Compartilhar via


Gerenciar sua chave de criptografia gerenciada pelo cliente

Os clientes têm requisitos de privacidade e conformidade de dados para proteger seus dados criptografando seus dados inativos. Isso protege os dados da exposição em um evento em que uma cópia do banco de dados é roubada. Com a criptografia de dados inativos, os dados do banco de dados roubados são protegidos contra restauração em um servidor diferente sem a chave de criptografia.

Todos os dados do cliente armazenados no Power Platform são criptografados em repouso com chaves de criptografia fortes gerenciadas pela Microsoft, por padrão. A Microsoft armazena e gerencia a chave de criptografia do banco de dados para todos os dados, para que você não precise fazer isso. No entanto, o Power Platform fornece esta chave de criptografia gerenciada pelo cliente (CMK) para seu controle de proteção de dados adicionado, onde você pode autogerenciar a chave de criptografia do banco de dados associada ao seu ambiente do Microsoft Dataverse. Isso permite que você alterne ou troque a chave de criptografia sob demanda e também permite que você impeça o acesso da Microsoft aos dados de seus clientes ao revogar o acesso da chave a nossos serviços a qualquer momento.

Para saber mais sobre a chave gerenciada pelo cliente no Power Platform, assista ao vídeo da chave gerenciada pelo cliente.

Estas operações de chave de criptografia estão disponíveis com a chave gerenciada pelo cliente (CMK):

  • Crie uma chave RSA (RSA-HSM) em seu Azure Key vault.
  • Criar uma política empresarial do Power Platform para sua chave.
  • Conceder a permissão da política corporativa do Power Platform para acessar seu cofre de chaves.
  • Conceder ao administrador do serviço do Power Platform a leitura da política corporativa.
  • Aplicar chave de criptografia a um ambiente.
  • Reverter/remover a criptografia CMK do ambiente para a chave gerenciada da Microsoft.
  • Alterar a chave criando uma nova política corporativa, removendo o ambiente da CMK e reaplicando a CMK com a nova política corporativa.
  • Bloquear ambientes de CMK revogando o cofre de chaves de CMK e/ou permissões da chave.
  • Migre os ambientes Traga seu próprio cofre de chaves (BYOK) para CMK aplicando a chave CMK.

Atualmente, todos os dados do cliente armazenados somente nos seguintes aplicativos e serviços podem ser criptografados com a chave gerenciada pelo cliente:

  • Dataverse (Soluções personalizadas e serviços Microsoft)
  • Dataverse Copilot para aplicativos baseados em modelo
  • Power Automate
  • Chat para o Dynamics 365
  • Dynamics 365 Sales
  • Dynamics 365 Customer Service
  • Dynamics 365 Customer Insights - Data
  • Dynamics 365 Field Service
  • Dynamics 365 Retail
  • Dynamics 365 Finance (Finanças e operações)
  • Dynamics 365 Intelligent Order Management (Finanças e operações)
  • Dynamics 365 Project Operations (Finanças e operações)
  • Dynamics 365 Supply Chain Management (Finanças e operações)
  • Dynamics 365 Fraud Protection (Finanças e operações)

Observação

A IVR de Conversa da Nuance e o Conteúdo de boas-vindas do criador estão excluídos da criptografia de chave gerenciada pelo cliente.

O Microsoft Copilot Studio armazena seus dados em seu próprio armazenamento e no Microsoft Dataverse. Quando você aplica a chave gerenciada pelo cliente a esses ambientes, apenas os armazenamentos de dados no Microsoft Dataverse são criptografados com sua chave. Os dados que não são do Microsoft Dataverse continuam sendo criptografados com a chave gerenciada pela Microsoft.

Observação

As configurações de conexão para conectores continuarão a ser criptografadas com uma chave gerenciada pela Microsoft.

Entre em contato com um representante para serviços não listados acima para obter informações sobre suporte de chaves gerenciadas pelo cliente.

Observação

Os nomes de exibição, descrições e metadados de conexão do Power Apps continuam sendo criptografados com uma chave gerenciada pela Microsoft.

Observação

O link de resultados de download e outros dados gerados pela imposição do verificador de solução durante uma verificação de solução continuam sendo criptografados com uma chave gerenciada pela Microsoft.

Ambientes com aplicativos de finanças e operações onde a integração do Power Platform está habilitada também podem ser criptografados. Os ambientes de finanças e operações sem integração do Power Platform continuarão usando a chave gerenciada padrão da Microsoft para criptografar dados. Mais informações: Criptografia em aplicativos de finanças e operações

Chave de criptografia gerenciada pelo cliente no Power Platform

Introdução à chave gerenciada pelo cliente

Com a chave gerenciada pelo cliente, os administradores podem fornecer sua própria chave de criptografia de seu próprio Azure Key Vault para os serviços de armazenamento do Power Platform para criptografar os dados de seus clientes. A Microsoft não tem acesso direto ao Azure Key Vault. Para serviços do Power Platform acessarem a chave de criptografia de seu Azure Key Vault, o administrador cria uma política corporativa do Power Platform, que faz referência à chave de criptografia e concede a essa política corporativa acesso para ler a chave de seu Azure Key Vault.

