Partager via

Gérer votre clé de chiffrement gérée par le client

Les clients ont des exigences de confidentialité et de conformité des données pour protéger leurs données en les chiffrant au repos. Cela protège les données de l’exposition en cas de vol d’une copie de la base de données. Avec le chiffrement des données au repos, les données volées de la base de données sont protégées contre la restauration sur un autre serveur sans la clé de chiffrement.

Toutes les données client stockées dans Power Platform sont chiffrées au repos avec des clés de chiffrement fortes gérées par Microsoft par défaut. Microsoft stocke et gère la clé de chiffrement de la base de données pour toutes vos données afin que vous n’ayez pas à le faire. Toutefois, Power Platform fournit cette clé de chiffrement gérée par le client (CMK) pour votre contrôle de protection des données ajouté dans lequel vous pouvez gérer automatiquement la clé de chiffrement de base de données associée à votre environnement de Microsoft Dataverse. Cela vous permet de faire pivoter ou d’échanger la clé de chiffrement à la demande, et vous permet également d’empêcher l’accès de Microsoft à vos données client lorsque vous révoquez l’accès de la clé à nos services à tout moment.

Pour en savoir plus sur la clé gérée par le client dans Power Platform, regardez la vidéo sur la clé gérée par le client.

Ces opérations de la clé de chiffrement sont disponibles avec la clé gérée par le client (CMK) :

  • Créez une clé RSA (RSA-HSM) à partir de votre coffre de clés Azure.
  • Créer une stratégie d’entreprise Power Platform pour votre clé.
  • Accorder à la stratégie d’entreprise Power Platform l’autorisation pour accéder à votre coffre de clés.
  • Accorder à l’administrateur de services Power Platform le privilège pour lire la stratégie d’entreprise.
  • Appliquer la clé de chiffrement à votre environnement.
  • Rétablir/supprimer le chiffrement CMK de l’environnement de la clé gérée par Microsoft.
  • Modifiez la clé en créant une nouvelle stratégie d’entreprise, en supprimant l’environnement de CMK et en réappliquant CMK avec la nouvelle stratégie d’entreprise.
  • Verrouiller les environnements CMK en révoquant le coffre de clés CMK et/ou les autorisations de la clé.
  • Migrer les environnements Bring-Your-Own-Key (BYOK) vers CMK en appliquant la clé CMK.

Actuellement, toutes vos données client stockées uniquement dans les applications et services suivants peuvent être chiffrées avec la clé gérée par le client :

Cloud commercial

Cloud souverain - GCC High

Note

  • Contactez un représentant des services non répertoriés ci-dessus pour obtenir des informations sur la prise en charge de la clé gérée par le client.
  • La solution IVR conversationnelle de Nuance et le contenu d’accueil du créateur sont exclus du chiffrement par la clé gérée par le client.
  • Les paramètres de connexion pour les connecteurs continuent d’être chiffrés avec une clé gérée par Microsoft.
  • Dans Power Apps, les noms d’affichage, les descriptions et les métadonnées de connexion continuent d’être chiffrés avec une clé gérée par Microsoft.
  • Le lien des résultats du téléchargement et d’autres données produites par la mise en application du vérificateur de solution pendant un contrôle de solution continuent d’être chiffrés avec la clé gérée par Microsoft.

Les environnements avec des applications de finances et d’opérations où l’intégration de Power Platform est activée peuvent également être chiffrés. Les environnements de finances et d’opérations sans intégration de Power Platform continuent d’utiliser la clé gérée par Microsoft par défaut pour chiffrer les données. En savoir plus dans Chiffrement dans les applications de finances et d’opérations.

Clé de chiffrement gérée par le client dans Power Platform

Présentation de la clé gérée par le client

Avec la clé gérée par le client, les administrateurs peuvent fournir leur propre clé de chiffrement à partir de leur propre Azure Key Vault aux services de stockage Power Platform pour chiffrer leurs données client. Microsoft n'a pas d'accès direct à votre Azure Key Vault. Pour que les services Power Platform accèdent à la clé de chiffrement à partir de votre Azure Key Vault, l’administrateur crée une stratégie d’entreprise Power Platform, qui référence la clé de chiffrement et accorde à cette stratégie d’entreprise l’accès pour lire la clé à partir de votre Azure Key Vault.

L’administrateur du service Power Platform peut ensuite ajouter des environnements Dataverse à la stratégie d’entreprise pour commencer à chiffrer toutes les données client dans l’environnement avec votre clé de chiffrement. Les administrateurs peuvent modifier la clé de chiffrement de l’environnement en créant une autre stratégie d’entreprise et en ajoutant l’environnement (après l’avoir supprimé) à la nouvelle stratégie d’entreprise. Si l’environnement n’a plus besoin d’être chiffré à l’aide de votre clé gérée par le client, l’administrateur peut supprimer l’environnement Dataverse de la stratégie d’entreprise pour rétablir le chiffrement des données sur la clé gérée par Microsoft.

L’administrateur peut verrouiller les environnements de clé gérée par le client en révoquant l’accès à la clé de la stratégie d’entreprise, et déverrouiller les environnements en restaurant l’accès à la clé. Pour plus d’informations : Verrouiller les environnements en révoquant l’accès au coffre de clés et/ou à l’autorisation de la clé

Pour simplifier les tâches de gestion des clés, les tâches sont réparties en trois principaux domaines :

  1. Créer une clé de chiffrement.
  2. Créer une stratégie d’entreprise et accorder l’accès.
  3. Gérer le chiffrement de l’environnement.

Avertissement

Lorsque les environnements sont verrouillés, personne ne peut y accéder, y compris le support Microsoft. Les environnements verrouillés deviennent désactivés et une perte de données peut se produire.

