Gestire la chiave di crittografia gestita dal cliente

  • Articolo

I clienti hanno requisiti di privacy e conformità dei dati per proteggere i propri dati crittografando i dati inattivi. Questo protegge i dati dall'esposizione in caso di furto di una copia del database. Con la crittografia dei dati inattivi, i dati del database rubati sono protetti dal ripristino su un server diverso senza la chiave di crittografia.

Tutti i dati dei clienti archiviati in Power Platform sono crittografati, quando inattivi, con chiavi di crittografia avanzate gestite da Microsoft per impostazione predefinita. Microsoft archivia e gestisce la chiave di crittografia del database per tutti i tuoi dati al posto tuo. Tuttavia, Power Platform fornisce questa chiave di crittografia gestita dal cliente (CMK) per un controllo aggiuntivo della protezione dei dati in cui è possibile gestire autonomamente la chiave di crittografia del database associata al proprio ambiente Microsoft Dataverse. Questo ti consente di ruotare o scambiare la chiave di crittografia su richiesta e di impedire l'accesso di Microsoft ai dati dei clienti quando revochi l'accesso chiave ai nostri servizi in qualsiasi momento.

Per ulteriori informazioni sulla chiave gestita del cliente in Power Platform, guarda il video sulla chiave gestita dal cliente.

Queste operazioni della chiave di crittografia sono disponibili con la chiave gestita dal cliente:

  • Crea una chiave RSA (RSA-HSM) da Azure Key Vault.
  • Crea un criterio aziendale Power Platform per la tua chiave.
  • Concedi l'autorizzazione del criterio aziendale Power Platform per accedere al tuo key vault.
  • Consenti all'amministratore del servizio Power Platform di leggere i criteri aziendali.
  • Applica la chiave di crittografia al tuo ambiente.
  • Ripristina/rimuovi la crittografia CMK dell'ambiente dalla chiave gestita da Microsoft.
  • Cambia chiave creando un nuovo criterio aziendale, rimuovendo l'ambiente dalla chiave gestita dal cliente e riapplicandola con il nuovo criterio aziendale.
  • Blocca gli ambienti CMK revocando il key vault CMK e/o le autorizzazioni chiave.
  • Esegui la migrazione degli ambienti Bring Your Own Key (BYOK) a CMK applicando la chiave CMK.

Attualmente, tutti i dati dei clienti archiviati solo nelle seguenti app e servizi possono essere crittografati con la chiave gestita dal cliente:

  • Dataverse (Soluzioni personalizzate e servizi Microsoft)
  • Power Automate1
  • Chat per Dynamics 365
  • Dynamics 365 Sales
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Finance (Finance + Operations)
  • Dynamics 365 Intelligent Order Management (Finance + Operations)
  • Dynamics 365 Project Operations (Finance + Operations)
  • Dynamics 365 Supply Chain Management (Finance + Operations)
  • Dynamics 365 Fraud Protection (Finance + Operations)

1 Quando applichi la chiave gestita dal cliente a un ambiente in cui sono presenti flussi di Power Automate, i dati dei flussi continuano a essere crittografati con la chiave gestita da Microsoft. Ulteriori informazioni: Chiave gestita dal cliente di Power Automate.

Nota

L'IVR conversazionale di Nuance e i contenuti introduttivi per gli autori sono esclusi dalla crittografia con chiave gestita dal cliente.

Power Apps e Power Virtual Agent memorizza i propri dati nel proprio spazio di archiviazione e in Microsoft Dataverse. Quando applichi la chiave gestita dal cliente a questi ambienti, solo gli archivi dati in Microsoft Dataverse vengono crittografati con la tua chiave. I dati non Microsoft Dataverse, incluso il codice sorgente Power Apps e le icone delle app canvas, continuano a essere crittografati con la chiave gestita da Microsoft.

Nota

Le impostazioni di connessione per i connettori continueranno a essere crittografate con una chiave gestita da Microsoft.

Contatta un rappresentante per i servizi non elencati sopra per informazioni sul supporto delle chiavi gestite dal cliente.

Anche gli ambienti con app per la finanza e le operazioni in cui l'integrazione di Power Platform è abilitata possono essere crittografati. Gli ambienti per la finanza e le operazioni senza l'integrazione di Power Platform continueranno a usare la chiave gestita Microsoft predefinita per crittografare i dati. Altre informazioni: Crittografia nelle app per la finanza e le operazioni

Chiave di crittografia gestita dal cliente in Power Platform

Introduzione alla chiave gestita dal cliente

Con la chiave gestita dal cliente, gli amministratori possono fornire la propria chiave di crittografia dal proprio Azure Key Vault ai servizi di archiviazione Power Platform per crittografare i dati dei clienti. Microsoft non ha accesso diretto al tuo Azure Key Vault. Affinché i servizi Power Platform accedano alla chiave di crittografia dal tuo Azure Key Vault, l'amministratore crea un criterio aziendale di Power Platform che fa riferimento alla chiave di crittografia e concede a questo criterio aziendale l'accesso per leggere la chiave dal tuo Azure Key Vault.

