顧客管理型環境の暗号化キーを管理する

お客様には、保管中のデータを暗号化してデータを保護するためのデータ プライバシーとコンプライアンスの要件があります。 これにより、データベースのコピーが盗まれた場合にデータが公開されないように保護されます。 保管時のデータ暗号化により、盗まれたデータベース データは、暗号化キーなしで別のサーバーに復元されることから保護されます。

Power Platform に格納されているすべての顧客データは、既定で Microsoft が管理する強力な暗号化キーを使用して保存時に暗号化されます。 Microsoft がすべてのデータのデータベース暗号化キーを保存および管理するため、ユーザーによる管理は不要です。 ただし、Power Platform では、Microsoft Dataverse環境に関連付けられているデータベース暗号化キーを自己管理できる、追加されたデータ保護コントロール用に、このカスタマー マネージド暗号化キー (CMK) が提供されます。 これにより、オンデマンドで暗号化キーをローテーションまたは入れ替えることができます。さらに、必要に応じてサービスへのキー アクセスを取り消すと、Microsoft がお客様のデータにアクセスするのを防ぐこともできます。

Power Platform のカスタマー マネージド キーの詳細については、カスタマー マネージド キーのビデオを参照してください。

これらの暗号化キーの操作は、カスタマー マネージド キー (CMK) で利用できます:

• Azure Key Vault から RSA (RSA-HSM) キーを作成します。
• キーの Power Platform エンタープライズ ポリシーを作成します。
• キー コンテナーにアクセスするための Power Platform エンタープライズ ポリシーのアクセス許可を付与します。
• Power Platform サービス管理者にエンタープライズ ポリシーの読み取りを許可します。
• 環境に暗号化キーを適用します。
• 環境の CMK 暗号化を Microsoft 管理キーに戻すか、削除します。
• キーを変更するには、新しいエンタープライズ ポリシーを作成し、CMK から環境を削除して、新しいエンタープライズ ポリシーで CMK を再適用します。
• CMK キー コンテナーやキーのアクセス許可を取り消して、CMK 環境をロックします。
• CMK キーを適用して、Bring Your Own Key (BYOK) 環境を CMK に移行します。

現在、次のアプリとサービスにのみ保存されているすべての顧客データは、カスタマー マネージド キーで暗号化できます。

商用クラウド

• Dataverse (カスタム ソリューションと Microsoft サービス)
• モデル駆動型アプリの Dataverse Copilot
• Power Automate
• Dynamics 365のチャット
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance (財務と運用)
• Intelligent Order Management (財務と運用)
• Dynamics 365 Project Operations (財務と運用)
• Dynamics 365 Supply Chain Management (財務と運用)
• Dynamics 365 Fraud Protection (財務と運用)
• Copilot Studio

Sovereign Cloud - GCC High

• Dataverse (カスタム ソリューションと Microsoft サービス)
• モデル駆動型アプリの Dataverse Copilot
• Dynamics 365のチャット
• Dynamics 365 Sales
• Dynamics 365 Customer Service
• Dynamics 365 Customer Insights - Data
• Copilot Studio

Power Platform 統合が有効 になっている財務と運用アプリのある環境も暗号化できます。 Power Platform の統合が行われていない財務と運用の環境では、データの暗号化に引き続き既定の Microsoft マネージド キーが使用されます。 詳細は、財務と運用アプリにおける暗号化を参照してください。

Power Platform のカスタマー マネージド暗号化キー

カスタマー マネージド キーの概要

管理者は、カスタマー マネージド キーを使用して、独自のAzure Key Vaultから Power Platform ストレージ サービスに独自の暗号化キーを提供して、顧客データを暗号化できます。 Microsoft は、Azure Key Vaultに直接アクセスすることはできません。 Power Platform サービスがAzure Key Vaultから暗号化キーにアクセスするには、管理者が Power Platform エンタープライズ ポリシーを作成します。このポリシーは暗号化キーを参照し、Azure Key Vaultからキーを読み取るためのアクセス権をこのエンタープライズ ポリシーに付与します。

Power Platform サービス管理者は、エンタープライズ ポリシーに Dataverse 環境を追加して、環境内のすべての顧客データを暗号化キーを使用して暗号化できます。 管理者は、別のエンタープライズ ポリシーを作成して環境の暗号化キーを変更し、(環境を削除した後に) 新しいエンタープライズ ポリシーに環境を追加できます。 カスタマー マネージド キーを使用して環境を暗号化する必要がなくなった場合、管理者はエンタープライズ ポリシーから Dataverse 環境を削除して、データの暗号化をマイクロソフト マネージド キーに戻すことができます。

