Salausavaimen hallinta

Kaikki Microsoft Dataversen ympäristöt käyttävät SQL Serverin läpinäkyvää tietojen salausta (TDE) tietojen reaaliaikaiseen salaukseen levylle kirjoitettaessa, mitä kutsutaan myös lepäävien tietojen salaukseksi.

Microsoft tallentaa ja hallitsee oletusarvoisesti ympäristöjen tietokannan salausavaimen, joten sinun ei tarvitse huolehtia siitä. Microsoft Power Platform -hallintakeskus sisältää avaimien hallintatoiminnon, jonka avulla järjestelmänvalvojat voivat hallita Dataverse -vuokraajaan liitettyä tietokannan salausavainta itse.

Tärkeää

• Tämä palvelu on päivitetty 2.6.2023 asiakkaan hallinnoimaksi salausavaimeksi. Uudet asiakkaat, joiden on hallittava omaa salausavaintaan, käyttävät päivitettyä palvelua, koska tätä palvelua ei enää tarjota.
• Itsehallitut tietokannan salausavaimet ovat käytettävissä vain asiakkaille, joilla on yli 1 000 Power Apps -käyttöoikeutta tai enemmän kuin 1 000 Dynamics 365 Enterprise -käyttöoikeutta, tai yli 1 000 käyttöoikeutta yhteensä kummastakin yhdessä vuokraajassa. Jos haluat valita tämän ohjelman, lähetä tukipyyntö.

Salausavainten hallinta on käytettävissä vain Azure SQL -ympäristön tietokannoissa. Seuraavat ominaisuudet ja palvelut jatkavat Microsoftin hallinnoimaa salausavaimen käyttöä tietojen salaamisessa, eikä niitä voi salata omatoimisesti hallitun salausavaimen avulla:

• Copilot-avustajien ja generatiivisten tekoälyominaisuuksien ottaminen käyttöön Microsoft Power Platformissa ja Microsoft Dynamics 365:ssa
• Dataverse-haku
• Joustavat taulukot
• Mobile Offline
• Aktiviteettiloki (Microsoft 365 -portaali)
• Exchange (palvelinpuolen synkronointi)

Muistiinpano

• Microsoftin on otettava tietokannan itse hallinnoitava salausavainominaisuus käyttöön vuokraajaa varten, ennen kuin voit käyttää ominaisuutta.
• Voit käyttää tietojen salauksen hallinnan toimintoja ympäristössä, jos ympäristö on luotu sen jälkeen kun Microsoft on ottanut käyttöön tietokannan salausavaimen toiminnon itsehallinnan.
• Kun ominaisuus on poistettu käytöstä vuokraajassa, kaikki uudet ympäristöt luodaan vain Azure SQL -tallennustilan kanssa. Näissä ympäristöissä on tiedoston latauskoon rajoituksia, niissä ei voi käyttää Cosmos- ja Datalake-palveluita sekä Dataverse-haun indeksit salataan Microsoftin hallitsemalla avaimella siitä huolimatta, onko ne salattu omalla avaimella (BYOK) tai Microsoftin hallitsemalla avaimella. Jos haluat käyttää näitä palveluita, sinun täytyy siirtyä asiakkaan hallitsemaan avaimeen.
• Tiedostoja ja kuvia , joiden koko on alle 128 Mt, voidaan käyttää, jos ympäristösi versio on 9.2.21052.00103 tai uudempi.
• Useimmissa nykyisissä ympäristöissä tiedosto ja loki on tallennettu muihin kuin Azure SQL -tietokantoihin. Näitä ympäristöjä ei voi ottaa käyttöön itsehallitussa salausavaimessa. Vain uudet ympäristöt (kun olet rekisteröitynyt tähän ohjelmaan) voidaan ottaa käyttöön itsehallitussa salausavaimessa.

Avaintenhallinnan esittely

Avaintenhallinnan ansiosta järjestelmänvalvojat voivat antaa oman salausavaimen ja pyytää sen muodostamista. Tätä avainta käytetään ympäristön tietokannan suojaamiseen.