L'amministratore dei servizi Power Platform può quindi aggiungere gli ambienti Dataverse al criterio aziendale per iniziare a crittografare tutti i dati dei clienti nell'ambiente con la tua chiave di crittografia. Gli amministratori possono modificare la chiave di crittografia dell'ambiente creando un altro criterio aziendale e aggiungere l'ambiente (dopo averlo rimosso) al nuovo criterio aziendale. Nel caso in cui l'ambiente non debba più essere crittografato utilizzando la chiave gestita dal cliente, l'amministratore può rimuovere l'ambiente Dataverse dai criteri aziendali per ripristinare la crittografia dei dati sulla chiave gestita da Microsoft.

L'amministratore può bloccare gli ambienti chiave gestiti dal cliente revocando l'accesso alla chiave dal criterio aziendale e sbloccare gli ambienti ripristinando l'accesso alla chiave. Ulteriori informazioni: Bloccare gli ambienti revocando l'accesso al key vault e/o alle autorizzazioni della chiave

Per semplificare le attività di gestione delle chiavi, le attività vengono suddivise in tre aree principali:

  1. Crea chiave di crittografia.
  2. Crea criteri aziendali e concedi l'accesso.
  3. Gestisci la crittografia di un ambiente.

Avviso

Quando gli ambienti sono bloccati, non è possibile accedervi da nessuno, incluso il supporto Microsoft. Gli ambienti bloccati vengono disattivati e possono verificarsi perdite di dati.

Requisiti di licenza per la chiave gestita dal cliente

Il criterio della chiave gestita dal cliente viene applicato solo agli ambienti attivati per gli ambienti gestiti. Gli ambienti gestiti sono inclusi come diritto nelle licenze Power Apps, Power Automate, Power Virtual Agents, Power Pages e Dynamics 365 autonome che forniscono diritti di utilizzo Premium. Per ulteriori informazioni sulle Licenze per ambienti gestiti, vedi Panoramica delle licenze per Microsoft Power Platform.

Inoltre, l'accesso all'utilizzo della chiave gestita dal cliente per Microsoft Power Platform e Dynamics 365 richiede che gli utenti negli ambienti in cui viene applicato il criterio della chiave di crittografia dispongano di uno di questi abbonamenti:

  • Microsoft 365 or Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Compliance
  • Sicurezza e conformità di Microsoft 365 F5
  • Microsoft 365 A5/E5/F5/G5 Information Protection and Governance
  • Microsoft 365 A5/E5/F5/G5 Insider Risk Management

Scopri di più su queste licenze

Informazioni sul rischio potenziale derivato dalla gestione della chiave

Come per qualsiasi applicazione aziendale critica, il personale dell'organizzazione con l'accesso a livello di amministratore deve essere considerato affidabile. Prima di utilizzare la funzionalità di gestione delle chiavi, è importante comprendere il rischio derivato dalla gestione delle chiavi di crittografia dei database. È immaginabile che un amministratore malintenzionato (una persona a cui è assegnato o dispone dell'accesso a livello di amministratore con l'intenzione di nuocere alla sicurezza o ai processi aziendali di un'organizzazione) che opera nell'organizzazione può utilizzare la funzionalità di gestione delle chiavi per creare una chiave e utilizzarla per bloccare tutti i tuoi ambienti del tenant.

Considera la seguente serie di eventi.

L'amministratore malintenzionato di credenziali delle chiavi crea una chiave e un criterio aziendale nel portale di Azure. L'amministratore Azure Key Vault va all'interfaccia di amministrazione di Power Platform e aggiungi ambienti ai criteri aziendali. L'amministratore malintenzionato torna quindi al portale di Azure e revoca l'accesso alla chiave al criterio aziendale, bloccando così tutti gli ambienti. Ciò causa interruzioni dell'attività poiché tutti gli ambienti diventano inaccessibili e se questo evento non viene risolto, ovvero l'accesso alla chiave non viene ripristinato, i dati dell'ambiente potrebbero andare potenzialmente persi.

Nota

  • Azure Key Vault dispone di misure di sicurezza predefinite che aiutano a ripristinare la chiave, che richiedono le impostazioni del key vault Eliminazione temporanea e Protezione contro l'eliminazione abilitate.
  • Un'altra misura di sicurezza da prendere in considerazione consiste nell'assicurarsi che vi sia una separazione delle attività in cui all'amministratore di Azure Key Vault non venga concesso l'accesso all'interfaccia di amministrazione di Power Platform.

