Urus kunci penyulitan terurus pelanggan anda

Pelanggan mempunyai keperluan privasi dan pematuhan data untuk melindungi data mereka dengan menyulitkan data mereka semasa berehat. Ini melindungi data daripada pendedahan dalam keadaan di mana salinan pangkalan data dicuri. Dengan penyulitan data berehat, data pangkalan data yang dicuri dilindungi daripada dipulihkan ke pelayan lain tanpa kunci penyulitan.

Semua data pelanggan yang disimpan disulitkan Power Platform semasa rehat dengan kekunci penyulitan terurus Microsoft yang kuat secara lalai. Microsoft menyimpan dan menguruskan kunci penyulitan pangkalan data untuk semua data anda supaya anda tidak perlu. Walau bagaimanapun, Power Platform sediakan kunci penyulitan terurus pelanggan (CMK) ini untuk kawalan perlindungan data tambahan anda di mana anda boleh menguruskan sendiri kunci penyulitan pangkalan data yang dikaitkan dengan persekitaran anda Microsoft Dataverse . Ini membolehkan anda memutar atau menukar kunci penyulitan atas permintaan, dan juga membolehkan anda menghalang akses Microsoft kepada data pelanggan anda apabila anda membatalkan akses utama kepada perkhidmatan kami pada bila-bila masa.

Untuk mengetahui lebih lanjut tentang kunci Power Platform terurus pelanggan, tonton video kunci terurus pelanggan.

Operasi kunci penyulitan ini tersedia dengan kunci terurus pelanggan (CMK):

• Cipta kekunci RSA (RSA-HSM) daripada peti besi Azure Key anda.
• Power Platform Buat dasar perusahaan untuk kunci anda.
• Power Platform Berikan kebenaran dasar perusahaan untuk mengakses peti besi utama anda.
• Power Platform Berikan pentadbir perkhidmatan untuk membaca dasar perusahaan.
• Gunakan kunci penyulitan pada persekitaran anda.
• Kembalikan/alih keluar penyulitan CMK persekitaran kepada kunci terurus Microsoft.
• Tukar kunci dengan mewujudkan dasar perusahaan baru, mengeluarkan persekitaran daripada CMK dan memohon semula CMK dengan dasar perusahaan baru.
• Kunci persekitaran CMK dengan membatalkan peti besi kunci CMK dan / atau kebenaran kunci.
• Pindahkan persekitaran bawa kunci anda sendiri (BYOK) ke CMK dengan menggunakan kekunci CMK.

Pada masa ini, semua data pelanggan anda yang disimpan hanya dalam aplikasi dan perkhidmatan berikut boleh disulitkan dengan kunci terurus pelanggan:

• Dataverse (Penyelesaian tersuai dan perkhidmatan Microsoft)
• Dataverse Copilot untuk aplikasi berpandukan model
• Power Automate¹
• Power Apps
• Sembang untuk Dynamics 365
• Jualan Dynamics 365
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (Kewangan dan operasi)
• Dynamics 365 Intelligent Order Management (Kewangan dan operasi)
• Dynamics 365 Project Operations (Kewangan dan operasi)
• Dynamics 365 Supply Chain Management (Kewangan dan operasi)
• Dynamics 365 Fraud Protection (Kewangan dan operasi)

1 Apabila anda menggunakan kunci terurus pelanggan kepada persekitaran yang mempunyai aliran sedia ada Power Automate , data aliran terus disulitkan dengan kunci terurus Microsoft. Maklumat lanjut: Power Automate kunci manged pelanggan.

Nota

IVR Perbualan Nuansa dan Kandungan Selamat Datang Pembuat dikecualikan daripada penyulitan kunci yang diuruskan pelanggan.

Microsoft Copilot Studio menyimpan datanya dalam storan mereka sendiri dan masuk Microsoft Dataverse. Apabila anda menggunakan kunci terurus pelanggan pada persekitaran ini, hanya data yang disimpan dalam Microsoft Dataverse disulitkan dengan kunci anda. Microsoft Dataverse Bukan data terus disulitkan dengan kunci terurus Microsoft.

Nota

Tetapan sambungan untuk penyambung akan terus disulitkan dengan kunci terurus Microsoft.

Hubungi wakil untuk perkhidmatan yang tidak disenaraikan di atas untuk mendapatkan maklumat tentang sokongan kunci terurus pelanggan.

Nota

Power Apps nama paparan, perihalan dan metadata sambungan terus disulitkan dengan kunci terurus Microsoft.

Persekitaran dengan aplikasi kewangan dan operasi di mana Power Platform integrasi didayakan juga boleh disulitkan. Persekitaran kewangan dan operasi tanpa Power Platform integrasi akan terus menggunakan kunci terurus Microsoft lalai untuk menyulitkan data. Maklumat lanjut: Penyulitan dalam aplikasi kewangan dan operasi

Pengenalan kepada kunci terurus pelanggan

Dengan kunci yang diuruskan pelanggan, pentadbir boleh menyediakan kunci penyulitan mereka sendiri daripada Azure Key Vault mereka sendiri kepada Power Platform perkhidmatan storan untuk menyulitkan data pelanggan mereka. Microsoft tidak mempunyai akses langsung ke Azure Key Vault anda. Untuk Power Platform perkhidmatan mengakses kunci penyulitan daripada Azure Key Vault anda, pentadbir mencipta Power Platform dasar perusahaan, yang merujuk kunci penyulitan dan memberikan akses dasar perusahaan ini untuk membaca kunci daripada Azure Key Vault anda.