管理者は、エンタープライズ ポリシーからキー アクセスを取り消すことでカスタマー マネージド キー環境をロックし、キー アクセスを復元することで環境のロックを解除できます。 詳細情報: Key Vault やキーのアクセス許可を取り消して環境をロックする

キー管理タスクを簡素化するために、タスクを 3 つの主な領域に分割します。

1. 暗号化キーを作成します。
2. エンタープライズ ポリシーを作成し、アクセスを許可します。
3. 環境の暗号化を管理します。

カスタマー マネージド キーのライセンス要件

カスタマー マネージド キー ポリシーは、マネージド環境用にアクティブ化された環境にのみ適用されます。 マネージド環境は、Premium の使用権を付与するスタンドアロン Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages、およびDynamics 365 ライセンスの権利として含まれます。 Managed Environment のライセンスの詳細については、Microsoft Power Platform の Licensing の概要を参照してください。

さらに、Microsoft Power PlatformとDynamics 365にカスタマー マネージド キーを使用するアクセスには、暗号化キー ポリシーが適用されている環境のユーザーに、次のいずれかのサブスクリプションが必要です。

• Microsoft 365または Office 365 A5/E5/G5
• Microsoft 365 a5/e5/f5/g5 コンプライアンス
• Microsoft 365 F5 セキュリティとコンプライアンス
• Microsoft 365 A5/E5/F5/G5 情報保護およびガバナンス
• Microsoft 365 a5/e5/f5/g5 Insider Risk Management

これらライセンスに関する詳細情報。

キーを管理する場合の潜在的なリスクを理解する

ビジネス クリティカルなアプリケーションと同様に、管理レベルのアクセス権を持つ組織内の担当者は、信頼される必要があります。 管理キー機能を使用する前に、データベース暗号化キーを管理する場合のリスクを理解しておく必要があります。 組織内で働く悪意のある管理者 (組織のセキュリティやビジネス プロセスに悪影響を与えるために管理者レベルのアクセス権が付与されている、または取得されている人) が、管理キー機能を使用してキーを作成し、それを使用してテナント内の環境をロックする場合があります。

次の一連のイベントを検討します。

悪意のあるキー コンテナー管理者は、Azure ポータルにキーとエンタープライズ ポリシーを作成します。 Azure Key Vault管理者は Power Platform 管理センターに移動し、環境をエンタープライズ ポリシーに追加します。 その後、悪意のある管理者はAzure ポータルに戻り、エンタープライズ ポリシーへのキー アクセスを取り消して、すべての環境をロックします。 これにより、すべての環境にアクセスできなくなり、ビジネスの中断が発生します。このイベントが解決されない場合、つまりキー アクセスが復元されない場合、環境データが失われる可能性があります。

リスクを軽減するための職務の分離

このセクションでは、各管理者ロールが担当するカスタマー マネージド キー機能の職務について説明します。 これらのタスクを分離することで、カスタマー マネージド キーに関連するリスクを軽減できます。

Azure Key Vaultおよび Power Platform/Dynamics 365 サービス管理タスク

カスタマー マネージド キーを有効にするには、まず、キー コンテナー管理者が Azure キー コンテナーにキーを作成し、Power Platform エンタープライズ ポリシーを作成します。 エンタープライズ ポリシーが作成されると、特別なMicrosoft Entra IDマネージド ID が作成されます。 次に、キー コンテナー管理者が Azure キー コンテナーに戻り、エンタープライズ ポリシー/マネージド ID に暗号化キーへのアクセスを許可します。

その後、キー コンテナー管理者は、それぞれの Power Platform/Dynamics 365 サービス管理者にエンタープライズ ポリシーへの読み取りアクセス権を付与します。 読み取りアクセス許可が付与されると、Power Platform/Dynamics 365 サービス管理者は Power Platform 管理センターに移動し、環境をエンタープライズ ポリシーに追加できます。 追加されたすべての環境の顧客データは、このエンタープライズ ポリシーにリンクされたカスタマー マネージド キーで暗号化されます。

前提条件

• Azure Key VaultまたはAzure Key Vault マネージド ハードウェア セキュリティ モジュールを含むAzure サブスクリプション。
• 次の条件を備えたMicrosoft Entra ID。
  • Microsoft Entra サブスクリプションに対する共同作成者アクセス許可。
  • Azure Key Vaultとキーを作成するためのアクセス権。
  • リソース グループを作成するためのアクセス。 これは、キー コンテナーを設定するために必要です。