Separazione dei compiti per mitigare il rischio

Questa sezione descrive i compiti delle funzionalità chiave gestite dal cliente di cui è responsabile ciascun ruolo amministratore. La separazione di queste attività aiuta a mitigare il rischio associato alle chiavi gestite dal cliente.

Azure Key Vault e Power Platform/Attività di amministrazione del servizio Dynamics 365

Per abilitare le chiavi gestite dal cliente, prima l'amministratore del key vault crea una chiave in Azure Key Vault e crea un criterio aziendale di Power Platform. Una volta creati i criteri aziendali, viene creata un'identità gestita di Microsoft Entra ID speciale. Successivamente, l'amministratore del key vault ritorna ad Azure Key Vault e concede ai criteri aziendali/all'identità gestita l'accesso alla chiave di crittografia.

L'amministratore del key vault concede quindi il rispettivo accesso in lettura dell'amministratore del servizio Power Platform/Dynamics 365 al criterio aziendale. Una volta concesso il permesso di lettura, l'amministratore del servizio Power Platform/Dynamics 365 può accedere all'interfaccia di amministrazione di Power Platform e aggiungere ambienti al criterio aziendale. Tutti i dati dei clienti degli ambienti aggiunti vengono quindi crittografati con la chiave gestita dal cliente collegata a questo criterio aziendale.

Prerequisiti
  • Una sottoscrizione di Azure che include Azure Key Vault o moduli di sicurezza hardware gestiti di Azure Key Vault (anteprima).
  • Amministratore di tenant globale o un Microsoft Entra ID con autorizzazione di contributore per la sottoscrizione a Microsoft Entra e autorizzazione a creare un Azure Key Vault e una chiave. Questo è necessario per configurare il key vault.
Crea la chiave e concedi l'accesso usando Azure Key Vault

L'amministratore di Azure Key Vault esegue queste attività in Azure.

  1. Crea una sottoscrizione a pagamento di Azure e un key vault. Ignora questo passaggio se disponi già di una sottoscrizione che include Azure Key Vault.
  2. Passa al servizio Azure Key Vault e crea una chiave. Maggiori informazioni: Creare una chiave nel key vault
  3. Abilita il servizio di criteri aziendali Power Platform per la tua sottoscrizione di Azure. Fallo solo una volta. Maggiori informazioni: Abilita il servizio di criteri aziendali Power Platform per la tua sottoscrizione di Azure
  4. Crea un criterio aziendale Power Platform. Maggiori informazioni: Creare criteri aziendali
  5. Concedi autorizzazioni del criterio aziendale per accedere al key vault. Maggiori informazioni: Concedere autorizzazioni del criterio aziendale per accedere al key vault
  6. Concedi agli amministratori di Power Platform e Dynamics 365 l'autorizzazione a leggere i criteri aziendali. Maggiori informazioni: Concedere il privilegio di amministratore di Power Platform per leggere i criteri aziendali

Amministratore del servizio Power Platform/Dynamics 365 attività dell'interfaccia di amministrazione di Power Platform

Prerequisito
  • All'amministratore di Power Platform deve essere assegnato il ruolo di amministratore del servizio Power Platform o Dynamics 365 Microsoft Entra.
Gestisci la crittografia dell'ambiente nell'interfaccia di amministrazione di Power Platform

L'amministratore di Power Platform gestisce le attività chiave gestite dal cliente relative all'ambiente nell'interfaccia di amministrazione di Power Platform.

  1. Aggiungi gli ambienti Power Platform al criterio aziendale per crittografare i dati con la chiave gestita dal cliente. Maggiori informazioni: Aggiungere un ambiente al criterio aziendale per crittografare i dati
  2. Rimuovi gli ambienti dai criteri aziendali per riportare la crittografia alla chiave gestita da Microsoft. Maggiori informazioni: Rimuovere gli ambienti dal criterio per tornare alla chiave gestita da Microsoft
  3. Modifica la chiave rimuovendo gli ambienti dal vecchio criterio aziendale e aggiungendo ambienti a un nuovo criterio aziendale. Ulteriori informazioni: Creare una chiave di crittografia e concedere accesso
  4. Esegui la migrazione da BYOK. Se utilizzi la caratteristica della chiave di crittografia autogestita, puoi eseguire la migrazione della chiave alla chiave gestita dal cliente. Ulteriori informazioni: Eseguire la migrazione degli ambienti Bring Your Own Key alla chiave gestita dal cliente

Creare una chiave di crittografia e concedere accesso

Crea una sottoscrizione a pagamento di Azure e un key vault

in azure, esegui i seguenti passaggi:

  1. crea una sottoscrizione con pagamento a consumo o la sottoscrizione di Azure equivalente. Questo passaggio non è necessario se il tenant ha già una sottoscrizione.
  2. Crea un gruppo di risorse. Maggiori informazioni: Crea gruppi di risorse
  3. Crea un key vault usando la sottoscrizione a pagamento che include l'eliminazione temporanea e la protezione contro l'eliminazione con il gruppo di risorse creato nel passaggio precedente.

