Zarządzaj kluczem szyfrowania

Wszystkie środowiska Microsoft Dataverse używają przezroczystego szyfrowania danych (TDE) na serwerze SQL do wykonywania szyfrowania w czasie rzeczywistym podczas zapisywania na dysk, znanego również jako szyfrowanie w stanie spoczynku.

Domyślnie Microsoft przechowuje i zarządza kluczami szyfrowania bazy danych dla środowisk, więc Ty nie musisz tego robić. Funkcja zarządzania kluczami w centrum administracyjnym Microsoft Power Platform umożliwia administratorom samodzielnie zarządzanie kluczami szyfrowania bazy danych, które są skojarzone z dzierżawą Dataverse.

Ważne

• Od 2 czerwca 2023 r. usługa ta zostanie uaktualniona do Klucz szyfrowania zarządzany przez klienta. Nowi klienci, którzy muszą zarządzać własnym kluczem szyfrowania, będą korzystać z ulepszonej usługi, ponieważ ta usługa nie jest już oferowana.
• Samozarządzane klucze szyfrowania baz danych są dostępne tylko dla klientów, którzy posiadają ponad 1000 licencji Power Apps na użytkownika lub ponad 1000 licencji Dynamics 365 Enterprise, lub ponad 1000 licencji z kombinacji obu tych rozwiązań w jednej dzierżawie. Aby wziąć udział w tym programie, należy przesłać zgłoszenie w ramach pomocy technicznej.

Zarządzanie kluczami szyfrowania ma zastosowanie wyłącznie do baz danych środowisk Azure SQL. Poniższe funkcje i usługi w dalszym ciągu korzystają z klucza szyfrowania zarządzanego przeze firmę Microsoft do szyfrowania swoich danych, dlatego nie można ich szyfrować przy użyciu samodzielnie zarządzanego klucza szyfrowania:

• Rozwiązania typu pomocnik i funkcje generatywnej AI w Microsoft Power Platform i Microsoft Dynamics 365
• Wyszukiwanie w usłudze Dataverse
• Tabele elastyczne
• Mobilne offline
• Dziennik aktywności (portal usługi Microsoft 365)
• Exchange (synchronizacji na serwerze)

Uwaga

• Aby można było korzystać z tej funkcji, firma Microsoft musi uruchomić funkcję klucza szyfrowania baz danych dla dzierżawy.
• Aby można było korzystać z funkcji zarządzania szyfrowaniem danych dla środowiska, środowisko musi zostać utworzone po włączeniu samodzielnej obsługi klucza szyfrowania bazy danych przez firmę Microsoft.
• Po włączeniu tej funkcji w dzierżawcy wszystkie nowe środowiska są tworzone tylko za pomocą magazynu Azure SQL. Środowiska te, niezależnie od tego, czy są szyfrowane przy użyciu typu bring-own-key (BYOK), czy też klucza zarządzanego przez Microsoft, mają ograniczenia związane z rozmiarem przekazywania plików, nie mogą korzystać z usług Cosmos i jeziora danych (data lake), a indeksy wyszukiwania Dataverse są szyfrowane za pomocą klucza zarządzanego przez Microsoft. Aby korzystać z tych usług, należy przeprowadzić migrację do klucza zarządzanego przez klienta.
• Pliki i obrazy o rozmiarach mniejszych niż 128 MB można używać, jeśli środowisko ma wersję 9.2.21052.00103 lub nowszą.
• Większość istniejących środowisk zawiera plik i dziennik przechowywany w bazach danych SQL innych niż usługi Azure. Te środowiska nie mogą być dodane do samozarządzającego klucza szyfrowania. Tylko nowe środowiska (po zarejestrowaniu się w programie) mogą być włączone za pomocą samozarządzanego klucza szyfrowania.

Wprowadzenie do zarządzania kluczami

Dzięki funkcji zarządzania kluczami administratorzy mogą zapewnić własny klucz szyfrowania lub otrzymać klucz szyfrowania wygenerowany dla nich, używany do chronienia bazy danych dla środowiska.