Licences requises pour la clé gérée par le client

La stratégie de la clé gérée par le client n’est appliquée que sur les environnements activés pour les environnements gérés. Les environnements managés sont inclus en tant que droits dans les licences autonomes Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages et Dynamics 365 qui donnent des droits d’utilisation Premium. En savoir plus sur les licences Managed Environment avec la vue d’ensemble des licences pour Microsoft Power Platform.

En outre, l’accès à l’utilisation de la clé gérée par le client pour Microsoft Power Platform et Dynamics 365 nécessite des utilisateurs dans les environnements où la stratégie de clé de chiffrement est appliquée pour avoir l’un des abonnements suivants :

  • Microsoft 365 ou Office 365 A5/E5/G5
  • Conformité Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 Sécurité & Conformité
  • Microsoft 365 A5/E5/F5/G5 Protection des informations et Gouvernance
  • Microsoft 365 A5/E5/F5/G5 Insider Risk Management

En savoir plus sur ces licences.

Comprendre le risque potentiel lié à la gestion de votre clé

Comme pour toute application critique d’entreprise, le personnel de votre organisation qui dispose d’un accès de niveau administrateur doit être approuvé. Avant d’utiliser la fonctionnalité de gestion des clés, vous devez comprendre le risque lié à la gestion de vos clés de chiffrement de base de données. Il est possible qu’un administrateur malveillant (une personne qui reçoit ou obtient un accès de niveau administrateur dans l’intention de nuire à la sécurité ou aux processus d’entreprise d’une organisation) qui travaille au sein de votre organisation utilise la fonction de gestion des clés pour créer une clé et l’utiliser pour verrouiller vos environnements dans le client.

Imaginez la séquence suivante d’événements.

L’administrateur malveillant du Key Vault crée une clé et une politique d’entreprise sur le portail Azure. L’administrateur Azure Key Vault accède au Centre d’administration Power Platform et ajoute des environnements à la stratégie d’entreprise. L’administrateur malveillant retourne ensuite au portail Azure et révoque l’accès à la clé pour la politique d’entreprise, ce qui verrouille donc tous les environnements. Cela provoque des interruptions d’activité car tous les environnements deviennent inaccessibles, et si cet événement n’est pas résolu, c’est-à-dire, l’accès à la clé est restauré, les données de l’environnement peuvent être potentiellement perdues.

Note

  • Azure Key Vault dispose de protections intégrées qui permettent de restaurer la clé, ce qui nécessite que les paramètres de coffre de clés Soft Delete et Purge protection soient activés.
  • Une autre protection à prendre en compte est de s'assurer qu'il existe une séparation des tâches où l'administrateur Azure Key Vault n'a pas accès au Centre d'administration Power Platform.

Séparation des tâches pour atténuer le risque

Cette section décrit les fonctions de clé gérée par le client qui incombent à chaque rôle d’administrateur. La séparation de ces tâches aide à atténuer le risque lié aux clés gérées par le client.

tâches d’administration de service Azure Key Vault et Power Platform/Dynamics 365

Pour activer les clés gérées par le client, tout d’abord, l’administrateur du coffre de clés crée une clé dans le coffre de clés Azure et crée une stratégie d’entreprise Power Platform. Lorsque la stratégie d’entreprise est créée, une identité managée spéciale Microsoft Entra ID est créée. Ensuite, l’administrateur du coffre de clés retourne au coffre de clés Azure et accorde à la stratégie d’entreprise/à l’identité managée l’accès à la clé de chiffrement.

L’administrateur du coffre de clés accorde ensuite l’accès en lecture à l’administrateur de service Power Platform/Dynamics 365 respectif à la politique d’entreprise. Une fois l’autorisation de lecture accordée, l’administrateur du service Power Platform/Dynamics 365 peut accéder au Centre d’administration Power Platform et ajouter des environnements à la stratégie d’entreprise. Toutes les données client des environnements ajoutés sont ensuite chiffrées avec la clé gérée par le client liée à cette stratégie d’entreprise.

Conditions préalables
  • Un abonnement Azure qui inclut Azure Key Vault ou des modules de sécurité matérielle gérés par Azure Key Vault.
  • Un Microsoft Entra ID avec :
    • Autorisation contributeur à l’abonnement Microsoft Entra.
    • Autorisation de créer une Azure Key Vault et une clé.
    • Accédez pour créer un groupe de ressources. Ceci est nécessaire pour configurer le coffre de clés.
Créez la clé et accordez l’accès à l’aide de Azure Key Vault

L’administrateur Azure Key Vault effectue ces tâches dans Azure.

  1. Créez un abonnement payant Azure et Key Vault. Ignorez cette étape si vous disposez déjà d’un abonnement qui inclut Azure Key Vault.
  2. Accédez au service Azure Key Vault et créez une clé. Informations complémentaires : Créer une clé dans le coffre de clés
  3. Activez le service de stratégies d’entreprise Power Platform pour votre abonnement Azure. Ne le faites qu’une seule fois. Plus d’informations : Enable le service de stratégies d’entreprise Power Platform pour votre abonnement Azure
  4. Créez une stratégie d’entreprise Power Platform. Informations complémentaires : Créer une stratégie d’entreprise
  5. Accordez à la stratégie d’entreprise les autorisations pour accéder au coffre de clés. Informations complémentaires : Accorder à la stratégie d’entreprise les autorisations pour accéder au coffre de clés
  6. Accordez aux administrateurs Power Platform et Dynamics 365 l’autorisation de lire la stratégie d’entreprise. Informations complémentaires : Accorder à l’administrateur Power Platform le privilège pour lire la stratégie d’entreprise

Tâches du centre d'administration de Power Platform et de Dynamics 365 pour l'administrateur du service Power Platform

Conditions préalables

L’administrateur Power Platform doit être assigné au rôle d’administrateur de service Power Platform ou Dynamics 365 de Microsoft Entra.