Pentadbir Power Platform perkhidmatan kemudiannya boleh menambah Dataverse persekitaran kepada dasar perusahaan untuk mula menyulitkan semua data pelanggan dalam persekitaran dengan kunci penyulitan anda. Pentadbir boleh menukar kunci penyulitan persekitaran dengan mencipta dasar perusahaan lain dan menambah persekitaran (selepas mengalih keluarnya) kepada dasar perusahaan baharu. Sekiranya persekitaran tidak lagi perlu disulitkan menggunakan kunci terurus pelanggan anda, pentadbir boleh mengalih keluar persekitaran daripada Dataverse dasar perusahaan untuk mengembalikan penyulitan data kembali kepada kunci terurus Microsoft.

Pentadbir boleh mengunci persekitaran utama yang diuruskan pelanggan dengan membatalkan akses utama daripada dasar perusahaan dan membuka kunci persekitaran dengan memulihkan akses utama. Maklumat lanjut: Kunci persekitaran dengan membatalkan peti besi kunci dan/atau akses kebenaran kunci

Untuk memudahkan tugas pengurusan utama, tugas-tugas dipecahkan kepada tiga bidang utama:

1. Buat kekunci penyulitan.
2. Buat dasar perusahaan dan akses geran.
3. Urus penyulitan persekitaran.

Amaran

Apabila persekitaran dikunci, persekitaran tersebut tidak boleh diakses oleh sesiapa sahaja, termasuk sokongan Microsoft. Persekitaran yang terkunci menjadi dinyahdayakan dan kehilangan data boleh berlaku.

Keperluan pelesenan untuk kunci terurus pelanggan

Dasar utama terurus pelanggan hanya dikuatkuasakan pada persekitaran yang diaktifkan untuk Persekitaran Terurus. Persekitaran Terurus disertakan sebagai hak dalam Power Apps Power Automate Power Virtual Agents Power Pages lesen kendiri dan Dynamics 365 yang memberikan hak penggunaan premium. Ketahui lebih lanjut tentang pelesenan Persekitaran Terurus dengan gambaran keseluruhan Pelesenan Microsoft Power Platform.

Selain itu, akses untuk menggunakan kunci Microsoft Power Platform terurus pelanggan dan Dynamics 365 memerlukan pengguna dalam persekitaran di mana dasar kunci penyulitan dikuatkuasakan untuk mempunyai salah satu langganan ini:

• Microsoft 365 atau Office 365 A5/E5/G5
• Microsoft 365 Pematuhan A5/E5/F5/G5
• Microsoft 365 F5 Keselamatan & Pematuhan
• Microsoft 365 A5/E5/F5/G5 Perlindungan Maklumat dan Tadbir Urus
• Microsoft 365 Pengurusan Risiko Orang Dalam A5/E5/F5/G5

Ketahui lebih lanjut tentang lesen ini

Fahami potensi risiko apabila anda menguruskan kunci anda

Seperti juga dengan mana-mana aplikasi kritikal perniagaan, kakitangan dalam organisasi anda yang mempunyai akses peringkat pentadbiran mesti boleh dipercayai. Sebelum anda menggunakan ciri pengurusan kunci, anda perlu memahami risiko apabila anda menguruskan kunci penyulitan pangkalan data anda. Adalah difikirkan bahawa pentadbir berniat jahat (seseorang yang diberikan atau telah mendapat akses peringkat pentadbir dengan niat untuk membahayakan keselamatan organisasi atau proses perniagaan) yang bekerja dalam organisasi anda mungkin menggunakan ciri uruskan kekunci untuk mencipta kunci dan menggunakannya untuk mengunci persekitaran anda dalam penyewa.

Pertimbangkan urutan peristiwa berikut.

Pentadbir peti besi kunci berniat jahat mencipta dasar kunci dan perusahaan pada portal Azure. Pentadbir Azure Key Vault pergi ke Power Platform pusat pentadbiran dan menambah persekitaran kepada dasar perusahaan. Pentadbir berniat jahat kemudian kembali ke portal Azure dan membatalkan akses utama kepada dasar perusahaan dengan itu mengunci semua persekitaran. Ini menyebabkan gangguan perniagaan kerana semua persekitaran menjadi tidak dapat diakses, dan jika peristiwa ini tidak diselesaikan, iaitu akses utama yang dipulihkan, data persekitaran berpotensi hilang.

Nota

• Azure Key Vault mempunyai perlindungan terbina dalam yang membantu memulihkan kunci, yang memerlukan tetapan peti besi kunci perlindungan Soft Delete dan Purge didayakan.
• Perlindungan lain yang perlu dipertimbangkan adalah untuk memastikan terdapat pemisahan tugas di mana pentadbir Azure Key Vault tidak diberikan akses kepada Power Platform pusat pentadbiran.