キーを作成し、Azure Key Vaultを使用してアクセス権を付与する

Azure Key Vault管理者は、Azureでこれらのタスクを実行します。

1. Azure有料サブスクリプションとKey Vaultを作成します。 Azure Key Vaultを含むサブスクリプションが既にある場合は、この手順を無視します。
2. Azure Key Vault サービスに移動し、キーを作成します。 詳細: キー コンテナーにキーを作成する
3. Azure サブスクリプションの Power Platform エンタープライズ ポリシー サービスを有効にします。 これは一度だけ行ってください。 詳細: Azure サブスクリプションの Power Platform エンタープライズ ポリシー サービスを有効にします
4. Power Platform エンタープライズ ポリシーを作成します。 詳細: エンタープライズ ポリシーの作成
5. キー コンテナーにアクセスするためのエンタープライズ ポリシーのアクセス許可を付与します。 詳細: キー コンテナーにアクセスするためのエンタープライズ ポリシーのアクセス許可を付与する
6. Power Platform とDynamics 365管理者にエンタープライズ ポリシーを読み取るアクセス許可を付与します。 詳細: エンタープライズ ポリシーを読み取るための Power Platform 管理者権限を付与する

Power Platform/Dynamics 365 サービス管理者 Power Platform 管理センターのタスク

前提条件

Power Platform 管理者は、Power Platform または Dynamics 365 サービス管理者の Microsoft Entra ロールに割り当てる必要があります。

Power Platform 管理センターで環境の暗号化を管理する

Power Platform 管理者は、Power Platform 管理センターで環境に関連するカスタマー マネージド キー タスクを管理します。

1. Power Platform 環境をエンタープライズ ポリシーに追加して、カスタマー マネージド キーを使用してデータを暗号化します。 詳細: エンタープライズ ポリシーに環境を追加してデータを暗号化する
2. エンタープライズ ポリシーから環境を削除して、暗号化をマイクロソフト管理キーに戻します。 詳細: ポリシーから環境を削除して、暗号化を Microsoft マネージド キーに戻す
3. 古いエンタープライズ ポリシーから環境を削除し、新しいエンタープライズ ポリシーに環境を追加して、キーを変更します。 詳細: 暗号化キーを作成してアクセスを許可する
4. BYOK から移行します。 以前の自己管理暗号化キー機能を使用している場合は、キーをカスタマー マネージド キーに移行できます。 詳細は、Bring Your Own Key 環境をカスタマー マネージド キーに移行するを参照してください。

暗号化キーの作成とアクセスの許可

Azure有料サブスクリプションとキー コンテナーを作成する

Azureで、次の手順に従います。

1. 従量課金制または同等のAzure サブスクリプションを作成します。 テナントが既にサブスクリプションを持っている場合、この手順は必要ありません。

2. リソース グループを作成します。 詳細: リソース グループを作成する

   メモ

   米国など、Power Platform 環境のリージョンに一致する場所 (米国中部など) を持つリソース グループを作成または使用します。

3. 前の手順で作成したリソース グループで、論理的な削除とパージ保護を含む有料サブスクリプションを使用してキー コンテナーを作成します。

   重要

   環境が暗号化キーの偶発的な削除から確実に保護されるようにするには、キー コンテナーで論理的な削除と消去保護が有効になっている必要があります。 これらの設定を有効にしないと、独自のキーで環境を暗号化することはできません。 詳細: Azure Key Vaultソフト削除の概要 詳細情報: Azureポータルを使用してキー ボールトを作成する

キー コンテナーでキーを作成する

1. 前提条件が満たされていることを確認します。
2. Azure ポータル>Key Vault に移動し、暗号化キーを生成するkey vaultを見つけます。
3. Azure Key Vault の設定を確認する。
   1. 設定でプロパティを選択します。
   2. 論理的な削除で、このキー コンテナーで論理的な削除が有効になっていますオプションに設定するか、設定されていることを確認します。
   3. パージ保護で、パージ保護を有効にする (削除されたキー コンテナおよびキー コンテナ オブジェクトに必須なリテンション期間を強制適用する) を有効に設定するか、有効になっていることを確認します。
   4. 変更を行うには、保存を選択します。