Avainten hallintatoiminto tukee sekä PFX- että BYOK-salausavaintiedostoja, jollaisia ovat esimerkiksi laitteen suojausmoduuliin (HSM) tallennetut tiedostot. Jos haluat käyttää salausavaimen latausasetusta, tarvitse sekä julkisen että yksityisen salausavaimen.

Avainten hallintatoiminto yksinkertaistaa salausavainten hallinnan käyttämällä Azure Key Vaultia salausavaimien turvalliseen tallentamiseen. Azure Key Vault auttaa suojaamaan pilvisovelluksissa ja -palveluissa käytettäviä kryptografisia avaimia ja salaisia koodeja. Avainten hallintatoiminto ei vaadi Azure Key Vault -tilausta, ja useimmissa tapauksissa ei tarvitse käyttää salausavaimia, joita Dataverse käyttää kyseisessä säilössä.

Voit suorittaa seuraavat tehtävät avainten hallintatoiminnolla.

• Mahdollisuus ottaa käyttöön ympäristöihin liitettyjen tietokannan salausavainten omatoiminen hallinta.

• Uusien salausavainten luonti tai aiemmin luotujen .PFX- tai .BYOK-salausavaintiedostojen lataaminen.

• Lukitse vuokraajan ympäristöt ja poista niiden lukitus.

  Varoitus

  Kun vuokraaja on lukittu, kukaan ei voi käyttää mitään vuokraajan ympäristöä ei voi käyttää. Lisätietoja: Vuokraajan lukitseminen.

Avainten hallintaan liittyvien mahdollisten riskien tiedostaminen

Muiden liiketoiminnan kannalta keskeisten sovellusten tavoin henkilöiden, joilla on järjestelmänvalvojatason käyttöoikeudet, on oltava luotettavia. Sinun on tiedostettava ennen avainten hallintatoiminnon käyttöä, mitä riskejä tietokannan salausavaimien hallintaan liittyy. On mahdollista, että organisaatiossa työskentelevä pahantahtoinen järjestelmänvalvoja (henkilö, jolle on myönnetty tai joka on saanut järjestelmänvalvojatason oikeudet ja jonka aikomuksena on vahingoittaa organisaation tietoturvaa tai liiketoimintaprosesseja) voi luoda avainten hallintotoiminnolla avaimen ja lukita sillä vuokraajan kaikki ympäristöt.

Mieti seuraavaa tapahtumasarjaa.

Pahantahtoinen järjestelmänvalvoja kirjautuu Power Platform -hallintakeskukseen, siirtyy Ympäristöt-välilehteen ja valitsee Salausavainten hallinta. Tämän jälkeen pahantahtoinen järjestelmänvalvoja luo uuden avaimen ja salasanan, lataa salausavaimen paikalliseen asemaan ja aktivoi sen. Nyt kaikki ympäristön tietokannat on salattu uuden avaimen avulla. Seuraavaksi pahantahtoinen järjestelmänvalvoja lukitsee vuokraajan juuri ladatulla avaimella ja ottaa ladatun salausavaimen itselleen tai poistaa sen.

Nämä toiminnot poistavat kaikki vuokraajan ympäristöt online-käytöstä, eikä tietokantojen varmuuskopioita voi palauttaa.

Tärkeä

Hallitut avaimet -toiminto estää pahantahtoisia järjestelmänvalvojia lukitsemasta tietokantaa ja näin häiritsemästä liiketoimintaa siten, että vuokraajan ympäristöjä ei voi lukita 72 tuntiin salausavaimen muuttamisen tai aktivoimisen jälkeen. Niinpä muilla järjestelmänvalvojilla on enintään tämä 72 tuntia, jonka aikana luvattomat avainmuutokset voidaan palauttaa.

Salausavaimen edellytykset

Jos annat oman salausavaimen, sen on vastattava seuraavia Azure Key Vaultin hyväksymiä vaatimuksia.

• Salausavaimen tiedostomuodon on oltava PFX tai BYOK.
• 2048-bitinen RSA.
• RSA-HSM-avaintyyppi (edellyttää Microsoft-tukipyyntöä).
• PFX-salausavaintiedostojen on oltava salasanasuojattuja.