O administrador de serviços do Power Platform pode adicionar ambientes do Dataverse à política corporativa para começar a criptografar todos os dados do cliente no ambiente com sua chave de criptografia. Os administradores podem alterar a chave de criptografia do ambiente criando outra política corporativa e adicionando o ambiente (depois de removê-lo) à nova política corporativa. Se o ambiente não precisar mais ser criptografado usando sua chave gerenciada pelo cliente, o administrador poderá remover o ambiente do Dataverse da política corporativa para reverter a criptografia de dados para a chave gerenciada pela Microsoft.

O administrador pode bloquear os ambientes de chave gerenciados pelo cliente revogando o acesso de chave da política corporativa e desbloquear os ambientes restaurando o acesso da chave. More information: Bloquear ambientes revogando o cofre de chaves e/ou o acesso à permissão de chaves

Para simplificar as tarefas de gerenciamento de chaves, elas estão divididas em três áreas principais:

  1. Criar chave de criptografia.
  2. Criar política corporativa e conceder acesso.
  3. Gerenciar criptografia do ambiente.

Aviso

Quando os ambientes estão bloqueados, eles não podem ser acessados por ninguém, incluindo o suporte da Microsoft. Os ambientes bloqueados ficam desativados e pode ocorrer perda de dados.

Requisitos de licenciamento para chave gerenciada pelo cliente

A política de chaves gerenciadas pelo cliente é aplicada apenas em ambientes ativados para Ambientes Gerenciados. Ambientes Gerenciados são incluídos como um direito em licenças autônomas do Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e do Dynamics 365 que concedem direitos de uso premium. Saiba mais sobre licenciamento de Ambiente Gerenciado, com a Visão geral de licenciamento para o Microsoft Power Platform.

Além disso, o acesso ao uso da chave gerenciada pelo cliente para o Microsoft Power Platform e o Dynamics 365 exige que os usuários nos ambientes em que a política de chave de criptografia é aplicada tenham uma destas assinaturas:

  • Microsoft 365 ou Office 365 A5/E5/G5
  • Conformidade no Microsoft 365 A5/E5/F5/G5
  • Segurança e Conformidade do Microsoft 365 F5
  • Proteção e Governança da Informação do Microsoft 365 A5/E5/F5/G5
  • Gerenciamento de riscos internos do Microsoft 365 A5/E5/F5/G5

Saiba mais sobre estas licenças.

Compreenda os riscos potenciais quando você gerencia sua chave

Como em qualquer aplicativo crítico para os negócios, as pessoas de sua organização que têm acesso em nível administrativo devem ser confiáveis. Antes de usar o recurso de gerenciamento de chaves, você deve compreender o risco do gerenciamento de suas chaves de criptografia do banco de dados. É concebível que um administrador mal-intencionado (uma pessoa que receba ou obtenha acesso de nível de administrador com a intenção de prejudicar a segurança da organização ou os processos empresariais) que trabalha em sua organização possa usar o recurso de gerenciamento de chaves para criar uma chave e usá-la para bloquear todos os ambientes no locatário.

Considere a seguinte sequência de eventos.

O administrador do cofre de chaves malicioso cria uma chave e uma política corporativa no portal do Azure. O administrador do Azure Key Vault acessa o centro de administração do Power Platform e adiciona ambientes à política corporativa. O administrador mal-intencionado retorna ao portal do Azure e revoga o acesso de chave à política corporativa, bloqueando assim todos os ambientes. Isso causa interrupções nos negócios, pois todos os ambientes ficam inacessíveis e, se esse evento não for resolvido, ou seja, o acesso à chave restaurado, os dados do ambiente podem ser potencialmente perdidos.

Observação

  • O Azure Key Vault possui proteções integradas que auxiliam na restauração da chave, o que requer que as configurações do cofre de chaves Exclusão Temporária e Proteção contra eliminação estejam ativadas.
  • Outra proteção a ser considerada é garantir que haja separação de tarefas em que o administrador do Azure Key Vault não tenha acesso ao centro de administração do Power Platform.

Separação de funções para mitigar o risco

Esta seção descreve as principais funções gerenciadas pelo cliente pelas quais cada função administrativa é responsável. Separar essas tarefas ajuda a reduzir o risco envolvido com chaves gerenciadas pelo cliente.