    Importante

Crea una chiave nel key vault

  1. Assicurati di aver soddisfatto i prerequisiti.

  2. Vai al Portale di Azure>Key Vault e individua il key vault in cui desideri generare una chiave di crittografia.

  3. Verifica le impostazioni d Azure Key Vault:

    1. Seleziona Proprietà in Impostazioni.
    2. In Eliminazione temporanea, imposta o verifica che sia impostata sull'opzione L'eliminazione temporanea è stata abilitata in questo key vault.
    3. In Protezione contro l'eliminazione, imposta o verifica che Abilita la protezione contro l'eliminazione (applica un periodo di conservazione obbligatorio per vault e oggetti del vault eliminati) sia abilitato.
    4. Se apporti modifiche, seleziona Salva.

    Abilita la protezione contro l'eliminazione nel key vault

Crea indicatori RSA
  1. Crea o importa una chiave con queste proprietà:
    1. Nelle pagine delle proprietà Key Vault seleziona Chiavi.
    2. Seleziona Genera/Importa.
    3. Nella schermata Crea una chiave, immetti i seguenti valori e quindi seleziona Crea.
      • Opzioni: Genera
      • Nome: Specifica un nome per la chiave
      • Tipo di chiave: RSA
      • Dimensione chiave RSA: 2048

Importa chiavi protette per moduli di sicurezza hardware (HSM)

Puoi utilizzare le chiavi protette per i moduli di sicurezza hardware (HSM) per crittografare i tuoi ambienti Power Platform Dataverse. Le tue chiavi protette da HSM devono essere importate nell'insieme di credenziali delle chiavi per poter creare criteri aziendale. Per ulteriori informazioni, vedi gli HSM supportatiImportare chiavi protette da HSM in Key Vault (BYOK).

Crea una chiave nell'HSM gestito di Azure Key Vault (Anteprima)

È possibile usare una chiave di crittografia creata dall'HSM gestito di Azure Key Vault per crittografare i dati dell'ambiente. In questo modo sarà disponibile il supporto FIPS 140-2 Livello 3.

Crea chiavi RSA-HSM

  1. Assicurati di aver soddisfatto i prerequisiti.

  2. Vai al portale di Azure.

  3. Crea un HSM gestito:

    1. Provisioning dell'HSM gestito.
    2. Attivare l'HSM gestito.

  4. Abilita Protezione eliminazione nel tuo HSM gestito.

  5. Concedi il ruolo Utente crittografia HSM gestito alla persona che ha creato l'insieme di credenziali delle chiavi dell'HSM gestito.

    1. Accedi all'insieme di credenziali delle chiavi dell'HSM gestito nel portale di Azure.
    2. Passa a RBAC locale e seleziona + Aggiungi.
    3. Nell'elenco a discesa Ruolo, seleziona il ruolo Utente crittografia HSM gestito nella pagina Assegnazione ruolo.
    4. Seleziona Tutte le chiavi in Ambito.
    5. Seleziona Seleziona entità di sicurezza, quindi seleziona l'amministratore nella pagina Aggiungi entità.
    6. Seleziona Crea.

  6. Crea una chiave RSA-HSM:

    • Opzioni: Genera
    • Nome: Specifica un nome per la chiave
    • Tipo di chiave: RSA-HSM
    • Dimensione chiave RSA: 2048

    Nota

    Dimensioni chiave RSA-HSM supportate: 2.048 bit, 3.072 bit, 4.096 bit.

Puoi aggiornare la rete di Azure Key Vault abilitando un endpoint privato e usando la chiave nell'insieme di credenziali delle chiavi per crittografare i tuoi ambienti Power Platform.

È possibile creare un nuovo insieme di credenziali delle chiavi e stabilire una connessione con collegamento privato o stabilire una connessione con collegamento privato a un insieme di credenziali delle chiavi esistente e creare una chiave da questo insieme di credenziali delle chiavi e usarla per crittografare il tuo ambiente. Puoi anche stabilire una connessione tramite collegamento privato a un insieme di credenziali delle chiavi esistente dopo aver già creato una chiave e utilizzarla per crittografare il tuo ambiente.

  1. Crea un insieme di credenziali delle chiavi di Azure con queste opzioni:

    • Abilita Protezione eliminazione
    • Tipo di chiave: RSA
    • Dimensioni chiave: 2.048

  2. Copia l'URL dell'insieme di credenziali delle chiavi e l'URL della chiave di crittografia da utilizzare per la creazione dei criteri aziendali.

    Nota

    Dopo aver aggiunto un endpoint privato all'insieme di credenziali delle chiavi o disabilitato la rete di accesso pubblico, non sarai in grado di vedere la chiave a meno che tu non disponga dell'autorizzazione appropriata.