Pemisahan tugas untuk mengurangkan risiko

Bahagian ini menerangkan tugas ciri utama yang diuruskan oleh pelanggan yang bertanggungjawab ke atas setiap peranan pentadbir. Memisahkan tugas ini membantu mengurangkan risiko yang terlibat dengan kunci yang diuruskan pelanggan.

Azure Key Vault dan Power Platform/Dynamics 365 service admin tasks

Untuk mendayakan kekunci terurus pelanggan, mula-mula pentadbir peti besi utama mencipta kunci dalam peti besi kunci Azure dan mencipta Power Platform dasar perusahaan. Apabila dasar perusahaan dicipta, identiti terurus ID khas Microsoft Entra dicipta. Seterusnya, pentadbir peti besi utama kembali ke peti besi kunci Azure dan memberikan dasar perusahaan / akses identiti terurus kepada kunci penyulitan.

Pentadbir peti besi utama kemudian memberikan akses baca pentadbir perkhidmatan masing-masing Power Platform/Dynamics 365 kepada dasar perusahaan. Setelah keizinan baca diberikan, Power Platform pentadbir perkhidmatan/Dynamics 365 boleh pergi ke Power Platform Pusat Pentadbiran dan menambah persekitaran kepada dasar perusahaan. Semua persekitaran tambahan data pelanggan kemudiannya disulitkan dengan kunci terurus pelanggan yang dikaitkan dengan dasar perusahaan ini.

Prasyarat

• Langganan Azure yang termasuk Azure Key Vault atau Azure Key Vault modul keselamatan perkakasan terurus (pratonton).
• Pentadbir penyewa sejagat atau ID dengan Microsoft Entra :
  • Keizinan penyumbang kepada langganan Microsoft Entra .
  • Kebenaran untuk mencipta Azure Key Vault dan kunci.
  • Capaian untuk mencipta kumpulan sumber. Ini diperlukan untuk menubuhkan peti besi utama.

Mencipta kunci dan memberikan akses menggunakan Azure Key Vault

Pentadbir Azure Key Vault melaksanakan tugas ini dalam Azure.

1. Cipta langganan berbayar Azure dan Key Vault. Abaikan langkah ini jika anda sudah mempunyai langganan yang termasuk Azure Key Vault.
2. Pergi ke perkhidmatan Azure Key Vault dan cipta kunci. Maklumat lanjut: Cipta kunci dalam peti besi utama
3. Dayakan Power Platform perkhidmatan dasar perusahaan untuk langganan Azure anda. Lakukan ini sekali sahaja. Maklumat lanjut: Mendayakan Power Platform perkhidmatan dasar perusahaan untuk langganan Azure anda
4. Power Platform Buat dasar perusahaan. Maklumat lanjut: Cipta dasar perusahaan
5. Berikan kebenaran dasar perusahaan untuk mengakses peti besi utama. Maklumat lanjut: Berikan kebenaran dasar perusahaan untuk mengakses peti besi utama
6. Power Platform Geran dan keizinan pentadbir Dynamics 365 untuk membaca dasar perusahaan. Maklumat lanjut: Berikan Power Platform keistimewaan pentadbir untuk membaca dasar perusahaan

Power PlatformTugas pusat pentadbiran Power Platform perkhidmatan /Dynamics 365

Prasyarat

• Power Platform pentadbir mesti ditugaskan sama ada Power Platform kepada peranan pentadbir Microsoft Entra Perkhidmatan Dynamics 365 atau Dynamics 365.

Menguruskan penyulitan persekitaran dalam Power Platform pusat pentadbiran

Pentadbir Power Platform menguruskan tugas utama yang diuruskan oleh pelanggan yang berkaitan dengan persekitaran dalam Power Platform pusat pentadbiran.

1. Tambah persekitaran kepada Power Platform dasar perusahaan untuk menyulitkan data dengan kunci terurus pelanggan. Maklumat lanjut: Menambah persekitaran kepada dasar perusahaan untuk menyulitkan data
2. Alih keluar persekitaran daripada dasar perusahaan untuk mengembalikan penyulitan kepada kunci terurus Microsoft. Maklumat lanjut: Alih keluar persekitaran daripada dasar untuk kembali ke kunci terurus Microsoft
3. Tukar kunci dengan mengalih keluar persekitaran daripada dasar perusahaan lama dan menambah persekitaran kepada dasar perusahaan baharu. Maklumat lanjut: Cipta kunci penyulitan dan berikan akses
4. Pindahkan dari BYOK. Jika anda menggunakan ciri kunci penyulitan terurus sendiri yang terdahulu, anda boleh memindahkan kunci anda ke kunci terurus pelanggan. Maklumat lanjut: Pindahkan persekitaran bawa anda sendiri ke kunci terurus pelanggan

Buat kunci penyulitan dan berikan akses

Mencipta langganan berbayar Azure dan peti besi kunci

Dalam Azure, laksanakan langkah berikut:

1. Cipta langganan Pay-as-you-go atau langganan Azure yang setara. Langkah ini tidak diperlukan jika penyewa sudah mempunyai langganan.

