Тұтынушы басқаратын шифрлау кілтін басқарыңыз

  • Мақала

Тұтынушыларда деректердің құпиялылығы мен сәйкестік талаптары бар, олардың деректерін демалыс кезінде шифрлау арқылы қорғау. Бұл дерекқордың көшірмесі ұрланған жағдайда деректерді әсер етуден қорғайды. Демалыс күйіндегі деректерді шифрлау арқылы ұрланған дерекқор деректері шифрлау кілтінсіз басқа серверге қалпына келтіруден қорғалған.

Power Platform ішінде сақталған барлық тұтынушы деректері әдепкі бойынша Microsoft басқаратын күшті шифрлау кілттерімен шифрланған. Microsoft корпорациясы барлық деректеріңіз үшін дерекқор шифрлау кілтін сақтайды және басқарады, сондықтан сізге қажет емес. Дегенмен, Power Platform осы тұтынушы басқаратын шифрлау кілтін (CMK) қосымша деректерді қорғауды басқару үшін қамтамасыз етеді, мұнда сіз Microsoft Dataverse ортаңызбен байланыстырылған дерекқор шифрлау кілтін өзіңіз басқара аласыз. Бұл сұраныс бойынша шифрлау кілтін айналдыруға немесе ауыстыруға мүмкіндік береді, сондай-ақ қызметтерімізге кілт қатынасын кез келген уақытта қайтарып алған кезде Microsoft корпорациясының тұтынушы деректеріне кіруіне жол бермеуге мүмкіндік береді.

Power Platformішінде тұтынушы басқаратын кілт туралы қосымша ақпарат алу үшін тұтынушы басқаратын кілт бейнесін қараңыз.

Бұл шифрлау кілті операциялары тұтынушы басқаратын кілтпен (CMK) қол жетімді:

  • Azure Key қоймасынан RSA (RSA-HSM) кілтін жасаңыз.
  • Кілтіңіз үшін Power Platform кәсіпорын саясатын жасаңыз.
  • Кілт қоймасына кіру үшін Power Platform кәсіпорын саясатына рұқсат беріңіз.
  • Power Platform қызмет әкімшісіне кәсіпорын саясатын оқуға рұқсат беріңіз.
  • Ортаңызға шифрлау кілтін қолданыңыз.
  • Ортаның CMK шифрлауын Microsoft басқаратын кілтке қайтару/жою.
  • Жаңа кәсіпорын саясатын жасау, CMK жүйесінен ортаны жою және CMK жаңа кәсіпорын саясатымен қайта қолдану арқылы кілтті өзгертіңіз.
  • CMK кілттер қоймасын және/немесе кілт рұқсаттарын қайтарып алу арқылы CMK орталарын құлыптаңыз.
  • CMK пернесін қолдану арқылы өз кілтіңізді (BYOK) орталарды CMK-ға көшіріңіз.

Қазіргі уақытта келесі қолданбалар мен қызметтерде тек сақталған барлық тұтынушы деректерін тұтынушы басқаратын кілтпен шифрлауға болады:

  • Dataverse (Арнаулы шешімдер және Microsoft қызметтері)
  • Power Automate1
  • Dynamics 365 үшін чат
  • Dynamics 365 Sales
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Finance (қаржы және операциялар)
  • Dynamics 365 Intelligent Order Management (Қаржы және операциялар)
  • Dynamics 365 Project Operations (Қаржы және операциялар)
  • Dynamics 365 Supply Chain Management (Қаржы және операциялар)
  • Dynamics 365 Fraud Protection (Қаржы және операциялар)

1 Тұтынушы басқаратын кілтті бар Power Automate ағындары бар ортаға қолданғанда, ағындар деректері Microsoft басқаратын кілтпен шифрлануын жалғастырады. Қосымша ақпарат: Power Automate тұтынушының басқару кілті.

Ескертпе

Nuance Conversational IVR және Maker Welcome Content тұтынушы басқаратын кілт шифрлауынан шығарылады.

Power Apps және Power Virtual Agent деректерін өздерінің қоймаларында және Microsoft Dataverse ішінде сақтайды. Тұтынушы басқаратын кілтті осы орталарға қолданғанда, тек Microsoft Dataverse ішіндегі деректер қоймалары кілтпен шифрланады. Microsoft Dataverse ден басқа деректер, соның ішінде Power Apps бастапқы код және кенеп қолданбалары белгішелері Microsoft басқаратын кілтпен шифрлануын жалғастырады.

Ескертпе

Қосқыштарға арналған қосылым параметрлері Microsoft басқаратын кілтпен шифрлануын жалғастырады.

Тұтынушы басқаратын негізгі қолдау туралы ақпарат алу үшін жоғарыда тізімде жоқ қызметтер үшін өкілге хабарласыңыз.

Power Platform интеграциясы қосылған қаржы және операциялық қолданбалары бар орталарды да шифрлауға болады. Power Platform интеграциясы жоқ қаржы және операциялық орталар деректерді шифрлау үшін әдепкі Microsoft басқаратын кілтін пайдалануды жалғастырады. Қосымша ақпарат: Қаржы және операциялық қолданбалардағы шифрлау

ішінде тұтынушы басқаратын шифрлау кілті Power Platform

Тұтынушы басқаратын кілтпен таныстыру

Тұтынушы басқаратын кілт арқылы әкімшілер тұтынушы деректерін шифрлау үшін өздерінің Azure Key Vault қоймасынан Power Platform сақтау қызметтеріне өздерінің жеке шифрлау кілтін бере алады. Microsoft корпорациясының Azure Key Vault бағдарламасына тікелей қатынасы жоқ. Azure Key Vault арқылы шифрлау кілтіне қол жеткізу Power Platform қызметтері үшін әкімші шифрлау кілтіне сілтеме жасайтын Power Platform кәсіпорын саясатын жасайды және осы кәсіпорын саясатына кілтті оқуға рұқсат береді. Azure Key Vault.