  3. Crea una rete virtuale.

  4. Torna al tuo insieme di credenziali delle chiavi e aggiungi connessioni endpoint private al tuo insieme di credenziali delle chiavi di Azure.

    Nota

    Devi selezionare l'opzione di rete Disabilita accesso pubblico e abilitare l'eccezione Consenti ai servizi Microsoft attendibili di ignorare questo firewall.

  5. Crea un criterio aziendale Power Platform. Maggiori informazioni: Creare criteri aziendali

  6. Concedi autorizzazioni del criterio aziendale per accedere al key vault. Maggiori informazioni: Concedere autorizzazioni del criterio aziendale per accedere al key vault

  7. Concedi agli amministratori di Power Platform e Dynamics 365 l'autorizzazione a leggere i criteri aziendali. Maggiori informazioni: Concedere il privilegio di amministratore di Power Platform per leggere i criteri aziendali

  8. L'amministratore dell'interfaccia di amministrazione di Power Platform seleziona l'ambiente da crittografare e in cui abilitare l'ambiente gestito. Ulteriori informazioni: Abilitare l'ambiente gestito da aggiungere ai criteri aziendali

  9. L'amministratore dell'interfaccia di amministrazione di Power Platform aggiunge l'ambiente gestito ai criteri aziendali. Maggiori informazioni: Aggiungere un ambiente al criterio aziendale per crittografare i dati

Abilita il servizio di criteri aziendali Power Platform per la tua sottoscrizione di Azure

Registra Power Platform come provider di risorse. È necessario eseguire questa attività solo una volta per ogni sottoscrizione di Azure in cui risiede Azure Key Vault. È necessario disporre dei diritti di accesso all'abbonamento per poter registrare il provider di risorse.

  1. Accedi al Portale di Azure e vai a Sottoscrizione>Provider di risorse.
  2. Nell'elenco di Provider di risorse, cerca Microsoft.PowerPlatform e Registralo .

Crea un criterio aziendale

  1. Installa PowerShell MSI. Maggiori informazioni: Installare PowerShell su Windows, Linux e macOS
  2. Dopo l'installazione di PowerShell MSI, torna a Distribuire un modello personalizzato in Azure.
  3. Seleziona il collegamento Crea il tuo modello nell'editor.
  4. Copia il modello JSON in un editor di testo, ad esempio Blocco note. Maggiori informazioni: Modello json criterio aziendale
  5. Sostituisci i valori nel modello JSON per: EnterprisePolicyName, percorso in cui è necessario creare EnterprisePolicy, keyVaultId e keyName. Maggiori informazioni: Definizioni di campo per il modello json
  6. Copia il modello aggiornato dal tuo editor di testo, quindi incollalo in Modifica modello della Distribuzione personalizzata in Azure, e seleziona Salva. Modello di Azure Key Vault
  7. Seleziona una Sottoscrizione e un Gruppo di risorse dove creare il criterio aziendale.
  8. Seleziona Rivedi e crea e quindi seleziona Crea.

Viene avviata una distribuzione. Al termine, viene creato il criterio aziendale.

Modello json di criterio aziendale

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definizioni di campo per il modello JSON

  • nome. Nome del criterio aziendale. Questo è il nome del criterio che appare nell'interfaccia di amministrazione di Power Platform.

  • posizione. Una delle seguenti. Questa è la posizione del criterio aziendale e deve corrispondere alla regione dell'ambiente di Dataverse:

    • "unitedstates"
    • "southafrica"
    • "switzerland”
    • "germany"
    • "unitedarabemirates"
    • "france"
    • "uk”
    • "japan"
    • "india"
    • "canada"
    • "southamerica"
    • "europe"
    • "asia"
    • "australia"
    • "korea"
    • "norway"
    • "singapore"

  • copia questi valori dalle proprietà del key vault nel portale di Azure:

    • keyVaultId: Vai a Key vault> seleziona >Panoramica del tuo key vault. Accanto a Essentials seleziona Vista JSON. Copia l'ID della risorsa negli appunti e incolla l'intero contenuto nel modello JSON.
    • keyName: Vai a Key vault> seleziona >Chiavi del tuo key vault. Nota il Nome della chiave e digita il nome nel tuo modello JSON.

Concedi autorizzazioni del criterio aziendale per accedere al key vault

Una volta creato il criterio aziendale, l'amministratore del key vault concede all'identità gestita del criterio aziendale l'accesso alla chiave di crittografia.

  1. Accedi al Portale di Azure e vai su Key vault.
  2. Seleziona il key vault in cui la chiave è stata assegnata al criterio aziendale.
  3. Seleziona la scheda Controllo di accesso (IAM) e quindi + Aggiungi.
  4. Seleziona Aggiungi assegnazione ruolo dal menu a discesa,
  5. Cerca Key Vault Crypto Service Encryption User e selezionalo.
  6. Seleziona Avanti.
  7. Seleziona + Seleziona membri.
  8. Cerca i criteri aziendali che hai creato.
  9. Seleziona i criteri aziendali e scegli Seleziona.
  10. Seleziona Rivedi + assegna.