2. Buat kumpulan sumber. Maklumat lanjut: Cipta kumpulan sumber

   Nota

   Cipta atau gunakan kumpulan sumber yang mempunyai lokasi, contohnya, AS Tengah, yang sepadan dengan Power Platform rantau persekitaran, seperti Amerika Syarikat.

3. Cipta peti besi utama menggunakan langganan berbayar yang merangkumi perlindungan pemadaman lembut dan pembersihan dengan kumpulan sumber yang anda buat dalam langkah sebelumnya.

   Penting

   • Untuk memastikan persekitaran anda dilindungi daripada penghapusan kunci penyulitan secara tidak sengaja, peti besi utama mesti mempunyai perlindungan pemadaman lembut dan pembersihan diaktifkan. Anda tidak akan dapat menyulitkan persekitaran anda dengan kunci anda sendiri tanpa mendayakan tetapan ini. Maklumat lanjut: Azure Key Vault soft-delete overview Maklumat lanjut: Cipta peti besi kunci menggunakan portal Azure

Buat kunci dalam peti besi utama

1. Pastikan anda telah memenuhi prasyarat.

2. Pergi ke Key Vault>portal Azure dan cari peti besi utama di mana anda ingin menjana kunci penyulitan.

3. Sahkan seting peti besi kunci Azure:

   1. Pilih Sifat di bawah Seting.
   2. Di bawah Soft-delete, set atau sahkan bahawa ia disetkan kepada Pemadaman lembut telah didayakan pada opsyen peti besi kunci ini.
   3. Di bawah Perlindungan Purusan, set atau sahkan bahawa Dayakan perlindungan pembersihan (kuatkuasakan tempoh pengekalan mandatori untuk peti besi dan objek peti besi yang dipadamkan) didayakan.
   4. Jika anda membuat perubahan, pilih Simpan.

   

Buat kekunci RSA

1. Mencipta atau mengimport kunci yang mempunyai sifat ini:
   1. Pada halaman sifat Key Vault , pilih Kekunci.
   2. Pilih Janakan/Import.
   3. Pada skrin Cipta kunci setkan nilai berikut, kemudian pilih Cipta.
      • Pilihan: Menjana
      • Nama: Berikan nama untuk kekunci
      • Jenis kunci: RSA
      • Saiz utama RSA: 2048

Import kekunci dilindungi untuk Modul Keselamatan Perkakasan (HSM)

Anda boleh menggunakan kekunci dilindungi anda untuk modul keselamatan perkakasan (HSM) untuk menyulitkan persekitaran anda Power Platform Dataverse . Kekunci dilindungi HSM anda mesti diimport ke dalam peti besi utama supaya dasar Enterprise boleh dibuat. Untuk maklumat lanjut, lihat Kekunci dilindungi HSM Import HSMyang disokong ke Key Vault (BYOK).

Mencipta kunci dalam Azure Key Vault Managed HSM (Preview)

Anda boleh menggunakan kunci penyulitan yang dicipta daripada Azure Key Vault Managed HSM untuk menyulitkan data persekitaran anda. Ini memberi anda sokongan FIPS 140-2 Tahap 3.

Buat kekunci RSA-HSM

1. Pastikan anda telah memenuhi prasyarat.

2. Pergi ke portal Azure.

3. Buat HSM Terurus:

   1. peruntukan HSM yang diuruskan.
   2. Aktifkan HSM Terurus.

4. Dayakan Perlindungan Pembersihan dalam HSM Terurus anda.

5. Berikan peranan Pengguna HSM Crypto Terurus kepada orang yang mencipta peti besi utama HSM Terurus.

   1. Akses peti besi kunci HSM Terurus di portal Azure.
   2. Navigasi ke RBAC Tempatan dan pilih + Tambah.
   3. Dalam senarai juntai bawah Peranan , pilih peranan Pengguna Kripto HSM Terurus pada halaman Tugasan peranan.
   4. Pilih Semua kekunci di bawah Skop.
   5. Pilih prinsipal keselamatan, kemudian pilih pentadbir pada halaman Tambah Prinsipal .
   6. Pilih Cipta.

6. Buat kekunci RSA-HSM:

   • Pilihan: Menjana
   • Nama: Berikan nama untuk kekunci
   • Jenis kunci: RSA-HSM
   • Saiz utama RSA: 2048

   Nota

   Disokong Saiz kekunci RSA-HSM: 2048-bit, 3072-bit, 4096-bit.

Sulitkan persekitaran anda dengan kunci daripada Azure Key Vault dengan pautan peribadi

Anda boleh mengemas kini rangkaian peti besi Azure Key anda dengan mendayakan titik akhir peribadi dan menggunakan kunci dalam peti besi utama untuk menyulitkan persekitaran anda Power Platform .

Anda boleh membuat peti besi kunci baharu dan mewujudkan sambungan pautan peribadi atau mewujudkan sambungan pautan peribadi ke peti besi kunci sedia ada dan mencipta kunci daripada peti besi utama ini dan menggunakannya untuk menyulitkan persekitaran anda. Anda juga boleh mewujudkan sambungan pautan peribadi ke peti besi kunci sedia ada selepas anda telah mencipta kunci dan menggunakannya untuk menyulitkan persekitaran anda.