Содан кейін Power Platform қызмет әкімшісі шифрлау кілтімен ортадағы барлық тұтынушы деректерін шифрлауды бастау үшін кәсіпорын саясатына Dataverse орталарды қоса алады. Әкімшілер басқа кәсіпорын саясатын жасау арқылы ортаның шифрлау кілтін өзгерте алады және ортаны (оны жойғаннан кейін) жаңа кәсіпорын саясатына қоса алады. Ортаны тұтынушы басқаратын кілт арқылы шифрлауды қажет етпейтін жағдайда, әкімші деректерді шифрлауды Microsoft басқаратын кілтке қайтару үшін кәсіпорын саясатынан Dataverse ортаны жоя алады.

Әкімші кәсіпорын саясатынан кілт қатынасын жою арқылы тұтынушы басқаратын негізгі орталарды құлыптай алады және негізгі қатынасты қалпына келтіру арқылы орталардың құлпын аша алады. Қосымша ақпарат: Кілттер қоймасын және/немесе кілт рұқсатына кіруді қайтарып алу арқылы орталарды құлыптау

Негізгі басқару міндеттерін жеңілдету үшін міндеттер үш негізгі бағытқа бөлінеді:

  1. Шифрлау кілтін жасаңыз.
  2. Кәсіпорын саясатын жасаңыз және рұқсат беріңіз.
  3. Ортаның шифрлауын басқарыңыз.

Ескерту

Орталар құлыпталған кезде оларға ешкім, соның ішінде Microsoft қолдауы да қол жеткізе алмайды. Құлыпталған орталар ажыратылады және деректер жоғалуы мүмкін.

Тұтынушы басқаратын кілтке арналған лицензиялық талаптар

Тұтынушы басқаратын кілт саясаты басқарылатын орталар үшін белсендірілген орталарда ғана қолданылады. Басқарылатын орталар жеке Power Apps, Power Automate, Power Virtual Agents, Power Pages және жоғары сапалы пайдалану құқықтарын беретін Dynamics 365 лицензияларына құқық ретінде қосылған. . Басқарылатын ортаны лицензиялау туралы, лицензиялау шолуын Microsoft Power Platform туралы қосымша мәліметтер алыңыз.

Сонымен қатар, Microsoft Power Platform және Dynamics 365 үшін тұтынушы басқаратын кілтті пайдалану рұқсаты шифрлау кілті саясаты күшіне енетін орталардағы пайдаланушылардан мына жазылымдардың біріне ие болуын талап етеді:

  • Microsoft 365 немесе Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 сәйкестік
  • Microsoft 365 F5 Қауіпсіздік & Сәйкестік
  • Microsoft 365 A5/E5/F5/G5 Ақпаратты қорғау және басқару
  • Microsoft 365 A5/E5/F5/G5 Ішкі тәуекелдерді басқару

Бұл лицензиялар туралы көбірек біліңіз

Кілтті басқарған кезде ықтимал тәуекелді түсініңіз

Кез келген бизнеске маңызды бағдарламада ұйымдағы әкімшілік деңгейіндегі рұқсаты бар қызметкерлерге сену керек. Кілттерді басқару мүмкіндігін пайдаланбас бұрын, дерекқорды шифрлау кілттерін басқарған кезде қауіпті түсіну қажет. Ұйымыңызда жұмыс істейтін зиянды әкімші (ұйымның қауіпсіздігіне немесе бизнес процестеріне зиян келтіру мақсатында әкімші деңгейінде рұқсат алған немесе оған қол жеткізген адам) кілт жасау үшін кілттерді басқару мүмкіндігін пайдаланып, оны кілтті құлыптау үшін пайдалануы мүмкін. жалға алушыдағы орталар.

Оқиғалардың мына тізбегін қарастырыңыз.

Зиянды кілт қоймасының әкімшісі Azure порталында кілт пен кәсіпорын саясатын жасайды. Azure Key Vault әкімшісі Power Platform басқару орталығына өтіп, кәсіпорын саясатына орталарды қосады. Содан кейін зиянды әкімші Azure порталына оралады және кәсіпорын саясатына негізгі қатынасты қайтарып алады, осылайша барлық орталарды құлыптайды. Бұл бизнес үзілістерін тудырады, өйткені барлық орталар қолжетімсіз болады және бұл оқиға шешілмесе, яғни кілттік қатынас қалпына келтірілсе, орта деректері ықтимал жоғалуы мүмкін.

Ескертпе

  • Azure Key Vault жүйесінде кілтті қалпына келтіруге көмектесетін кірістірілген қорғаныс құралдары бар, олар Жұмсақ жою және Тазартудан қорғауды кілт қоймасының параметрлері қосылды.
  • Қарастырылатын тағы бір қауіпсіздік шарасы - Azure Key Vault әкімшісіне Power Platform басқару орталығына кіру рұқсаты берілмеген тапсырмалардың бөлінуіне көз жеткізу.

