分享方式:

管理您的客戶自控加密金鑰

  • 文章

客戶有資料隱私權和法規遵從性的需求,因為它會以靜態方式加密資料,以保護其資料。 這可以防止資料在資料庫副本被盜的情況下暴露。 透過靜態資料加密,可以保護被盜的資料庫資料免於在沒有加密金鑰的情況下恢復到其他伺服器。

根據預設,所有儲存在 Power Platform 中的客戶資料都會以強大的 Microsoft 受管理加密金鑰同時進行靜態加密。 Microsoft 會儲存和管理您所有資料的資料庫加密金鑰,因此不用再做一次。 不過, Power Platform 會為您新增的資料保護控制項提供此客戶自控加密金鑰 (CMK),您可以在其中自行管理與 Microsoft Dataverse 環境相關聯的資料庫加密金鑰。 這可讓您依需要旋轉或調換加密金鑰,也可讓您在隨時撤銷對服務的金鑰存取權時,避免 Microsoft 存取您的客戶資料。

若要深入了解 Power Platform 中的客戶自控金鑰,請觀看客戶自控金鑰影片。

您可以在客戶自控金鑰 (CMK) 上使用這些加密金鑰作業:

  • 從 Azure Key Vault 建立 RSA (RSA-HSM) 金鑰。
  • 為您的金鑰建立 Power Platform 企業原則。
  • 授予 Power Platform 企業原則權限,以存取您的金鑰保存庫。
  • 授予 Power Platform 服務管理員讀取企業原則的權限。
  • 將加密金鑰套用到您的環境。
  • 將環境的 CMK 加密還原/移除至 Microsoft 受管理金鑰。
  • 透過建立新的企業原則、從 CMK 中移除環境,並使用新的企業原則重新套用 CMK 來變更金鑰。
  • 撤銷 CMK 金鑰保存庫和/或金鑰權限來鎖定 CMK 環境。
  • 您可以套用 CMK 金鑰,來遷移攜帶您自己的金鑰 (BYOK) 環境至 CMK。

目前,只有儲存在以下應用程式和服務中的所有客戶資料可以使用客戶自控金鑰進行加密:

1 當您將客戶自控金鑰套用至具有現有 Power Automate 流程的環境時,流程資料仍會繼續使用 Microsoft 受控金鑰進行加密。 其他資訊:Power Automate 客戶自控金鑰

注意

Nuance 對話式 IVR 和製作者歡迎內容不包含在客戶自控金鑰加密範圍內。

Microsoft Copilot Studio 將其資料儲存在自己的儲存體和 Microsoft Dataverse 中。 當您將客戶自控金鑰套用至這些環境時,只有 Microsoft Dataverse 中的資料存放區會使用您的金鑰進行加密。 非 Microsoft Dataverse 資料將繼續使用 Microsoft 受控金鑰進行加密。

注意

連接器的連線設定將繼續使用 Microsoft 管理的金鑰進行加密。

如需客戶自控金鑰支援的資訊,請連絡未列於上方的服務代表。

注意

Power Apps 顯示名稱、描述和連線中繼資料將繼續使用 Microsoft 受控金鑰進行加密。

還可以對已啟用 Power Platform 整合的財務和營運應用程式環境進行加密。 沒有整合 Power Platform 的財務和營運應用程式將繼續使用預設的 Microsoft 受管理密鑰來加密資料。 其他資訊:財務和營運應用程式中的加密

Power Platform 中的客戶自控加密金鑰

客戶自控金鑰簡介

有了客戶自控金鑰,管理員可以將自己的加密金鑰從其 Azure Key Vault 提供給 Power Platform 儲存體服務,以加密他們的客戶資料。 Microsoft 無法直接存取您的 Azure Key Vault。 若要讓 Power Platform 服務存取 Azure Key Vault 中的加密金鑰,管理員會建立 Power Platform 企業原則,該原則可參考加密金鑰並授予此企業原則存取權,以從您的 Azure Key Vault 讀取金鑰。