Gérer le chiffrement de l’environnement dans le centre d’administration Power Platform

L’administrateur Power Platform gère les tâches de clé gérée par le client liées à l’environnement dans le centre d’administration Power Platform.

  1. Ajoutez les environnements Power Platform à la stratégie d’entreprise pour chiffrer les données avec la clé gérée par le client. Informations complémentaires : Ajouter un environnement à la stratégie d’entreprise pour chiffrer les données
  2. Supprimez des environnements de la stratégie d’entreprise pour rétablir le chiffrement sur la clé gérée par Microsoft. Informations complémentaires : Supprimer des environnements de la stratégie pour rétablir la clé gérée par Microsoft
  3. Modifiez la clé en supprimant des environnements de l’ancienne stratégie d’entreprise et en ajoutant des environnements à une nouvelle stratégie d’entreprise. Pour plus d’informations : Créer une clé de chiffrement et accorder l’accès
  4. Effectuez une migration depuis BYOK. Si vous utilisez la fonctionnalité précédente de clé de chiffrement autogérée, vous pouvez migrer votre clé vers une clé gérée par le client. Pour en savoir plus, consultez Migrer les environnements d’apport de votre propre clé vers une clé gérée par le client.

Créer une clé de chiffrement et accorder l’accès

Créer un abonnement payant Azure et un coffre de clés

Dans Azure, procédez comme suit :

  1. Créez un abonnement paiement à l’utilisation ou son abonnement Azure équivalent. Cette étape n’est pas nécessaire si le client a déjà un abonnement.

  2. Créez un groupe de ressources. Informations complémentaires : Créer des groupes de ressources

    Note

    Créez ou utilisez un groupe de ressources qui a une localisation, par exemple, Centre des États-Unis, qui correspond à la région de l'environnement Power Platform, comme les États-Unis.

  3. Créez un coffre de clés en utilisant l’abonnement payant incluant la suppression réversible et la protection contre le vidage avec le groupe de ressources que vous avez créé à l’étape précédente.

    Important

    Pour garantir que votre environnement est protégé contre la suppression accidentelle de la clé de chiffrement, la suppression réversible et la protection contre le vidage doivent être activées dans le coffre de clés. Vous ne pourrez pas chiffrer votre environnement avec votre propre clé sans activer ces paramètres. Pour plus d'informations : Vue d'ensemble de la suppression douce pour Azure Key Vault Pour plus d'informations : Créer un coffre-fort de clés à l'aide du portail Azure

Créer une clé dans le coffre de clés

  1. Assurez-vous de remplir les conditions préalables.
  2. Accédez au portail Azure>Key Vault et recherchez le key vault où vous souhaitez générer une clé de chiffrement.
  3. Vérifiez les paramètres du coffre-fort de clés Azure :
    1. Sélectionnez Propriétés sous Paramètres.
    2. Sous Suppression réversible, définissez ou vérifiez qu’elle est définie sur l’option La suppression réversible a été activée sur ce coffre de clés.
    3. Sous Protection contre le vidage, définissez ou vérifiez que l’option Activer la protection contre le vidage (appliquer une période de rétention obligatoire pour les coffres supprimés et les objets du coffre) est activée.
    4. Si vous avez apporté des modifications, sélectionnez Enregistrer.
Créer des clés RSA

  1. Créez ou importez une clé possédant ces propriétés :

    1. Dans les pages de propriétés Key Vault, sélectionnez Keys.
    2. Sélectionnez Générer/Importer.
    3. Dans l’écran Créer une clé, définissez les valeurs suivantes, puis sélectionnez Créer.
      • Options : Générer
      • Nom : indiquez un nom pour la clé
      • Type de clé: RSA
      • Taille de la clé RSA : 2048 ou 3072

    Important

    Si vous définissez une date d’expiration dans votre clé et que la clé a expiré, tous les environnements chiffrés avec cette clé seront inaccessibles. Définissez une alerte pour surveiller les certificats arrivant à expiration avec des notifications par e-mail pour votre administrateur Power Platform local et l'administrateur du coffre de clés Azure comme rappel pour renouveler la date d’expiration. Ceci est important pour éviter toute panne imprévue du système.

Importer des clés protégées pour les modules de sécurité matériels (HSM)

Vous pouvez utiliser vos clés protégées pour les modules de sécurité matériels (HSM) pour chiffrer vos environnements Power Platform Dataverse. Vos clés protégées par HSM doivent être importées dans le coffre de clés pour qu’une stratégie d’entreprise puisse être créée. Pour plus d’informations, consultez HSM pris en chargeImporter les clés protégées par HSM pour Key Vault (BYOK).

Créer une clé dans le HSM managé Azure Key Vault

Vous pouvez utiliser une clé de chiffrement créée à partir du HSM managé Azure Key Vault pour chiffrer vos données d’environnement. Cela vous offre une prise en charge FIPS 140-2 de niveau 3.