Sulitkan data dengan kunci dari peti besi utama dengan pautan peribadi

1. Cipta peti besi Azure Key dengan opsyen ini:

   • Dayakan Perlindungan Pembersihan
   • Jenis utama: RSA
   • Saiz utama: 2048

2. Salin URL peti besi utama dan URL kunci penyulitan yang akan digunakan untuk mencipta dasar perusahaan.

   Nota

   Sebaik sahaja anda telah menambah titik akhir peribadi pada peti besi kunci anda atau menyahdayakan rangkaian akses awam, anda tidak akan dapat melihat kunci melainkan anda mempunyai keizinan yang sesuai.

3. Buat rangkaian maya.

4. Kembali ke peti besi kunci anda dan tambah sambungan titik akhir peribadi ke peti besi Azure Key anda.

   Nota

   Anda perlu memilih pilihan Lumpuhkan rangkaian akses awam dan dayakan Benarkan perkhidmatan Microsoft yang dipercayai untuk memintas pengecualian tembok api ini.

5. Power Platform Buat dasar perusahaan. Maklumat lanjut: Cipta dasar perusahaan

6. Berikan kebenaran dasar perusahaan untuk mengakses peti besi utama. Maklumat lanjut: Berikan kebenaran dasar perusahaan untuk mengakses peti besi utama

7. Power Platform Geran dan keizinan pentadbir Dynamics 365 untuk membaca dasar perusahaan. Maklumat lanjut: Berikan Power Platform keistimewaan pentadbir untuk membaca dasar perusahaan

8. Power Platform Pentadbir pusat pentadbiran memilih persekitaran untuk menyulitkan dan mendayakan persekitaran Terurus. Maklumat lanjut: Dayakan persekitaran Terurus untuk ditambahkan pada dasar perusahaan

9. Power Platform pentadbir pusat pentadbiran menambah persekitaran Terurus kepada dasar perusahaan. Maklumat lanjut: Menambah persekitaran kepada dasar perusahaan untuk menyulitkan data

Mendayakan Power Platform perkhidmatan dasar perusahaan untuk langganan Azure anda

Daftar Power Platform sebagai pembekal sumber. Anda hanya perlu melakukan tugas ini sekali sahaja untuk setiap langganan Azure yang menempatkan peti besi Azure Key anda. Anda perlu mempunyai hak akses kepada langganan untuk mendaftarkan pembekal sumber.

1. Log masuk ke portal Azure dan pergi ke pembekal > Sumber Langganan.
2. Dalam senarai pembekal Sumber, cari Microsoft.PowerPlatform dan Daftarkannya .

Buat dasar perusahaan

1. Pasang PowerShell MSI. Maklumat lanjut: Pasang PowerShell pada Windows, Linux dan macOS
2. Selepas PowerShell MSI dipasang, kembali ke Gunakan templat tersuai dalam Azure.
3. Pilih Bina templat anda sendiri dalam pautan editor .
4. Salin templat JSON ke dalam editor teks seperti Notepad. Maklumat lanjut: Templat json dasar perusahaan
5. Gantikan nilai dalam templat JSON untuk: EnterprisePolicyName,lokasi di mana EnterprisePolicy perlu dicipta,keyVaultId, dan keyName. Maklumat lanjut: Takrifan medan untuk templat json
6. Salin templat yang dikemas kini daripada editor teks anda kemudian tampalkannya ke dalam Edit templatpenggunaan Tersuai dalam Azure dan pilih Simpan.
7. Pilih kumpulan Langganan dan Sumber di mana dasar perusahaan akan dicipta.
8. Pilih Semak Semula + cipta, kemudian pilih Cipta.

Penggunaan dimulakan. Apabila selesai, dasar perusahaan dicipta.

Templat json dasar perusahaan

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Takrifan medan untuk templat JSON

• nama. Nama dasar perusahaan. Ini ialah nama dasar yang muncul dalam Power Platform pusat pentadbiran.

• lokasi. Salah satu daripada berikut. Ini adalah lokasi dasar perusahaan dan ia mesti sesuai dengan Dataverse rantau persekitaran:

  • ''Bersatu''
  • '"SouthAfrica"'
  • '"UK"'
  • '"Jepun"'
  • '"India"'
  • '"Perancis"'
  • '"Eropah"'
  • '"Jerman"'
  • '"Switzerland"'
  • '"Kanada"'
  • '"Brazil"'
  • '"Australia"'
  • 'Asia''
  • '"UAE"'
  • '"Korea"'
  • '"Norway"'
  • '"Singapura"'
  • '"Sweden"'

• Salin nilai ini daripada sifat peti besi utama anda dalam portal Azure:

  • keyVaultId: Pergi ke Peti besi> kunci pilih gambaran keseluruhan > peti besikunci anda. Di sebelah Keperluan pilihPandangan JSON. Salin ID Sumber ke papan klip dan tampalkan keseluruhan kandungan ke dalam templat JSON anda.
  • KeyName: Pergi ke Peti besi kunci pilih kekunci> peti besi >kunci anda. Perhatikan nama kunci dan taipkan nama ke dalam templat JSON anda.