然後 Power Platform 服務管理員可以將 Dataverse 環境新增至企業原則中,以開始使用加密金鑰加密環境中的所有客戶資料。 管理員可以透過建立另一個企業原則來變更環境的加密金鑰,並將環境 (移除後) 新增到新的企業原則。 如果不再需要使用客戶自控金鑰對環境進行加密,管理員可以從企業原則中刪除 Dataverse 環境,將資料加密還原回 Microsoft 管理的金鑰。

管理員可從企業原則撤銷金鑰存取權來鎖定客戶自控金鑰環境,並透過還原金鑰存取來解除環境鎖定。 其他資訊:透過撤銷金鑰保存庫和/或金鑰權限存取權來鎖定環境

為了簡化金融管理工作,工作會分成三個主要區域:

  1. 建立加密金鑰。
  2. 建立企業原則並授予存取權。
  3. 管理環境的加密。

警告

當環境鎖定時,任何人 (包括 Microsoft 支援服務) 都無法存取環境。 鎖定的環境會停用,並可能發生資料遺失。

客戶自控金鑰的授權要求

只有在受控環境的環境中,才會強制執行客戶自控金鑰原則。 受控環境做為一項權利包含在獨立的 Power Apps, Power Automate, Power Virtual Agents, Power Pages 和 Dynamics 365 權限中,提供進階使用權限。 透過 Microsoft Power Platform 授權概觀了解有關受控環境授權的更多資訊。

此外,要使用 Microsoft Power Platform 和 Dynamics 365 的客戶自控金鑰,要求在執行加密金鑰原則環境中的使用者具有以下其中一種訂閱:

  • Microsoft 365 或 Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 合規性
  • Microsoft 365 F5 安全性與合規性
  • Microsoft 365 A5/E5/F5/G5 資訊保護和治理
  • Microsoft 365 A5/E5/F5/G5 測試人員風險管理

深入了解這些授權

了解管理金鑰時的潛在風險

如同任何關鍵業務應用程式,組織內具有系統管理層級存取權的人員必須受到信任。 在您使用金鑰管理功能之前,應先了解管理資料庫加密金鑰的風險。 可想而知,不懷好意的管理員 (經授與或已獲得管理員等級存取權,但故意傷害組織安全或商務程序的人) 在貴組織內工作時,可能使用管理金鑰功能建立金鑰,並用它來鎖定租用戶中您的環境。

請考慮以下一系列事件。

惡意的金鑰保存庫管理員在 Azure 入口網站上建立金鑰和企業原則。 Azure Key Vault 管理員前往 Power Platform 系統管理中心,並將環境新增到企業原則。 接著惡意的管理員返回 Azure 入口網站,並撤銷對企業原則的金鑰存取,從而鎖定所有環境。 這會造成業務中斷,因為所有環境都變得無法存取,而且如果此事件未解決 (即已還原金鑰存取),則環境資料可能會遺失。

注意

  • Azure Key Vault 有內建安全措施,可協助還原金鑰,這需要啟用虛刪除清除保護金鑰保存庫設定。
  • 另一個可考慮的保護措施是,確保在 Azure Key Vault 管理員未被授予 Power Platform 系統管理中心存取權的情況下分離工作。

分離職責以降低風險

本節說明每個管理員角色所負責的客戶自控金鑰功能職責。 分離這些工作有助於降低與客戶自控金鑰相關的風險。

Azure Key Vault 和 Power Platform/Dynamics 365 服務管理員工作

若要啟用客戶自控金鑰,金鑰保存庫管理員要先在 Azure Key Vault 中建立金鑰,並建立 Power Platform 企業原則。 建立企業原則時,會建立一個特殊的 Microsoft Entra ID 受管理身分。 接下來,金鑰保存庫管理員會返回 Azure Key Vault,並授予企業原則/受控識別存取權對加密金鑰的存取權。