Тәуекелді азайту үшін міндеттерді бөлу

Бұл бөлім әрбір әкімші рөлі жауап беретін тұтынушы басқаратын негізгі мүмкіндік міндеттерін сипаттайды. Бұл тапсырмаларды бөлу тұтынушы басқаратын кілттермен байланысты тәуекелді азайтуға көмектеседі.

Azure Key Vault және Power Platform/Dynamics 365 қызметінің әкімші тапсырмалары

Тұтынушы басқаратын кілттерді қосу үшін алдымен кілт қоймасының әкімшісі Azure кілт қоймасында кілт жасайды және Power Platform кәсіпорын саясатын жасайды. Кәсіпорын саясаты жасалғанда, арнайы Microsoft Entra ID басқарылатын сәйкестік куәлігі жасалады. Содан кейін кілт қоймасының әкімшісі Azure кілт қоймасына оралады және кәсіпорын саясатына/басқарылатын сәйкестікке шифрлау кілтіне рұқсат береді.

Содан кейін негізгі қойма әкімшісі сәйкес Power Platform/Dynamics 365 қызметінің әкімшісіне кәсіпорын саясатына оқу рұқсатын береді. Оқу рұқсаты берілгеннен кейін Power Platform/Dynamics 365 қызметінің әкімшісі Power Platform Басқару орталығына өтіп, кәсіпорын саясатына орталар қоса алады. Барлық қосылған орталардың тұтынушы деректері осы кәсіпорын саясатына байланыстырылған тұтынушы басқаратын кілтпен шифрланады.

Алғышарттар
  • Azure Key Vault немесе Azure Key Vault басқарылатын аппараттық қауіпсіздік модульдерін қамтитын Azure жазылымы (алдын ала қарау).
  • Жаһандық жалға алушы әкімшісі немесе Microsoft Entra жазылымына қатысушы рұқсаты және Azure Key Vault және кілтін жасауға рұқсаты бар Microsoft Entra идентификаторы. Бұл кілт қоймасын орнату үшін қажет.
Azure Key Vault көмегімен кілтті жасаңыз және рұқсат беріңіз

Azure Key Vault әкімшісі бұл тапсырмаларды Azure жүйесінде орындайды.

  1. Azure ақылы жазылымын және Key Vault жасаңыз. Егер сізде Azure Key Vault кіретін жазылым бар болса, бұл қадамды елемеңіз.
  2. Azure Key Vault қызметіне өтіп, кілт жасаңыз. Қосымша ақпарат: Кілттер қоймасында кілт жасаңыз
  3. Azure жазылымыңыз үшін Power Platform кәсіпорын саясаттары қызметін қосыңыз. Мұны тек бір рет орындаңыз. Қосымша ақпарат: Azure жазылымыңыз үшін Power Platform кәсіпорын саясаттары қызметін қосыңыз
  4. Power Platform кәсіпорын саясатын жасаңыз. Қосымша ақпарат: Кәсіпорын саясатын жасаңыз
  5. Кілт қоймасына кіру үшін кәсіпорын саясатына рұқсат беріңіз. Қосымша ақпарат: Кілт қоймасына кіру үшін кәсіпорын саясаты рұқсаттарын беріңіз
  6. Power Platform және Dynamics 365 әкімшілеріне кәсіпорын саясатын оқуға рұқсат беріңіз. Қосымша ақпарат: Кәсіпорын саясатын оқу үшін Power Platform әкімші артықшылығын беріңіз

Power Platform/Dynamics 365 қызметінің admin Power Platform басқару орталығының тапсырмалары

Алғышарт
  • Power Platform әкімші Power Platform немесе Dynamics 365 Service әкімшісі Microsoft Entra рөліне тағайындалуы керек.
Ортаның шифрлауын Power Platform басқару орталығында басқарыңыз

Power Platform әкімші Power Platform басқару орталығындағы ортаға қатысты тұтынушы басқаратын негізгі тапсырмаларды басқарады.

  1. Деректерді тұтынушы басқаратын кілтпен шифрлау үшін Power Platform орталарды кәсіпорын саясатына қосыңыз. Қосымша ақпарат: Деректерді шифрлау үшін кәсіпорын саясатына орта қосыңыз
  2. Microsoft басқарылатын кілтіне шифрлауды қайтару үшін орталарды кәсіпорын саясатынан алып тастаңыз. Қосымша ақпарат: Microsoft басқарылатын кілтіне оралу үшін саясаттан орталарды жойыңыз
  3. Ескі кәсіпорын саясатынан орталарды жою және жаңа кәсіпорын саясатына орталарды қосу арқылы кілтті өзгертіңіз. Қосымша ақпарат: Шифрлау кілтін жасаңыз және рұқсат беріңіз
  4. BYOK-тен көшіру. Бұрынғы өзін-өзі басқаратын шифрлау кілті мүмкіндігін пайдалансаңыз, кілтіңізді тұтынушы басқаратын кілтке тасымалдауға болады. Қосымша ақпарат: Өз кілтіңізді әкелетін орталарды тұтынушы басқаратын кілтке көшіріңіз

Шифрлау кілтін жасаңыз және рұқсат беріңіз

Azure ақылы жазылымын және кілттер қоймасын жасаңыз

Azure жүйесінде келесі қадамдарды орындаңыз:

  1. «Барған сайын төле» немесе оның баламалы Azure жазылымын жасаңыз. Егер жалға алушының жазылымы әлдеқашан болса, бұл қадам қажет емес.
  2. Ресурстар тобын жасаңыз. Қосымша ақпарат: Ресурстар топтарын жасаңыз
  3. Алдыңғы қадамда жасаған ресурс тобымен жұмсақ жою және тазалаудан қорғауды қамтитын ақылы жазылымды пайдаланып кілт қоймасын жасаңыз.