Funkcja zarządzania kluczami obsługuje zarówno pliki kluczy szyfrowania PFX jak i BYOK, takie jak te przechowywane w sprzętowym module zabezpieczeń (HSM). Aby użyć opcji przekazywania klucza szyfrowania potrzebny jest klucz publiczny i prywatny klucz szyfrowania.

Funkcja zarządzania kluczami eliminuje złożoność zarządzania kluczami szyfrowania poprzez użycie Azure Key Vault do bezpiecznego przechowywania kluczy szyfrowania. Azure Key Vault pomaga chronić klucze kryptograficzne i informacje tajne używane przez aplikacje i usługi w chmurze. Funkcja zarządzania kluczami nie wymaga posiadania subskrypcji Azure Key Vault i w większości sytuacji nie ma potrzeby dostępu w magazynie kluczy szyfrujących używanych dla Dataverse.

Funkcja zarządzania kluczami umożliwia wykonywanie następujących zadań.

• Włącz możliwość samodzielnego zarządzania kluczami szyfrowania bazy danych, które są skojarzone ze środowiskami.

• Generuj nowe klucze szyfrowania lub przekaż istniejące pliki kluczy szyfrowania .PFX lub .BYOK.

• Blokowanie i odblokowywanie środowisk w dzierżawie.

  Ostrzeżenie

  Kiedy dzierżawa jest zablokowana, żaden użytkownik nie może uzyskać dostępu do żadnych środowisk w dzierżawie. Więcej informacji: Blokowanie dzierżawy.

Poznaj potencjalne ryzyko związane z zarządzaniem kluczami

Podobnie jak w przypadku dowolnej krytycznej aplikacji biznesowej, musisz mieć zaufanie do personelu organizacji, który ma dostęp na poziomie administracyjnym. Zanim użyjesz funkcji zarządzania kluczami, musisz zrozumieć ryzyko związane z zarządzaniem kluczami szyfrowania bazy danych. Łatwo sobie wyobrazić, że złośliwy administrator (osoba, której udzielono, lub która zyskała dostęp na poziomie administratora z zamiarem zaszkodzenia bezpieczeństwu organizacji lub procesów biznesowych) pracujący w Twojej organizacji mógłby użyć funkcji zarządzania kluczami, aby utworzyć klucz i użyć go do zablokowania wszystkich środowisk w dzierżawie.

Rozważmy następującą sekwencję zdarzeń.

Złośliwy administrator loguje się w centrum administracyjnym Power Platform, przechodzi do karty Środowiska i wybiera Zarządzaj kluczem szyfrowania. Następnie złośliwy administrator tworzy nowy klucz szyfrowania z hasłem i pobiera go na swój dysk lokalny, po czym aktywuje. Teraz wszystkie bazy danych środowiska są zaszyfrowane nowym kluczem. Następnie złośliwy administrator blokuje dzierżawę za pomocą nowo pobranego klucza, po czym zabiera lub usuwa klucz.

Te działania spowodują uniemożliwienie dostępu z Internetu do wszystkich środowisk w dzierżawie i sprawią, że nie będzie można przywrócić danych z żadnej kopii zapasowej bazy danych.

Ważne

Aby uniemożliwić złośliwemu administratorowi przerwanie operacji biznesowych poprzez zablokowanie bazy danych, funkcja zarządzanych kluczy nie pozwala na blokowanie środowisk w dzierżawie przez 72 godziny po zmianie lub aktywacji klucza szyfrowania. Daje to do 72 godzin innym administratorom na wycofanie wszelkich nieautoryzowanych zmian kluczy.

Wymagania związane z kluczami szyfrowania

Jeśli podasz swój własny klucz szyfrowania, Twój klucz musi spełniać poniższe wymagania akceptowane przez Azure Key Vault.

• Formatem pliku klucza szyfrowania musi być PFX lub BYOK.
• 2048-bitowe RSA.
• Typ klucza RSA-HSM (wymaga biletu pomocy technicznej firmy Microsoft).
• Pliki kluczy szyfrowania PFX muszą być chronione hasłem.