Créer des clés RSA-HSM

  1. Assurez-vous de remplir les conditions préalables.

  2. Accédez au portail Azure.

  3. Créez un HSM managé :

    1. Approvisionnez le HSM managé.
    2. Activez le HSM managé.

  4. Activez la Protection contre le vidage dans votre HSM managé.

  5. Accordez le rôle Utilisateur cryptographique de HSM managé à la personne qui a créé le coffre de clés HSM managé.

    1. Accédez au coffre de clés HSM managé sur le portail Azure.
    2. Accédez à RBAC local et sélectionnez + Ajouter.
    3. Dans la liste déroulante Rôle, sélectionnez le rôle Utilisateur cryptographique de HSM managé sur la page Attribution de rôles.
    4. Sélectionnez Toutes les clés sous Portée.
    5. Sélectionnez Sélectionner un principal de sécurité, puis sélectionnez l’administrateur sur la page Ajouter un principal.
    6. Cliquez sur Créer.

  6. Créer une clé RSA-HSM :

    • Options : Générer
    • Nom : indiquez un nom pour la clé
    • Type de clé: RSA-HSM
    • Taille de la clé RSA : 2048

    Note

    Tailles de la clé RSA-HSM prises en charge : 2048 bits et 3072 bits.

Vous pouvez mettre à jour la mise en réseau de votre coffre de clés Azure en activant un point de terminaison private et en utilisant la clé dans le coffre de clés pour chiffrer vos environnements Power Platform.

Vous pouvez créer un nouveau coffre de clés et établir une connexion par liaison privée ou établir une connexion par liaison privée vers un coffre de clés existant et créer une clé à partir de ce coffre de clés et l’utiliser pour chiffrer votre environnement. Vous pouvez également établir une connexion par liaison privée vers un coffre de clés existant après avoir déjà créé une clé et l’utiliser pour chiffrer votre environnement.

  1. Créez un coffre de clés Azure avec les options suivantes :

    • Activer la Protection contre le vidage
    • Type de clé: RSA
    • Taille de la clé : 2048 ou 3072

  2. Copiez l’URL du coffre de clés et l’URL de la clé de chiffrement à utiliser pour créer la stratégie d’entreprise.

    Note

    Une fois que vous avez ajouté un point de terminaison privé à votre coffre de clés ou désactivé le réseau d’accès public, vous ne pouvez pas voir la clé, sauf si vous disposez de l’autorisation appropriée.

  3. Créez un réseau virtuel.

  4. Revenez à votre coffre de clés et ajoutez des connexions de point de terminaison privé à votre coffre de clés Azure.

    Note

    Vous devez sélectionner l’option de réseau Désactiver l’accès public et activer l’exception Autoriser les services Microsoft approuvés à contourner ce pare-feu.

  5. Créez une stratégie d’entreprise Power Platform. Informations complémentaires : Créer une stratégie d’entreprise

  6. Accordez à la stratégie d’entreprise les autorisations pour accéder au coffre de clés. Informations complémentaires : Accorder à la stratégie d’entreprise les autorisations pour accéder au coffre de clés

  7. Accordez aux administrateurs Power Platform et Dynamics 365 l’autorisation de lire la stratégie d’entreprise. Informations complémentaires : Accorder à l’administrateur Power Platform le privilège pour lire la stratégie d’entreprise

  8. L’administrateur du centre d’administration Power Platform sélectionne l’environnement pour chiffrer et activer l’environnement géré. Pour plus d’informations : Activer l’environnement géré à ajouter à la stratégie d’entreprise

  9. L’administrateur du centre d’administration Power Platform ajoute l’environnement géré à la stratégie d’entreprise. Informations complémentaires : Ajouter un environnement à la stratégie d’entreprise pour chiffrer les données

Activer le service de stratégies d’entreprise Power Platform pour votre abonnement Azure

Enregistrez Power Platform comme fournisseur de ressources. Vous devez effectuer cette tâche une seule fois pour chaque abonnement Azure où réside votre coffre de clés Azure. Vous devez disposer de droits d’accès à l’abonnement pour enregistrer le fournisseur de ressources.

  1. Connectez-vous au portail Azure et accédez à Subscription>Resource providers.
  2. Dans la liste des Fournisseurs de ressources, recherchez Microsoft.PowerPlatform et Enregistrez-le.

Créer une stratégie d’entreprise

  1. Installez PowerShell MSI. Plus d’informations : Installer PowerShell sur Windows, Linux et macOS
  2. Une fois que powerShell MSI est installé, revenez à Deploy a custom template in Azure.
  3. Sélectionnez le lien Créer votre propre modèle dans l’éditeur.
  4. Copiez ce modèle JSON dans un éditeur de texte tel que le Bloc-notes. Informations complémentaires : Modèle json de stratégie d’entreprise
  5. Remplacez les valeurs dans le modèle JSON pour : EnterprisePolicyName, emplacement où EnterprisePolicy doit être créé, keyVaultId et keyName. Informations complémentaires : Définitions de champ pour le modèle json
  6. Copiez le modèle mis à jour à partir de votre éditeur de texte, puis collez-le dans le modèle Edit du déploiement Custom dans Azure, puis sélectionnez Save.
  7. Sélectionnez un Abonnement et un Groupe de ressources où la stratégie d’entreprise doit être créée.
  8. Sélectionnez Examiner + créer, puis sélectionnez Créer.

Un déploiement est lancé. Une fois terminé, la stratégie d’entreprise est créée.

Modèle json de stratégie d’entreprise

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Définitions de champ pour le modèle JSON

  • nom. Nom de la stratégie d’entreprise. Il s’agit du nom de la stratégie qui apparaît dans le centre d’administration Power Platform.