Memberikan kebenaran dasar perusahaan untuk mengakses peti besi utama

Setelah dasar perusahaan dibuat, pentadbir peti besi utama memberikan akses identiti terurus dasar perusahaan kepada kunci penyulitan.

1. Log masuk ke portal Azure dan pergi ke peti besi Key.
2. Pilih peti besi utama di mana kunci telah diberikan kepada dasar perusahaan.
3. Pilih tab Kawalan capaian (IAM), kemudian pilih + Tambah.
4. Pilih Tambah tugasan peranan daripada senarai juntai bawah,
5. Cari Pengguna Penyulitan Perkhidmatan Crypto Key Vault dan pilihnya.
6. Pilih Seterusnya.
7. Pilih + Pilih ahli.
8. Cari dasar perusahaan yang telah anda cipta.
9. Pilih dasar perusahaan kemudian pilih Pilih.
10. Pilih Semak Semula + tugaskan.

Nota

Tetapan keizinan di atas adalah berdasarkan model Kebenaran peti besi utama anda bagi kawalan akses berasaskan peranan Azure. Jika peti besi utama anda ditetapkan kepada dasar akses Vault, anda disyorkan untuk berhijrah ke model berasaskan peranan. Untuk memberikan akses dasar perusahaan anda ke peti besi utama menggunakan dasar akses Vault, buat dasar Akses, pilihDapatkan operasi pengurusan Kunci dan kunci Unwrap dan Bungkus pada Operasi Kriptografi.

Power Platform Memberikan keistimewaan pentadbir untuk membaca dasar perusahaan

Pentadbir yang mempunyai peranan Azure global, Dynamics 365 dan Power Platform pentadbiran boleh mencapai pusat Power Platform pentadbiran untuk memperuntukkan persekitaran kepada dasar perusahaan. Untuk mengakses dasar perusahaan, pentadbir global dengan Azure akses peti besi utama diperlukan untuk memberikan peranan Pembaca kepada Power Platform pentadbir. Sebaik sahaja peranan Pembaca diberikan, Power Platform pentadbir dapat melihat dasar perusahaan pada Power Platform pusat pentadbiran.

Nota

Power Platform Hanya dan pentadbir Dynamics 365 yang diberikan peranan pembaca kepada dasar perusahaan boleh menambah persekitaran kepada dasar tersebut. Pentadbir lain Power Platform atau Dynamics 365 mungkin dapat melihat dasar perusahaan tetapi mereka akan mendapat ralat apabila mereka cuba Menambah persekitaran pada dasar.

Memberikan peranan pembaca kepada Power Platform pentadbir

1. Log masuk ke portal Azure.
2. Salin Power Platform ID objek pentadbir atau Dynamics 365. Untuk melakukan ini:
   1. Pergi ke kawasan Pengguna dalam Azure.
   2. Dalam senarai Semua pengguna , cari pengguna dengan Power Platform keizinan pentadbir atau Dynamics 365 menggunakan pengguna Carian.
   3. Buka rekod pengguna, pada tab Gambaran Keseluruhan salin ID Objek pengguna. Tampal ini ke dalam editor teks seperti NotePad untuk kemudian.
3. Salin ID sumber dasar perusahaan. Untuk melakukan ini:
   1. Pergi ke Resource Graph Explorer dalam Azure.
   2. Masukkan microsoft.powerplatform/enterprisepolicies dalam kotak Carian , kemudian pilih sumber Microsoft.powerplatform/enterprisepolicies .
   3. Pilih Jalankan pertanyaan pada bar perintah. Senarai semua Power Platform dasar perusahaan dipaparkan.
   4. Cari dasar perusahaan yang anda ingin berikan akses.
   5. Skrol ke kanan dasar perusahaan dan pilih Lihat butiran.
   6. Pada halaman Butiran , salin id.
4. Mulakan Azure Cloud Shell dan jalankan perintah berikut menggantikan objId dengan ID objek pengguna dan ID Sumber EP dengan ID yang enterprisepolicies disalin dalam langkah sebelumnya: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Urus penyulitan persekitaran

Untuk menguruskan penyulitan persekitaran, anda memerlukan kebenaran berikut:

• Microsoft Entra pengguna aktif yang mempunyai Power Platform peranan keselamatan pentadbir dan/atau Dynamics 365.
• Microsoft Entra pengguna yang mempunyai sama ada pentadbir penyewa Power Platform global atau peranan pentadbir perkhidmatan Dynamics 365.

Pentadbir peti besi utama memberitahu Power Platform pentadbir bahawa kunci penyulitan dan dasar perusahaan telah dicipta dan menyediakan dasar perusahaan kepada Power Platform pentadbir. Untuk mendayakan kunci terurus pelanggan, Power Platform pentadbir memperuntukkan persekitaran mereka kepada dasar perusahaan. Sebaik sahaja persekitaran ditugaskan dan disimpan, Dataverse memulakan proses penyulitan untuk menetapkan semua data persekitaran, dan menyulitkannya dengan kunci terurus pelanggan.