    Маңызды

Кілттер қоймасында кілт жасаңыз

  1. алғы шарттарды орындағаныңызға көз жеткізіңіз.

  2. Azure порталына>Кілттер қоймасына өтіңіз және шифрлау кілтін жасағыңыз келетін кілт қоймасын табыңыз.

  3. Azure кілт қоймасының параметрлерін тексеріңіз:

    1. СипаттарПараметрлер астында таңдаңыз.
    2. Қосымша түрде жою астында оның Осы кілт қоймасында опциясында жұмсақ жою қосылғанын орнатыңыз немесе тексеріңіз.
    3. Тазартудан қорғау астында Тазартудан қорғауды қосу (жойылған қоймалар мен қойма нысандары үшін міндетті сақтау мерзімін қолдану) екенін орнатыңыз немесе тексеріңіз.
    4. Егер өзгертулер енгізсеңіз, Сақтау таңдаңыз.

    Кілттер қоймасында тазартудан қорғауды қосыңыз

RSA кілттерін жасаңыз
  1. Мына қасиеттерге ие кілтті жасаңыз немесе импорттаңыз:
    1. Кілттер қоймасы сипаттар беттерінде Кілттер таңдаңыз.
    2. Жасау/Импорттау опциясын таңдаңыз.
    3. Кілт жасау экранында келесі мәндерді орнатыңыз, содан кейін Жасау таңдаңыз.
      • Параметрлер: Жасау
      • Аты: Кілттің атын беріңіз
      • Кілт түрі: RSA
      • RSA кілтінің өлшемі: 2048

Аппараттық қауіпсіздік модульдері (HSM) үшін қорғалған кілттерді импорттау

Power Platform Dataverse орталарды шифрлау үшін аппараттық қауіпсіздік модульдері (HSM) үшін қорғалған кілттерді пайдалана аласыз. Кәсіпорын саясаты жасалуы үшін HSM арқылы қорғалған кілттер кілт қоймасына импортталуы керек. Қосымша ақпарат алу үшін Қолдау көрсетілетін HSMsHSM арқылы қорғалған кілттерді Key Vault (BYOK) ішіне импорттау бөлімін қараңыз.

Azure Key Vault басқарылатын HSM (алдын ала қарау) ішінде кілт жасау

Орта деректерін шифрлау үшін Azure Key Vault басқарылатын HSM жүйесінен жасалған шифрлау кілтін пайдалануға болады. Бұл сізге FIPS 140-2 3-деңгей қолдауын береді.

RSA-HSM кілттерін жасаңыз

  1. алғы шарттарды орындағаныңызға көз жеткізіңіз.

  2. Azure порталына өтіңіз.

  3. Басқарылатын HSM жасау:

    1. Басқарылатын HSM қамтамасыз етіңіз.
    2. Басқарылатын HSM белсендіріңіз.

  4. Басқарылатын HSM жүйесінде Тазартудан қорғауды қосыңыз.

  5. Басқарылатын HSM кілт қоймасын жасаған адамға Басқарылатын HSM крипто пайдаланушысы рөлін беріңіз.

    1. Azure порталында басқарылатын HSM кілт қоймасына қатынасыңыз.
    2. Жергілікті RBAC тармағына өтіп, + Қосу таңдаңыз.
    3. Рөл ашылмалы тізімнен Басқарылатын HSM крипто пайдаланушысы рөлін таңдаңыз. Рөлді тағайындау бет.
    4. Барлық пернелердіАуқым астында таңдаңыз.
    5. Қауіпсіздік негізін таңдау, содан кейін Негізгі қосу бетінде әкімшіні таңдаңыз.
    6. Жасау пәрменін таңдаңыз.

  6. RSA-HSM кілтін жасаңыз:

    • Параметрлер: Жасау
    • Аты: Кілттің атын беріңіз
    • Кілт түрі: RSA-HSM
    • RSA кілтінің өлшемі: 2048

    Ескертпе

    Қолдау көрсетілетін RSA-HSM кілт өлшемдері: 2048-бит, 3072-бит, 4096-бит.

Azure Key қоймасының желісін жеке соңғы нүктені қосу арқылы жаңартуға және Power Platform орталарды шифрлау үшін кілт қоймасындағы кілтті пайдалануға болады.

Сіз жаңа кілт қоймасын жасай аласыз және жеке сілтеме қосылымын орната аласыз немесе бар кілттер қоймасына жеке сілтеме қосылымын орната аласыз және осы кілт қоймасынан кілт жасаңыз және оны ортаңызды шифрлау үшін пайдаланыңыз. Сондай-ақ бар кілттер қоймасына жеке сілтеме қосылымын орнатуға болады Кілтті әлдеқашан жасағаннан кейін және оны ортаңызды шифрлау үшін пайдаланыңыз.

  1. Мына опциялармен Azure Key қоймасын жасыңыз:

    • Тазартудан қорғауды қосыңыз
    • Кілт түрі: RSA
    • Кілт өлшемі: 2048

  2. Кәсіпорын саясатын жасау үшін пайдаланылатын кілт қоймасының URL мекенжайын және шифрлау кілтінің URL мекенжайын көшіріңіз.

    Ескертпе

    Кілттер қоймасына жеке соңғы нүктені қосқаннан немесе жалпыға қолжетімді желіні өшіргеннен кейін, тиісті рұқсатыңыз болмаса, кілтті көре алмайсыз.