  • emplacement. Une des valeurs suivantes. Il s’agit de l’emplacement de la stratégie d’entreprise qui doit correspondre à la région de l’environnement Dataverse :

    • '"unitedstates"'
    • '"southafrica"'
    • '"uk"'
    • '"japan"'
    • '"india"'
    • '"france"'
    • '"europe"'
    • '"germany"'
    • '"switzerland"'
    • '"canada"'
    • '"brazil"'
    • '"australia"'
    • '"asia"'
    • '"uae"'
    • '"korea"'
    • '"norway"'
    • '"singapore"'
    • '"sweden"'

  • Copiez ces valeurs à partir de vos propriétés de coffre de clés dans le portail Azure :

    • keyVaultId : accédez à Coffres de clés> sélectionnez votre coffre de clés >Vue d'ensemble. En regard de Essentials, sélectionnez Vue JSON. Copiez l’ID de ressource dans le presse-papiers et collez tout le contenu dans votre modèle JSON.
    • keyName : accédez à Coffres de clés> sélectionnez votre coffre de clés >Clés. Notez le Nom de la clé et saisissez-le dans votre modèle JSON.

Accorder à la stratégie d’entreprise les autorisations pour accéder au coffre de clés

Une fois la stratégie d’entreprise créée, l’administrateur du coffre de clés accorde à l’identité gérée de la stratégie d’entreprise l’accès à la clé de chiffrement.

  1. Connectez-vous au portail Azure et accédez aux coffres Key.
  2. Sélectionnez le coffre de clés où la clé a été attribuée à la stratégie d’entreprise.
  3. Sélectionnez l’onglet Contrôle d’accès (IAM), puis sélectionnez + Ajouter.
  4. Sélectionnez Ajouter une attribution de rôle dans la liste déroulante,
  5. Recherchez Key Vault Service de chiffrement Crypto Utilisateur et sélectionnez-le.
  6. Cliquez sur Suivant.
  7. Sélectionnez + Sélectionner des membres.
  8. Recherchez la stratégie d’entreprise que vous avez créée.
  9. Sélectionnez la stratégie d’entreprise, puis choisissez Sélectionner.
  10. Sélectionnez Vérifier + attribuer.

Le paramètre d'autorisation ci-dessus est basé sur le modèle Permission de Azure contrôle d'accès en fonction du rôle. Si votre coffre de clés est défini sur Stratégie d’accès au coffre, il est recommandé de migrer vers le modèle basé sur les rôles. Pour accorder à votre stratégie d’entreprise l’accès au coffre de clés à l’aide de la Stratégie d’accès au coffre, créez une stratégie d’accès, sélectionnez Obtenir dans Opérations de gestion des clés et Ne pas inclure la clé et Inclure la clé dans Opérations cryptographiques.

Note

Pour éviter toute panne imprévue du système, il est important que la stratégie d’entreprise ait accès à la clé. Assurez-vous que :

  • Le coffre de clés est actif.
  • La clé est active et n’a pas expiré.
  • La clé n’est pas supprimée.
  • Les autorisations de clé ci-dessus ne sont pas révoquées.

Les environnements qui utilisent cette clé sont désactivés lorsque la clé de chiffrement n’est pas accessible.

Accorder à l’administrateur de services Power Platform le privilège pour lire la stratégie d’entreprise

Les administrateurs qui ont des rôles d’administration Dynamics 365 ou Power Platform peuvent accéder au Centre d’administration Power Platform pour affecter des environnements à la stratégie d’entreprise. Pour accéder aux stratégies d’entreprise, l’administrateur disposant d’un accès au coffre de clés Azure est requis pour accorder le rôle Reader à l’administrateur Power Platform. Une fois le rôle Reader accordé, l’administrateur Power Platform peut afficher les stratégies d’entreprise dans le Centre d’administration Power Platform.

Note

Seuls, les administrateurs de Power Platform et Dynamics 365 ayant le rôle de lecteur pour la politique d’entreprise peuvent ajouter un environnement à la politique. D’autres administrateurs Power Platform ou Dynamics 365 peuvent afficher la politique d'entreprise, mais ils obtiennent une erreur lorsqu’ils tentent de Ajouter un environnement à la politique.

Accorder le rôle de lecteur à un administrateur Power Platform

  1. Connectez-vous au portail Azure.
  2. Copiez l’ID d’objet de l’administrateur de Power Platform ou de Dynamics 365. Pour ce faire :
    1. Accédez à la zone Users dans Azure.
    2. Dans la liste Tous les utilisateurs, trouvez l'utilisateur disposant des permissions d'administrateur Power Platform ou Dynamics 365 en utilisant Rechercher des utilisateurs.
    3. Ouvrez l’enregistrement de l’utilisateur, dans l’onglet Vue d’ensemble copiez l’ID d’objet de l’utilisateur. Collez-le dans un éditeur de texte, tel que le Bloc-notes, pour une utilisation ultérieure.
  3. Copiez l’ID de ressource de la stratégie d’entreprise. Pour ce faire :
    1. Accédez à Resource Graph Explorer dans Azure.
    2. Saisissez microsoft.powerplatform/enterprisepolicies dans la zone Rechercher , puis sélectionnez la ressource microsoft.powerplatform/enterprisepolicies.
    3. Sélectionnez Exécuter la requête dans la barre de commandes. Une liste de toutes les stratégies d’entreprise Power Platform s’affiche.
    4. Localisez la stratégie d’entreprise à laquelle vous souhaitez accorder l’accès.
    5. Faites défiler vers la droite de la stratégie d’entreprise et sélectionnez Voir les détails.
    6. Sur la page Détails , copiez l’ID.
  4. Démarrez Azure Cloud Shell, et exécutez la commande suivante en remplaçant objId par l’ID d’objet de l’utilisateur et EP Resource Id par l’ID enterprisepolicies copié aux étapes précédentes : New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Gérer le chiffrement de l’environnement

Pour gérer le chiffrement de l’environnement, l’autorisation suivante est nécessaire :

  • Utilisateur actif Microsoft Entra avec un rôle de sécurité d’administrateur Power Platform et/ou Dynamics 365.
  • Microsoft Entra utilisateur disposant d’un rôle d’administrateur de service Power Platform ou Dynamics 365.