Aby uzyskać więcej informacji na temat generowania i przesyłania klucza chronionego HSM przez Internet zobacz Generowanie i przesyłanie kluczy chronionych HSM dla magazynu kluczy Azure. Obsługiwany jest tylko klucz HSM nCipher Vendor. Przed wygenerowaniem klucza HSM przejdź w centrum administracyjnym usługi Power Platform do okna Zarządzaj kluczami szyfrowania/Utwórz nowy klucz, aby uzyskać identyfikator subskrypcji dla regionu swojego środowiska. Aby utworzyć klucz, należy skopiować i wkleić ten identyfikator subskrypcji do modułu HSM. Zapewni to, że tylko usługa Azure Key Vault może otworzyć klucz.

Zadania związane z zarządzaniem kluczami

W celu uproszczenia zadań związanych z zarządzaniem kluczami zadania są podzielone na trzy obszary:

1. Generowanie lub przekazywanie klucza szyfrowania dla dzierżawy
2. Aktywowanie klucza szyfrowania dla dzierżawy
3. Zarządzanie szyfrowaniem w środowisku

Administratorzy mogą używać poleceń cmdlet centrum administracyjnego Power Platform lub modułu administracyjnego Power Platform w celu wykonania opisanych tutaj zadań zarządzania kluczami ochrony dzierżawy.

Generowanie lub przekazywanie klucza szyfrowania dla dzierżawy

Wszystkie klucze szyfrowania są przechowywane w usłudze Azure Key Vault. Może istnieć tylko jeden aktywny klucz naraz. Ponieważ aktywny klucz jest używany do szyfrowania wszystkich środowisk w dzierżawie, zarządzanie szyfrowaniem odbywa się na poziomie dzierżawy. Po aktywowaniu klucza można zaznaczyć poszczególne środowiska, aby używały klucza do szyfrowania.

Użyj tej procedury, aby ustawić funkcję zarządzania kluczem po raz pierwszy w środowisku lub aby zmienić klucz szyfrowania (albo przedłużyć jego aktywność) dla dzierżawy już zarządzanej samodzielnie.

Ostrzeżenie

Jeśli kroki opisane w tym miejscu wykonujesz po raz pierwszy, wybierasz opcję samodzielnego zarządzania kluczami szyfrowania w Twojej organizacji. Więcej informacji: Poznaj potencjalne ryzyko związane z zarządzaniem kluczami.

1. Zaloguj się do Centrum administracyjnego Power Platform jako administrator (administrator Dynamics 365, Administrator globalny lub administrator Microsoft Power Platform).

2. Wybierz kartę Środowiska, a następnie na pasku narzędzi wybierz opcję Zarządzaj kluczami szyfrowania.

3. Wybierz opcję Potwierdź, aby potwierdzić znajomość ryzyka związanego z zarządzaniem kluczami.

4. Na pasku narzędzi wybierz opcję Nowy klucz.

5. W lewym okienku uzupełnij szczegóły, aby wygenerować lub przekazać klucz:

   • Określ wartość w polu Region. Ta opcja jest wyświetlana tylko wtedy, gdy dzierżawa ma wiele regionów.
   • Wypełnij pole Nazwa klucza.
   • Wybierz jedną z poniższych opcji:
     • Aby utworzyć nowy klucz, wybierz opcję Wygeneruj nowy (.pfx). Więcej informacji: Generowanie nowego klucza (.pfx).
     • Aby użyć klucza wygenerowanego przez siebie, wybierz opcję Przekaż (.pfx lub .byok). Więcej informacji: Przekazywanie klucza (.pfx or .byok).

6. Wybierz Dalej.

Generowanie nowego klucza (.pfx)

1. Wprowadź hasło, a następnie wprowadź je ponownie w celu potwierdzenia.
2. Wybierz opcję Utwórz, a następnie kliknij powiadomienie o utworzeniu pliku w przeglądarce.
3. Plik .PFX klucza szyfrowania zostanie pobrany do domyślnego folderu pobierania w przeglądarce internetowej. Zapisz plik w bezpiecznym miejscu (zalecamy wykonanie kopii zapasowej tego klucza wraz z jego hasłem).