Lisätietoja HSM-suojatun avaimen luomisesta ja siirtämisestä verkossa on artikkelissa HSM-suojattujen avainten luominen ja siirtäminen Azure Key Vaultia varten. Vain nCipher-toimittajan HSM-avaimia tuetaan. Ennen kuin luot HSM-avaimen, siirry Power Platform -hallintakeskuksen Salausavainten hallinta/Luo uusi avain -ikkunaan, niin saat ympäristösi alueen tilaustunnuksen. Tämä tilaustunnus on kopioitava ja liitettävä HSM-koodiin, jotta avain voidaan luoda. Tämä varmistaa, että vain Azure Key Vault voi avata tiedoston.

Avainten hallintatehtävät

Voit yksinkertaistaa avainten hallintatehtäviä, kun tehtävät jaotellaan seuraaviin kolmeen alueeseen:

1. Luo tai lataa vuokraajan salausavain
2. Vuokraajan salausavaimen aktivoiminen
3. Ympäristön salauksen hallinta

Järjestelmänvalvojat voivat käyttää Power Platform -hallintakeskuksen tai Power Platform -hallintamoduulin cmdlet-komentoja suorittaessaan tässä kuvatut vuokraajan suojausavaimen hallintatehtävät.

Vuokraajan salausavaimen luominen tai lataaminen

Kaikki salausavaimet tallennetaan Azure Key Vaultiin. Siellä voi olla vain yksi aktiivinen avain kerralla. Koska aktiivista avainta käytetään vuokraajan kaikkien ympäristöjen salauksessa, salauksen hallinta tehdään vuokraajan tasolla. Kun-avain on aktivoitu, jokainen yksittäinen ympäristö voidaan valita käyttämään avainta salauksessa.

Tällä tavoin määritetään ympäristön avaimen hallintatoiminto ensimmäisellä kerralla tai muutetaan (tai siirretään) sellaisen vuokraajan salausavainta, jossa omatoiminen hallinta on käytössä.

Varoitus

Kun suoritat nämä vaiheet ensimmäisen kerran, sinua pyydetään ottamaan käyttöön salausavainten omatoiminen hallinta. Lisätietoja: Avainten hallintaan liittyvien mahdollisten riskien tiedostaminen.

1. Power Platform Kirjaudu hallintakeskukseen järjestelmänvalvojana (Dynamics 365 järjestelmänvalvojana tai Microsoft Power Platform järjestelmänvalvojana).

2. Valitse Ympäristöt-välilehti ja valitse sitten työkaluriviltä Hallitse salausavaimia.

3. Valitse Vahvista, jos haluat hyväksyä avaimen riskin hallinnan.

4. Valitse työkalurivillä Uusi avain.

5. Täytä tiedot avaimen luomista tai lataamista varten vasemmanpuoleisessa ruudussa seuraavasti:

   • Valitse Alue. Tämä vaihtoehto näkyy vain, jos vuokraajalla on useita alueita.
   • Kirjoita Avaimen nimi.
   • Tee valinta seuraavista vaihtoehdoista:
     • Jos haluat luoda uuden avaimen, valitse Luo uusi (.pfx). Lisätietoja: Uuden avaimen luominen (.pfx).
     • Jos haluat käyttää luomaasi avainta, valitse Lataa (.pfx tai .byok). Lisätietoja: Avaimen lataaminen (.pfx tai .byok).

6. Valitse Seuraava.

Uuden avaimen luominen (.pfx)

1. Kirjoita salasana ja vahvista se kirjoittamalla salasana uudelleen.
2. Valitse Luoja valitse sitten luodun tiedoston ilmoitus selaimessa.
3. Salausavain .PFX-tiedosto ladataan selaimen oletuslatauskansioon. Tallenna tiedosto turvalliseen paikkaan (suosittelemme tämän avaimen ja sen salasanan varmuuskopiointia).