Nota

L'impostazione di autorizzazione precedente si basa sul Modello di autorizzazione dell'insieme di credenziali delle chiavi del controllo degli accessi in base al ruolo di Azure. Se l'insieme di credenziali delle chiavi è impostato su Criteri di accesso all'insieme di credenziali delle chiavi, è consigliabile eseguire la migrazione al modello basato sui ruoli. Per concedere al tuo criterio aziendale l'accesso all'insieme di credenziali delle chiavi utilizzando Criteri di accesso all'insieme di credenziali delle chiavi, crea un criterio di accesso, seleziona Ottieni su Operazioni di gestione delle chiavi e Annulla il wrapping della chiave ed Esegui il wrapping della chiave sulle Operazioni crittografiche.

Concedi il privilegio di amministratore di Power Platform per leggere i criteri aziendali

Gli amministratori che dispongono di ruoli di amministrazione globale di Azure, Dynamics 365 e Power Platform possono accedere all'interfaccia di amministrazione di Power Platform per assegnare gli ambienti ai criteri aziendali. Per accedere ai criteri aziendali, l'amministratore globale con accesso ad Azure Key Vault deve concedere il ruolo Lettore all'amministratore di Power Platform. Una volta concesso il ruolo di Lettore, l'amministratore di Power Platform sarà in grado di visualizzare i criteri aziendali nell'interfaccia di amministrazione di Power Platform.

Nota

Solo gli amministratori di Power Platform e Dynamics 365 a cui viene concesso il ruolo Lettore del criterio aziendale possono aggiungere un ambiente al criterio. Altri amministratori di Power Platform o Dynamics 365 potrebbero essere in grado di visualizzare il criterio aziendale, ma ricevono un errore quando provano ad Aggiungere ambiente al criterio.

Concedi il ruolo di lettore a un amministratore di Power Platform

  1. Accedi al portale di Azure.
  2. Copia l'ID oggetto dell'amministratore di Power Platform o Dynamics 365. Per eseguire questa operazione:
    1. vai all'area Utenti in Azure.
    2. Nell'elenco Tutti gli utenti, trova l'utente con le autorizzazioni di amministratore di Power Platform o Dynamics 365 utilizzando Cerca utenti.
    3. Apri il record dell'utente, nella scheda Panoramica copia l'ID oggetto dell'utente. Incollalo in un editor di testo, ad esempio nel Blocco note, per un momento successivo.
  3. Copia l'ID risorsa del criterio aziendale. Per eseguire questa operazione:
    1. Vai a Resource Graph Explorer in Azure.
    2. Inserisci microsoft.powerplatform/enterprisepolicies nella casella Cerca, quindi seleziona la risorsa microsoft.powerplatform/enterprisepolicies.
    3. Nella barra dei comandi seleziona Esegui query. Viene visualizzato un elenco di tutti i criteri aziendali di Power Platform.
    4. Individua il criterio aziendale a cui desideri concedere l'accesso.
    5. Scorri a destra del criterio aziendale e seleziona Vedi dettagli.
    6. Nella pagina Dettagli, copia l'id.
  4. Avvia Azure Cloud Shell ed esegui il comando seguente sostituendo objId con l'ID oggetto dell'utente e ID risorsa EP con l'enterprisepoliciesID copiato nei passaggi precedenti: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Gestire la crittografia di un ambiente

Per gestire la crittografia dell'ambiente, è necessaria la seguente autorizzazione:

  • L'utente attivo Microsoft Entra che dispone di un ruolo di sicurezza amministratore Power Platform e/o Dynamics 365.
  • L'utente Microsoft Entra che dispone di un ruolo di amministratore tenant globale, amministratore Power Platform o del servizio Dynamics 365.

L'amministratore del key vault notifica all'amministratore Power Platform che sono state create una chiave di crittografia e un criterio aziendale e fornisce il criterio aziendale all'amministratore Power Platform. Per abilitare la chiave gestita dal cliente, l'amministratore Power Platform assegna i propri ambienti al criterio aziendale. Una volta assegnato e salvato l'ambiente, Dataverse avvia il processo di crittografia per impostare tutti i dati dell'ambiente e crittografarli con la chiave gestita dal cliente.

Abilitare l'ambiente gestito da aggiungere ai criteri aziendali

  1. Accedi all'interfaccia di amministrazione di Power Platform e trova l'ambiente.
  2. Seleziona l'ambiente nell'elenco degli ambienti.
  3. Seleziona l'icona Abilita ambienti gestiti nella barra delle azioni.
  4. Seleziona Abilita.