  3. виртуалды желі жасаңыз.

  4. Кілттер қоймасына оралыңыз және Azure Key қоймасына жеке соңғы нүкте қосылымдарын қосыңыз.

    Ескертпе

    Сізге Жалпыға қолжетімділікті өшіру желіге қосылу опциясын таңдау керек және Сенімді Microsoft қызметтеріне осы желіаралық қалқанды айналып өтуге рұқсат ету ерекшелігін қосу керек. .

  5. Power Platform кәсіпорын саясатын жасаңыз. Қосымша ақпарат: Кәсіпорын саясатын жасаңыз

  6. Кілт қоймасына кіру үшін кәсіпорын саясатына рұқсат беріңіз. Қосымша ақпарат: Кілт қоймасына кіру үшін кәсіпорын саясаты рұқсаттарын беріңіз

  7. Power Platform және Dynamics 365 әкімшілеріне кәсіпорын саясатын оқуға рұқсат беріңіз. Қосымша ақпарат: Кәсіпорын саясатын оқу үшін Power Platform әкімші артықшылығын беріңіз

  8. Power Platform басқару орталығының әкімшісі Басқарылатын ортаны шифрлау және қосу үшін ортаны таңдайды. Қосымша ақпарат: Кәсіпорын саясатына қосылу үшін басқарылатын ортаны қосыңыз

  9. Power Platform басқару орталығы әкімшісі басқарылатын ортаны кәсіпорын саясатына қосады. Қосымша ақпарат: Деректерді шифрлау үшін кәсіпорын саясатына орта қосыңыз

Azure жазылымыңыз үшін Power Platform кәсіпорын саясаттары қызметін қосыңыз

Ресурс провайдері ретінде Power Platform тіркеліңіз. Бұл тапсырманы Azure Key қоймасы орналасқан әрбір Azure жазылымы үшін бір рет орындау керек. Ресурс провайдерін тіркеу үшін жазылымға кіру құқығыңыз болуы керек.

  1. Azure порталына жүріп, Жазылым>Ресурс провайдерлері бөліміне өтіңіз.
  2. Ресурс провайдерлері тізімінде Microsoft.PowerPlatform іздеңіз және Тіркеңіз ол.

Кәсіпорын саясатын жасаңыз

  1. PowerShell MSI орнатыңыз. Қосымша ақпарат: Windows, Linux және macOS жүйелерінде PowerShell орнату
  2. PowerShell MSI орнатылғаннан кейін, Azure жүйесінде Теңшелетін үлгіні орналастыру бөліміне оралыңыз.
  3. Өңдегіште өз шаблоныңызды жасау сілтемесін таңдаңыз.
  4. JSON үлгісін Блокнот сияқты мәтіндік редакторға көшіріңіз. Қосымша ақпарат: Кәсіпорын саясаты json үлгісі
  5. JSON үлгісіндегі мәндерді келесіге ауыстырыңыз: EnterprisePolicyName, EnterprisePolicy жасау керек орын, keyVaultId және keyName. Қосымша ақпарат: json үлгісіне арналған өріс анықтамалары
  6. Жаңартылған үлгіні мәтіндік өңдегіштен көшіріп, оны Azure жүйесіндегі Теңшелетін орналастырудың Өңдеу үлгісіне қойыңыз, және Сақтау таңдаңыз. Azure кілт қоймасының үлгісі
  7. Кәсіпорын саясаты жасалатын Жазылым және Ресурстар тобын таңдаңыз.
  8. Шолу + жасау таңдаңыз, содан кейін Жасау таңдаңыз.

Орналастыру басталды. Аяқтағаннан кейін кәсіпорын саясаты жасалады.

Кәсіпорын саясаты json үлгісі

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON үлгісіне арналған өріс анықтамалары

  • аты. Кәсіпорын саясатының атауы. Бұл Power Platform басқару орталығында пайда болатын саясаттың атауы.

  • орны. Төмендегілердің бірі. Бұл кәсіпорын саясатының орны және ол Dataverse ортаның аймағына сәйкес болуы керек:

    • "unitedstates"
    • "southafrica"
    • "switzerland”
    • "germany"
    • "unitedarabemirates"
    • "france"
    • "uk”
    • "japan"
    • "india"
    • "canada"
    • "southamerica"
    • "europe"
    • "asia"
    • "australia"
    • "korea"
    • "norway"
    • "singapore"

  • Бұл мәндерді Azure порталындағы негізгі қойма сипаттарынан көшіріңіз:

    • keyVaultId: Кілттер қоймаларына> кілт қоймасын таңдау >Шолу тармағына өтіңіз. Essentials жанындағы JSON View таңдаңыз. Ресурс идентификаторын буферге көшіріп, барлық мазмұнды JSON үлгісіне қойыңыз.
    • keyName: Кілттер қоймаларына> кілт қоймасын >Кілттер таңдаңыз. Аты кілтіне назар аударыңыз және атын JSON үлгісіне теріңіз.

Негізгі қоймаға кіру үшін кәсіпорын саясатына рұқсат беріңіз

Кәсіпорын саясаты жасалғаннан кейін, кілт қоймасының әкімшісі шифрлау кілтіне кәсіпорын саясатының басқарылатын сәйкестендіру рұқсатын береді.

