管理加密金鑰
Microsoft Dataverse 所有環境在寫入至磁碟時使用 SQL Server 透明資料加密 (TDE) 執行即時資料加密,也稱為靜止的加密。
根據預設,Microsoft Store 會儲存和管理您的環境的資料庫加密金鑰,因此您不需這樣做。 Microsoft Power Platform 系統管理中心中的受控金鑰功能可讓管理員自行管理與 Dataverse 租用戶關聯的資料庫加密金鑰。
重要
從 2026 年 1 月 6 日起,我們將停止對自備金鑰 (BYOK) 的支援。 鼓勵客戶轉換到客戶自控金鑰 (CMK),這是一種增強型解決方案,可提供更強大的功能、對資料來源的更廣泛支援以及更好的效能。 如需進一步了解,請參閱管理客戶自控加密金鑰和將自帶金鑰 (BYOK) 環境移轉到客戶自控金鑰。
加密金鑰管理僅適用 Azure SQL 環境資料庫。 下列功能和服務繼續使用 Microsoft 管理的加密金鑰來加密其資料,無法使用自我管理的加密金鑰進行加密:
- Microsoft Power Platform 和 Microsoft Dynamics 365 中的副手和生成式 AI 功能
- Dataverse 搜尋
- 彈性表格
- Mobile Offline
- 活動記錄 (Microsoft 365 入口網站)
- Exchange (伺服器端同步處理)
注意
- 您必須先由 Microsoft 為您的租用戶啟用自控資料庫加密金鑰功能,然後您才能使用該功能。
- 若要針對環境使用資料加密管理功能,Microsoft 得先開啟自我管理資料庫的加密金鑰功能 後,才能建立環境。
- 在租用戶中啟用該功能後,所有新環境都僅使用 Azure SQL 儲存體建立。 這些環境,無論是使用自帶金鑰 (BYOK) 或 Microsoft 管理的金鑰進行加密,都對檔案上傳大小有限制,無法使用 Cosmos 和 Datalake 服務,且 Dataverse 搜尋索引已加密使用 Microsoft 管理的金鑰。 若要使用這些服務,您必須遷移到客戶自控金鑰。
- 如果您的環境是 9.2.21052.00103 或更高版本,則可以使用大小小於 128 MB 的檔案和映像。
- 大多數現有環境的檔案和記錄都儲存在非 Azure SQL 資料庫中。 這些環境無法選擇加入自控加密金鑰。 唯有使用自我管理加密金鑰的新環境才能啟用 (一旦您已登入此程式)。
金鑰管理簡介
藉由金鑰管理,系統管理員可提供自己的加密金鑰或產生加密金鑰來保護環境資料庫。
金鑰管理功能同時支援 PFX 與 BYOK 加密金鑰檔案,例如儲存在硬體安全性模組 (HSM) 中的檔案。 要使用上傳加密金鑰選項,您需要公開金鑰和私密金鑰。
密鑰管理功能使用 Azure Key Vault 安全地儲存加密金鑰,降低了加密金鑰管理的複雜性。 Azure Key Vault 可協助保護雲端應用程式和服務所使用的加密金鑰和密碼。 金鑰管理功能不需要您擁有 Azure Key Vault 訂閱,且大多數情況下不需要存取保存庫內用於 Dataverse 的加密金鑰。
受控金鑰功能可讓您執行下列任務。
讓您有能力自行管理與環境有關聯的資料庫加密金鑰。
產生新的加密金鑰或上載現有的 .PFX 或 .BYOK 加密金鑰檔案。
鎖定和解除鎖定租用戶環境。
警告
當租用戶被鎖定時,任何人都無法存取租用戶內的所有環境。 更多資訊:鎖定租用戶。
了解管理金鑰時的潛在風險