Tarefas administrativas de serviço do Azure Key Vault e do Power Platform/Dynamics 365

Para habilitar chaves gerenciadas pelo cliente, primeiro o administrador do cofre de chaves cria uma chave no cofre de chaves do Azure e cria uma política corporativa do Power Platform. Quando a política corporativa é criada, uma identidade gerenciada pelo Microsoft Entra ID especial é criada. Em seguida, o administrador do cofre de chaves retorna ao cofre de chaves do Azure e concede à política corporativa/identidade gerenciada acesso à chave de criptografia.

O administrador do cofre de chaves então concede o respectivo acesso de leitura do administrador do serviço do Power Platform/Dynamics 365 à política corporativa. Uma vez concedida a permissão de leitura, o administrador de serviço do Power Platform/Dynamics 365 pode acessar o Centro de Administração do Power Platform e adicionar ambientes à política corporativa. Todos os dados de clientes dos ambientes adicionados são, em seguida, criptografados com a chave gerenciada pelo cliente vinculada a essa política corporativa.

Pré-requisitos
  • Uma assinatura do Azure que inclui módulos de segurança de hardware gerenciados do Azure Key Vault ou do Azure Key Vault.
  • Um Microsoft Entra ID com:
    • Permissão de colaborador para a assinatura do Microsoft Entra.
    • Permissão para criar um Azure Key Vault e uma chave.
    • Acesso para criar um grupo de recursos. Isso é necessário para configurar o cofre de chaves.
Crie a chave e conceda acesso usando o Azure Key Vault

O administrador do Azure Key Vault executa essas tarefas no Azure.

  1. Criar uma assinatura paga e Key Vault do Azure. Ignore esta etapa se você já tiver uma assinatura que inclua o Azure Key Vault.
  2. Acesse o serviço Azure Key Vault e crie uma chave. Mais Informações: Criar uma chave no cofre de chaves
  3. Habilite o serviço de políticas corporativas do Power Platform para sua assinatura do Azure. Faça isso apenas uma vez. Mais informações: Habilitar o serviço de políticas corporativas do Power Platform para sua assinatura do Azure
  4. Criar uma política corporativa do Power Platform. Mais informações: criar uma política corporativa
  5. Conceder permissões da política corporativa para acessar o cofre de chaves. Mais informações: Conceder permissões da política corporativa para acessar o cofre de chaves
  6. Conceder permissão aos administradores do Power Platform e do Dynamics 365 para ler a política corporativa. Mais Informações: Conceder o privilégio de administrador do Power Platform para ler a política corporativa

Tarefas do administrador de serviços do Power Platform/Dynamics 365 e do centro de administração do Power Platform

Pré-requisito
  • O administrador do Power Platform deve receber a função do Microsoft Entra de administrador de Serviços do Dynamics 365 ou do Power Platform.
Gerenciar a criptografia do ambiente no centro de administração do Power Platform

O administrador do Power Platform gerencia as tarefas de chave gerenciadas pelo cliente relacionadas ao ambiente no centro de administração do Power Platform.

  1. Adicionar os ambientes do Power Platform à política corporativa para criptografar dados com a chave gerenciada pelo cliente. Mais informações: Adicionar um ambiente à política corporativa para criptografar dados
  2. Remover os ambientes da política corporativa para retornar a criptografia à chave gerenciada da Microsoft. Mais informações: Remover ambientes da política para retornar à chave gerenciada da Microsoft
  3. Alterar a chave removendo ambientes da política corporativa antiga e adicionando ambientes a uma nova política corporativa. Mais informações: Criar chave de criptografia e conceder acesso
  4. Migração do BYOK. Se estiver usando o recurso de chave de criptografia gerenciada anterior, você poderá migrar sua chave para a chave gerenciada pelo cliente. More information: Migrar de ambientes Trazer sua própria chave para a chave gerenciada pelo cliente

Criar a chave de criptografia e conceder acesso

Criar uma assinatura paga e cofre de chaves do Azure

No Azure, execute as seguintes etapas:

  1. Criar uma assinatura Pagamento Conforme o Uso ou sua assinatura equivalente no Azure. Esta etapa não é necessária se o locatário já tiver uma assinatura.

  2. Criar um grupo de recursos. Mais informações: Criar grupos de recursos

    Observação

    Crie ou use um grupo de recursos que tenha uma localização, por exemplo, EUA Central, que corresponda à região do ambiente do Power Platform, como Estados Unidos.

  3. Crie um cofre de chaves usando a assinatura paga que inclui proteção contra exclusão temporária e eliminação com o grupo de recursos que você criou na etapa anterior.