Dayakan persekitaran Terurus ditambah kepada dasar perusahaan

1. Log masuk ke Power Platform pusat pentadbiran dan cari persekitaran.
2. Pilih dan semak persekitaran pada senarai persekitaran.
3. Pilih ikon Dayakan Persekitaran Terurus pada bar tindakan.
4. Pilih Dayakan.

Menambah persekitaran pada dasar perusahaan untuk menyulitkan data

Penting

Persekitaran akan dilumpuhkan apabila ia ditambahkan pada dasar perusahaan untuk penyulitan data.

1. Log masuk ke Power Platform pusat pentadbiran dan pergi ke dasar Policies>Enterprise.
2. Pilih dasar, kemudian pada bar arahan pilih Edit.
3. Pilih Tambah persekitaran, pilih persekitaran yang anda mahu, kemudian pilih Teruskan.
4. Pilih Simpan kemudian pilih Sahkan.

Penting

• Hanya persekitaran yang berada di rantau yang sama dengan dasar perusahaan dipaparkan dalam senarai Tambah persekitaran .
• Penyulitan boleh mengambil masa sehingga empat hari untuk diselesaikan, tetapi persekitaran mungkin diaktifkan sebelum operasi Tambah persekitaran selesai.
• Pengendalian mungkin tidak selesai dan jika ia gagal, data anda terus disulitkan dengan kunci terurus Microsoft. Anda boleh menjalankan semula operasi Tambah persekitaran sekali lagi.

Nota

Anda hanya boleh menambah persekitaran yang didayakan sebagai Persekitaran Terurus. Jenis persekitaran Percubaan dan Pasukan tidak boleh ditambahkan pada dasar perusahaan.

Alih keluar persekitaran daripada dasar untuk kembali kepada kekunci terurus Microsoft

Ikuti langkah ini jika anda ingin kembali ke kunci penyulitan terurus Microsoft.

Penting

Persekitaran akan dinyahdayakan apabila ia dialih keluar daripada dasar perusahaan untuk mengembalikan penyulitan data menggunakan kekunci terurus Microsoft.

1. Log masuk ke Power Platform pusat pentadbiran dan pergi ke dasar Policies>Enterprise.
2. Pilih tab Persekitaran dengan dasar kemudian cari persekitaran yang ingin anda alih keluar daripada kunci terurus pelanggan.
3. Pilih tab Semua dasar , pilih persekitaran yang anda sahkan dalam langkah 2, kemudian pilih Edit dasar pada bar perintah.
4. Pilih Alih keluar persekitaran pada bar perintah, pilih persekitaran yang anda mahu alih keluar, kemudian pilih Teruskan.
5. Pilih Simpan.

Penting

Persekitaran akan dinyahdayakan apabila ia dialih keluar daripada dasar perusahaan untuk mengembalikan penyulitan data kepada kunci terurus Microsoft. Jangan padamkan atau nyahdayakan kunci, padam atau nyahdayakan peti besi kunci atau alih keluar kebenaran dasar enteprise ke peti besi kunci. Akses peti besi kunci dan kunci diperlukan untuk menyokong pemulihan pangkalan data. Anda boleh memadam dan mengalih keluar keizinan dasar perusahaan selepas 30 hari.

Tukar kunci penyulitan persekitaran dengan dasar dan kunci perusahaan baharu

Untuk menukar kunci penyulitan anda, buat kunci baharu dan dasar perusahaan baharu. Anda kemudian boleh menukar dasar perusahaan dengan mengalih keluar persekitaran dan kemudian menambah persekitaran kepada dasar perusahaan baru. Perhatikan bahawa sistem akan turun 2 kali apabila menukar kepada dasar perusahaan baru - 1) untuk mengembalikan penyulitan kepada kunci Microsoft Managed dan 2) untuk menggunakan dasar perusahaan baru.

[! Cadangan] Untuk memutarkan kunci penyulitan, kami mengesyorkan menggunakan versi Key vaults'New atau menetapkan dasar Putaran.

1. Dalam portal Azure, cipta kunci baharu dan dasar perusahaan baharu. Maklumat lanjut: Cipta kunci penyulitan dan berikan akses dan Cipta dasar perusahaan
2. Setelah dasar utama dan perusahaan baru dibuat, pergi ke dasar> Perusahaan Dasar.
3. Pilih tab Persekitaran dengan dasar kemudian cari persekitaran yang ingin anda alih keluar daripada kunci terurus pelanggan.
4. Pilih tab Semua dasar , pilih persekitaran yang anda sahkan dalam langkah 2, kemudian pilih Edit dasar pada bar perintah.
5. Pilih Alih keluar persekitaran pada bar perintah, pilih persekitaran yang anda mahu alih keluar, kemudian pilih Teruskan.
6. Pilih Simpan.
7. Ulangi langkah 2-6 sehingga semua persekitaran dalam dasar perusahaan telah dialih keluar.

Penting

Persekitaran akan dinyahdayakan apabila ia dialih keluar daripada dasar perusahaan untuk mengembalikan penyulitan data kepada kunci terurus Microsoft. Jangan padamkan atau nyahdayakan kunci, padam atau nyahdayakan peti besi kunci atau alih keluar kebenaran dasar enteprise ke peti besi kunci. Akses peti besi kunci dan kunci diperlukan untuk menyokong pemulihan pangkalan data. Anda boleh memadam dan mengalih keluar keizinan dasar perusahaan selepas 30 hari.