然後,金鑰保存庫管理員會授予相應的 Power Platform/Dynamics 365 服務管理員讀取企業原則的權限。 授與讀取權限之後,Power Platform/Dynamics 365 服務管理員可以前往 Power Platform 系統管理中心,將環境新增至企業原則中。 然後使用連結到此企業原則的客戶自控金鑰對所有新增的環境客戶資料進行加密。

先決條件
  • 包含 Azure Key Vault 或 Azure Key Vault 受控硬體安全性模組的 Azure 訂閱。
  • 全域租用戶管理員或 Microsoft Entra ID 具有:
    • Microsoft Entra 訂閱的參與者權限。
    • 建立 Azure Key Vault 和金鑰的權限。
    • 建立資源群組的存取權。 若要設定金鑰保存庫,這是必要的。
建立金鑰並使用 Azure Key Vault 授與存取權

Azure Key Vault 管理員會在 Azure 中執行這些工作。

  1. 建立 Azure 付費帳戶和金鑰保存庫。 如果您已經有包含 Azure Key Vault 的訂閱,請忽略此步驟。
  2. 前往 Azure Key Vault 服務,並建立金鑰。 其他資訊:在金鑰保存庫中建立金鑰
  3. 為您的 Azure 訂閱啟用 Power Platform 企業原則服務。 請只執行一次此動作。 其他資訊:為您的 Azure 訂閱啟用 Power Platform 企業原則服務
  4. 建立 Power Platform 企業原則。 其他資訊:建立企業原則
  5. 授予企業原則權限以存取金鑰保存庫。 其他資訊:授予企業原則權限以存取金鑰保存庫
  6. 授 Power Platform 與 Dynamics 365 管理員權限以讀取企業原則。 其他資訊: 授與 Power Platform 管理員權限以讀取企業原則

Power Platform/Dynamics 365 服務管理員 Power Platform 系統管理中心工作

先決條件
  • Power Platform 管理員必須指派給 Power Platform 或 Dynamics 365 服務管理員 Microsoft Entra 角色。
在 Power Platform 系統管理中心管理環境的加密

Power Platform 管理員可管理與 Power Platform 系統管理中心環境相關的客戶自控金鑰工作。

  1. 將 Power Platform 環境新增至企業原則中,以使用客戶自控金鑰來加密資料。 其他資訊:將環境新增至企業原則以加密資料
  2. 從企業原則中移除環境,以將加密傳回 Microsoft 受管理金鑰。 其他資訊:從原則中移除環境,以返回 Microsoft 受管理金鑰
  3. 透過從舊企業原則移除環境,並將環境新增至新的企業原則來變更金鑰。 其他資訊:建立加密金鑰並授與權存取
  4. 從 BYOK 遷移。 如果您使用的是早期的自控加密金鑰功能,則可以將金鑰移轉到客戶自控金鑰。 其他資訊:將自備金鑰環境移轉到客戶自控金鑰

建立加密金鑰並授予存取權

建立 Azure 付費帳戶和金鑰保存庫

在 Azure 中執行下列步驟:

  1. 建立隨用隨付或相當的 Azure 訂閱。 如果租用戶已有訂閱,則不需要此步驟。

  2. 建立資源群組。 其他資訊:建立資源群組

    注意

    建立或使用具有與 Power Platform 環境區域 (如美國) 相符的位置 (例如美國中部) 的資源群組。

  3. 使用包含虛刪除和清除保護的付費訂閱,以及上一個步驟中所建立的資源群組,建立金鑰保存庫。

    重要

在金鑰保存庫中建立金鑰

  1. 請確定您符合先決條件

  2. 前往 Azure 入口網站>Key Vault,尋找要用來產生加密金鑰的金鑰保存庫。

  3. 驗證 Azure Key Vault 設定:

    1. 選取設定下的屬性
    2. 虛刪除下,設置或驗證它是否設定為已在此金鑰保存庫上啟用虛刪除選項。
    3. 清除保護底下,設定或驗證啟用清除保護 (對已刪除的保存庫和保存庫物件實施強制保留期間) 已啟用。
    4. 若您有進行變更,請選取儲存

    在金鑰保存庫上啟用清除保護

建立 RSA 金鑰
  1. 建立或匯入具有下列屬性的金鑰:
    1. Key Vault 屬性頁面上,選取金鑰
    2. 選取產生/匯入
    3. 建立金鑰畫面設定下列值,然後選取建立
      • 選項產生
      • 名稱:提供金鑰名稱
      • 金鑰類型RSA
      • RSA 金鑰大小2048

匯入受保護的金鑰以取得硬體安全性模組 (HSM)

您可以使用受保護的金鑰來取得硬體安全性模組 (HSM),以加密您的 Power Platform Dataverse 環境。 必須將受 HSM 保護的金鑰匯入到金鑰保存庫,才能建立企業原則。 如需詳細資訊,請參閱 支援的 hsm 將受 HSM 保護的金鑰匯入金鑰保存庫 (BYOK)

在 Azure Key Vault 受控 HSM 中建立金鑰

您可以使用從 Azure Key Vault 受控 HSM 建立的加密金鑰來加密您的環境資料。 這可提供 FIPS 140-2 等級 3 的支援。

建立 RSA-HSM 金鑰

  1. 請確定您符合先決條件

  2. 前往 Azure 入口網站

  3. 建立受控 HSM

    1. 佈建受控 HSM
    2. 啟用受控 HSM

  4. 在受控 HSM 中啟用清除保護

  5. 受控 HSM 加密使用者角色授與建立受控 HSM 金鑰保存庫的人員。

    1. Azure 入口網站上存取受控 HSM 金鑰保存庫。
    2. 瀏覽至本機 RBAC,然後選取 + 新增
    3. 角色下拉式清單中,選取角色指派頁面上的受控 HSM 加密使用者角色。
    4. 選取範圍底下的所有金鑰
    5. 選取選取安全性主體,然後在新增主體頁面上選取 [管理員]。
    6. 選取建立

  6. 建立 RSA-HSM 金鑰:

    • 選項產生
    • 名稱:提供金鑰名稱
    • 金鑰類型RSA-HSM
    • RSA 金鑰大小2048

    注意

    支持的 RSA-HSM 金鑰大小:2048 位元、3072 位元、4096 位元。

您可以透過啟用私人端點來更新 Azure Key Vault 的網路,並使用金鑰保存庫中的金鑰來加密 Power Platform 環境。

您可以建立新的金鑰保存庫並建立私人連結連線,或建立與現有金鑰保存庫的私人連結連線,使用此金鑰保存庫建立金鑰,並使用它來加密您的環境。 建立金鑰並使用它來加密環境後,您也可以建立與現有金鑰保存庫的私人連結連線

  1. 使用以下選項建立 Azure Key Vault

    • 啟用清除保護
    • 金鑰類型:RSA
    • 金鑰大小:2048

  2. 複製要用來建立企業原則的金鑰保存庫 URL 和加密金鑰 URL。

    注意

    將私人端點新增至主要保存庫或停用公共存取網路之後,除非您具備適當的授權,否則將看不到此金鑰。

  3. 建立虛擬網路

  4. 返回您的金鑰保存庫,並將私人端點連線新增至 Azure Key Vault

    注意

    您必須選取停用公共存取網路選項,並啟用允許受信任的 Microsoft 服務繞過此防火牆例外狀況。

  5. 建立 Power Platform 企業原則。 其他資訊:建立企業原則

  6. 授予企業原則權限以存取金鑰保存庫。 其他資訊:授予企業原則權限以存取金鑰保存庫

  7. 授 Power Platform 與 Dynamics 365 管理員權限以讀取企業原則。 其他資訊: 授與 Power Platform 管理員權限以讀取企業原則