    Importante

Criar uma chave no cofre de chaves

  1. Certifique-se de que os pré-requisitos foram atendidos.
  2. Acesse o portal do Azure>Key Vault e localize o cofre de chaves onde deseja gerar uma chave de criptografia.
  3. Verifique as configurações do cofre de chaves do Azure:
    1. Selecione Propriedades em Configurações.
    2. Em Exclusão temporária, defina ou verifique se está definida a opção A exclusão temporária foi habilitada neste cofre de chaves.
    3. Em Proteção contra eliminação, defina ou verifique se a opção Habilitar proteção contra eliminação (aplicar um período de retenção obrigatório para cofres excluídos e objetos do cofre) está ativada.
    4. Se tiver feito alterações, selecione Salvar.
Criar chaves do RSA
  1. Criar ou importar uma chave com estas propriedades:

    1. Nas páginas de propriedades do Key Vault, selecione Chaves.
    2. Selecione Gerar/Importar.
    3. Na tela Criar uma chave, defina os seguintes valores e selecione Criar.
      • Opções: gerar
      • Nome: forneça um nome para a chave
      • Tipo de chave: RSA
      • Tamanho da chave RSA: 2048

    Importante

    Se você definir uma data de validade em sua chave e a chave expirar, todos os ambientes criptografados com essa chave ficarão inativos. Defina um alerta para monitorar certificados de expiração com notificações por e-mail para seu administrador local do Power Platform e administrador do Azure key vault como um lembrete para renovar a data de validade. Isso é importante para evitar interrupções não planejadas do sistema.

Importar chaves protegidas para Módulos de Segurança de Hardware (HSM)

Você pode usar suas chaves protegidas para módulos de segurança de hardware (HSM) para criptografar seus ambientes do Power Platform Dataverse. Suas chaves protegidas por HSM devem ser importadas para o cofre de chaves para que uma política Enterprise possa ser criada. Para obter mais informações, consulte HSMs compatíveisImportar chaves protegidas por HSM para Key Vault (BYOK).

Criar uma chave no HSM Gerenciado do Azure Key Vault

Você pode usar uma chave de criptografia criada no HSM Gerenciado do Azure Key Vault para criptografar os dados do ambiente. Isso oferece suporte ao FIPS 140-2 Nível 3.

Criar chaves do RSA-HSM
  1. Certifique-se de que os pré-requisitos foram atendidos.

  2. Acesse o Portal do Azure.

  3. Crie um HSM Gerenciado:

    1. Provisione o HSM Gerenciado.
    2. Ative o HSM Gerenciado.
  4. Ative Proteção contra Limpeza em seu HSM Gerenciado.

  5. Conceda a função Usuário Criptográfico do HSM Gerenciado à pessoa que criou o cofre de chaves do HSM Gerenciado.

    1. Acesse o cofre de chaves do HSM Gerenciado no portal do Azure.
    2. Navegue até RBAC Local e selecione + Adicionar.
    3. Na lista suspensa Função , selecione a função Usuário Criptografado do HSM Gerenciado na página Atribuição de função .
    4. Selecione Todas as chaves em Escopo.
    5. Escolha Selecionar entidade de segurança e selecione o administrador na página Adicionar entidade .
    6. Selecione Criar.
  6. Criar uma chave RSA-HSM:

    • Opções: gerar
    • Nome: forneça um nome para a chave
    • Tipo de chave: RSA-HSM
    • Tamanho da chave RSA: 2048

    Observação

    Supported Tamanhos de chave RSA-HSM: 2048 bits e 3072 bits.

Você pode atualizar a rede do Azure Key Vault habilitando um ponto de extremidade privado e usar a chave no cofre de chaves para criptografar seus ambientes do Power Platform.

Você pode criar um novo cofre de chaves e estabelecer uma conexão de link privado ou estabelecer uma conexão de link privado para um cofre de chaves existente, e criar uma chave desse cofre de chaves e usá-la para criptografar seu ambiente. Você também pode estabelecer uma conexão de link privado para um cofre de chaves existente após já ter criado uma chave e usá-la para criptografar seu ambiente.

  1. Crie um Azure Key Vault com estas opções:

    • Ativar Proteção contra Limpeza
    • Tipo de chave: RSA
    • Tamanho da chave: 2048
  2. Copie a URL do cofre de chaves e a URL da chave de criptografia a serem usadas ​​para criar a política corporativa.

    Observação

    Depois de adicionar um ponto de extremidade privado ao seu cofre de chaves ou desabilitar a rede de acesso público, você não poderá ver a chave, a menos que tenha a permissão apropriada.

  3. Crie uma rede virtual.

  4. Retorne ao seu cofre de chaves e adicione conexões de ponto de extremidade privadas ao cofre de chaves do Azure.

    Observação

    Você precisa selecionar a opção de rede Desativar acesso público e habilitar a exceção Permitir que serviços confiáveis ​​da Microsoft ignorem este firewall.