RSA キーを作成する

1. 次のプロパティを持つキーを作成またはインポートします。

   1. Key Vault プロパティ ページで、Keys を選択します。
   2. 生成 / インポート を選択します。
   3. キーの作成画面で次の値を設定し、作成を選択します。
      • オプション: 生成
      • 名前: キーの名前を指定します
      • キーの種類: RSA
      • RSA キー サイズ: 2048 または 3072

   重要

   キーに 有効期限 を設定し、そのキーの有効期限が切れた場合、このキーで暗号化されたすべての環境が停止します。 アラートを設定して、証明書の有効期限を監視し、ローカルの Power Platform 管理者と Azure Key Vault 管理者にメール通知を送信して、有効期限を更新するリマインダーとします。 これは、サービス機能停止を防グために重要です。

ハードウェア セキュリティ モジュール (HSM) の保護されたキーをインポートする

ハードウェア セキュリティ モジュール (HSM) の保護されたキーを使用して、Power Platform Dataverse 環境を暗号化できます。 エンタープライズ ポリシーを作成できるように、HSM で保護されたキーをキー コンテナーにインポートする必要があります。 詳細については、「Supported HSMIMport HSM で保護されたキーを Key Vault (BYOK)にインポートする」を参照してください。

Azure Key Vault Managed HSM でキーを作成する

Azure Key Vault Managed HSM から作成された暗号化キーを使用して、環境データを暗号化できます。 これにより、FIPS 140-2 レベル 3 のサポートが得られます。

RSA-HSM キーを作成する

1. 前提条件が満たされていることを確認します。

2. Azure ポータルに移動します。

3. マネージド HSM の作成:

   1. マネージド HSM のプロビジョニング。
   2. マネージド HSM のアクティブ化。

4. マネージド HSM で パージ保護 を有効にします。

5. マネージド HSM キー コンテナーを作成したユーザーに、 マネージド HSM 暗号化ユーザー ロールを付与します。

   1. Azure ポータルで Managed HSM キー コンテナーにアクセスします。
   2. Local RBAC に移動して + 追加 選択します。
   3. 役割 ドロップダウン リストで、役割の割り当て ページの 管理された HSM 暗号化ユーザー の役割を選択します。
   4. スコープ で すべてのキー を選択します。
   5. セキュリティ プリンシパルの選択 を選択し、プリンシパルの追加 ページで管理者を選択します。
   6. 作成 を選択します。

6. RSA-HSM キーを作成します。

   • オプション: 生成
   • 名前: キーの名前を指定します
   • キーの種類: RSA-HSM
   • RSA キー サイズ: 2048

   メモ

   サポートされている RSA-HSM キー サイズ: 2048 ビットと 3072 ビット。

プライベート リンクを使用してAzure Key Vaultのキーを使用して環境を暗号化する

Azure Key Vault のネットワークを更新するには、private エンドポイントを有効にし>キー コンテナー内のキーを使用して Power Platform 環境を暗号化します。

新しいキー コンテナーを作成してプライベート リンク接続を確立する か、既存のキー コンテナーへのプライベート リンク接続を確立する かのどちらかを行い、このキー コンテナーからキーを作成し、それを使用して環境を暗号化することができます。 すでにキーを作成した後で 既存のキー コンテナーへのプライベート リンク接続を確立 し、それを使用して環境を暗号化することもできます。

プライベート リンクを使用してキー コンテナーのキーでデータを暗号化する

1. 次のオプションを使用して、Azure Key Vault を作成します。

   • パージ保護 を有効にする
   • キー タイプ: RSA
   • キー サイズ: 2048 または 3072

2. エンタープライズ ポリシーの作成に使用するキー コンテナー URL、暗号化キーの URL をコピーします。

   メモ

   プライベート エンドポイントをキー コンテナーに追加するか、パブリック アクセス ネットワークを無効にすると、適切なアクセス許可がない限り、キーを表示できなくなります。

3. 仮想ネットワーク を作成します。

4. キー ボールトに戻り、Azure Key Vault にプライベート エンドポイント接続を追加します。

   メモ

   パブリック アクセスを無効にする ネットワーク オプションを選択し、信頼できる Microsoft サービスがこのファイアウォールをバイパスすることを許可する 例外を有効にする必要があります。

5. Power Platform エンタープライズ ポリシーを作成します。 詳細: エンタープライズ ポリシーの作成

6. キー コンテナーにアクセスするためのエンタープライズ ポリシーのアクセス許可を付与します。 詳細: キー コンテナーにアクセスするためのエンタープライズ ポリシーのアクセス許可を付与する