  8. Power Platform 系統管理中心管理員會選取用來加密和啟用受控環境的環境。 其他資訊:啟用將受控環境新增到企業原則中

  9. Power Platform 系統管理中心管理員會將受控環境新增至企業原則。 其他資訊:將環境新增至企業原則以加密資料

為您的 Azure 訂閱啟用 Power Platform 企業原則服務

將 Power Platform 註冊為資源提供者。 您只需要為 Azure 金鑰保存庫所在的每個 Azure 訂閱執行一次此工作。 您必須具有訂閱的存取權限,才能註冊資源提供者。

  1. 登入 Azure 入口網站 ,然後前往訂閱> 資源提供者
  2. 資源提供者清單中,搜尋 Microsoft.PowerPlatform,然後註冊它。

建立企業原則

  1. 安裝 PowerShell MSI。 其他資訊:在 Windows、Linux 和 macOS 上安裝 PowerShell
  2. 安裝 PowerShell MSI 之後,請返回在 Azure 中部署自訂範本
  3. 選取在編輯器中建立您自己的範本連結。
  4. 將 JSON 範本複製到文字編輯器中,例如 Notepad。。 其他資訊:企業原則 JSON 範本
  5. 將 JSON 範本中的值取代為: EnterprisePolicyName需要建立 EnterprisePolicy 的位置keyVaultId,以及 keyName。 其他資訊:JSON 範本的欄位定義
  6. 從您的文字編輯器複製更新後的範本,然後將它貼上至 Azure 中自訂部署編輯範本中,然後選取儲存Azure Key Vault 範本
  7. 選取要建立企業原則的訂閱 資源群組
  8. 選取檢閱 + 建立,然後選取建立

部署已開始。 完成後,便會建立企業原則。

企業原則 JSON 範本

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON 範本的欄位定義

  • 名稱。 企業原則的名稱。 這是出現在 Power Platform 系統管理中心的原則名稱。

  • 位置。 下列其中一項。 這是企業原則的位置,其必須與 Dataverse 環境的區域對應:

    • 「美國」
    • 「南非」
    • 「英國」
    • 「日本」
    • 「印度」
    • 「法國」
    • 「歐洲」
    • 「德國」
    • 「瑞士」
    • 「加拿大」
    • 「巴西」
    • 「澳洲」
    • 「亞洲」
    • 「阿拉伯聯合大公國」
    • 「韓國」
    • 「挪威」
    • 「新加坡」
    • 「瑞典」

  • 從 Azure 入口網站的金鑰保存庫屬性複製以下值:

    • keyVaultId:前往金鑰保存庫>選取金鑰保存庫>概觀。 選取 Essentials 旁邊的 JSON 檢視。 將資源識別碼複製到剪貼簿,並將整個內容貼上至您的 JSON 範本中。
    • keyName:前往金鑰保存庫>選取金鑰保存庫>金鑰。 請注意金鑰名稱,並將名稱輸入至 JSON 範本中。

授予企業原則權限以存取金鑰保存庫

建立企業原則後,金鑰保存庫管理員會授予企業原則的受控識別對加密金鑰的存取權。

  1. 登入 Azure 入口網站,並前往金鑰保存庫
  2. 選取將金鑰指派給企業原則的金鑰保存庫。
  3. 選取存取控制 (IAM)索引標籤,然後選取 + 新增
  4. 從下拉式清單選取新增角色指派
  5. 搜尋金鑰保存庫密碼編譯服務加密使用者,並選取它。
  6. 選取下一步
  7. 選取 + 選取成員
  8. 搜尋您建立的企業原則。
  9. 選取企業原則,然後選擇選取
  10. 選取檢閱+指派