  5. Criar uma política corporativa do Power Platform. Mais informações: criar uma política corporativa

  6. Conceder permissões da política corporativa para acessar o cofre de chaves. Mais informações: Conceder permissões da política corporativa para acessar o cofre de chaves

  7. Conceder permissão aos administradores do Power Platform e do Dynamics 365 para ler a política corporativa. Mais Informações: Conceder o privilégio de administrador do Power Platform para ler a política corporativa

  8. O administrador do centro de administração do Power Platform seleciona o ambiente para criptografar e ativar o ambiente gerenciado. Mais informações: Habilite o Ambiente gerenciado a ser adicionado à política corporativa

  9. O administrador do centro de administração do Power Platform adiciona o ambiente gerenciado à política corporativa. Mais informações: Adicionar um ambiente à política corporativa para criptografar dados

Habilite o serviço de políticas corporativas do Power Platform para sua assinatura do Azure

Registre o Power Platform como um provedor de recursos. Você só precisa fazer essa tarefa uma vez para cada assinatura do Azure na qual seu cofre de chaves do Azure reside. Você precisa ter direitos de acesso à assinatura para registrar o provedor de recursos.

  1. Entre no portal do Azure e vá para Assinatura>Provedores de recursos.
  2. Na lista de Provedores de recursos, procure por Microsoft.PowerPlatform e Registre isso.

Criar uma política corporativa

  1. Instale o MSI do PowerShell. Mais informações: Instalar o PowerShell no Windows, Linux e macOS
  2. Após a instalação do MSI do PowerShell, volte para Implantar um modelo personalizado no Azure.
  3. Selecione o link Criar seu próprio modelo no editor.
  4. Copie esse modelo JSON em um editor de texto, como o Bloco de Notas. Mais informações: Modelo json da política corporativa
  5. Substitua os valores no modelo JSON por: EnterprisePolicyName, local onde a EnterprisePolicy precisa ser criada, keyVaultId e keyName. Mais informações: Definições de campo para modelo json
  6. Copie o modelo atualizado de seu editor de texto e cole-o em Editar modelo da implantação personalizada no Azure, e selecione Salvar.
  7. Selecione uma Assinatura e Grupo de recursos onde a política corporativa deve ser criada.
  8. Selecione Revisar + criar e, em seguida, Criar.

Uma implantação é iniciada. Quando concluído, a política corporativa será criada.

Modelo json de política empresarial

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definições de campo para modelo JSON

  • nome. Nome da política corporativa. Este é o nome da política que aparece no centro de administração do Power Platform.

  • local. Uma das opções a seguir. Este é o local da política corporativa e deve corresponder à região do ambiente do Dataverse:

    • '"unitedstates"'
    • '"southafrica"'
    • '"uk"'
    • '"japan"'
    • '"india"'
    • '"france"'
    • '"europe"'
    • '"germany"'
    • '"switzerland"'
    • '"canada"'
    • '"brazil"'
    • '"australia"'
    • '"asia"'
    • '"uae"'
    • '"korea"'
    • '"norway"'
    • '"singapore"'
    • '"sweden"'
  • Copie esses valores das propriedades do cofre de chaves no portal do Azure:

    • keyVaultId: acesse Cofres de chaves> selecione seu cofre de chaves >Visão Geral. Ao lado de Essentials selecione Exibição JSON. Copie o ID do Recurso para a área de transferência e cole todo o conteúdo em seu modelo JSON.
    • keyName: acesse Cofres de chaves> selecione seu cofre de chaves >Chaves. Observe a chave Nome e digite o nome em seu modelo JSON.

Conceder permissões da política corporativa para acessar o cofre de chaves

Depois que a política corporativa for criada, o administrador do cofre de chaves concede acesso à identidade gerenciada pela política corporativa à chave de criptografia.

  1. Entre no Portal do Azure e vá para Cofres de chaves.
  2. Selecione o cofre de chaves onde a chave foi atribuída à política corporativa.
  3. Selecione a guia Controle de acesso (IAM) e, depois, + Adicionar.
  4. Selecione Adicionar atribuição de função na caixa suspensa.
  5. Pesquise Usuário de Criptografia do Serviço de Criptografia do Key Vault e selecione-o.
  6. Selecione Avançar.
  7. Selecione + Selecionar membros.
  8. Pesquise a política corporativa que você criou.
  9. Selecione a política corporativa e escolha Selecionar.
  10. Selecione Revisar + atribuir.

Observação

A configuração de permissão acima é baseada no Modelo de permissão do Controle de acesso baseado em função do Azure do seu cofre de chaves. Se seu cofre de chaves estiver definido como Política de acesso ao cofre, é recomendável migrar para o modelo baseado em função. Para conceder à política corporativa acesso ao cofre de chaves usando a Política de acesso ao cofre, crie uma Política de acesso, selecione Obter em Operações de gerenciamento de chaves e Decodificar chave e Codificar chave em Operações criptográficas.