1. Setelah semua persekitaran dialih keluar, dari Power Platform pusat pentadbiran pergi ke dasar Enterprise.
2. Pilih dasar perusahaan baru, kemudian pilih Edit dasar.
3. Pilih Tambah persekitaran, pilih persekitaran yang anda mahu tambah, kemudian pilih Teruskan.

Penting

Persekitaran akan dilumpuhkan apabila ia ditambah kepada dasar perusahaan baru.

Putar kunci penyulitan persekitaran dengan versi kunci baharu

Anda boleh menukar kunci penyulitan persekitaran dengan mencipta versi kunci baharu. Apabila anda mencipta versi kunci baru, versi kunci baru didayakan secara automatik. Semua sumber storan mengesan versi kunci baharu dan mula menggunakannya untuk menyulitkan data anda.

Apabila anda mengubah suai kunci atau versi utama, perlindungan kunci penyulitan akar berubah, tetapi data dalam storan sentiasa disulitkan dengan kunci anda. Tiada lagi tindakan yang diperlukan di pihak anda untuk memastikan data anda dilindungi. Memutarkan versi utama tidak memberi kesan kepada prestasi. Tiada downtime yang dikaitkan dengan berputar versi utama. Ia boleh mengambil masa 24 jam untuk semua pembekal sumber menggunakan versi utama baru di latar belakang. Versi utama sebelumnya tidak boleh dinyahdayakan kerana perkhidmatan tersebut diperlukan untuk menggunakannya untuk penyulitan semula dan untuk sokongan pemulihan pangkalan data.

Untuk memutarkan kunci penyulitan dengan mencipta versi kunci baharu, gunakan langkah berikut.

1. Pergi ke portal Azure>Key Vaults dan cari peti besi utama di mana anda ingin mencipta versi kunci baharu.
2. Navigasi ke Kekunci.
3. Pilih kekunci semasa yang didayakan.
4. Pilih + Versi Baharu.
5. Ambil perhatian bahawa seting Didayakan lalai kepada Ya, yang bermaksud bahawa versi kunci baru didayakan secara automatik semasa penciptaan.
6. Pilih Cipta.

[! Cadangan] Untuk mematuhi dasar putaran utama anda, anda boleh memutar kunci penyulitan menggunakan dasar Putaran. Anda boleh sama ada mengkonfigurasi dasar putaran atau berputar, atas permintaan, dengan menggunakan Putar sekarang.

Penting

Versi kunci baru diputar secara automatik di latar belakang dan tiada tindakan yang Power Platform diperlukan oleh pentadbir. Adalah penting bahawa versi utama sebelumnya tidak boleh dilumpuhkan atau dipadamkan untuk, sekurang-kurangnya, 28 hari untuk menyokong pemulihan pangkalan data. Melumpuhkan atau memadam versi utama sebelumnya terlalu awal boleh membawa persekitaran anda ke luar talian.

Lihat senarai persekitaran yang disulitkan

1. Log masuk ke Power Platform pusat pentadbiran dan pergi ke dasar Policies>Enterprise.
2. Pada halaman Dasar perusahaan, pilih tab Persekitaran dengan dasar . Senarai persekitaran yang ditambahkan pada dasar perusahaan dipaparkan.

Nota

Mungkin terdapat situasi di mana status Alam Sekitar atau status Penyulitan menunjukkan status Gagal . Apabila ini berlaku, serahkan permintaan Sokongan Microsoft untuk mendapatkan bantuan.

Operasi pangkalan data persekitaran

Penyewa pelanggan boleh mempunyai persekitaran yang disulitkan menggunakan kunci terurus Microsoft dan persekitaran yang disulitkan dengan kunci terurus pelanggan. Untuk mengekalkan integriti data dan perlindungan data, kawalan berikut tersedia apabila mengurus operasi pangkalan data persekitaran.

• Pulihkan alam sekitar untuk menulis ganti (dipulihkan kepada persekitaran) terhad kepada persekitaran yang sama yang telah diambil oleh sandaran daripada atau ke persekitaran lain yang disulitkan dengan kunci terurus pelanggan yang sama.

  

• Salin persekitaran untuk menulis ganti (yang disalin ke persekitaran) terhad kepada persekitaran lain yang disulitkan dengan kekunci terurus pelanggan yang sama.

  

  Nota

  Jika persekitaran siasatan sokongan telah dicipta untuk menyelesaikan isu sokongan dalam persekitaran terurus pelanggan, kunci penyulitan untuk persekitaran penyiasatan sokongan mesti ditukar kepada kunci terurus pelanggan sebelum salinan operasi persekitaran mempersembahkan.

• Set Semula Data yang disulitkan persekitaran dipadamkan termasuk sandaran. Selepas persekitaran ditetapkan semula, penyulitan alam sekitar akan kembali semula ke Microsoft diuruskan kunci.

Langkah-langkah berikutnya

Tentang Azure Key Vault