L’administrateur du coffre de clés informe l’administrateur Power Platform qu’une clé de chiffrement et une stratégie d’entreprise ont été créées et fournit la stratégie d’entreprise à l’administrateur Power Platform. Pour activer la clé gérée par le client, l’administrateur Power Platform attribue ses environnements à la stratégie d’entreprise. Une fois l’environnement attribué et enregistré, Dataverse lance le processus de chiffrement pour définir toutes les données d’environnement et les chiffrer avec la clé gérée par le client.

Activer l’environnement géré à ajouter à la stratégie d’entreprise

  1. Connectez-vous au Centre d’administration Power Platform.
  2. Dans le volet de navigation, sélectionnez Gérer.
  3. Dans le volet Gérer , sélectionnez Environnements, puis sélectionnez un environnement dans la liste disponible des environnements.
  4. Cliquez sur Activer les environnements gérés.
  5. Sélectionnez Activer.

Ajouter un environnement à la stratégie d’entreprise pour chiffrer les données

Important

L’environnement est désactivé lorsqu’il est ajouté à la stratégie d’entreprise pour le chiffrement des données. La durée du temps d’arrêt du système dépend de la taille de la base de données. Nous vous recommandons d’effectuer un essai en faisant une copie de l’environnement cible dans un environnement de test afin de déterminer le temps d’arrêt estimé du système. Le temps d’arrêt du système peut être déterminé en vérifiant l’état de chiffrement de l’environnement. Le temps d’arrêt du système se situe entre les statuts de Chiffrement et Chiffrement - en ligne. Pour réduire les temps d’arrêt du système, nous modifions l’état du chiffrement en Chiffrement - en ligne lorsque toutes les étapes de chiffrement de base qui nécessitaient l’arrêt du système sont terminées. Le système peut être utilisé par vos utilisateurs pendant que les services de stockage restants, tels que la recherche et l’index Copilot, continuent à chiffrer les données avec votre clé gérée par le client.

  1. Connectez-vous au Centre d’administration Power Platform.
  2. Dans le volet de navigation, sélectionnez Sécurité.
  3. Dans le volet Sécurité , sélectionnez Données et confidentialité sous Paramètres.
  4. Sélectionnez Clé de chiffrement gérée par le client pour accéder à la page Stratégies d’entreprise.
  5. Sélectionnez la stratégie, puis sélectionnez Modifier la stratégie.
  6. Sélectionnez Ajouter des environnements, sélectionnez l’environnement souhaité, puis sélectionnez Continuer. Ajouter un environnement à une stratégie d’entreprise
  7. Sélectionnez Enregistrer, puis sélectionnez Confirmer.

Important

  • Seuls les environnements qui se trouvent dans la même région que la stratégie d’entreprise sont affichés dans la liste Ajouter des environnements.
  • Le chiffrement peut prendre jusqu’à quatre jours, mais l’environnement peut être activé avant la fin de l’opération Ajouter des environnements.
  • L’opération peut ne pas se terminer et, si elle échoue, vos données continuent d’être chiffrées avec la clé gérée par Microsoft. Vous pouvez réexécuter l’opération Ajouter des environnements.

Note

Vous ne pouvez ajouter que des environnements activés en tant qu’environnements gérés. Les types d’environnement de test et Teams ne peuvent pas être ajoutés à la stratégie d’entreprise.

Supprimer des environnements de la stratégie d’entreprise pour rétablir la clé gérée par Microsoft

Suivez ces étapes si vous souhaitez rétablir une clé de chiffrement gérée par Microsoft.

Important

L’environnement est désactivé lorsqu’il est supprimé de la stratégie d’entreprise pour rétablir le chiffrement des données à l'aide de la clé gérée par Microsoft.

  1. Connectez-vous au Centre d’administration Power Platform.
  2. Dans le volet de navigation, sélectionnez Sécurité.
  3. Dans le volet Sécurité , sélectionnez Données et confidentialité sous Paramètres.
  4. Sélectionnez Clé de chiffrement gérée par le client pour accéder à la page Stratégies d’entreprise.
  5. Sélectionnez l’onglet Environnement avec stratégies, puis recherchez l’environnement que vous souhaitez supprimer de la clé gérée par le client.
  6. Sélectionnez l’onglet Toutes les stratégies, sélectionnez l’environnement que vous avez vérifié à l’étape 2, puis sélectionnez Modifier la stratégie sur la barre de commandes. L’onglet Toutes les stratégies
  7. Sélectionnez Supprimer l’environnement sur la barre de commandes, sélectionnez l’environnement que vous souhaitez supprimer, puis sélectionnez Continuer.
  8. Cliquez sur Enregistrer.

Important

L’environnement est désactivé lorsqu’il est supprimé de la stratégie d’entreprise pour rétablir le chiffrement des données sur la clé gérée par Microsoft. Abstenez-vous de supprimer ou de désactiver la clé, de supprimer ou de désactiver le coffre de clés ou de supprimer les autorisations de la stratégie d’entreprise sur le coffre de clés. L’accès à la clé et au coffre de clés est nécessaire pour prendre en charge la restauration de la base de données. Vous pouvez supprimer et retirer les autorisations de la stratégie d’entreprise au bout de 30 jours.

