזור למפתח המנוהל של Microsoft

בצע את השלבים הבאים אם ברצונך לחזור למפתח הצפנה מנוהל של Microsoft.

חשוב

הסביבה תושבת כאשר היא תוסר ממדיניות הארגון להחזרת הצפנת נתונים באמצעות המפתח המנוהל של Microsoft.

1. היכנס אל מרכז הניהול של Power Platform ועבור אל מדיניות>מדיניות ארגונית.
2. בחר בכרטיסיה סביבה עם מדיניות ולאחר מכן מצא את הסביבה שברצונך להסיר מהמפתח המנוהל על ידי לקוחות.
3. בחר בכרטיסיה כל המדיניות, בחר את הסביבה שאימתת בשלב 2, ולאחר מכן בחר ערוך מדיניות בשורת הפקודות.
4. בחר הסר סביבה בשורת הפקודות, בחר את הסביבה שברצונך להסיר ובחר המשך.
5. בחר שמור.

חשוב

הסביבה תושבת כאשר היא תוסר ממדיניות הארגון כדי להחזיר את הצפנת הנתונים למפתח המנוהל על-ידי Microsoft. אין למחוק או להשבית את המפתח, למחוק או להשבית את ה- Key vault או להסיר את ההרשאות של מדיניות הארגון עבור ה- Key vault. הגישה למפתח ול- Key vault נחוצה כדי לתמוך בשחזור מסד הנתונים. ניתן למחוק ולהסיר את ההרשאות של מדיניות הארגון לאחר 30 יום.

שנה את מפתח ההצפנה של הסביבה עם מדיניות ארגונית ומפתח חדש

כדי לסובב את מפתח ההצפנה, צור מפתח חדש ומדיניות ארגונית חדשה. תוכל לשנות את מדיניות הארגון על ידי הסרת סביבות והוספת הסביבות למדיניות הארגונית החדשה.

הערה

שימוש בגרסת מפתח חדשה והגדרה של מדיניות סיבוב לסיבוב מפתח ההצפנה אינו נתמך.

1. בפורטל Azure, צור מפתח חדש ומדיניות ארגונית חדשה. מידע נוסף: צור מפתח הצפנה והענק גישה וצור מדיניות ארגונית
2. לאחר יצירת המפתח והמדיניות הארגונית החדשים, עבור אל מדיניות>מדיניות ארגונית.
3. בחר בכרטיסיה סביבה עם מדיניות ולאחר מכן מצא את הסביבה שברצונך להסיר מהמפתח המנוהל על ידי לקוחות.
4. בחר בכרטיסיה כל המדיניות, בחר את הסביבה שאימתת בשלב 2, ולאחר מכן בחר ערוך מדיניות בשורת הפקודות.
5. בחר הסר סביבה בשורת הפקודות, בחר את הסביבה שברצונך להסיר ובחר המשך.
6. בחר שמור.
7. חזור על שלבים 2-6 עד שכל הסביבות במדיניות הארגון הוסרו.

חשוב

הסביבה תושבת כאשר היא תוסר ממדיניות הארגון כדי להחזיר את הצפנת הנתונים למפתח המנוהל על-ידי Microsoft. אין למחוק או להשבית את המפתח, למחוק או להשבית את ה- Key vault או להסיר את ההרשאות של מדיניות הארגון עבור ה- Key vault. הגישה למפתח ול- Key vault נחוצה כדי לתמוך בשחזור מסד הנתונים. ניתן למחוק ולהסיר את ההרשאות של מדיניות הארגון לאחר 30 יום.

1. לאחר הסרת כל הסביבות, עבור ממרכז הניהול של Power Platform אל מדיניות ארגונית.
2. בחר את המדיניות הארגונת החדשה ולאחר מכן בחר ערוך מדיניות.
3. בחר הוסף סביבה, בחר את הסביבות שברצונך להוסיף ולאחר מכן בחר המשך.

חשוב

הסביבה תושבת כאשר היא תתווסף למדיניות הארגונית החדשה.

שנה את מפתח ההצפנה של הסביבה עם מדיניות ארגונית וגרסת מפתח חדשה

אפשר לשנות את מפתח ההצפנה של הסביבה על ידי יצירה של גרסת מפתח חדשה. כאשר אתה יוצר גרסת מפתח חדשה, גרסת המפתח החדשה מופעלת באופן אוטומטי. כל משאבי האחסון מזהים את גרסת המפתח החדשה ומתחילים ליישם אותה כדי להצפין את הנתונים שלך.