注意

上述權限是根據您金鑰保存庫的 Azure 角色型存取控制權限模型設定。 如果已將金鑰保存庫設定為保存庫存取原則,則建議您遷移至角色型模型。 要使用保存庫存取原則授予您的企業原則存取金鑰保存庫的權限,請建立存取原則,在金鑰管理作業上選取取得,在加密作業上選取未裝合金鑰裝合金鑰

授與 Power Platform 管理員權限以讀取企業原則

擁有 Azure 全域、Dynamics 365 和 Power Platform 管理員角色的管理員可以存取 Power Platform 系統管理中心,以將環境指派給企業原則。 若要存取企業原則,具有 Azure Key Vault 存取權限的全域管理員需要向 Power Platform 管理員授予讀取者角色。授予讀取者角色後,Power Platform 管理員就可以在 Power Platform 系統管理中心查看企業原則。

注意

只有已授與企業原則讀者角色的 Power Platform 和 Dynamics 365 管理員才能將環境新增至原則中。 其他 Power Platform 或 Dynamics 365 管理員或許可以查看企業原則,但是當他們嘗試將環境新增至原則時,會收到錯誤訊息。

將讀取者角色授與 Power Platform 管理員

  1. 登入 Azure 入口網站
  2. 複製 Power Platform 或 Dynamics 365 管理員的物件識別碼。 若要這樣做:
    1. 前往 Azure 中的使用者區域。
    2. 所有使用者清單中,使用搜尋使用者尋找具有 Power Platform 或 Dynamics 365 管理員權限的使用者。
    3. 打開使用者記錄,在概觀索引標籤上,複製使用者的物件識別碼。 將其貼入文字編輯器,例如 Notepad 以備後用。
  3. 複製企業原則資源識別碼。 若要這樣做:
    1. 前往 Azure 中的 Resource Graph Explorer
    2. 搜尋方塊中輸入 microsoft.powerplatform/enterprisepolicies,然後選取 microsoft.powerplatform/enterprisepolicies 資源。
    3. 在命令列上選取執行查詢。 隨即顯示所有 Power Platform 企業原則的清單。
    4. 找出您要授權存取的企業原則。
    5. 滾動到企業原則的右側,然後選取查看詳細資料
    6. 詳細資料頁面上,複製該識別碼
  4. 啟動 Azure Cloud Shell,並執行下列命令,將 objId 取代為使用者的物件識別碼,將 EP 資源識別碼取代為在先前步驟中複製的 enterprisepolicies 識別碼:New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

管理環境的加密

若要管理環境的加密,您需要下列權限:

  • 具有 Power Platform 和/或 Dynamics 365 管理員資訊安全角色的 Microsoft Entra 使用中使用者。
  • 具有全域租用戶管理員、Power Platform 或 Dynamics 365 服務管理員角色的 Microsoft Entra 使用者。

金鑰保存庫管理員會通知 Power Platform 管理員已建立加密金鑰和企業原則,並為 Power Platform 管理員提供企業原則。若要啟用客戶自控金鑰,Power Platform 管理員會將其環境指派給企業原則。 指派並儲存環境之後,Dataverse 會啟動加密程式來設定所有的環境資料,並使用客戶自控金鑰來加密它。

啟用將受控環境新增到企業原則中

  1. 登入 Power Platform 系統管理中心,然後定位環境。
  2. 在環境清單中選取並檢查環境。
  3. 選取動作列上的啟用受控環境圖示。
  4. 選取啟用

將環境新增至企業原則以加密資料

重要

將環境新增至用於資料加密的企業原則時,會停用此環境。

  1. 登入 Power Platform 系統管理中心,然後前往原則>企業原則
  2. 選取原則,然後選取命令列上的 編輯
  3. 選取新增環境,選取所需的環境,然後選取繼續將環境新增至 Power Platform 系統管理中心的企業原則
  4. 選取儲存,然後選取確認