Aggiungi un ambiente al criterio aziendale per crittografare i dati

Importante

L'ambiente verrà disabilitato quando viene aggiunto al criterio aziendale per la crittografia dei dati.

  1. Accedi all'interfaccia di amministrazione Power Platform e vai a Criteri>Criteri aziendali.
  2. Seleziona un criterio, quindi seleziona Modifica nella barra dei comandi.
  3. Seleziona Aggiungi ambienti, seleziona l'ambiente desiderato, quindi seleziona Continua. Aggiungi l'ambiente ai criteri aziendali nell'interfaccia di amministrazione Power Platform
  4. Seleziona Salva e quindi Conferma.

Importante

  • Nell'elenco Aggiungi ambienti vengono visualizzati solo gli ambienti che si trovano nella stessa area geografica del criterio aziendale.
  • Il completamento della crittografia può richiedere fino a quattro giorni, ma l'ambiente potrebbe essere abilitato prima del completamento dell'operazione Aggiungi ambienti.
  • L'operazione potrebbe non essere completata e, in caso di esito negativo, i dati continueranno a essere crittografati con la chiave gestita Microsoft. Puoi eseguire nuovamente l'operazione Aggiungi ambienti.

Nota

È possibile aggiungere solo ambienti abilitati come ambienti gestiti. I tipi di ambiente di prova e Teams non possono essere aggiunti ai criteri aziendali.

Rimuovi gli ambienti dai criteri per restituire la chiave gestita da Microsoft

Segui questi passaggi se vuoi tornare a una chiave di crittografia gestita da Microsoft.

Importante

L'ambiente verrà disabilitato quando viene rimosso dai criteri aziendali per restituire la crittografia dei dati tramite la chiave gestita da Microsoft.

  1. Accedi all'interfaccia di amministrazione Power Platform e vai a Criteri>Criteri aziendali.
  2. Seleziona la scheda Ambiente con criteri e quindi trova l'ambiente che desideri rimuovere dalla chiave gestita dal cliente.
  3. Seleziona la scheda Tutti i criteri, seleziona l'ambiente verificato nel passaggio 2, quindi seleziona Modifica criterio sulla barra dei comandi. Rimuovere un ambiente dalla chiave gestita dal cliente
  4. Seleziona Rimuovi ambiente sulla barra dei comandi, seleziona l'ambiente che desideri rimuovere, quindi seleziona Continua.
  5. Seleziona Salva.

Importante

L'ambiente verrà disabilitato quando viene rimosso dai criteri aziendali per ripristinare la crittografia dei dati sulla chiave gestita da Microsoft. Non eliminare o disabilitare la chiave, eliminare o disabilitare l'insieme di credenziali delle chiavi o rimuovere le autorizzazioni dei criteri aziendali per l'insieme di credenziali delle chiavi. La chiave e l'accesso all'insieme di credenziali delle chiavi è necessario per supportare il ripristino del database. È possibile eliminare e rimuovere le autorizzazioni dei criteri aziendali dopo 30 giorni.

Modifica la chiave di crittografia dell'ambiente con una nuova chiave e nuovi criteri aziendali

Per ruotare la chiave di crittografia, crea una nuova chiave e un nuovo criterio aziendale. Potrai quindi modificare il criterio aziendale rimuovendo gli ambienti e aggiungendo ambienti al nuovo criterio aziendale.

Nota

L'uso di Nuova versione della chiave e l'impostazione di Criteri di rotazione per la rotazione della chiave di crittografia sono ora supportati.

  1. Nel Portale di Azure, crea una nuova chiave e un nuovo criterio aziendale. Maggiori informazioni: Creare una chiave di crittografia e concedere accesso e Creare criteri aziendali
  2. Dopo aver creato la nuova chiave e il criterio aziendale, vai a Criteri>Criteri aziendali.
  3. Seleziona la scheda Ambiente con criteri e quindi trova l'ambiente che desideri rimuovere dalla chiave gestita dal cliente.
  4. Seleziona la scheda Tutti i criteri, seleziona l'ambiente verificato nel passaggio 2, quindi seleziona Modifica criterio sulla barra dei comandi. Rimuovere un ambiente dalla chiave gestita dal cliente
  5. Seleziona Rimuovi ambiente sulla barra dei comandi, seleziona l'ambiente che desideri rimuovere, quindi seleziona Continua.
  6. Seleziona Salva.
  7. Ripeti i passaggi da 2 a 6 finché tutti gli ambienti nel criterio aziendale non sono stati rimossi.

Importante

L'ambiente verrà disabilitato quando viene rimosso dai criteri aziendali per ripristinare la crittografia dei dati sulla chiave gestita da Microsoft. Non eliminare o disabilitare la chiave, eliminare o disabilitare l'insieme di credenziali delle chiavi o rimuovere le autorizzazioni dei criteri aziendali per l'insieme di credenziali delle chiavi. La chiave e l'accesso all'insieme di credenziali delle chiavi è necessario per supportare il ripristino del database. È possibile eliminare e rimuovere le autorizzazioni dei criteri aziendali dopo 30 giorni.