Observação

Para evitar paralisações não planejadas do sistema, é importante que a política corporativa tenha acesso à chave. Verifique se:

  • O cofre de chaves está ativo.
  • A chave está ativa e não expirou.
  • A chave não foi excluída.
  • As permissões de chave acima não estão revogadas.

Os ambientes que estão usando essa chave serão desabilitados quando a chave de criptografia não estiver acessível.

Conceder o privilégio de administrador do Power Platform para ler a política corporativa

Os administradores que têm funções de administração do Dynamics 365 ou do Power Platform podem acessar o centro de administração do Power Platform para atribuir ambientes à política corporativa. Para acessar as políticas corporativas, é necessário que o administrador global com acesso ao Azure Key Vault conceda a função de Leitor ao administrador do Power Platform. Depois de concedida a função de Leitor, o administrador do Power Platform poderá exibir as políticas corporativas no centro de administração do Power Platform.

Observação

Somente administradores do Power Platform e administradores do Dynamics 365 que recebem a função de leitor para a política corporativa podem adicionar um ambiente à política. Outros administradores do Power Platform ou do Dynamics 365 podem visualizar a política corporativa, mas receberão um erro ao tentar Adicionar ambiente à política.

Conceder função de leitor a um administrador do Power Platform

  1. Entre no portal do Azure.
  2. Copie a ID de objeto do administrador do Power Platform ou do Dynamics 365. Para fazer isso:
    1. Acesse a área Usuários no Azure.
    2. Na lista Todos os usuários, localize o usuário com permissões de administrador do Power Platform ou do Dynamics 365 usando Pesquisar usuários.
    3. Abra o registro do usuário, na guia Visão geral , copie a ID do objeto do usuário. Cole em um editor de texto, como o Bloco de Notas.
  3. Copie a ID do recurso da política corporativa. Para fazer isso:
    1. Vá para Resource Graph Explorer no Azure.
    2. Digite microsoft.powerplatform/enterprisepolicies na caixa Pesquisar e selecione o recurso microsoft.powerplatform/enterprisepolicies.
    3. Selecione Executar consulta na barra de comandos. Uma lista de todas as políticas corporativas do Power Platform será exibida.
    4. Localize a política corporativa à qual deseja conceder acesso.
    5. Role para a direita da política corporativa e selecione Ver detalhes.
    6. Na página Detalhes, copie a id.
  4. Inicie o Azure Cloud Shell e execute o seguinte comando substituindo objId pelo ID de objeto do usuário e ID do Recurso de EP com a enterprisepolicies ID copiado nas etapas anteriores: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Gerenciar criptografia do ambiente

Para gerenciar a criptografia do ambiente, você precisa da seguinte permissão:

  • Usuário ativo do Microsoft Entra que tem um direito de acesso de administrador do Power Platform e/ou Dynamics 365.
  • Usuário do Microsoft Entra que tenha uma função de administrador de serviço do Power Platform ou do Dynamics 365.

O administrador do cofre de chaves notifica o administrador do Power Platform de que uma chave de criptografia e uma política corporativa foram criadas e fornece a política corporativa ao administrador do Power Platform. Para habilitar a chave gerenciada pelo cliente, o administrador do Power Platform atribui seus ambientes à política corporativa. Depois que o ambiente é atribuído e salvo, o Dataverse inicia o processo de criptografia para definir todos os dados do ambiente e criptografá-los com a chave gerenciada pelo cliente.

Habilite o Ambiente gerenciado a ser adicionado à política corporativa

  1. Entre no centro de administração do Power Platform e localize o ambiente.
  2. Selecione e verifique o ambiente na lista de ambientes.
  3. Selecione o ícone Ativar Ambientes Gerenciados na barra de ação.
  4. Selecione Habilitar.

Adicionar um ambiente à política corporativa para criptografar dados

Importante

O ambiente será desabilitado quando for adicionado à política corporativa para criptografia de dados.

  1. Entre no centro de administração do Power Platform e vá para Políticas>Políticas corporativas.
  2. Selecione uma política, em seguida, na barra de comandos, escolha Editar.
  3. Selecione Adicionar ambientes, escolha o ambiente que deseja e, em seguida, escolha Continuar. Adicionar ambiente à política corporativa no centro de administração do Power Platform
  4. Selecione Salvar e depois Confirmar.

Importante

  • Somente os ambientes que estão na mesma região da política corporativa são exibidos na lista Adicionar ambientes.
  • A criptografia pode levar até quatro dias para ser concluída, mas o ambiente pode ser ativado antes da conclusão da operação Adicionar ambientes .
  • A operação poderá não ser concluída e, se falhar, os seus dados continuarão a ser criptografados com a chave gerenciada pela Microsoft. Você pode executar novamente a operação Adicionar ambientes .