Avaimen lataaminen (.pfx tai .byok)

1. Valitse Lataa avain, valitse .pfx tai .byok¹ -tiedosto ja valitse sitten Avaa.
2. Anna avaimen salasana ja valitse sitten Luo.

¹ Varmista .byok-salausavaintiedostoissa, ett käytät tilaustunnusta näytössä olevien tietojen mukaisesti, kun viet salausavaimen paikallisesta HSM-moduulista. Lisätietoja: Miten HSM-suojattuja avaimia luodaan ja siirretään Azure Key Vaultissa.

Muistiinpano

Avain aktivoidaan automaattisesti, kun se ladataan ensimmäisen kerran, mikä vähentää järjestelmänvalvojan tekemiä avainprosessin hallintavaiheita. Kaikissa seuraavissa avaimen latauksissa avaimen aktivointiin tarvitaan lisävaihe.

Vuokraajan salausavaimen aktivoiminen

Kun salausavain luodaan tai ladataan vuokralaiselle, se voidaan aktivoida.

1. Power Platform Kirjaudu hallintakeskukseen järjestelmänvalvojana (Dynamics 365 järjestelmänvalvojana tai Microsoft Power Platform järjestelmänvalvojana).
2. Valitse Ympäristöt-välilehti ja valitse sitten työkaluriviltä Hallitse salausavaimia.
3. Valitse Vahvista, jos haluat hyväksyä avaimen riskin hallinnan.
4. Valitse avain, jonka tila on Käytettävissä, ja valitse sitten työkaluriviltä Aktivoi avain.
5. Valitse Vahvista, jos haluat hyväksyä avaimen muutoksen.

Kun aktivoit avaimen vuokralaista varten, avaimen aktivoimiseen menee jonkin aikaa avainten hallintapalvelussa. Avaimen tila -kohdassa näkyy avaimen tilana Asennetaan, kun uusi tai ladattu avain aktivoidaan. Kun avain on aktivoitu, tapahtuu seuraavaa:

• Kaikki salatut ympäristöt salataan automaattisesti aktiivisen avaimen avulla (tämän toiminnon suorittamisessa ei ole viivettä).
• Kun salausavain aktivoidaan, sitä käytetään kaikissa ympäristöissä, joissa avain on vaihdettu Microsoftin tarjoamasta salausavaimesta omatoimisesti hallinnoituun avaimeen.

Tärkeä

Voit tehostaa avaintenhallinnan käsittelyä niin, että kaikkia ympäristöjä hallitaan saman avaimen avulla. Tällöin aktiivista avainta ei voi päivittää, jos jokin ympäristö on lukittuna. Kaikkien lukittujen ympäristöjen lukitus on poistettava, ennen kuin uusi avain aktivoidaan. Jos lukittujen ympäristöjen lukitusta ei tarvitse poistaa, ne on poistettava.

Muistiinpano

Kun salausavain on aktivoitu, et voi aktivoida toista avainta 24 tuntiin.

Ympäristön salauksen hallinta

Oletusarvon mukaan kukin ympäristö salataan Microsoftin antamalla salausavaimella. Kun vuokraajalle on aktivoitu salausavain, järjestelmänvalvojat voivat halutessaan vaihtaa oletussalausta ja käyttää aktivoitua salausavainta. Jos haluat käyttää aktivoitua avainta, toimi seuraavasti.

Salausavaimen käyttäminen ympäristössä

1. Kirjaudu Power Platform -hallintakeskukseen tai ympäristön järjestelmänvalvojan tai järjestelmänvalvojan roolin valtuustiedoilla.
2. Valitse Ympäristöt-välilehti.
3. Avaa Microsoftin hallinnoima salattu ympäristö.
4. Valitse Näytä kaikki.
5. Valitse Ympäristön salaus -osassa Hallitse.
6. Valitse Vahvista, jos haluat hyväksyä avaimen riskin hallinnan.
7. Valitse Käytä tätä avainta, jos haluat hyväksyä salauksen vaihtamisen aktivoituun avaimeen.
8. Valitse Vahvista, jos hyväksyt avaimen hallinnan suoraan ja sen, että tämän toiminnon käyttöönotossa ei ole viivettä.