如同任何關鍵業務應用程式,組織內具有系統管理層級存取權的人員必須受到信任。 在您使用金鑰管理功能之前,應先了解管理資料庫加密金鑰的風險。 可以想像,組織內的惡意管理員 (被授予或已獲得管理員級別存取權限,意圖損害組織的安全或商務程序的人) 可能會使用受控金鑰功能建立金鑰並使用它來鎖定所有租用戶中的環境。
請考慮以下一系列事件。
惡意系統管理員登入 Power Platform 系統管理中心,移至環境索引標籤,然後選取管理加密金鑰。 惡意系統管理員接著會建立含有密碼的新金鑰,並將加密金鑰下載至他們的本機磁碟機,並啟動新金鑰。 現在所有的環境資料庫都會使用新金鑰加密。 接著,惡意系統管理員會使用新下載的金鑰鎖定租用戶,然後接受或刪除下載的加密金鑰。
這些操作導致租用戶內的所有環境都無法在線存取,並且所有資料庫備份都無法恢復。
重要
為了避免惡意系統管理員透過鎖定資料庫的方式中斷業務運作,受管理金鑰功能不允許租用戶環境在已經變更或啟動加密金鑰後 72 小時被鎖定。 這讓其他系統管理員有長達 72 小時能夠復原任何未經授權的金鑰變更。
加密金鑰需求
如果您提供自己的加密金鑰,您的金鑰必須符合 Azure Key Vault 接受的這些需求。
- 加密金鑰檔案格式必須為 PFX 或 BYOK。
- 2048 位元 RSA。
- RSA-HSM 金鑰類型 (需要 Microsoft 支援服務要求)。
- PFX 加密金鑰檔案必須受到密碼保護。
有關透過 Internet 產生和傳輸受 HSM 保護的金鑰的詳細資訊,請參閱如何為 Azure Key Vault 產生和傳輸受 HSM 保護的金鑰。 僅支援 nCipher 供應商硬體安全模組 (HSM) 金鑰。 在產生 HSM 金鑰之前,請移至 Power Platform 系統管理中心的管理加密金鑰/建立新金鑰視窗,以取得您環境區域的訂閱識別碼。 您需要複製此訂閱識別碼,並貼上至您的 HSM,才能建立金鑰。 這確保只有我們的 Azure Key Vault 可以開啟您的檔案。
金鑰管理工作
為了簡化金融管理工作,工作會分成三大區域:
管理員可以使用 Power Platform 系統管理中心或 Power Platform 管理模組 Cmdlet 來執行此處所述的租用戶保護金鑰管理工作。
產生或上傳租用戶的加密金鑰
所有加密金鑰都會儲存在 Azure 金鑰保存庫中,而且任何時候都只能有一個有效金鑰。 因為有效金鑰會用來加密租用戶中的所有環境,所以管理加密是在租用戶等級運作。 一旦啟用金鑰,接著就能選取個別環境使用金鑰進行加密。
使用此程序首次為環境設定受控金鑰功能或變更 (或捲動) 已自控的租用戶的加密金鑰。
警告
當您第一次執行此處所述的步驟時,即表示您選擇自行管理加密金鑰。 更多資訊:了解管理金鑰時的潛在風險。
以管理員 (Dynamics 365 管理員或 Microsoft Power Platform 管理員) 身分登入 Power Platform 系統管理中心。
選取 環境索引標籤,然後選取工具列上的 管理加密金鑰。
選擇確認以確認受控金鑰風險。
請在工具列上選取 新金鑰。
請在左窗格上完成詳細資料,以便產生或上傳金鑰:
- 選取 區域。 唯有您的租用戶擁有多個區域才會顯示此選項。
- 輸入 金鑰名稱。
- 從下列選項中選擇:
- 為了建立新金鑰,請選取 產生新 (.pfx)。 更多資訊:產生新金鑰(.pfx)。
- 為了使用自己產生的金鑰,請選取 上傳(.pfx 或 .byok)。 更多資訊: 上傳金鑰(.pfx 或 .byok)。
選取下一步。
產生新金鑰(.pfx)
- 輸入密碼,然後重新輸入密碼確認。
- 選取 建立,然後在您的瀏覽器上選取已經建立的檔案通知。