Vérifier le statut de chiffrement de l’environnement

Examiner le statut de chiffrement à partir des stratégies d’entreprise

  1. Connectez-vous au Centre d’administration Power Platform.

  2. Dans le volet de navigation, sélectionnez Sécurité.

  3. Dans le volet Sécurité , sélectionnez Données et confidentialité sous Paramètres.

  4. Sélectionnez Clé de chiffrement gérée par le client pour accéder à la page Stratégies d’entreprise.

  5. Sélectionnez une stratégie, puis Modifier la stratégie dans la barre de commandes.

  6. Examinez le Statut de chiffrement de l’environnement dans la section Environnements avec cette stratégie.

    Note

    Le statut de chiffrement de l’environnement peut être :

    • Chiffrement : le processus de chiffrement de clé géré par le client est en cours d’exécution et le système est désactivé pour une utilisation en ligne.

    • Chiffrement - en ligne : le chiffrement de tous les services de base qui nécessitait un temps d’arrêt du système est terminé et le système est activé pour une utilisation en ligne.

    • Chiffré : la clé de chiffrement de la stratégie d’entreprise est active et l’environnement est chiffré avec votre clé.

    • Rétablissement : la clé de chiffrement passe d’une clé gérée par le client à une clé gérée par Microsoft et le système est désactivé pour une utilisation en ligne.

    • Rétablissement - en ligne : tous les services de chiffrement essentiels qui nécessitaient une interruption du système ont réinitialisé la clé et le système est à nouveau disponible en ligne.

    • Clé gérée par Microsoft : le chiffrement de clé géré par Microsoft est actif.

    • Échec : la clé de chiffrement de la stratégie d’entreprise n’est pas utilisée par tous les services de stockage Dataverse. Leur traitement nécessite plus de temps et vous pouvez réexécuter l’opération Ajouter un environnement. Contactez le support si l'opération de réexécution échoue.

      Un statut de chiffrement Échec n’a pas d’impact sur les données de votre environnement et ses opérations. Cela signifie que certains services de stockage Dataverse chiffrent vos données avec votre clé et que d’autres continuent d’utiliser la clé gérée par Microsoft. Un rétablissement n’est pas recommandé, car lorsque vous réexécutez l’opération Ajouter un environnement , le service reprend à partir de l’endroit où il s’est arrêté.

    • Avertissement : la clé de chiffrement de la stratégie d’entreprise est active et les données de l’un des services continuent d’être chiffrées avec la clé gérée par Microsoft. En savoir plus dans les messages d’avertissement de l’application CMK de Power Automate.

Examiner le statut de chiffrement sur la page Historique de l’environnement

Vous pouvez voir l’historique de l’environnement.

  1. Connectez-vous au Centre d’administration Power Platform.

  2. Dans le volet de navigation, sélectionnez Gérer.

  3. Dans le volet Gérer , sélectionnez Environnements, puis sélectionnez un environnement dans la liste disponible des environnements.

  4. Dans la barre de commandes, sélectionnez Historique.

  5. Recherchez l’historique de la Mise à jour de la clé gérée par le client.

    Note

    Le Statut indique En cours d’exécution lorsque le chiffrement est en cours. Il indique Succès lorsque le chiffrement est terminé. Le statut indique Échec lorsqu’il y a un problème avec l’un des services qui ne parvient pas à appliquer la clé de chiffrement.

    Un état d’échec peut être un avertissement et vous n’avez pas besoin de réexécuter l’option Ajouter un environnement . Vous pouvez confirmer s’il s’agit d’un avertissement.

Modifier la clé de chiffrement de l’environnement avec une nouvelle stratégie et clé d’entreprise

Pour modifier votre clé de chiffrement, créez une nouvelle clé et une nouvelle stratégie d’entreprise. Vous pouvez ensuite modifier la stratégie d’entreprise en supprimant les environnements puis en les ajoutant à la nouvelle stratégie d’entreprise. Le système est arrêté deux fois lors du passage à une nouvelle stratégie d’entreprise – 1) pour rétablir le chiffrement sur la clé gérée par Microsoft et 2) pour appliquer la nouvelle stratégie d’entreprise.

Conseil

Pour effectuer une rotation de la clé de chiffrement, nous vous recommandons d’utiliser la Nouvelle version des coffres de clés ou de définir une Stratégie de rotation.

  1. Dans le portail Azure, créez une clé et une nouvelle stratégie d’entreprise. Pour plus d’informations : Créer une clé de chiffrement et accorder l’accès et Créer une stratégie d’entreprise
  2. Accordez à la nouvelle stratégie d’entreprise l’accès à l’ancienne clé.
  3. Une fois la nouvelle clé et la nouvelle stratégie d’entreprise créées, connectez-vous au centre d'administration Power Platform.
  4. Dans le volet de navigation, sélectionnez Sécurité.
  5. Dans le volet Sécurité , sélectionnez Données et confidentialité sous Paramètres.
  6. Sélectionnez Clé de chiffrement gérée par le client pour accéder à la page Stratégies d’entreprise.
  7. Sélectionnez l’onglet Environnement avec stratégies, puis recherchez l’environnement que vous souhaitez supprimer de la clé gérée par le client.
  8. Sélectionnez l’onglet Toutes les stratégies, sélectionnez l’environnement que vous avez vérifié à l’étape 2, puis sélectionnez Modifier la stratégie sur la barre de commandes. Modifier les stratégies d’entreprise
  9. Sélectionnez Supprimer l’environnement sur la barre de commandes, sélectionnez l’environnement que vous souhaitez supprimer, puis sélectionnez Continuer.
  10. Cliquez sur Enregistrer.
  11. Répétez les étapes 2 à 10 jusqu’à ce que tous les environnements de la stratégie d’entreprise aient été supprimés.