7. Power Platform とDynamics 365管理者にエンタープライズ ポリシーを読み取るアクセス許可を付与します。 詳細: エンタープライズ ポリシーを読み取るための Power Platform 管理者権限を付与する

8. Power Platform 管理センターの管理者は、暗号化する環境を選択し、マネージド環境を有効にします。 詳細: エンタープライズ ポリシーに追加するマネージド環境を有効にする

9. Power Platform 管理センターの管理者は、マネージド環境をエンタープライズ ポリシーに追加します。 詳細: エンタープライズ ポリシーに環境を追加してデータを暗号化する

Azure サブスクリプションの Power Platform エンタープライズ ポリシー サービスを有効にする

リソース プロバイダーとして Power Platform を登録します。 このタスクは、Azure Key Vault が存在するAzureサブスクリプションごとに 1 回だけ実行する必要があります。 リソースプロバイダーを登録するには、サブスクリプションへのアクセス権が必要です。

1. Azure portal にサインインし、「サブスクリプション」および「リソースプロバイダー」に移動します。
2. リソース プロバイダーのリストで、Microsoft.PowerPlatform を検索し、登録します。

エンタープライズ ポリシーを作成する

1. PowerShell MSI をインストールします。 詳細情報: Windows、Linux、および macOS に PowerShell をインストールする
2. PowerShell MSI がインストールされたら、Azureでカスタム テンプレートをデプロイします。
3. 独自のテンプレートをエディターに作成リンクを選択します。
4. この JSON テンプレート をメモ帳などのテキスト エディターにコピーします。 詳細: エンタープライズ ポリシー json テンプレート
5. JSON テンプレート内の次の値を置き換えます: EnterprisePolicyName、EnterprisePolicy を作成する必要がある場所、 keyVaultId、および keyName。 詳細: json テンプレートのフィールド定義
6. テキスト エディターから更新されたテンプレートをコピーし、Azureの Custom 配置のEdit テンプレートに貼り付け、Save を選択します。
7. エンタープライズ ポリシーを作成するサブスクリプションとリソース グループを選択します。
8. レビュー + 作成を選択し、次に作成を選択します。

デプロイが開始されます。 完了すると、エンタープライズ ポリシーが作成されます。

エンタープライズ ポリシー json テンプレート

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON テンプレートのフィールド定義

• 名前。 エンタープライズ ポリシーの名前。 これは、Power Platform 管理センターに表示されるポリシーの名前です。

• 場所。 次のいずれかです。 これはエンタープライズ ポリシーの場所であり、Dataverse 環境のリージョンに対応している必要があります。

  • '"unitedstates"'
  • '"southafrica"'
  • '"uk"'
  • '"japan"'
  • '"india"'
  • '"france"'
  • '"europe"'
  • '"germany"'
  • '"switzerland"'
  • '"canada"'
  • '"brazil"'
  • '"australia"'
  • '"asia"'
  • '"uae"'
  • '"korea"'
  • '"norway"'
  • '"singapore"'
  • '"sweden"'

• Azure ポータルでキー コンテナーのプロパティから次の値をコピーします。

  • keyVaultId: キー コンテナー キー コンテナーを選択する 概要 に移動します。 Essentials の横で、JSON ビューを選択します。 リソース ID をクリップボードにコピーし、コンテンツ全体を JSON テンプレートに貼り付けます。
  • keyName: キー コンテナー キー コンテナーを選択する キー に移動します。 キーの名前に注目し、JSON テンプレートに名前を入力します。

キー コンテナーにアクセスするためのエンタープライズ ポリシーのアクセス許可を付与する

エンタープライズ ポリシーが作成されたら、キー コンテナー管理者がエンタープライズ ポリシー/マネージド ID に暗号化キーへのアクセスを許可します。

1. Azure ポータルにサインインし、キー コンテナーに移動します。
2. キーがエンタープライズ ポリシーに割り当てられたキー コンテナーを選択します。
3. アクセス制御 (IAM) タブを選択してから、+ 追加 を選択します。
4. ドロップダウン リストから ロールの割り当ての追加 を選択します
5. Key Vault Crypto Service Encryption User を検索して選択します。
6. 次へを選択します。
7. + メンバーの選択 を選択します。
8. 作成したエンタープライズ ポリシーを検索します。
9. エンタープライズ ポリシーを選択し、選択 を選択します。
10. レビュー+ 割り当て を選択します。

