管理客户管理的加密密钥

客户有数据隐私和合规性要求,以通过加密静态数据来保护他们的数据。 这可以保护数据在数据库副本被盗的情况下不被暴露。 通过静态数据加密,可以保护被盗的数据库数据在没有加密密钥的情况下不会还原到其他服务器。

默认情况下,存储在 Power Platform 中的所有客户数据都使用强 Microsoft 管理加密密钥进行静态加密。 Microsoft 为您的所有数据存储和管理数据库加密密钥,因此您不必管理。 但是,Power Platform 为您添加的数据保护控件提供此客户管理的加密密钥 (CMK),您可以在其中自行管理与您的 Microsoft Dataverse 环境关联的数据库加密密钥。 这使您可以按需轮换或交换加密密钥,还可以让您在随时撤销密钥服务访问权限时阻止 Microsoft 访问您的客户数据。

要了解 Power Platform 中有关客户管理密钥的更多信息,请观看客户管理密钥视频。

这些加密密钥操作可用于客户管理的密钥 (CMK):

  • 从 Azure Key Vault 创建 RSA (RSA-HSM) 密钥。
  • 为您的密钥创建 Power Platform 企业策略。
  • 授予 Power Platform 企业策略权限以访问密钥保管库。
  • 准许 Power Platform 服务管理员读取企业策略。
  • 将加密密钥应用于您的环境。
  • 对 Microsoft 管理的密钥还原/删除环境的 CMK 加密。
  • 通过创建新的企业策略、从 CMK 中删除环境并使用新的企业策略重新应用 CMK 来更改密钥。
  • 通过撤销 CMK 密钥保管库和/或密钥权限来锁定 CMK 环境。
  • 通过应用 CMK 密钥,将自带密钥 (BYOK) 环境迁移到 CMK。

目前,所有存储在以下应用和服务中的客户数据都可以使用客户管理的密钥进行加密:

  • Dataverse(自定义解决方案和 Microsoft 服务)
  • Dataverse模型驱动应用的 Copilot
  • Power Automate
  • Dynamics 365 聊天
  • Dynamics 365 Sales
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Finance(财务和运营)
  • Dynamics 365 Intelligent Order Management(财务和运营)
  • Dynamics 365 Project Operations(财务和运营)
  • Dynamics 365 Supply Chain Management(财务和运营)
  • Dynamics 365 Fraud Protection(财务和运营)

备注

将对话式 IVR 和 制作者欢迎内容排除在客户托管密钥加密中。

Microsoft Copilot Studio 将其数据存储在自己的存储空间和 Microsoft Dataverse 中。 当您将客户管理的密钥应用于这些环境时,只有 Microsoft Dataverse 中的数据存储使用您的密钥加密。 非 Microsoft Dataverse 数据继续使用 Microsoft 管理的密钥进行加密。

备注

连接器的连接设置将继续使用 Microsoft 托管密钥加密。

有关客户管理的密钥支持的信息,请联系上面未列出的服务代表。

备注

Power Apps 显示名称、描述和连接元数据继续使用 Microsoft 管理的密钥进行加密。

备注

在解决方案检查期间,解决方案检查器强制生成的下载结果链接和其他数据继续使用 Microsoft 管理的密钥进行加密。

还可以对启用了 Power Platform 集成的财务和运营应用环境进行加密。 没有 Power Platform 集成的财务和运营环境将继续使用默认的 Microsoft 托管密钥来加密数据。 详细信息:财务和运营应用中的加密

Power Platform 中的客户管理的加密密钥

客户管理的加密密钥简介

使用客户管理的密钥,管理员可以从他们自己的 Azure Key Vault 中将自己的加密密钥提供给 Power Platform 存储服务,以加密他们的客户数据。 Microsoft 无法直接访问您的 Azure Key Vault。 为了让 Power Platform 服务从您的 Azure Key Vault 访问加密密钥,管理员创建了一个 Power Platform 企业策略,该策略引用加密密钥并授予此企业策略访问权限以从您的 Azure Key Vault 中读取密钥。

然后,Power Platform 服务管理员可以将 Dataverse 环境添加到企业策略中,以开始使用您的加密密钥加密环境中的所有客户数据。 管理员可以通过创建另一个企业策略来更改环境的加密密钥,并将环境(删除后)添加到新的企业策略。 如果不再需要使用客户管理的密钥对环境进行加密,那么管理员可以从企业策略中删除 Dataverse 环境,以将数据加密恢复为 Microsoft 托管密钥。