重要

  • 新增環境清單中僅顯示與企業原則位於相同地區的環境。
  • 加密可能需要多達四天的時間才能完成,但環境可能會在新增環境作業完成之前啟用。
  • 該作業可能無法完成,如果失敗,您的資料會繼續以 Microsoft 受控金鑰加密。 您可以再次執行新增環境作業。

注意

您只能新增做為受控環境啟用的環境。 試用版和 Teams 環境類型無法新增至企業原則中。

從原則中移除環境,以返回 Microsoft 受管理金鑰

如果您想要返回 Microsoft 受管理加密金鑰,請執行下列步驟。

重要

當您從企業原則中移除以使用 Microsoft 受管理金鑰來傳回資料加密時,就會停用該環境。

  1. 登入 Power Platform 系統管理中心,然後前往原則>企業原則
  2. 選取具有原則的環境索引標籤,然後尋找您要從客戶自控金鑰移除的環境。
  3. 選取所有原則索引標籤,選取您在步驟 2 中驗證的環境,然後在命令列選取編輯原則從客戶自控金鑰移除環境
  4. 選取在命令列上的移除環境,選取要刪除的環境,然後選取繼續
  5. 選取儲存

重要

當從企業原則中移除該環境以將資料加密恢復為 Microsoft 管理的金鑰時,該環境將會停用。 請勿刪除或停用金鑰、刪除或停用金鑰保存庫,或是移除企業原則對金鑰保存庫的權限。 金鑰和金鑰保存庫的存問對於支援資料庫恢復是必要的。 您可以在 30 天後刪除和移除企業原則的權限。

查看環境的加密狀態

查看企業原則中的加密狀態

  1. 登入 Power Platform 系統管理中心

  2. 選擇原則>企業原則

  3. 選取原則,然後選取命令列上的 編輯

  4. 使用此原則的環境區段中查看環境的加密狀態

    注意

    環境的加密狀態可以是:

    • 加密 - 企業原則加密金鑰處於使用中狀態,且環境已使用您的金鑰進行加密。
    • 失敗 - 未使用企業原則加密金鑰,且環境繼續使用 Microsoft 管理的金鑰進行加密。
    • 警告 - 企業原則處於使用中狀態,且且服務的資料之一繼續使用 Microsoft 管理的金鑰進行加密。 深入了解:Power Automate CMK 應用程式警告訊息

    您可以為加密狀態為失敗的環境重新執行新增環境選項。

從「環境歷史記錄」頁面查看加密狀態

您可以參閱環境歷程記錄

  1. 登入 Power Platform 系統管理中心

  2. 在瀏覽窗格中選取環境,然後從清單中選取環境。

  3. 在命令列中,選取歷程記錄。

  4. 找到更新客戶自控金鑰的歷史記錄。

    注意

    在加密過程中狀態會顯示為正在執行。 加密完成後,它會顯示成功。 當其中一項服務出現問題而無法套用加密金鑰時,狀態會顯示為失敗

    失敗狀態可能是一個警告,無需重新執行新增環境選項。 您可以確認這是否為 警告

使用新的企業原則和金鑰變更環境的加密金鑰

若要變更加密金鑰,請建立新金鑰和新的企業原則。 然後,您可以移除環境並將環境新增到新的企業原則來變更企業原則。 變更為新的企業原則時,系統將關閉 2 次 - 1) 將加密還原為 Microsoft 受控金鑰,2) 套用新的企業原則。

[!建議] 若要輪換加密密鑰,建議使用 Key Vault 的 新版本或設定輪換原則

  1. Azure 入口網站中,建立新的金鑰及新的企業原則。 其他資訊:建立加密金鑰並授予存取權建立企業原則
  2. 建立新的金鑰及企業原則之後,請前往原則>企業原則
  3. 選取具有原則的環境索引標籤,然後尋找您要從客戶自控金鑰移除的環境。
  4. 選取所有原則索引標籤,選取您在步驟 2 中驗證的環境,然後在命令列選取編輯原則從客戶自控金鑰移除環境
  5. 選取在命令列上的移除環境,選取要刪除的環境,然後選取繼續
  6. 選取儲存
  7. 重複步驟 2-6 直到企業原則中的所有環境都移除為止。