上記のアクセス許可の設定は、キー ボールトのPermission modelであるAzure ロールベースアクセス制御に基づいています。 キー コンテナーが 資格情報コンテナー アクセス ポリシー に設定されている場合は、ロールベース モデルに移行することをお勧めします。 資格情報コンテナー アクセス ポリシー を使用してエンタープライズ ポリシーにキー コンテナーへのアクセスを許可するには、アクセス ポリシーを作成し、キー管理操作 で 取得 を選択し、暗号化操作 で アンラップ キ― と ラップ キー を選択します。

Power Platform 管理特権にエンタープライズ ポリシーの読み取りを許可する

Dynamics 365または Power Platform の管理ロールを持つ管理者は、Power Platform 管理センターにアクセスして、環境をエンタープライズ ポリシーに割り当てることができます。 エンタープライズ ポリシーにアクセスするには、Azure Key Vault アクセス権を持つ管理者が、Reader ロールを Power Platform 管理者に付与する必要があります。Reader ロールが付与されると、Power Platform 管理者は Power Platform 管理センターでエンタープライズ ポリシーを表示できます。

閲覧者ロールを Power Platform 管理者に付与する

1. Azure ポータルにサインインします。
2. Power Platform または Dynamics 365 の管理者のオブジェクト ID をコピーします。 これを行うには、次のようにします。
   1. Azureの Users 領域に移動します。
   2. すべてのユーザー リストで、ユーザーの検索を使用して Power Platform または Dynamics 365 の管理者権限を持つユーザーを見つけます。
   3. ユーザー レコードを開き、概要タブでユーザーのオブジェクト ID をコピーします。 後でメモ帳などのテキスト エディターにこれを貼り付けます。
3. エンタープライズ ポリシー リソース ID をコピーします。 これを行うには、次のようにします。
   1. Azureの Resource Graph Explorer に移動します。
   2. ボックスに と入力し、microsoft.powerplatform/enterprisepolicies リソースを選択します。
   3. コマンド バーで、クエリの実行を選択します。 すべての Power Platform エンタープライズ ポリシーの一覧が表示されます。
   4. アクセスを許可するエンタープライズ ポリシーを見つけます。
   5. エンタープライズ ポリシーの右にスクロールし、詳細を表示を選択します。
   6. 詳細ページで、id をコピーします。
4. start Azure Cloud Shell, 次のコマンドを実行して、objId をユーザーのオブジェクト ID に置き換え、EP リソース ID を前の手順でコピーした enterprisepolicies ID に置き換えます: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

環境の暗号化を管理する

環境の暗号化を管理するには、次のアクセス許可が必要です。

• Microsoft Entra のアクティブユーザーであり、Power Platform および/または Dynamics 365 の管理者セキュリティロールを持つユーザー。
• Microsoft Entra ユーザーで、Power Platform または Dynamics 365 サービス管理者ロールを持っているユーザー。

キー コンテナー管理者は、暗号化キーとエンタープライズ ポリシーが作成されたことを Power Platform 管理者に通知し、エンタープライズ ポリシーを Power Platform 管理者に提供します。カスタマー マネージド キーを有効にするには、Power Platform 管理者が環境をエンタープライズ ポリシーに割り当てます。 環境が割り当てられて保存されると、Dataverse により暗号化プロセスが開始されて、すべての環境データが設定され、カスタマー マネージド キーで暗号化されます。

エンタープライズ ポリシーに追加するマネージド環境を有効にする

1. Power Platform 管理センター にサインインします。
2. ナビゲーション ウィンドウで、管理 を選択します。
3. [ 管理 ] ウィンドウで 、[ 環境] を選択し、使用可能な環境の一覧から環境を選択します。
4. マネージド環境を有効にするを選択します。
5. 有効にする を選択します。

エンタープライズ ポリシーに環境を追加してデータを暗号化する

1. Power Platform 管理センター にサインインします。
2. ナビゲーション ウィンドウで、セキュリティ を選択します。
3. セキュリティ ペインで、設定の下のデータとプライバシーを選択します。
4. カスタマー マネージド暗号化キー を選択して、エンタープライズ ポリシー ページに移動します。
5. ポリシーを選択し、ポリシーの編集を選択します。
6. 環境の追加を選択してから、目的の環境を選択し、続行を選択します。 エンタープライズ ポリシーに環境を追加する
7. 保存を選択し、確認を選択します。