Przekazywanie pliku (.pfx lub .byok)

1. Wybierz opcję Przekaż klucz, zaznacz plik .pfx or .byok¹, a następnie wybierz opcję Otwórz.
2. Wprowadź hasło dla klucza, a następnie wybierz opcję Utwórz.

¹ Dla plików klucza szyfrowania .byok upewnij się, że podczas eksportowania klucza szyfrowania z lokalnego urządzenia HSM używasz identyfikatora subskrypcji wyświetlonego na ekranie. Więcej informacji: Generowanie i przesyłanie kluczy chronionych przez HSM dla usługi Azure Key Vault.

Uwaga

Aby zmniejszyć liczbę kroków, które musi wykonać Administrator podczas zarządzania kluczowym procesem, klucz jest automatycznie uaktywniany po przekazaniu. Wszystkie kolejne operacje przekazywania kluczy wymagają dodatkowych kroków w celu aktywowania klucza.

Aktywowanie klucza szyfrowania dla dzierżawy

Kiedy klucz szyfrowania zostanie wygenerowany lub przekazany dla dzierżawy, można go uaktywnić.

1. Zaloguj się do Centrum administracyjnego Power Platform jako administrator (administrator Dynamics 365, Administrator globalny lub administrator Microsoft Power Platform).
2. Wybierz kartę Środowiska, a następnie na pasku narzędzi wybierz opcję Zarządzaj kluczami szyfrowania.
3. Wybierz opcję Potwierdź, aby potwierdzić znajomość ryzyka związanego z zarządzaniem kluczami.
4. Zaznacz klucz mający stan Dostępny, a następnie na pasku narzędzi wybierz opcję Aktywuj klucz.
5. Wybierz opcję Potwierdź, aby potwierdzić zmianę klucza.

Podczas aktywowania klucza dla dzierżawy mija nieco czasu, zanim usługa zarządzania kluczami aktywuje klucz. W czasie, gdy nowy lub przekazywany klucz jest aktywowany, w polu Stan klucza jest wyświetlana wartość Instalowanie. Po aktywowaniu klucza następują poniższe zdarzenia:

• Wszystkie zaszyfrowane środowiska automatycznie są szyfrowane za pomocą aktywnego klucza (nie ma przestojów w tej akcji).
• Po aktywowaniu klucz szyfrowania zostanie zastosowany do wszystkich środowisk, dla których zmieniono klucz szyfrowania z dostarczonego przez Microsoft na samodzielnie zarządzany.

Ważne

W celu zoptymalizowania procesu zarządzania kluczami, tak aby wszystkie środowiska były zarządzane przez ten sam klucz, aktywnego klucza nie może aktualizować, jeśli istnieją zablokowane środowiska. Aby można było aktywować nowy klucz, wszystkie zablokowane środowiska muszą zostać odblokowane. Jeśli istnieją zablokowane środowiska, które nie wymagają odblokowania, należy je usunąć.

Uwaga

Po aktywowaniu klucza szyfrowania nie można aktywować kolejnego klucza przez 24 godziny.

Zarządzanie szyfrowaniem w środowisku

Domyślnie każde środowisko jest szyfrowane za pomocą klucza szyfrowania dostarczonego przez firmę Microsoft. Po aktywowaniu klucza szyfrowania w dzierżawie administratorzy mogą wybrać opcję zmiany domyślnego szyfrowania na używanie aktywowanego klucza szyfrowania. Aby używać aktywowanego klucza, wykonaj następujące kroki.

Zastosowanie klucza szyfrowania w środowisku

1. Zaloguj się do Centrum administracyjnego Power Platform, korzystając z poświadczeń administratora środowiska lub roli administratora systemu.
2. Wybierz kartę Środowiska.
3. Otwórz zaszyfrowane środowisko ze statusem Dostarczony przez firmę Microsoft.
4. Wybierz opcję Zobacz wszystko.
5. W sekcji Szyfrowanie środowiska wybierz opcję Zarządzaj.
6. Wybierz opcję Potwierdź, aby potwierdzić znajomość ryzyka związanego z zarządzaniem kluczami.
7. Wybierz opcję Zastosuj ten klucz, aby zaakceptować zmianę szyfrowania na używanie aktywowanego klucza.
8. Wybierz przycisk Potwierdź, aby potwierdzić, że zarządzasz kluczem bezpośrednio i że akceptujesz występowanie przestoju w tej czynności.