Observação

Só é possível adicionar ambientes habilitados como Ambientes Gerenciados. Não é possível adicionar os tipos de ambiente de avaliação e do Teams à política corporativa.

Remover os ambientes da política para retornar à chave gerenciada da Microsoft

Siga estas etapas se quiser retornar a uma chave de criptografia gerenciada pela Microsoft.

Importante

O ambiente será desabilitado quando for removido da política corporativa para retornar a criptografia de dados usando a chave gerenciada da Microsoft.

  1. Entre no centro de administração do Power Platform e vá para Políticas>Políticas corporativas.
  2. Selecione a guia Ambiente com políticas e localize o ambiente que deseja remover da chave gerenciada pelo cliente.
  3. Selecione a guia Todas as políticas, escolha o ambiente que você verificou na etapa 2 e, em seguida, selecione Editar política na barra de comandos. Remover um ambiente da chave gerenciada pelo cliente
  4. Selecione Remover ambiente na barra de comandos, escolha o ambiente que deseja remover e, em seguida, selecione Continuar.
  5. Selecione Salvar.

Importante

O ambiente será desabilitado quando for removido da política corporativa para reverter a criptografia de dados para a chave gerenciada pela Microsoft. Não exclua ou desabilite a chave, exclua ou desabilite o cofre de chaves ou remova as permissões da política corporativa para o cofre de chaves. O acesso à chave e ao cofre de chaves é necessário para suportar a restauração do banco de dados. Você pode excluir e remover as permissões da política corporativa após 30 dias.

Revisar o status de criptografia do ambiente

Revisar o status de criptografia das políticas corporativas

  1. Entre no centro de administração do Power Platform.

  2. Selecione Políticas>Políticas corporativas.

  3. Selecione uma política, em seguida, na barra de comandos, escolha Editar.

  4. Revise o Status de criptografia ambiente na seção Ambientes com esta política.

    Observação

    O status de criptografia do ambiente pode ser:

    • Criptografado: a chave de criptografia da política corporativa está ativa e o ambiente é criptografado com sua chave.
    • Falha: a chave de criptografia da política corporativa não é usada por todos os serviços de armazenamento do Dataverse. Eles exigem mais tempo para processar e você pode executar novamente a operação Adicionar ambiente. Caso a atualização falhe novamente, contate o suporte.
    • Aviso: a chave de criptografia da política corporativa está ativa e um dos dados de serviço continua a ser criptografado com a chave gerenciada pela Microsoft. Saiba mais: Mensagens de aviso do aplicativo CMK do Power Automate

    Você pode executar novamente a opção Adicionar ambiente para o ambiente que tem um status de criptografia Com falha.

Revise o status da criptografia na página Histórico do Ambiente

Você pode ver o histórico do ambiente.

  1. Entre no centro de administração do Power Platform.

  2. Selecione Ambientes no painel de navegação, em seguida, selecione um ambiente da lista.

  3. Na barra de comandos, selecione Histórico

  4. Localizar o histórico para Atualizar Chave Gerenciada pelo Cliente.

    Observação

    O Status mostra Executando quando a criptografia está em andamento. Ele mostra Bem-sucedido quando a criptografia é concluída. O status mostra Falha quando há algum problema com um dos serviços que não consegue aplicar a chave de criptografia.

    Um estado Com falha pode ser um aviso e você não precisa executar novamente a opção Adicionar ambiente. Você pode confirmar se é um aviso.

Alterar a chave de criptografia do ambiente com uma nova política e chave corporativa

Para alterar sua chave de criptografia, crie uma nova chave e uma nova política corporativa. Em seguida, você pode alterar a política corporativa removendo os ambientes e depois adicionando os ambientes à nova política corporativa. O sistema ficará inativo 2 vezes ao mudar para uma nova política corporativa - 1) para reverter a criptografia para a Chave Gerenciada da Microsoft e 2) para aplicar a nova política corporativa.

Dica

Para girar a chave de criptografia, recomendamos usar a Nova versão dos cofres de chave ou configurar uma Política de rotação.

  1. No Portal do Azure, crie uma nova chave e uma nova política corporativa. Mais informações: Criar a chave de criptografia e conceder acesso e Criar uma política corporativa
  2. Depois que a nova chave e a política corporativa forem criadas, acesse Políticas>Políticas corporativas.
  3. Selecione a guia Ambiente com políticas e localize o ambiente que deseja remover da chave gerenciada pelo cliente.
  4. Selecione a guia Todas as políticas, escolha o ambiente que você verificou na etapa 2 e, em seguida, selecione Editar política na barra de comandos. Remover um ambiente da chave gerenciada pelo cliente
  5. Selecione Remover ambiente na barra de comandos, escolha o ambiente que deseja remover e, em seguida, selecione Continuar.
  6. Selecione Salvar.
  7. Repita as etapas 2 a 6 até que todos os ambientes na política corporativa tenham sido removidos.