ポリシーから環境を削除して、Microsoft マネージド キーに戻します

マイクロソフト管理の暗号化キーに戻す場合は、次の手順に従います。

1. Power Platform 管理センター にサインインします。
2. ナビゲーション ウィンドウで、セキュリティ を選択します。
3. セキュリティ ペインで、設定の下のデータとプライバシーを選択します。
4. カスタマー マネージド暗号化キー を選択して、エンタープライズ ポリシー ページに移動します。
5. ポリシーのある環境タブを選択し、カスタマー マネージド キーから削除する環境を見つけます。
6. すべてのポリシータブを選択し、手順 2 で確認した環境を選択して、コマンド バーでポリシーの編集を選択します。 すべてのポリシー タブ
7. コマンド バーで環境の削除を選択し、削除する環境を選択して続行を選択します。
8. 保存を選択します。

環境の暗号化ステータスを確認する

エンタープライズ ポリシーから暗号化ステータスを確認する

1. Power Platform 管理センター にサインインします。

2. ナビゲーション ウィンドウで、セキュリティ を選択します。

3. セキュリティ ペインで、設定の下のデータとプライバシーを選択します。

4. カスタマー マネージド暗号化キー を選択して、エンタープライズ ポリシー ページに移動します。

5. ポリシーを選択し、コマンド バーでポリシーを編集を選択します。

6. このポリシーが適用されている環境 セクションで、環境の暗号化ステータスを確認します。

   メモ

   環境の暗号化ステータスは次のとおりです:

   • 暗号化 - カスタマー マネージド キーの暗号化プロセスが実行されており、システムはオンラインでの使用が無効になっています。

   • 暗号化 - オンライン - システムのダウンタイムが必要なすべてのコア サービスの暗号化が完了し、システムがオンラインで使用できるようになっています。

   • 暗号化 - エンタープライズ ポリシーの暗号化キーがアクティブになり、キーで環境が暗号化されます。

   • 元に戻す - 暗号化キーがカスタマー マネージド キーからマイクロソフト管理キーに変更され、システムはオンラインでの使用が無効になっています。

   • 元に戻す - オンライン - システムのダウンタイムが必要なすべてのコア サービスの暗号化がキーを元に戻し、システムがオンラインで使用できるようになっています。

   • マイクロソフト管理キー - マイクロソフト管理キーの暗号化がアクティブです。

   • Failed - エンタープライズ ポリシー暗号化キーは、すべて の Dataverse ストレージ サービスでは使用されません。 処理に時間がかかるため、環境の追加 操作を再実行できます。 再実行が失敗した場合は、サポートに問い合わせていください。

     暗号化失敗の状態は、環境データとその操作には影響しません。 これは、Dataverse ストレージ サービスの一部ではデータをキーで暗号化していますが、引き続き Microsoft 管理のキーを使用しているサービスもあることを意味します。 環境の 追加 操作を再実行すると、サービスは中断したところから再開されるため、元に戻すことはできません。

   • 警告 - エンタープライズ ポリシーの暗号化キーがアクティブであり、サービスのデータのひとつがマイクロソフトが管理するキーで暗号化され続けています。 詳細については、Power Automate CMK アプリケーションの警告メッセージを参照してください。

環境履歴ページから暗号化ステータスを確認する

環境の履歴を確認できます。

1. Power Platform 管理センター にサインインします。

2. ナビゲーション ウィンドウで、管理 を選択します。

3. [ 管理 ] ウィンドウで 、[ 環境] を選択し、使用可能な環境の一覧から環境を選択します。

4. コマンド バーで、履歴を選択します。

5. 顧客管理キーの更新履歴を検索します。

   メモ

   暗号化が進行中の場合、状態 は 実行中 と表示されます。 暗号化が完了すると、成功と表示されます。 暗号化キーを適用できないサービスの 1 つに問題がある場合、状態は失敗と表示されます。

   失敗した状態は警告になる可能性があり、[環境の追加] オプションを再実行する必要はありません。 警告かどうかを確認できます。

新しいエンタープライズ ポリシーとキーを使用して環境の暗号化キーを変更する

暗号化キーを変更するには、新しいキーと新しいエンタープライズ ポリシーを作成します。 次に、環境を削除して環境を新しいエンタープライズ ポリシーに追加することにより、エンタープライズ ポリシーを変更できます。 新しいエンタープライズ ポリシーに変更する際、システムが 2 回ダウンします。これは、1) マイクロソフト管理キーに暗号化を戻すため、2) 新しいエンタープライズ ポリシーを適用するためです。