Powrót z klucza szyfrowania zarządzanego samodzielnie do klucza szyfrowania dostarczonego przez Microsoft

Powrót do klucza szyfrowania dostarczanego przez firmę Microsoft powoduje skonfigurowanie z powrotem domyślnego zachowania środowiska, gdzie Microsoft zarządza kluczem szyfrowania.

1. Zaloguj się do Centrum administracyjnego Power Platform, korzystając z poświadczeń administratora środowiska lub roli administratora systemu.
2. Wybierz kartę Środowiska, a następnie wybierz środowisko, które jest zaszyfrowane za pomocą klucza zarządzanego samodzielnie.
3. Wybierz opcję Zobacz wszystko.
4. W sekcji Szyfrowanie środowiska wybierz kolejno opcje Zarządzaj i Potwierdź.
5. W obszarze Powrót do standardowego zarządzania kluczami zaznacz opcję Powrót.
6. W przypadku środowisk produkcyjnych potwierdź wybór, wprowadzając nazwę środowiska.
7. Wybierz opcję Potwierdź, aby wrócić do standardowego zarządzania kluczami szyfrowania.

Blokowanie dzierżawy

Ponieważ istnieje tylko jeden aktywny klucz na dzierżawę, zablokowanie szyfrowania dla dzierżawcy powoduje wyłączenie wszystkich środowisk znajdujących się w dzierżawie. Wszystkie zablokowane środowiska pozostają niedostępne dla wszystkich, łącznie z Microsoft, dopóki administrator usługi Power Platform w Twojej organizacji nie odblokuje go przy użyciu klucza, który został użyty do zablokowania go.

Uwaga

Nigdy nie należy blokować środowisk w dzierżawie w ramach zwykłego procesu biznesowego. Po zablokowaniu dzierżawy usługi Dataverse wszystkie środowiska zostaną przełączane całkowicie do trybu offline i nie będą dostępne dla nikogo, w tym dla firmy Microsoft. Ponadto ulegają zatrzymaniu usługi takie jak synchronizacja i konserwacja. Jeśli zdecydujesz się opuścić usługę, zablokowanie dzierżawy zapewni, że dane w trybie online nigdy nie będą ponownie dostępne dla nikogo.
Zwróć uwagę na następujące aspekty blokowania środowiska dzierżawy:

• Zablokowanych środowisk nie można przywracać z kopii zapasowej.
• Zamknięte środowiska są usuwane w przypadku, gdy nie zostaną odblokowane w ciągu 28 dni.
• Nie można blokować środowisk przez 72 godziny po zmianie klucza szyfrowania.
• Zablokowanie dzierżawy powoduje zablokowanie wszystkich aktywnych środowisk w tej dzierżawie.

Ważne

• Po zablokowaniu aktywnych środowisk trzeba poczekać co najmniej godzinę, zanim będzie można je odblokować.
• Po rozpoczęciu procesu blokowania wszystkie klucze szyfrowania ze stanem Aktywny lub Dostępny są usuwane. Proces blokowania może potrwać nawet godzinę. W tym czasie nie można odblokowywać zablokowanych środowisk.

1. Zaloguj się do Centrum administracyjnego Power Platform jako administrator (administrator Dynamics 365, Administrator globalny lub administrator Microsoft Power Platform).
2. Wybierz kartę Środowiska, a następnie na pasku poleceń wybierz opcję Zarządzaj kluczami szyfrowania.
3. Wybierz klucz Aktywny, a następnie wybierz opcję Zablokuj aktywne środowiska.
4. W prawym okienku wybierz opcję Przekaż aktywny klucz, przejdź do klucza i go zaznacz, wprowadź hasło, a następnie wybierz opcję Zablokuj.
5. Po wyświetleniu monitu wprowadź tekst wyświetlany na ekranie, aby potwierdzić, że chcesz zablokować wszystkie środowiska istniejące w regionie, a następnie wybierz pozycję Potwierdź.