Hallitun salausavaimen palauttaminen Microsoftin hallinnoimaksi salausavaimeksi

Jos palautat Microsoftin hallinnoiman salausavaimen, ympäristö määritetään takaisin oletustoimintaan. Tällöin Microsoft hallinnoi salausavainta.

1. Kirjaudu Power Platform -hallintakeskukseen tai ympäristön järjestelmänvalvojan tai järjestelmänvalvojan roolin valtuustiedoilla.
2. Valitse Ympäristöt-välilehti ja valitse sitten ympäristö, joka on salattu omatoimisesti hallitulla avaimella.
3. Valitse Näytä kaikki.
4. Valitse Ympäristön salaus -osassa Hallitse ja valitse sitten Vahvista.
5. Valitse Palaa normaaliin salauksen hallintaan -kohdassa Palaa .
6. Jos kyseessä on tuotantoympäristö, vahvista ympäristö antamalla ympäristön nimi.
7. Valitse Vahvista, jos haluat palata normaaliin salausavaimen hallintaan.

Vuokraajan lukitseminen

Koska vuokraajalla on vain yksi aktiivinen avain, vuokraajan salauksen lukitseminen poistaa käytöstä kaikki ympäristöt vuokraajalta. Kukaan, ei edes Microsoft, voi käyttää lukittua ilmentymää, ennen kuin organisaation Power Platformin järjestelmänvalvoja poistaa lukituksen samalla avaimella, jolla käytettiin lukitsemiseen.

Varoitus

Vuokraajan ympäristöjä ei pitäisi koskaan lukita tavallisen liiketoimintaprosessin osana. Kun lukitset Dataverse -vuokraajan, kaikki ympäristöt ovat täysin offline-tilassa, eikä kukaan voi käyttää niitä (Microsoft mukaan lukien). Lisäksi kaikki palvelut, kuten synkronointi ja ylläpito, pysäytetään. Jos päätät poistua palvelusta, vuokraajan lukitseminen voi varmistaa, että kukaan ei koskaan voi käyttää online-tietoja.
Ota huomioon seuraavat seikat vuokraajan ympäristöjen lukitsemisesta:

• Lukittuja ympäristöjä ei voi palauttaa varmuuskopiosta.
• Lukitut ympäristöt poistetaan, jos niiden lukitusta ei ole poistettu 28 päivän kuluttua.
• Ympäristöjä ei voi lukita 72 tunnin aikana salausavaimen muuttamisen jälkeen.
• Jos vuokraaja lukitaan, myös vuokraajan kaikki aktiiviset ympäristöt lukitaan.

Tärkeä

• Aktiivisten ympäristöjen lukituksen jälkeen on odotettava vähintään tuntu, ennen kuin niiden lukituksen voi poistaa.
• Kun lukitusprosessi alkaa, kaikki salausavaimet, joiden tila on Aktiivinen tai Käytettävissä, poistetaan. Lukitusprosessi voi kestää jopa tunnin. Tänä aikana lukittujen ympäristöjen lukituksen poistaminen ei ole sallittua.

1. Power Platform Kirjaudu hallintakeskukseen järjestelmänvalvojana (Dynamics 365 järjestelmänvalvojana tai Microsoft Power Platform järjestelmänvalvojana).
2. Valitse Ympäristöt-välilehti ja valitse sitten komentopalkista Hallitse salausavaimia.
3. Valitse Aktiivinen-painike ja valitse sitten Lukitse aktiiviset ympäristöt.
4. Valitse oikeanpuoleisessa ruudussa Lataa aktiivinen avain, valitse avain selaamalla, syötä salasana ja valitse sitten Lukitse.
5. Vahvista kaikkien alueen ympäristöjen lukitus syöttämällä pyydettäessä teksti, joka näkyy näytössä. Valitse sitten Vahvista.