Importante

O ambiente será desabilitado quando for removido da política corporativa para reverter a criptografia de dados para a chave gerenciada pela Microsoft. Não exclua ou desabilite a chave, exclua ou desabilite o cofre de chaves ou remova as permissões da política corporativa para o cofre de chaves. O acesso à chave e ao cofre de chaves é necessário para suportar a restauração do banco de dados. Você pode excluir e remover as permissões da política corporativa após 30 dias.

  1. Depois que todos os ambientes forem removidos, no centro de administração do Power Platform, acesse Políticas corporativas.
  2. Selecione a nova política corporativa e, em seguida, selecione Editar política.
  3. Selecione Adicionar ambiente, escolha os ambientes que deseja adicionar e, em seguida, escolha Continuar.

Importante

O ambiente será desabilitado quando for adicionado à nova política corporativa.

Girar a chave de criptografia do ambiente com uma nova versão de chave

Você pode alterar a chave de criptografia do ambiente criando uma nova versão de chave. Quando você cria uma nova versão de chave, ela é automaticamente habilitada. Todos os recursos de armazenamento detectam a nova versão da chave e começam a aplicá-la para criptografar seus dados.

Quando você modifica a chave ou a versão da chave, a proteção da chave de criptografia raiz muda, mas os dados no armazenamento sempre permanecem criptografados com sua chave. Não há mais ação necessária de sua parte para garantir que seus dados estejam protegidos. A rotação da versão chave não afeta o desempenho. Não há tempo de inatividade associado à rotação da versão da chave. Pode levar 24 horas para que todos os provedores de recursos apliquem a nova versão da chave em segundo plano. A versão anterior da chave não deve ser desabilitada, pois é necessária para que o serviço a utilize para a nova criptografia e para suporte à restauração do banco de dados.

Para girar a chave de criptografia criando uma nova versão de chave, siga as etapas a seguir.

  1. Acesse o portal do Azure>Key Vaults e localize o cofre de chaves onde você deseja criar uma nova versão de chave.
  2. Navegue até Chaves.
  3. Selecione a chave atual, habilitada.
  4. Selecione + Nova Versão.
  5. A configuração Habilitada é padronizada como Sim, o que significa que a nova versão da chave é habilitada automaticamente após a criação.
  6. Selecione Criar.

Dica

Para cumprir com sua política de rotação de chaves, você pode girar a chave de criptografia usando a Política de rotação. Você pode configurar uma política de rotação ou rotacionar, sob demanda, chamando Rotacionar agora.

Importante

A nova versão da chave é girada automaticamente em segundo plano e não há nenhuma ação exigida pelo administrador do Power Platform. É importante que a versão anterior da chave não seja desativada ou excluída por pelo menos 28 dias para suportar a restauração do banco de dados. Desabilitar ou excluir a versão anterior da chave muito cedo pode deixar seu ambiente off-line.

Veja a lista de ambientes criptografados

  1. Entre no centro de administração do Power Platform e vá para Políticas>Políticas corporativas.
  2. Na página Políticas corporativas , selecione a guia Ambientes com políticas. A lista de ambientes que foram adicionados às políticas corporativas será exibida.

Observação

Pode haver situações em que o Status do ambiente ou o Status da criptografia mostram um status Com Falha. Quando isso ocorre, você pode tentar executar novamente a operação Adicionar ambiente ou enviar uma solicitação de de Suporte da Microsoft para obter ajuda.

Operações de banco de dados do ambiente

Um locatário do cliente pode ter ambientes criptografados usando a chave gerenciada da Microsoft e ambientes que são criptografados com a chave gerenciada do cliente. Para manter a integridade e a proteção dos dados, os seguintes controles estão disponíveis ao gerenciar operações de banco de dados do ambiente.

  • Restaurar O ambiente a ser substituído (o ambiente no qual foi feita a restauração) é restrito ao mesmo ambiente em que o backup foi obtido ou a outro ambiente criptografado com a mesma chave gerenciada do cliente.

    Backup e restauração.

  • Copiar O ambiente a ser substituído (o ambiente para o qual foi feita a cópia) é restrito a outro ambiente criptografado com a mesma chave gerenciada do cliente.

    Copiar ambiente.

    Observação

    Se um ambiente de investigação de suporte foi criado para resolver um problema de suporte em um ambiente gerenciado do cliente, a chave de criptografia do ambiente de investigação de suporte deve ser alterada para a chave gerenciada do cliente para que a operação do ambiente de cópia possa ser executada.

  • Redefinir Os dados criptografados do ambiente serão excluídos, inclusive os backups. Depois que o ambiente for redefinido, a criptografia do ambiente será revertida para a chave gerenciada da Microsoft.

Próximas etapas

Sobre o Azure Key Vault