  1. Una volta rimossi tutti gli ambienti, dall'interfaccia di amministrazione di Power Platform vai a Criteri aziendali.
  2. Seleziona il criterio aziendale, quindi seleziona Modifica criterio.
  3. Seleziona Aggiungi ambiente, seleziona gli ambienti che desideri aggiungere, quindi seleziona Continua.

Importante

L'ambiente verrà disabilitato quando viene aggiunto al nuovo criterio aziendale.

Modifica la chiave di crittografia dell'ambiente con una nuova versione della chiave

Puoi modificare la chiave di crittografia dell'ambiente creando una nuova versione della chiave. Quando crei una nuova versione della chiave, questa viene automaticamente abilitata. Tutte le risorse di archiviazione rilevano la nuova versione della chiave e iniziano ad applicarla per crittografare i tuoi dati.

Quando modifichi la chiave o la versione della chiave, la protezione della chiave di crittografia radice cambia, ma i dati nell'archivio rimangono sempre crittografati con la tua chiave. Non è richiesta alcuna azione aggiuntiva da parte tua per garantire che i tuoi dati siano protetti. La rotazione della versione della chiave non influisce sulle prestazioni. Non sono previsti tempi di inattività associati alla rotazione della versione della chiave. Potrebbero essere necessarie 24 ore prima che tutti i provider di risorse applichino la nuova versione della chiave in background. La versione precedente della chiave non deve essere disabilitata poiché è necessario che il servizio la utilizzi per la nuova crittografia e per il supporto del ripristino del database.

Per ruotare la chiave di crittografia creando una nuova versione della chiave, attieniti alla seguente procedura.

  1. Passa al portale di Azure>Key Vault e individua l'insieme di credenziali delle chiavi in cui desideri creare una nuova versione della chiave.
  2. Passa a Chiavi.
  3. Seleziona la chiave abilitata corrente.
  4. Seleziona + Nuova versione.
  5. Tieni presente che l'impostazione Abilitata predefinita è , il che significa che la nuova versione della chiave viene automaticamente abilitata al momento della creazione.
  6. Seleziona Crea.

Puoi anche ruotare la chiave di codifica usando i criteri di rotazione configurando i criteri di rotazione o ruotando, su richiesta, richiamando l'opzione Ruota ora.

Importante

La nuova versione della chiave viene ruotata automaticamente in background e non è richiesta alcuna azione da parte dell'amministratore di Power Platform. È importante che la versione precedente della chiave non venga disabilitata o eliminata per almeno 28 giorni per supportare il ripristino del database. La disabilitazione o l'eliminazione della versione precedente della chiave troppo presto può portare il tuo ambiente offline.

Visualizza l'elenco degli ambienti crittografati

  1. Accedi all'interfaccia di amministrazione Power Platform e vai a Criteri>Criteri aziendali.
  2. Nella pagina Criteri aziendali , seleziona la scheda Ambienti con criteri. Viene visualizzato l'elenco degli ambienti che sono stati aggiunti ai criteri aziendali.

Nota

È possibile che in alcuni casi lo stato in Stato ambiente o Stato crittografia sia Non riuscito. In questo caso, invia una richiesta di assistenza al supporto tecnico Microsoft.

Operazioni del database di ambienti

Un tenant cliente può avere ambienti crittografati utilizzando la chiave gestita da Microsoft e ambienti crittografati con la chiave gestita dal cliente. Per mantenere l'integrità e la protezione dei dati, sono disponibili i seguenti controlli durante la gestione delle operazioni del database di ambiente.

  • Ripristina L'ambiente da sovrascrivere (ripristinato nell'ambiente) è limitato allo stesso ambiente da cui è stato eseguito il backup o ad un altro ambiente crittografato con la stessa chiave gestita dal cliente.

    Ripristina il backup.

  • Copia L'ambiente da sovrascrivere (l'ambiente in cui si è copiato) è limitato a un altro ambiente crittografato con la stessa chiave gestita dal cliente.

    Copia l'ambiente.

    Nota

    Se è stato creato un ambiente di investigazione del supporto per risolvere il problema di supporto in un ambiente gestito dal cliente, la chiave di crittografia per l'ambiente di investigazione del supporto deve essere cambiata in chiave gestita dal cliente prima di poter eseguire l'operazione di copia dell'ambiente.

  • Reimposta I dati crittografati dell'ambiente verranno eliminati inclusi i backup. Dopo il ripristino dell'ambiente, la crittografia dell'ambiente tornerà alla chiave gestita da Microsoft.

Passaggi successivi

Informazioni su Azure Key Vault