כאשר אתה משנה את המפתח או את גרסת המפתח, ההגנה על מפתח ההצפנה הבסיסית משתנה, אך הנתונים באחסון נשארים תמיד מוצפנים עם המפתח שלך. לא נדרשת פעולה נוספת מצידך כדי להבטיח שהנתונים שלך מוגנים. סיבוב גרסת המפתח אינו משפיע על הביצועים. אין זמן השבתה הקשור לסיבוב גרסת המפתח. זה יכול לקחת 24 שעות עד שכל ספקי המשאבים יתחילו להחיל את גרסת המפתח החדשה ברקע. אין להשבית את גרסת המפתח הקודמת מכיוון שהיא נדרשת כדי שהשירות ישתמש בה להצפנה מחדש ולתמיכה בשחזור מסד נתונים.

כדי לסובב את מפתח ההצפנה על ידי יצירת גרסת מפתח חדשה, השתמש בשלבים הבאים.

1. עבור אל Portal Azure>Key Vaults ואתר את כספת המפתחות שבה ברצונך ליצור גרסת מפתח חדשה.
2. עבור אל מפתחות.
3. בחר את המפתח הנוכחי שפעיל.
4. בחר + גירסה חדשה.
5. שים לב שההגדרה מופעל כברירת המחדל היא כן, מה שאומר שגרסת המפתח החדשה מופעלת אוטומטית עם היצירה.
6. בחר צור.

אפשר גם לסובב את מפתח ההצפנה באמצעות מדיניות הסיבוב על ידי הגדרת מדיניות סיבוב או סיבוב, לפי דרישה, על ידי הפעלת האפשרות סובב עכשיו.

חשוב

גרסת המפתח החדשה מסתובבת אוטומטית ברקע ואין שום פעולה שמנהל המערכת של Power Platform צריך לבצע. חשוב לזכור שאסור להשבית או למחוק את גרסת המפתח הקודמת במשך 28 ימים לפחות, כדי לתמוך בשחזור מסד הנתונים. השבתה או מחיקה של גרסת המפתח הקודמת מוקדם מדי עלולה להפוך את הסביבה שלך למצב לא מקוון.

הצג את רשימת הסביבות המוצפנות

1. היכנס אל מרכז הניהול של Power Platform ועבור אל מדיניות>מדיניות ארגונית.
2. בדף מדיניות ארגונית בחר בכרטיסיה סביבות עם מדיניות. מוצגת רשימת הסביבות שנוספו למדיניות הארגונית.

הערה

ייתכנו מצבים שבהם מצב הסביבה או מצב ההצפנה הוא מצב נכשל. כאשר זה קורה, שלח בקשה לתמיכה של Microsoft לקבלת עזרה.

פעולות מסד נתונים של סביבה

לדייר לקוח יכולות להיות סביבות המוצפנות באמצעות המפתח המנוהל של Microsoft וסביבות המוצפנות בעזרת המפתח המנוהל של הלקוח. כדי לשמור על שלמות הנתונים והגנת הנתונים, הפקדים הבאים זמינים בעת ניהול פעולות של מסד נתונים של סביבה.

• שחזור הסביבה להחלפה (המשוחזרת לסביבה) מוגבלת לאותה סביבה שממנה נלקח הגיבוי או לסביבה אחרת המוצפנת בעזרת אותו מפתח מנוהל של לקוח.

  

• העתקה הסביבה להחלפה (שהועתקה לסביבה) מוגבלת לסביבה אחרת המוצפנת בעזרת אותו מפתח מנוהל של לקוח.

  

  הערה

  אם נוצרה סביבת בדיקת תמיכה כדי לפתור בעיית תמיכה בסביבה מנוהלת של לקוח, מפתח ההצפנה עבור סביבת בדיקת התמיכה מוכרח להשתנות למפתח מנוהל של לקוח לפני שפעולת העתקת הסביבה תוכל להתבצע.

• איפוס הנתונים המוצפנים של הסביבה יימחקו, כולל גיבויים. לאחר איפוס הסביבה, הצפנת הסביבה תחזור למפתח המנוהל של Microsoft.

‏‫השלבים הבאים‬

אודות Azure Key Vault