重要

當從企業原則中移除該環境以將資料加密恢復為 Microsoft 管理的金鑰時,該環境將會停用。 請勿刪除或停用金鑰、刪除或停用金鑰保存庫,或是移除企業原則對金鑰保存庫的權限。 金鑰和金鑰保存庫的存問對於支援資料庫恢復是必要的。 您可以在 30 天後刪除和移除企業原則的權限。

  1. 將所有環境都移除後,請前往 Power Platform 系統管理中心的企業原則
  2. 選取新的企業原則,然後選取編輯原則
  3. 選取新增環境,選取要新增的環境,然後選取繼續

重要

將環境新增至新的企業原則時,會停用此環境。

使用新的金鑰版本輪換環境的加密金鑰

您可以建立新的金鑰版本變更環境的加密金鑰。 當您建立新的金鑰版本時,會自動啟用新的金鑰版本。 所有儲存體資源都會偵測新的金鑰版本,並開始套用它以加密您的資料。

當您修改金鑰或金鑰版本時,會變更根加密金鑰的保護,但是儲存體中的資料始終會以您的金鑰加密。 您無需採取更多措施來確保您的資料受到保護。 輪換金鑰版本並不會影響效能。 輪換金鑰版本不會導致停機。 所有資源提供者可能需要 24 小時才能在背景中套用新的金鑰版本。 舊的金鑰版本不得停用,因為服務需要使用它來重新加密和支援資料庫還原。

若要透過建立新的金鑰版本來轉換加密金鑰,請使用下列步驟。

  1. 移至 Azure 入口網站>Key Vaults,然後尋找要建立新金鑰版本的金鑰保存庫。
  2. 瀏覽至 金鑰
  3. 選取目前啟用的金鑰。
  4. 選取 + 新版本
  5. 已啟用設定預設為,這代表新金鑰版本在建立後會自動啟用。
  6. 選取建立

[!建議] 為了符合金鑰輪換原則,您可以使用輪換原則輪換加密金鑰。 您可以設定輪換原則,也可以透過叫用立即輪換來按需輪換。

重要

新的金鑰版本會在背景自動轉換,Power Platform 管理員不需要執行任何動作。重要的是至少在 28 天內不得停用或刪除舊的金鑰版本,以支援資料庫還原。 太早停用或刪除舊的金鑰版本可能會讓您的環境離線。

查看加密環境的清單

  1. 登入 Power Platform 系統管理中心,然後前往原則>企業原則
  2. 企業原則頁面上,選取具有原則的環境索引標籤。已新增至企業原則的環境清單隨即顯示。

注意

可能會出現環境狀態加密狀態顯示失敗狀態的情況。 發生這種情況時,請提交 Microsoft 支援服務要求以取得協助。

環境資料庫作業

客戶租用戶可擁有使用 Microsoft 管理金鑰加密的環境和以客戶管理金鑰加密的環境。 若要維持資料一致性和資料保護,當管理環境資料庫作業時可使用下列控制項。

  • 還原要覆寫的環境 (還原成環境) 被限制為進行備份的相同環境,或另一個以相同客戶管理金鑰加密的環境。

    還原備份。

  • 複製 要覆寫的環境 (複製到環境) 被限制為另一個以相同的客戶管理金鑰加密的環境。

    複製環境。

    注意

    如果為了解決客戶管理環境中的支援問題而建立支援調查環境,則支援調查環境的加密金鑰必須變更為客戶管理金鑰,才能執行複製環境的作業。

  • 重設:會刪除包括備份在內的環境加密資料。 重設環境之後,環境加密會回復至 Microsoft 管理的金鑰。

後續步驟

關於 Azure Key Vault