1. Azure ポータルで、新しいキーと新しいエンタープライズ ポリシーを作成します。 詳細については、暗号化キーの作成とアクセスの許可 と エンタープライズ ポリシーを作成する を参照してください
2. 新しいエンタープライズ ポリシーは、古いキーへのアクセス権を付与します。
3. 新しいキーとエンタープライズ ポリシーが作成されたら、Power Platform 管理センター にサインインします。
4. ナビゲーション ウィンドウで、セキュリティ を選択します。
5. セキュリティ ペインで、設定の下のデータとプライバシーを選択します。
6. カスタマー マネージド暗号化キー を選択して、エンタープライズ ポリシー ページに移動します。
7. ポリシーのある環境タブを選択し、カスタマー マネージド キーから削除する環境を見つけます。
8. すべてのポリシータブを選択し、手順 2 で確認した環境を選択して、コマンド バーでポリシーの編集を選択します。 エンタープライズ ポリシーを編集する
9. コマンド バーで環境の削除を選択し、削除する環境を選択して続行を選択します。
10. 保存を選択します。
11. エンタープライズ ポリシー内のすべての環境が削除されるまで、手順 2 ～ 10 を繰り返します。

12. すべての環境が削除されたら、Power Platform 管理センター から、エンタープライズ ポリシー に移動します。
13. 新しいエンタープライズ ポリシーを選択し、ポリシーの編集を選択します。
14. 環境の追加を選択してから、追加する環境を選択し、続行を選択します。

新しいキーバージョンを使用して環境の暗号化キーをローテーションする

新しいキー バージョンを作成することで、環境の暗号化キーを変更できます。 新しいキー バージョンを作成すると、新しいキー バージョンが自動的に有効になります。 すべてのストレージ リソースが新しいキー バージョンを検出し、それを適用してデータを暗号化します。

キーまたはキーのバージョンを変更すると、ルート暗号化キーの保護が変更されますが、ストレージ内のデータは常にキーで暗号化されたままになります。 ユーザー側でこれ以上のアクションを行わずに、データは保護されます。 キーのバージョンをローテーションしてもパフォーマンスには影響しません。 キー バージョンのローテーションに伴うダウンタイムは発生しません。 すべてのリソース プロバイダーがバックグラウンドで新しいキー バージョンを適用するまでに 24 時間かかる場合があります。 以前のキー バージョンは、サービスが再暗号化とデータベース復元のサポートに使用するために必要であるため、無効にしないでください。

新しいキー バージョンを作成して暗号化キーをローテーションするには、次の手順を実行します。

1. Azure ポータル>Key Vaults に移動し、新しいキー バージョンを作成するキー コンテナーを見つけます。
2. キー に移動します。
3. 現在有効なキーを選択します。
4. + 新しいバージョン を選択します。
5. 有効化設定の既定値ははいで、これは、新しいキーのバージョンが作成時に自動的に有効になることを意味します。
6. 作成 を選択します。

暗号化された環境のリストを表示する

1. Power Platform 管理センター にサインインします。
2. ナビゲーション ウィンドウで、セキュリティ を選択します。
3. セキュリティ ペインで、設定の下のデータとプライバシーを選択します。
4. カスタマー マネージド暗号化キー を選択して、エンタープライズ ポリシー ページに移動します。
5. エンタープライズ ポリシー ページで、ポリシーのある環境タブを選択します。エンタープライズ ポリシーに追加された環境のリストが表示されます。

環境データベースの操作

顧客テナントは、マイクロソフト管理キーを使用して暗号化された環境と、カスタマー マネージド キーで暗号化された環境を所有できます。 データの整合性とデータ保護を維持するために、環境データベースの操作を管理するときに次のコントロールを使用できます。

• 復元上書きする環境 (復元された環境) は、バックアップが取得された同じ環境、または同じ顧客管理型キーで暗号化された別の環境に制限されます。

  バックアップの復元

• コピー

  上書きするための環境 (環境にコピーされた) は、同じカスタマー マネージド キーで暗号化された別の環境に制限されます。

  環境のコピー

  メモ

  カスタマー マネージド環境でサポートの問題を解決するためにサポート調査環境が作成された場合、コピー環境操作を実行する前に、サポート調査環境の暗号化キーをカスタマー マネージド キーに変更する必要があります。

• リセット 環境の暗号化されたデータはバックアップも含めて削除されます。 環境がリセットされると、環境の暗号化は Microsoft マネージド キーへと戻ります。

次の手順

about Azure Key Vault