Lukittujen ympäristöjen lukituksen poistaminen

Jos haluat poistaa ympäristöjen lukituksen, lataa ensin vuokraajan salausavain ja aktivoi se samalla avaimella, jota käytettiin vuokraajan lukitsemisessa. Huomaa, että lukittujen ympäristöjen lukitus ei poistu automaattisesti avaimen aktivoimisen jälkeen. Jokaisen lukitun ympäristön lukitus on poistettava yksitellen.

Tärkeä

• Aktiivisten ympäristöjen lukituksen jälkeen on odotettava vähintään tuntu, ennen kuin niiden lukituksen voi poistaa.
• Lukituksen poistamisprosessi voi kestää tunnin. Kun avaimen lukitus on poistettu, voit käyttää avainta ympäristön salauksen hallinnassa.
• Et voi luoda uutta avainta tai ladata aiemmin luotua avainta, jos kaikkien lukittujen ympäristöjen lukitusta ei ole poistettu.

Salausavaimen lukituksen poistaminen

1. Power Platform Kirjaudu hallintakeskukseen järjestelmänvalvojana (Dynamics 365 järjestelmänvalvojana tai Microsoft Power Platform järjestelmänvalvojana).
2. Valitse Ympäristöt-välilehti ja valitse sitten Hallitse salausavaimia.
3. Valitse avain, jonka tila on Lukittu, ja valitse sitten komentopalkista Poista avaimen lukitus.
4. Valitse Lataa lukittu avain, valitse avain selaamalla ja valitse sitten avain, jota käytettiin vuokraajan lukitsemisessa. Anna salasana ja valitse Poista lukitus. Avaimen tilaksi tulee Asennetaan. Odota, kunnes avaimen tila on Aktiivinen, ennen kuin poistat lukittujen ympäristöjen lukituksen.
5. Seuraavasta osasta saat tietoja ympäristön lukituksen poistamisesta.

Ympäristöjen lukituksen poistaminen

1. Valitse Ympäristöt-välilehti ja valitse sitten lukitun ympäristön nimi.

   Tippi

   Älä valitse riviä. Valitse ympäristön nimi.

2. Valitse Tiedot-osassa Näytä kaikki, jos haluat nähdä Tiedot-ruudun oikealla puolella.

3. Valitse Ympäristön salaus -osan Tiedot-ruudussa Hallitse.

   

4. Valitse Ympäristön salaus -sivulla Poista lukitus.

   

5. Valitse Vahvista, jos haluat vahvistaa ympäristön lukituksen poistamisen.

6. Poista muiden ympäristöjen lukituksia toistamalla edelliset vaiheet.

Ympäristön tietokannan toiminnot

Asiakasvuokraajalla voi olla Microsoftin hallinnoimalla avaimella salattuja ympäristöjä ja ympäristöjä, jotka on salattu asiakkaan hallinnoimalla avaimella. Tietojen eheyden ja niiden suojaaminen edellyttää, että seuraavat ohjausobjektit ovat käytössä ympäristöjen tietokantatoimintoja hallittaessa.

1. Palauta Ympäristön korvaaminen (palauttaminen ympäristöön) on rajoitettu siihen ympäristöön, josta varmuuskopio tehtiin, tai toiseen ympäristöön, joka on salattu samalla asiakkaan hallinnoimalla avaimella.

   

2. Kopioi Ympäristö korvaaminen (kopiointiympäristö) on rajoitettu toiseen ympäristöön, joka on salattu samalla asiakkaan hallinnoimalla avaimella.

   

   Huomautus

   Jos tuen selvitysympäristö luotiin ratkaisemaan tukiongelmia asiakkaan hallinnoimassa ympäristössä, tuen selvitysympäristön salausavain on vaihdettava asiakkaan hallinnoimaksi avaimeksi, ennen kuin Kopioi ympäristö -toiminto voidaan suorittaa.

3. Nollaa Ympäristön salatut tiedot poistetaan, mukaan lukien varmuuskopiot. Kun ympäristö on palautettu alkutilaan, ympäristön salaus palautuu takaisin Microsoftin hallinnoimaan avaimeen.

Katso myös

SQL Palvelin: Läpinäkyvä tietojen salaus (TDE)