管理员可以通过从企业策略中撤销密钥访问来锁定客户管理的密钥环境,并通过恢复密钥访问来解锁环境。 详细信息:通过撤消密钥保管库和/或密钥权限访问权限来锁定环境

为了简化关键管理任务,这些任务分为三个主要区域:

  1. 创建加密密钥。
  2. 创建企业策略和授予访问权限。
  3. 管理环境的加密。

警告

锁定环境后,任何人都无法访问它们,包括 Microsoft 支持部门。 锁定的环境将被禁用,并且可能会发生数据丢失。

客户管理的密钥的许可要求

客户管理的密钥策略仅在为托管环境激活的环境上强制执行。 托管环境作为权利包含在独立的 Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages 和 Dynamics 365 许可证中,这些许可证具有高级使用权限。 通过 Microsoft Power Platform 许可概述,了解有关托管环境许可的更多信息。

此外,对« Microsoft Power Platform 和 Dynamics 365 使用客户管理的密钥的访问权限需要强制执行加密密钥策略的环境中的用户有以下订阅之一:

  • Microsoft 365 或 Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 合规
  • Microsoft 365 F5 安全与合规
  • Microsoft 365 A5/E5/F5/G5 信息保护和治理
  • Microsoft 365 A5/E5/F5/G5 内部人员风险管理

了解有关这些许可证的更多信息

了解管理密钥时的潜伏风险

与所有业务关键型应用程序一样,组织内有管理级访问权的人员必须受信任。 在使用密钥管理功能之前,您应该了解管理数据库加密密钥的风险。 可以想象,在您组织内工作的恶意管理员(被授权或已获得管理员级访问权并意图损害组织安全或业务流程的人)可能使用管理密钥功能来创建密钥,并用它来锁定租户中您的环境。

考虑以下事件顺序。

恶意密钥保管库管理员在 Azure 门户上创建密钥和企业策略。 Azure Key Vault 管理员转到 Power Platform 管理中心,并将环境添加到企业策略。 然后恶意管理员会返回到 Azure 门户并撤销密钥的企业策略访问权限,从而锁定所有环境。 这会导致业务中断,因为所有环境都会变得不可访问,如果此事件未解决,即密钥访问已恢复,则环境数据可能会丢失。

备注

  • Azure Key Vault 具有有助于恢复密钥的内置保护措施,这些保护措施要求启用软删除清除保护密钥保管库设置。
  • 另一个要考虑的保护措施是确保将未授予 Azure Key Vault 管理员 Power Platform 管理中心访问权限的任务分开。

分离职责以缓解风险

本节介绍每个管理员角色负责的客户管理的密钥功能职责。 分开这些任务有助于缓解客户管理的密钥相关风险。

Azure Key Vault 和 Power Platform/Dynamics 365 服务管理员任务

要启用客户管理的密钥,密钥保管库管理员首先在 Azure Key Vault 中创建密钥,并创建 Power Platform 企业策略。 创建企业策略时,会创建一个特殊的 Microsoft Entra ID 托管身份。 接下来,密钥保管库管理员会返回到 Azure Key Vault 并向加密密钥授予企业策略/托管标识访问权限。

然后,密钥保管库管理员会授予相应的 Power Platform/Dynamics 365 服务管理员读取企业策略的权限。 授予读取权限后,Power Platform/Dynamics 365 服务管理员可以转到 Power Platform 管理中心并将环境添加到企业策略。 然后使用链接到此企业策略的客户管理的密钥对所有添加的环境客户数据进行加密。

先决条件
  • 包含 Azure Key Vault 或 Azure Key Vault 托管的硬件安全模块的 Azure 订阅。
  • 具有 Microsoft Entra :
    • Microsoft Entra 订阅的参与者权限。
    • 创建 Azure Key Vault 和密钥的权限。
    • 创建资源组的访问权限。 这是设置密钥保管库所必需的。
使用 Azure Key Vault 创建密钥并授予访问权限