Odblokowywanie zablokowanych środowisk

Aby odblokować środowiska, należy najpierw przekazać, a następnie aktywować klucz szyfrowania dla dzierżawcy za pomocą tego samego klucza, którego użyto do zablokowania dzierżawy. Należy pamiętać, że zablokowane środowiska nie są odblokowywane automatycznie po aktywowaniu klucza. Każde zablokowanie środowisko należy odblokować osobno.

Ważne

• Po zablokowaniu aktywnych środowisk trzeba poczekać co najmniej godzinę, zanim będzie można je odblokować.
• Proces odblokowywania może potrwać nawet godzinę. Kiedy klucz jest odblokowany, można go używać do zarządzania szyfrowaniem w środowisku.
• Nie można wygenerować nowego klucza ani przekazać istniejącego klucza, dopóki nie zostaną odblokowane wszystkie zablokowane środowiska.

Odblokowywanie klucza szyfrowania

1. Zaloguj się do Centrum administracyjnego Power Platform jako administrator (administrator Dynamics 365, Administrator globalny lub administrator Microsoft Power Platform).
2. Wybierz kartę Środowiska, a następnie wybierz opcję Zarządzaj kluczami szyfrowania.
3. Zaznacz klucz mający stan Zablokowano, a następnie na pasku poleceń wybierz opcję Odblokuj klucz.
4. Wybierz opcję Przekaż zablokowany klucz, wyszukaj i zaznacz użyty do zablokowania dzierżawy, wprowadź hasło, a następnie wybierz opcję Odblokuj. Klucz przejdzie do stanu Instalowanie. Zanim będzie można odblokować zamknięte środowiska, trzeba poczekać, aż klucz będzie w stanie Aktywny.
5. Aby odblokować środowisko, zobacz następną sekcję.

Odblokowywanie środowisk

1. Wybierz kartę Środowiska, a następnie kliknij nazwę zablokowanego środowiska.

   Napiwek

   Nie zaznaczaj wiersza. Wybierz nazwę środowiska.

2. W obszarze Szczegóły wybierz pozycję Zobacz wszystko, aby wyświetlić okienko Szczegóły po prawej stronie.

3. W sekcji Szyfrowanie środowiska w okienku Szczegóły wybierz opcję Zarządzaj.

   

4. Na stronie Szyfrowanie środowiska wybierz opcję Odblokuj.

   

5. Wybierz opcję Potwierdź, aby potwierdzić, że chcesz odblokować środowisko.

6. Powtarzaj poprzednie kroki, aby odblokować dodatkowe środowiska.

Operacje bazy danych środowiska

Dzierżawca obsługujący klientów może dysponować środowiskami szyfrowanymi za pomocą zarządzanego klucza Microsoft i środowisk, które są szyfrowane za pomocą klucza zarządzanego przez klienta. W celu zapewnienia integralności danych i ochrony danych, podczas zarządzania operacjami bazy danych środowiska dostępne są następujące formanty.

1. Przywróć Środowisko do zastąpienia (przywrócone do środowiska) jest ograniczone do tego samego środowiska, z którego pobrano kopię zapasową lub do innego środowiska szyfrowanego tym samym kluczem zarządzanym przez klienta.

   

2. Kopiuj Środowisko do zastąpienia (skopiowane do środowiska) jest ograniczone do innego środowiska, które jest zaszyfrowane za pomocą tego samego klucza zarządzanego przez klienta.

   

   Uwaga

   Jeśli zostało utworzone środowisko dochodzeniowe pomocy technicznej w celu rozwiązania problemu pomocy technicznej w środowisku zarządzanym przez klienta, należy zmienić klucz szyfrowania środowiska dochodzeniowego pomocy technicznej na klucz zarządzany klienta, aby można było wykonać operację kopiowania środowiska.

3. Resetuj Zaszyfrowane dane środowiska zostaną usunięte wraz z kopiami zapasowymi. Po zresetowaniu środowiska szyfrowanie środowiska będzie ponownie zamienione na zarządzany klucz Microsoft.

Zobacz też

SQL Server: Przezroczyste szyfrowanie danych (TDE)