  1. Azure порталына жүріп, Кілт қоймалары бөліміне өтіңіз.
  2. Кілт кәсіпорын саясатына тағайындалған кілт қоймасын таңдаңыз.
  3. Кіру рұқсатын басқару (IAM) қойындысын таңдап, одан кейін + Қосу таңдаңыз.
  4. Ашылмалы тізімнен Рөл тағайындауды қосу таңдаңыз,
  5. Key Vault Crypto Service шифрлау пайдаланушысын іздеп, оны таңдаңыз.
  6. Келесі пәрменін таңдаңыз.
  7. + Мүшелерді таңдау.
  8. Өзіңіз жасаған кәсіпорын саясатын іздеңіз.
  9. Кәсіпорын саясатын таңдап, Таңдау таңдаңыз.
  10. Қарап шығу + тағайындау опциясын таңдаңыз.

Ескертпе

Жоғарыдағы рұқсат параметрі негізгі қоймаңыздың Рұқсат үлгісінеAzure рөліне негізделген қатынасты басқару негізделген. Кілт қоймаңыз Қоймаға кіру саясатына орнатылған болса, рөлге негізделген үлгіге көшу ұсынылады. Кәсіпорын саясатына Қоймаға кіру саясаты арқылы кілт қоймасына рұқсат беру үшін Қатынас саясатын жасаңыз, Алу опциясын таңдаңыз. Кілттерді басқару операциялары және Ашу кілті және Орнату кілті қосу Криптографиялық операциялар.

Кәсіпорын саясатын оқу үшін Power Platform әкімші артықшылығын беріңіз

Azure жаһандық, Dynamics 365 және Power Platform әкімшілік рөлдері бар әкімшілер кәсіпорын саясатына орталарды тағайындау үшін Power Platform басқару орталығына кіре алады. Кәсіпорын саясаттарына қол жеткізу үшін Azure кілт қоймасына кіру рұқсаты бар жаһандық әкімші әкімшіге Оқу құралы Power Platform рөлін беруі қажет. Оқырман рөлі берілгеннен кейін Power Platform әкімші Power Platform басқару орталығында кәсіпорын саясаттарын көре алады.

Ескертпе

Кәсіпорын саясатына оқырман рөлі берілген Power Platform және Dynamics 365 әкімшілері ғана саясатқа орта қоса алады. Басқа Power Platform немесе Dynamics 365 әкімшілері кәсіпорын саясатын көре алады, бірақ олар Ортаны қосуға әрекет жасағанда қате алады. саясат.

Power Platform әкімшіге оқырман рөлін беріңіз

  1. Azure порталына кіріңіз.
  2. Power Platform немесе Dynamics 365 әкімшісінің нысан идентификаторын көшіріңіз. Мұны істеу үшін:
    1. Azure жүйесіндегі Пайдаланушылар аймағына өтіңіз.
    2. Барлық пайдаланушылар тізімде Power Platform немесе Dynamics 365 әкімші рұқсаттары бар пайдаланушыны Пайдаланушыларды іздеу арқылы табыңыз.
    3. Пайдаланушы жазбасын ашыңыз, Шолу қойындысында пайдаланушының нысан идентификаторын көшіріңіз. Оны кейінірек пайдалану үшін Блокнот сияқты мәтіндік редакторға қойыңыз.
  3. Кәсіпорын саясаты ресурсының идентификаторын көшіріңіз. Мұны істеу үшін:
    1. Azure жүйесінде Resource Graph Explorer тармағына өтіңіз.
    2. microsoft.powerplatform/enterprisepoliciesІздеу жолағына енгізіп, microsoft.powerplatform/enterprisepolicies таңдаңыз. ресурс.
    3. Пәрмендер жолағында Сұрауды орындау таңдаңыз. Барлық Power Platform кәсіпорын саясаттарының тізімі көрсетіледі.
    4. Рұқсат бергіңіз келетін кәсіпорын саясатын табыңыз.
    5. Кәсіпорын саясатының оң жағына жылжып, Мәліметтерді көру таңдаңыз.
    6. Толығырақ бетінде id көшіріңіз.
  4. Azure Cloud Shell іске қосыңыз және objId пайдаланушы нысан идентификаторымен және EP ресурс идентификаторы алдыңғы қадамдарда көшірілген enterprisepolicies ID: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Ортаның шифрлауын басқарыңыз

Ортаның шифрлауын басқару үшін сізге келесі рұқсат қажет:

  • Microsoft Entra Power Platform және/немесе Dynamics 365 әкімшісі қауіпсіздік рөлі бар белсенді пайдаланушы.
  • Microsoft Entra жаһандық қатысушы әкімшісі, Power Platform немесе Dynamics 365 қызметінің әкімші рөлі бар пайдаланушы.

Кілттер қоймасының әкімшісі Power Platform әкімшіге шифрлау кілті мен кәсіпорын саясаты жасалғанын хабарлайды және кәсіпорын саясатын Power Platform әкімшіге береді. Тұтынушы басқаратын кілтті қосу үшін Power Platform әкімші олардың орталарын кәсіпорын саясатына тағайындайды. Орта тағайындалып, сақталғаннан кейін Dataverse барлық орта деректерін орнату үшін шифрлау процесін бастайды және оны тұтынушы басқаратын кілтпен шифрлайды.

Басқарылатын ортаны кәсіпорын саясатына қосу үшін қосыңыз

  1. Power Platform басқару орталығына кіріп, ортаны табыңыз.
  2. Орталар тізімінен ортаны таңдап, тексеріңіз.
  3. Әрекеттер тақтасындағы Басқарылатын орталарды қосу белгішесін таңдаңыз.
  4. Қосу параметрін таңдаңыз.