Azure Key Vault 管理员在 Azure 中执行这些任务。

  1. 创建 Azure 付费订阅和密钥保管库。 如果您的订阅已包含 Azure Key Vault,请忽略此步骤。
  2. 转到 Azure Key Vault 服务,并创建一个密钥。 详细信息:在密钥保管库中创建密钥
  3. 为您的 Azure 订阅启用 Power Platform 企业策略服务。 仅执行一次此操作。 详细信息:为您的 Azure 订阅启用 Power Platform 企业策略服务
  4. 创建 Power Platform 企业策略。 详细信息:创建企业策略
  5. 授予企业策略权限以访问密钥保管库。 详细信息:授予企业策略权限以访问密钥保管库
  6. 授予 Power Platform 和 Dynamics 365 管理员权限以读取企业策略。 详细信息:授予 Power Platform 管理员权限以读取企业策略

Power Platform/Dynamics 365 服务管理员 Power Platform 管理中心任务

先决条件
  • 必须为 Power Platform 管理员分配 Power Platform 或 Dynamics 365 服务管理员 Microsoft Entra 角色。
在 Power Platform 管理中心内管理环境的加密

Power Platform 管理员在 Power Platform 管理中心管理与环境相关的客户管理的密钥任务。

  1. 将 Power Platform 环境添加到企业策略以使用客户管理的密钥加密数据。 详细信息:将环境添加到企业策略以加密数据
  2. 从企业策略中删除环境以将加密返回至 Microsoft 托管密钥。 详细信息:从策略中删除环境以返回至 Microsoft 托管密钥
  3. 通过从旧企业策略中删除环境并将环境添加到新企业策略来更改密钥。 详细信息:创建加密密钥并授予访问权限
  4. 从 BYOK 迁移。 如果您使用的是早期的自我管理加密密钥功能,则可以将您的密钥迁移到客户管理的密钥。 详细信息:将创建自己的密钥环境迁移到客户管理的密钥

创建加密密钥和授予访问权限

创建 Azure 付费订阅和密钥保管库

在 Azure 中,执行以下步骤:

  1. 创建即用即付或同等的 Azure 订阅。 如果租户已具有订阅,则不需要执行此步骤。

  2. 创建一个资源组。 详细信息:创建资源组

    备注

    创建或使用一个资源组,该资源组的位置(例如美国中部)与 Power Platform 环境的区域(例如美国)匹配。

  3. 使用包含软删除和清除保护的付费订阅以及您在上一步中创建的资源组创建密钥保管库。

    重要提示

在密钥保管库中创建密钥

  1. 确保满足了先决条件
  2. 转到 Azure 门户 > 密钥保管库,并找到要在其中生成加密密钥的密钥保管库。
  3. 验证 Azure Key Vault 设置:
    1. 设置下面,选择属性
    2. 软删除下面,进行设置或验证它是否设置为已在此密钥保管库上启用软删除选项。
    3. 清除保护下面,进行设置或验证是否启用了启用清除保护(对已删除的保管库和保管库对象实施强制保留期)
    4. 如果您进行了更改,请选择保存
创建 RSA 密钥
  1. 创建或导入具有以下属性的密钥:

    1. 密钥保管库属性页上,选择密钥
    2. 选择生成/导入
    3. 创建密钥屏幕上,输入以下值,然后选择创建
      • 选项生成
      • 名称:为密钥提供名称
      • 密钥类型RSA
      • RSA 密钥大小2048

    重要提示

    如果您在密钥中设置了过期日期,并且密钥已过期,则使用此密钥加密的所有环境都将关闭。 为您的本地 Power Platform 管理员和 Azure key vault 管理员设置警报以监控过期证书,并通过电子邮件通知提醒他们为过期日期续期。 这可以防止出现意外的系统停机,这一点很重要。

为硬件安全模块 (HSM) 导入受保护的密钥

您可以对硬件安全模块 (HSM) 使用受保护的密钥以加密 Power Platform Dataverse 环境。 受 HSM 保护的密钥必须导入密钥保管库中,才能创建企业策略。 有关详细信息,请参阅受支持的 HSM 将受 HSM 保护的密钥导入密钥保管库 (BYOK)