- 加密金鑰 .PFX 檔案會下載至您的網頁瀏覽器預設下載資料夾。 將檔案儲存在安全位置(我們建議此金鑰與它的密碼一同備份)。
上傳金鑰 (.pfx 或 .byok)
- 選取 上傳金鑰,選取 .pfx 或 .byok1 檔案,然後選取 打開。
- 輸入金鑰的密碼,然後選取 建立。
1 若為 .byok 加密金鑰檔案,請確定當您從本機 HSM 匯出加密金鑰時,您是使用螢幕上顯示的訂閱識別碼。 更多資訊:如何為 Azure 金鑰保存庫產生和傳輸受到 HSM 保護的金鑰。
Note
為了減少管理員管理金鑰流程的步驟,金鑰在第一次上傳時會自動啟動。 所有後續金鑰上傳都需要額外步驟來啟動金鑰。
啟動租用戶的加密金鑰
在為租用戶產生或上傳加密金鑰之後,即可將其啟動。
- 以管理員 (Dynamics 365 管理員或 Microsoft Power Platform 管理員) 身分登入 Power Platform 系統管理中心。
- 選取 環境索引標籤,然後選取工具列上的 管理加密金鑰。
- 選擇確認以確認受控金鑰風險。
- 請選取擁有 可用 狀態的金鑰,然後在工具列上選取 啟動金鑰。
- 選取 確認 以確認知悉金鑰變更。
當您啟用租租戶金鑰時,金鑰管理服務需要一段時間才能啟用金鑰。 當啟用新的或上傳的金鑰時,金鑰狀態 的狀態會顯示金鑰為 安裝中。 金鑰一旦啟用,就會發生下列情形:
- 所有加密環境都會自動使用活動金鑰進行加密 (此操作不會產生停機時間)。
- 啟動後,加密金鑰將套用於從 Microsoft 提供的加密金鑰變更為自控加密金鑰的所有環境。
重要
若要簡化金鑰管理程序,以便於讓所有環境都由相同金鑰管理,當有鎖定環境時,有效金鑰即無法更新。 所有遭到鎖定的環境皆須於可以啟動新金鑰前解除鎖定。 如果有不需要解除鎖定的鎖定環境,務必將它們刪除。
Note
加密金鑰啟用後 24 小時,您無法啟用另一個金鑰。
管理環境的加密
根據預設,每個環境都會以 Microsoft 提供的加密金鑰加密。 一旦為租用戶啟用加密金鑰,系統管理員就可以選擇將預設加密變更為使用啟用的加密金鑰。 為了使用啟用的金鑰,請跟隨下列步驟。
將加密金鑰套用到環境
- 使用環境管理員或系統管理員角色認證,登入 Power Platform 管理員中心。
- 選取 環境 索引標籤。
- 打開 Microsoft 提供的 加密環境。
- 請選取 看見全部。
- 請在 環境加密 分區中,選取 管理。
- 選擇確認以確認受控金鑰風險。
- 請選取 套用此金鑰 接受變更加密為使用啟用的金鑰。
- 選擇確認,以確認您正在直接管理金鑰,而此動作會有停機情況。
將管理的加密金鑰退回 Microsoft 提供的加密金鑰
退回 Microsoft 提供的加密金鑰,可將環境組態回預設行為,其中 Microsoft 為您管理加密金鑰。
- 使用環境管理員或系統管理員角色認證,登入 Power Platform 管理員中心。
- 請選取 環境 索引標籤,然後選取以自我管理的金鑰加密的環境。
- 請選取 看見全部。
- 請在 環境加密 分區中,選取 管理,然後選取 確認。
- 請在 退回到標準加密管理 下方,選取 退回。
- 若是實際執行環境,請藉由輸入環境名稱確認環境。
- 請選取 確認 退回到標準加密金鑰管理。
鎖定租用戶
由於每個租用戶只有一個活動金鑰,因此鎖定租用戶的加密會停用租用戶中的所有環境。 在您的組織中的 Power Platform 管理員使用原先鎖定環境所用金鑰進行解除鎖定之前,所有已鎖定環境都會繼續保持任何人 (包括 Microsoft) 皆無法存取的狀態。