Important

L’environnement est désactivé lorsqu’il est supprimé de la stratégie d’entreprise pour rétablir le chiffrement des données sur la clé gérée par Microsoft. Abstenez-vous de supprimer ou de désactiver la clé, de supprimer ou de désactiver le coffre de clés ou de supprimer les autorisations de la stratégie d’entreprise sur le coffre de clés. Accordez à la nouvelle stratégie d’entreprise l’accès à l’ancienne coffre de clés. L’accès à la clé et au coffre de clés est nécessaire pour prendre en charge la restauration de la base de données. Vous pouvez supprimer les autorisations de la stratégie d’entreprise après 30 jours.

  1. Une fois tous les environnements supprimés, dans le centre d’administration Power Platform, accédez à Stratégies d’entreprise.
  2. Sélectionnez la nouvelle stratégie d’entreprise, puis sélectionnez Modifier la stratégie.
  3. Sélectionnez Ajouter un environnement, sélectionnez les environnements que vous souhaitez ajouter, puis sélectionnez Continuer.

Important

L’environnement est désactivé lorsqu’il est ajouté à la nouvelle stratégie d’entreprise.

Faites pivoter la clé de chiffrement de l’environnement avec une nouvelle version de clé

Vous pouvez modifier la clé de chiffrement de l’environnement en créant une nouvelle version de la clé. Lorsque vous créez une nouvelle version de la clé, celle-ci est automatiquement activée. Toutes les ressources de stockage détectent la nouvelle version de la clé et commencent à l’appliquer pour chiffrer vos données.

Lorsque vous modifiez la clé ou la version de la clé, la protection de la clé de chiffrement racine est modifiée, mais les données du stockage restent toujours chiffrées avec votre clé. Aucune autre action n’est requise de votre part pour garantir la protection de vos données. La rotation de la version de la clé n’a pas d’impact sur les performances. Il n’y a aucun temps d’arrêt associé à la rotation de la version clé. Cela peut prendre 24 heures pour que tous les fournisseurs de ressources appliquent la nouvelle version de la clé en arrière-plan. La version précédente de la clé ne doit pas être désactivée car elle doit être utilisée par le service pour le rechiffrement et pour la prise en charge de la restauration de la base de données.

Pour faire pivoter la clé de chiffrement en créant une nouvelle version de la clé, procédez comme suit.

  1. Accédez au portail Azure>Key Vaults et recherchez le coffre de clés dans lequel vous souhaitez créer une nouvelle version de clé.
  2. Accédez à Clés.
  3. Sélectionnez la clé activée actuelle.
  4. Sélectionnez + Nouvelle version.
  5. Le paramètre Activé est défini par défaut sur Oui, ce qui signifie que la nouvelle version de la clé est automatiquement activée lors de la création.
  6. Cliquez sur Créer.

Conseil

Pour vous conformer à votre stratégie de rotation de clés, vous pouvez alterner la clé de chiffrement à l’aide de la Stratégie de rotation. Vous pouvez soit configurer une politique de rotation, soit effectuer une rotation, à la demande, en appelant Pivoter maintenant.

Important

La nouvelle version de la clé est automatiquement pivotée en arrière-plan et aucune action n’est requise de la part de l’administrateur Power Platform. Il est important que la version précédente de la clé ne soit pas désactivée ou supprimée pendant au moins 28 jours pour prendre en charge la restauration de la base de données. Si vous désactivez ou supprimez trop tôt la version précédente de la clé, votre environnement peut se déconnecter.

Afficher la liste des environnements chiffrés

  1. Connectez-vous au Centre d’administration Power Platform.
  2. Dans le volet de navigation, sélectionnez Sécurité.
  3. Dans le volet Sécurité , sélectionnez Données et confidentialité sous Paramètres.
  4. Sélectionnez Clé de chiffrement gérée par le client pour accéder à la page Stratégies d’entreprise.
  5. Sur la page Stratégies d’entreprise, sélectionnez l’onglet Environnements avec stratégies. La liste des environnements ajoutés aux stratégies d’entreprise s’affiche.

Note

Il peut y avoir des situations où le Statut de l’environnement ou le Statut du chiffrement affiche un statut Échec. Lorsque cela se produit, vous pouvez essayer de réexécuter l’environnement Add ou envoyer une demande d’aide Microsoft Support.

Opérations de la base de données de l’environnement

Un client du client peut avoir des environnements chiffrés à l’aide de la clé gérée par Microsoft et des environnements chiffrés avec la clé gérée par le client. Pour maintenir l’intégrité et la protection des données, les contrôles suivants sont disponibles lors de la gestion des opérations de base de données d’environnement.

  • Restaurer L’environnement à remplacer (l’environnement de restauration) est limité au même environnement à partir duquel la sauvegarde a été effectuée ou vers un autre environnement chiffré avec la même clé gérée par le client.

    Restaurer la sauvegarde

  • Copy

    L’environnement à remplacer (l’environnement de copie) est restreint à un autre environnement chiffré avec la même clé gérée par le client.

    Copier l’environnement

    Note

    Si un environnement Examen du support a été créé pour résoudre le problème de support dans un environnement géré par le client, la clé de chiffrement de l’environnement Examen du support doit être remplacée par la clé gérée par le client avant de pouvoir exécuter l’opération de l’environnement de copie.

  • Réinitialiser Les données chiffrées de l’environnement sont supprimées, y compris les sauvegardes. Une fois l’environnement réinitialisé, le chiffrement de l’environnement rétablit la clé gérée par Microsoft.

Étapes suivantes

À propos d’Azure Key Vault

  • Last updated on