在 Azure Key Vault 托管的 HSM 中创建密钥

您可以使用从 Azure Key Vault 托管的 HSM 创建的加密密钥来加密您的环境数据。 这为您提供了 FIPS 140-2 级别 3 支持。

创建 RSA-HSM 密钥
  1. 确保满足了先决条件

  2. 转到 Azure 门户

  3. 创建托管 HSM

    1. 预配托管 HSM
    2. 激活托管 HSM
  4. 在您的托管 HSM 中启用清除保护

  5. 托管 HSM 加密用户角色授予创建托管 HSM 密钥保管库的人员。

    1. 访问 Azure 门户上的托管 HSM 密钥保管库。
    2. 导航至本地 RBAC,然后选择 + 添加
    3. 角色下拉列表中,选择角色分配页面上的托管 HSM 加密用户角色。
    4. 范围下选择所有密钥
    5. 选择选择安全主体,然后在添加主体页面上选择管理员。
    6. 选择创建
  6. 创建一个 RSA-HSM 密钥:

    • 选项生成
    • 名称:为密钥提供名称
    • 密钥类型RSA-HSM
    • RSA 密钥大小2048

    备注

    支持的 RSA-HSM 密钥大小:2048 位和 3072 位。

您可以通过启用专用终结点来更新 Azure Key vault 的网络,并使用密钥库中的密钥加密 Power Platform 环境。

您可以创建新密钥保管库并建立专用链接连接,或建立现有密钥保管库的专用链接连接,并从此密钥保管库创建密钥并使用它来加密您的环境。 您还可以在创建密钥并使用它加密环境后,建立现有密钥保管库的专用链接连接

  1. 使用这些选项创建 Azure Key vault

    • 启用清除保护
    • 密钥类型:RSA
    • 密钥大小:2048
  2. 复制密钥保管库 URL 以及用于创建企业策略的加密密钥 URL。

    备注

    您将专用终结点添加到密钥保管库或禁用了公共访问网络,除非您具有相应的权限,否则您将无法查看密钥。

  3. 创建虚拟网络

  4. 返回到您的密钥保管库,将专用终结点连接添加到您的 Azure Key vault

    备注

    您需要选择禁用公共访问网络选项,并启用允许受信任的 Microsoft 服务绕过此防火墙例外。

  5. 创建 Power Platform 企业策略。 详细信息:创建企业策略

  6. 授予企业策略权限以访问密钥保管库。 详细信息:授予企业策略权限以访问密钥保管库

  7. 授予 Power Platform 和 Dynamics 365 管理员权限以读取企业策略。 详细信息:授予 Power Platform 管理员权限以读取企业策略

  8. Power Platform 管理中心管理员选择要加密并启用托管环境的环境。 详细信息:支持将托管环境添加到企业策略中

  9. Power Platform 管理中心管理员将托管环境添加到企业策略中。 详细信息:将环境添加到企业策略以加密数据

为您的 Azure 订阅启用 Power Platform 企业策略服务

将 Power Platform 注册为资源提供程序。 对于 Azure 密钥保管库驻留的每个 Azure 订阅,只需执行一次此任务。 您需要对订阅具有访问权限才能注册资源提供程序。

  1. 登录到 Azure 门户并转到订阅 > 资源提供程序
  2. 资源提供程序列表中,搜索 Microsoft.PowerPlatform注册它。

创建企业策略

  1. 安装 PowerShell MSI。 详细信息:在 Windows、Linux 和 macOS 上安装 PowerShell
  2. 安装 PowerShell MSI 后,返回到“在 Azure 中部署自定义模板”。
  3. 选择在编辑器中构建您自己的模板链接。
  4. 此 JSON 模板 复制到记事本等文本编辑器中。 详细信息:企业策略 json 模板
  5. 将 JSON 模板中的值替换为:EnterprisePolicyName需要创建 EnterprisePolicy 的位置keyVaultIdkeyName 。 详细信息:json 模板的字段定义
  6. 从文本编辑器复制更新的模板, 然后将其粘贴到 Azure 中自定义部署编辑模板,并选择保存
  7. 选择要在其中创建企业策略的预订资源组
  8. 选择查看并创建,然后选择创建

部署已启动。 完成后,将创建企业策略。

企业策略 json 模板

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON 模板的字段定义

  • 名称。 企业策略的名称。 这是显示在 Power Platform 管理中心中的策略的名称。

  • 位置。 以下各项之一。 这是企业策略的位置,必须对应于 Dataverse 环境的区域:

    • '"unitedstates"'
    • '"southafrica"'
    • '"uk"'
    • '"japan"'
    • '"india"'
    • '"france"'
    • '"europe"'
    • '"germany"'
    • '"switzerland"'
    • '"canada"'
    • '"brazil"'
    • '"australia"'
    • '"asia"'
    • '"uae"'
    • '"korea"'
    • '"norway"'
    • '"singapore"'
    • '"sweden"'
  • 从 Azure 门户中的密钥保管库属性中复制这些值:

    • keyVaultId:转到密钥保管库 > 选择密钥保管库 > 概述。 在 Essentials 旁边,选择 JSON 视图。 将资源 ID 复制到剪贴板,然后将整个内容粘贴到 JSON 模板中。
    • keyName:转到密钥保管库 > 选择密钥保管库 > 密钥。 请注意密钥名称,并将名称键入您的 JSON 模板。

授予企业策略权限以访问密钥保管库

创建企业策略后,密钥保管库管理员会向加密密钥授予企业策略的托管标识访问权限。

  1. 登录 Azure 门户,转到密钥保管库
  2. 选择密钥分配给企业策略的密钥保管库。
  3. 选择访问控制 (IAM) 选项卡,然后选择 +添加
  4. 从下拉列表中选择添加角色分配
  5. 搜索密钥保管库加密服务加密用户并选择它。
  6. 选择下一步
  7. 选择 + 选择成员
  8. 搜索已创建的企业策略。
  9. 选择企业策略,然后选择选择
  10. 选择查看 + 分配

备注

上述权限设置基于您的密钥保管库在 Azure 基于角色的访问控制中的权限模型。 如果您的密钥保管库设置为保管库访问策略,建议您迁移到基于角色的模型。 要使用保管库访问策略授予您的企业策略对密钥保管库的访问权限,请创建一个访问策略,在密钥管理操作中选择获取,并在加密操作中选择解包密钥包装密钥

备注

为了防止任何计划外的系统停机,企业策略必须能够访问密钥。 请确保:

  • 密钥保管库处于活动状态。
  • 该密钥为活动状态,并且未过期。
  • 该密钥不会被删除。
  • 上述密钥权限不会被撤销。

在无法访问加密密钥时,将禁用使用该密钥的环境。

授予 Power Platform 管理员特权以读取企业策略

拥有 Dynamics 365 或 Power Platform 管理角色的管理员可以访问 Power Platform 管理中心,将环境分配给企业策略。 要访问企业策略,具有 Azure Key Vault 访问权限的管理员必须将读者角色授予 Power Platform 管理员。授予读者角色后,Power Platform 管理员将能够在 Power Platform 管理中心查看企业策略。

备注

只有被授予企业策略读者角色的 Power Platform 和 Dynamics 365 管理员才能向策略添加环境。 其他 Power Platform 或 Dynamics 365 管理员可能能够查看企业策略,但当他们尝试向策略添加环境时会收到错误消息。

向 Power Platform 管理员授予读者角色

  1. 登录 Azure 门户
  2. 复制 Power Platform 或 Dynamics 365 管理员的对象 ID。 要执行此操作:
    1. 转到 Azure 中的用户区域。
    2. 所有用户列表中,使用搜索用户查找具有 Power Platform 或 Dynamics 365 管理员权限的用户。
    3. 打开用户记录,在概述选项卡上复制用户的对象 ID。 将其粘贴到记事本等文本编辑器中以备后用。
  3. 复制企业策略资源 ID。 要执行此操作:
    1. 转到 Azure 中的资源图形资源管理器
    2. 搜索框中输入 microsoft.powerplatform/enterprisepolicies,然后选择 microsoft.powerplatform/enterprisepolicies 资源。
    3. 在命令栏上选择运行查询。 将显示所有 Power Platform 企业策略的列表。
    4. 找到要授予访问权限的企业策略。
    5. 滚动到企业策略的右侧,然后选择查看详细信息
    6. 详细信息页上,复制 ID
  4. 启动 Azure Cloud Shell,然后运行以下命令,将 objId 替换为用户的对象 ID,并将 EP 资源 ID 替换为enterprisepolicies之前步骤中复制的 ID:New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

管理环境的加密

若要管理环境的加密,需要以下权限:

  • 具有 Power Platform 和/或 Dynamics 365 管理员安全角色的 Microsoft Entra 活动用户。
  • 具有 Power Platform 或 Dynamics 365 服务管理员角色的 Microsoft Entra 用户。