Деректерді шифрлау үшін кәсіпорын саясатына орта қосыңыз

Маңызды

Деректерді шифрлау үшін кәсіпорын саясатына қосылған кезде орта өшіріледі.

  1. Power Platform басқару орталығына кіріп, Саясаттар>Кәсіпорын саясаттары бөліміне өтіңіз.
  2. Саясатты таңдап, пәрмен жолағында Өңдеу пәрменін таңдаңыз.
  3. Орталарды қосу таңдаңыз, қалаған ортаны таңдаңыз, содан кейін Жалғастыру таңдаңыз. Power Platform басқару орталығындағы кәсіпорын саясатына орта қосыңыз
  4. Сақтау таңдаңыз, содан кейін Растау таңдаңыз.

Маңызды

  • Кәсіпорын саясатымен бір аймақтағы орталар ғана Орталарды қосу тізімде көрсетіледі.
  • Шифрлауды аяқтау үшін төрт күнге дейін кетуі мүмкін, бірақ орта Орталарды қосу операциясы аяқталмай тұрып қосылуы мүмкін.
  • Операция аяқталмауы мүмкін және ол орындалмаса, деректеріңіз Microsoft басқаратын кілтімен шифрлануын жалғастырады. Орталарды қосу операциясын қайта іске қосуға болады.

Ескертпе

Басқарылатын орталар ретінде қосылған орталарды ғана қосуға болады. Сынақ және командалар ортасының түрлерін кәсіпорын саясатына қосу мүмкін емес.

Microsoft басқарылатын кілтіне оралу үшін саясаттан орталарды жойыңыз

Microsoft басқаратын шифрлау кілтіне оралғыңыз келсе, мына қадамдарды орындаңыз.

Маңызды

Microsoft басқарылатын кілт арқылы деректерді шифрлауды қайтару үшін кәсіпорын саясатынан жойылған кезде орта өшіріледі.

  1. Power Platform басқару орталығына кіріп, Саясаттар>Кәсіпорын саясаттары бөліміне өтіңіз.
  2. Саясаттары бар орта қойындысын таңдап, тұтынушы басқаратын кілттен жойғыңыз келетін ортаны табыңыз.
  3. Барлық саясаттар қойындысын таңдап, 2-қадамда расталған ортаны таңдаңыз, содан кейін Саясатты өңдеу пәрменін таңдаңыз. пәрмен жолағы. Тұтынушы басқаратын кілттен ортаны жойыңыз
  4. Пәрмендер жолағында Ортаны жою пәрменін таңдап, жойғыңыз келетін ортаны таңдаңыз, содан кейін Жалғастыру таңдаңыз.
  5. Сақтау опциясын таңдаңыз.

Маңызды

Деректерді шифрлауды Microsoft басқаратын кілтке қайтару үшін кәсіпорын саясатынан жойылған кезде орта өшіріледі. Кілтті жоймаңыз немесе өшірмеңіз, кілт қоймасын жоймаңыз немесе өшірмеңіз немесе кәсіпорын саясатының кілттер қоймасына рұқсаттарын жоймаңыз. Кілт пен кілт қоймасының рұқсаты дерекқорды қалпына келтіруді қолдау үшін қажет. 30 күннен кейін кәсіпорын саясатының рұқсаттарын жоюға және жоюға болады.

Жаңа кәсіпорын саясатымен және кілтімен ортаның шифрлау кілтін өзгертіңіз

Шифрлау кілтін айналдыру үшін жаңа кілт пен жаңа кәсіпорын саясатын жасаңыз. Содан кейін орталарды жою, содан кейін орталарды жаңа кәсіпорын саясатына қосу арқылы кәсіпорын саясатын өзгертуге болады.

Ескертпе

Шифрлау кілтін бұру үшін Жаңа кілт нұсқасын пайдалануға және Айналдыру саясатын параметріне енді қолдау көрсетіледі.

  1. Azure порталында жаңа кілт пен жаңа кәсіпорын саясатын жасаңыз. Қосымша ақпарат: Шифрлау кілтін жасау және рұқсат беру және Кәсіпорын саясатын жасау
  2. Жаңа кілт пен кәсіпорын саясаты жасалғаннан кейін, Саясаттар>Кәсіпорын саясаттары бөліміне өтіңіз.
  3. Саясаттары бар орта қойындысын таңдап, тұтынушы басқаратын кілттен жойғыңыз келетін ортаны табыңыз.
  4. Барлық саясаттар қойындысын таңдап, 2-қадамда расталған ортаны таңдаңыз, содан кейін Саясатты өңдеу пәрменін таңдаңыз. пәрмен жолағы. Тұтынушы басқаратын кілттен ортаны жойыңыз
  5. Пәрмендер жолағында Ортаны жою пәрменін таңдап, жойғыңыз келетін ортаны таңдаңыз, содан кейін Жалғастыру таңдаңыз.
  6. Сақтау опциясын таңдаңыз.
  7. Кәсіпорын саясатындағы барлық орталар жойылғанша 2-6 қадамдарды қайталаңыз.

Маңызды

Деректерді шифрлауды Microsoft басқаратын кілтке қайтару үшін кәсіпорын саясатынан жойылған кезде орта өшіріледі. Кілтті жоймаңыз немесе өшірмеңіз, кілт қоймасын жоймаңыз немесе өшірмеңіз немесе кәсіпорын саясатының кілт қоймасына рұқсаттарын жоймаңыз. Кілт пен кілт қоймасының рұқсаты дерекқорды қалпына келтіруді қолдау үшін қажет. 30 күннен кейін кәсіпорын саясатының рұқсаттарын жоюға және жоюға болады.