注意
您應該未曾鎖定過屬於您的日常商務程序一部份的租用戶環境。 當您鎖定 Dataverse 租用戶時,所有環境都會離線,並且任何人都無法存取它們 (包括 Microsoft)。 此外,像是同步處理和維護等服務全都會停止。 如果您決定離開服務,鎖定租用戶可確保任何人都無法再次存取您的連線資料。
請注意下列關於租用戶環境鎖定的資訊:
- 鎖定的環境無法從備份還原。
- 如果 28 天後未解除鎖定,鎖定的環境就會刪除。
- 加密金鑰變更後 72 小時,您無法鎖定環境。
- 鎖定租用戶 會鎖定租用戶中所有的有效環境。
重要
- 在您鎖定有效環境後,必須等候至少一小時才能解除鎖定。
- 鎖定程序一旦開始,就會刪除所有處於有效或可用狀態的加密金鑰。 鎖定過程可能需要長達一個小時,在此期間不允許解鎖鎖定的環境。
- 以管理員 (Dynamics 365 管理員或 Microsoft Power Platform 管理員) 身分登入 Power Platform 系統管理中心。
- 選取 環境 索引標籤,然後選取命令列上的 管理加密金鑰。
- 選取 有效 金鑰,然後選取 鎖定有效環境。
- 請在右窗格上選取 上傳有效金鑰,瀏覽並選取金鑰,輸入密碼,然後選取 鎖定。
- 出現提示時,請輸入顯示在螢幕上的文字,確認您要鎖定該區域的所有環境,然後選取 確認。
解鎖鎖定的環境
若要解鎖環境,您必須先上傳租用戶加密金鑰,然後使用與鎖定租用戶相同的金鑰啟動該金鑰。 請注意,一旦金鑰被激活,鎖定的環境就不會自動解鎖。 每個鎖定的環境都必須個別解除鎖定。
重要
- 在您鎖定有效環境後,必須等候至少一小時才能解除鎖定。
- 解除鎖定程序會耗時一小時。 金鑰一旦解除鎖定,您可以使用金鑰來 管理環境加密。
- 您無法在解除鎖定所有鎖定環境前產成新的金鑰或上傳既有的金鑰。
解除鎖定加密金鑰
- 以管理員 (Dynamics 365 管理員或 Microsoft Power Platform 管理員) 身分登入 Power Platform 系統管理中心。
- 請選取 環境 索引標籤,然後選取 管理加密金鑰。
- 請選取擁有 鎖定 狀態的金鑰,然後在工具列上選取 解除鎖定金鑰。
- 請選取 上傳鎖定的金鑰,瀏覽並選取原本用來鎖定租用戶的金鑰,輸入密碼,然後選取 解除鎖定。 金鑰變成 安裝中 狀態。 您必須等到金鑰處於 有效 狀態才能解除鎖定已鎖定的環境。
- 為了解除鎖定環境,請參閱下一節。
解除鎖定環境
請選取 環境 索引標籤,然後選取鎖定的環境名稱。
提示
請勿選取列。 請選取環境名稱。
請在 詳細 分區中,選取 查看全部 以在右側顯示 詳細資料 窗格。
請在 詳細資料 窗格上的 環境 加密分區中,選取 管理。
請在 環境加密 頁面上選取 解除鎖定。
請選取 確認,以便確認您想要解除鎖定環境。
重複上述步驟來解鎖其他環境。
環境資料庫作業
客戶租用戶可擁有使用 Microsoft 管理金鑰加密的環境和以客戶管理金鑰加密的環境。 若要維持資料一致性和資料保護,當管理環境資料庫作業時可使用下列控制項。
還原要覆寫的環境 (還原成環境) 被限制為進行備份的相同環境,或另一個以相同客戶管理金鑰加密的環境。
複製 要覆寫的環境 (複製到環境) 被限制為另一個以相同的客戶管理金鑰加密的環境。
注意
如果為了解決客戶管理環境中的支援問題而建立支援調查環境,則支援調查環境的加密金鑰必須變更為客戶管理金鑰,才能執行複製環境的作業。
重設環境的加密資料已刪除,包括備份。 重設環境之後,環境加密會回復至 Microsoft 管理的金鑰。