密钥保管库管理员通知 Power Platform 管理员已创建加密密钥和企业策略,并将企业策略提供给 Power Platform 管理员。为了启用客户管理的密钥,Power Platform 管理员将他们的环境分配给企业策略。 分配并保存环境后,Dataverse 启动加密过程以设置所有环境数据,并使用客户管理的密钥对其进行加密。

支持将托管环境添加到企业策略中

  1. 登录到 Power Platform 管理中心,找到环境。
  2. 在环境列表中选择并检查环境。
  3. 选择操作栏上的启用托管环境图标。
  4. 选择启用

将环境添加到企业策略以加密数据

重要提示

添加到数据加密的企业策略时,环境将被禁用。

  1. 登录到 Power Platform 管理中心,然后转到策略 > 企业策略
  2. 选择策略,然后在命令栏中选择编辑
  3. 选择添加环境,选择所需的环境,然后选择继续在 Power Platform 管理中心向企业策略添加环境
  4. 选择保存,然后选择确认

重要提示

  • 添加环境列表中仅显示与企业策略位于同一区域的环境。
  • 加密可能需要长达四天的时间才能完成,但在添加环境操作完成之前,环境可能已启用。
  • 该操作可能无法完成,如果失败,数据将继续使用 Microsoft 托管密钥进行加密。 您可以再次重新运行添加环境操作。

备注

只能添加启用为托管环境的环境。 试用和 Teams 环境类型无法添加到企业策略中。

从策略中删除环境以返回到 Microsoft 托管密钥

如果您想返回到 Microsoft 管理的加密密钥,请按照以下步骤操作。

重要提示

从企业策略中删除环境以使用 Microsoft 托管密钥返回数据加密时,该环境将被禁用。

  1. 登录到 Power Platform 管理中心,然后转到策略 > 企业策略
  2. 选择具有策略的环境选项卡,然后查找要从客户管理的密钥中移除的环境。
  3. 选择所有策略选项卡,选择在步骤 2 中验证的环境,然后在命令栏上选择编辑策略从客户管理的密钥中删除环境
  4. 选择命令栏上的删除环境,选择要删除的环境,然后选择继续
  5. 选择保存

重要提示

当将环境从企业策略中删除,以将数据加密还原为 Microsoft 托管密钥时,该环境将禁用。 请不要删除或禁用密钥,删除或禁用密钥保管库,或者移除企业策略对密钥保管库的权限。 要支持数据库还原,必须具有密钥和密钥保管库的访问权限。 您可以在 30 天后删除企业策略的权限。

查看环境的加密状态

从企业策略中查看加密状态

  1. 登录 Power Platform 管理中心

  2. 选择策略>企业策略

  3. 选择策略,然后在命令栏中选择编辑

  4. 具有此策略的环境部分查看环境的加密状态

    备注

    环境的加密状态可以是:

    • 加密 - 企业策略加密密钥处于活动状态,并且使用您的密钥对环境进行加密。
    • 失败 - 并非所有存储服务都使用企业策略 Dataverse 加密密钥。 它们需要更多时间来处理,您可以重新运行添加环境操作。 如果重新运行失败,请与支持部门联系。
    • 警告 - 企业策略加密密钥处于活动状态,并且该服务的数据之一继续使用 Microsoft 管理的密钥进行加密。 了解更多信息:Power Automate CMK 应用程序警告消息

    您可以为加密状态为失败的环境重新运行添加环境选项。

从“环境历史记录”页面查看加密状态

您可以查看环境历史记录

  1. 登录 Power Platform 管理中心

  2. 在导航窗格中选择环境,然后从列表中选择一个环境。

  3. 在命令栏上,选择历史记录。

  4. 找到更新客户管理的密钥的历史记录。

    备注

    当加密正在进行时,状态显示正在运行。 加密完成时,会显示成功。 当其中一项服务出现问题无法应用加密密钥时,状态显示为失败

    失败状态可能是警告,您不需要重新运行添加环境选项。 您可以确认这是否是一个警告

使用新的企业策略和密钥更改环境的加密密钥

若要更改您的加密密钥,请创建新密钥和新企业策略。 然后,您可以通过删除环境然后将环境添加到新的企业策略来更改企业策略。 当更改为新的企业策略时,系统将停机 2 次 - 1) 将加密恢复为 Microsoft 管理密钥,2) 应用新的企业策略。