  1. Барлық орталар жойылғаннан кейін, Power Platform басқару орталығынан Кәсіпорын саясаттары бөліміне өтіңіз.
  2. Жаңа кәсіпорын саясатын таңдап, Саясатты өңдеу таңдаңыз.
  3. Орта қосу, қосқыңыз келетін орталарды таңдаңыз, содан кейін Жалғастыру таңдаңыз.

Маңызды

Жаңа кәсіпорын саясатына қосылғанда, орта өшіріледі.

Ортаның шифрлау кілтін жаңа кілт нұсқасымен өзгертіңіз

Жаңа кілт нұсқасын жасау арқылы ортаның шифрлау кілтін өзгертуге болады. Жаңа кілт нұсқасын жасаған кезде, жаңа кілт нұсқасы автоматты түрде қосылады. Барлық сақтау ресурстары жаңа кілт нұсқасын анықтайды және оны деректеріңізді шифрлау үшін қолдана бастайды.

Кілтті немесе кілт нұсқасын өзгерткен кезде, түбірлік шифрлау кілтінің қорғауы өзгереді, бірақ жадтағы деректер әрқашан кілтпен шифрланған күйінде қалады. Деректеріңіздің қорғалуын қамтамасыз ету үшін сізден қосымша әрекет талап етілмейді. Негізгі нұсқаны айналдыру өнімділікке әсер етпейді. Кілт нұсқасын айналдыруға байланысты тоқтау уақыты жоқ. Барлық ресурс провайдерлеріне жаңа кілт нұсқасын фондық режимде қолдану үшін 24 сағат кетуі мүмкін. Алдыңғы кілт нұсқасы өшірілмеуі керек себебі бұл қызмет оны қайта шифрлау үшін және дерекқорды қалпына келтіруді қолдау үшін пайдалануы үшін қажет.

Жаңа кілт нұсқасын жасау арқылы шифрлау кілтін айналдыру үшін келесі қадамдарды пайдаланыңыз.

  1. Azure порталына>Кілт қоймаларына өтіңіз және жаңа кілт нұсқасын жасағыңыз келетін кілт қоймасын табыңыз.
  2. Пернелерге өтіңіз.
  3. Ағымдағы, қосылған кілтті таңдаңыз.
  4. + Жаңа нұсқаны таңдаңыз.
  5. Қосулы параметрінің әдепкі мәні Иә екенін ескеріңіз, бұл жаңа кілт нұсқасы жасалған кезде автоматты түрде қосылатынын білдіреді.
  6. Жасау пәрменін таңдаңыз.

Сондай-ақ, шифрлау кілтін Айналдыру саясатын айналу саясатын конфигурациялау арқылы немесе сұраныс бойынша Қазір бұру арқылы бұруға болады.

Маңызды

Жаңа кілт нұсқасы фондық режимде автоматты түрде бұрылады және Power Platform әкімші талап етпейді. Дерекқорды қалпына келтіруді қолдау үшін алдыңғы кілт нұсқасы кемінде 28 күн ішінде өшірілмеуі немесе жойылмауы маңызды. Алдыңғы кілт нұсқасын тым ерте өшіру немесе жою ортаңызды желіден тыс күйге түсіруі мүмкін.

Шифрланған орталар тізімін қараңыз

  1. Power Platform басқару орталығына кіріп, Саясаттар>Кәсіпорын саясаттары бөліміне өтіңіз.
  2. Кәсіпорын саясаттары бетінде Саясаттары бар орталар қойындысын таңдаңыз. Кәсіпорын саясаттарына қосылған орталар тізімі көрсетіледі.

Ескертпе

Орта күйі немесе Шифрлау күйіСәтсіз болған жағдайлар болуы мүмкін. күй. Бұл орын алған кезде көмекке Microsoft қолдау көрсету сұрауын жіберіңіз.

Орта дерекқорының операциялары

Тұтынушының қатысушысында Microsoft жүйесі арқылы басқарылатын кілтпен шифрланған орталар және тұтынушы арқылы басқарылатын кілтпен шифрланған орталар болуы мүмкін. Деректердің тұтастығын және деректердің қорғалуын сақтау үшін, орта дерекқорының операцияларын басқару кезінде келесі басқару элементтері қолжетімді болады.

  • Қалпына келтіру Қайта жазылатын орта (қалпына келтірілген орта) сақтық көшірме алынған ортаға немесе сол тұтынушы арқылы басқарылатын кілтпен шифрланған басқа ортаға шектелген.

    Сақтық көшірмені қалпына келтіріңіз.

  • Көшіру Қайта жазылатын орта (қоршаған ортаға көшірілген) сол тұтынушымен басқарылатын кілтпен шифрланған басқа ортаға шектелген.

    Ортаны көшіру.

    Ескертпе

    Егер тұтынушы арқылы басқарылатын ортада қолдау мәселесін шешу үшін қолдауды зерттеу ортасы жасалынған болса, көшірме ортасы әрекеті орындалмас бұрын қолдауды зерттеу ортасына арналған шифрлау кілті тұтынушы арқылы басқарылатын кілтке өзгертілуі керек.

  • Қалпына келтіру Қоршаған ортаның шифрланған деректері сақтық көшірмелерді қоса, жойылады. Орта қалпына келтірілгеннен кейін, ортаны шифрлау Microsoft арқылы басқарылатын кілтке қайтарылады.

Келесі қадамдар

Azure Key Vault туралы