小费

要轮换加密密钥,我们建议使用密钥库新版本或设置轮换策略

  1. Azure 门户中,创建新密钥和新企业策略。 详细信息:创建加密密钥并授予访问权限创建企业策略
  2. 在创建了新密钥和企业策略后,转到策略 > 企业策略
  3. 选择具有策略的环境选项卡,然后查找要从客户管理的密钥中移除的环境。
  4. 选择所有策略选项卡,选择在步骤 2 中验证的环境,然后在命令栏上选择编辑策略从客户管理的密钥中删除环境
  5. 选择命令栏上的删除环境,选择要删除的环境,然后选择继续
  6. 选择保存
  7. 重复步骤 2 到步骤 6,直到删除了企业策略中的所有环境。

重要提示

当将环境从企业策略中删除,以将数据加密还原为 Microsoft 托管密钥时,该环境将禁用。 请不要删除或禁用密钥,删除或禁用密钥保管库,或者移除企业策略对密钥保管库的权限。 要支持数据库还原,必须具有密钥和密钥保管库的访问权限。 您可以在 30 天后删除企业策略的权限。

  1. 删除所有环境后,从 Power Platform 管理中心转到企业策略
  2. 选择新企业策略,然后选择编辑策略
  3. 选择添加环境,选择想要添加的环境,然后选择继续

重要提示

将环境添加到新的企业策略后,环境将被禁用。

使用新的密钥版本轮换环境的加密密钥

您可以通过创建新的密钥版本来更改环境的加密密钥。 当创建新的密钥版本时,新的密钥版本会自动启用。 所有存储资源都会检测新的密钥版本,并开始应用该新版本来加密数据。

修改密钥或密钥版本时,根加密密钥的保护会改变,但存储中的数据始终会使用密钥进行加密。 您不需要执行其他操作来确保您的数据安全。 轮换密钥版本不会影响性能。 没有与轮换密钥版本相关的停机时间。 所有资源提供程序都可能需要 24 个小时才能在后台应用新密钥版本。 由于服务需要将以前的密钥版本用于重新加密和支持数据库还原,因此不能禁用该密钥版本。

要通过创建新的密钥版本来轮换加密密钥,请使用以下步骤。

  1. 转到 Azure 门户>密钥保管库,并找到要在其中创建新密钥版本的密钥保管库。
  2. 导航至密钥
  3. 选择当前启用的密钥。
  4. 选择 + 新版本
  5. 启用设置默认为,这意味着新密钥版本在创建时会自动启用。
  6. 选择创建

小费

为了遵守您的密钥轮换策略,您可以使用轮换策略轮换加密密钥。 您可以通过调用立即轮换,按需配置轮换策略或轮换。

重要提示

新的密钥版本在后台自动轮换,不需要 Power Platform 管理员执行任何操作。为了支持数据库还原,至少在 28 天内不能禁用或删除以前的密钥版本,这一点很重要。 过早禁用或删除以前的密钥版本会使您的环境脱机。

查看加密环境的列表

  1. 登录到 Power Platform 管理中心,然后转到策略 > 企业策略
  2. 企业策略页上,选择具有策略的环境选项卡。将显示添加到企业策略中的环境的列表。

备注

在某些情况下,环境状态加密状态可能显示失败状态。 出现这种情况时,您可以尝试重新运行添加环境操作或提交 Microsoft 支持请求以获得帮助。

环境数据库操作

客户租户中可以有使用 Microsoft 托管密钥加密的环境和使用客户托管密钥加密的环境。 为了维护数据完整性和数据保护,管理环境数据库操作时可使用以下控件。

  • 还原 要覆盖的环境(还原为的环境)限制为创建备份的同一个环境或使用相同客户托管密钥加密的另一个环境。

    还原备份。

  • 复制:要覆盖的环境(复制到的环境)限制为使用同一个客户托管密钥加密的另一个环境。

    复制环境。

    备注

    如果创建了支持调查环境以解决客户托管环境中的支持问题,则必须先将支持调查环境的加密密钥更改为客户托管密钥,才能执行复制环境操作。

  • 重置 将删除环境的加密数据,包括备份。 重置环境后,环境加密将恢复为 Microsoft 托管密钥。

后续步骤

关于 Azure Key Vault