Gerenciar sua chave de criptografia gerenciada pelo cliente

Os clientes têm requisitos de privacidade e conformidade de dados para proteger seus dados criptografando seus dados inativos. Isso protege os dados da exposição em um evento em que uma cópia do banco de dados é roubada. Com a criptografia de dados inativos, os dados do banco de dados roubados são protegidos contra restauração em um servidor diferente sem a chave de criptografia.

Todos os dados do cliente armazenados no Power Platform são criptografados em repouso com chaves de criptografia fortes gerenciadas pela Microsoft, por padrão. A Microsoft armazena e gerencia a chave de criptografia do banco de dados para todos os dados, para que você não precise fazer isso. No entanto, o Power Platform fornece essa CMK (chave de criptografia gerenciada pelo cliente) para seu controle de proteção de dados adicionado, em que você pode gerenciar automaticamente a chave de criptografia de banco de dados associada ao seu ambiente de Microsoft Dataverse. Isso permite que você alterne ou troque a chave de criptografia sob demanda e também permite que você impeça o acesso da Microsoft aos dados de seus clientes ao revogar o acesso da chave a nossos serviços a qualquer momento.

Para saber mais sobre a chave gerenciada pelo cliente no Power Platform, assista ao vídeo da chave gerenciada pelo cliente.

Estas operações de chave de criptografia estão disponíveis com a chave gerenciada pelo cliente (CMK):

• Crie uma chave RSA (RSA-HSM) do cofre de chaves do Azure.
• Criar uma política corporativa do Power Platform para sua chave.
• Conceder a permissão da política corporativa do Power Platform para acessar seu cofre de chaves.
• Conceder ao administrador do serviço do Power Platform a leitura da política corporativa.
• Aplicar chave de criptografia a um ambiente.
• Reverter/remover a criptografia CMK do ambiente para a chave gerenciada da Microsoft.
• Alterar a chave criando uma nova política corporativa, removendo o ambiente da CMK e reaplicando a CMK com a nova política corporativa.
• Bloquear ambientes de CMK revogando o cofre de chaves de CMK e/ou permissões da chave.
• Migre os ambientes Traga seu próprio cofre de chaves (BYOK) para CMK aplicando a chave CMK.

Atualmente, todos os dados do cliente armazenados somente nos seguintes aplicativos e serviços podem ser criptografados com a chave gerenciada pelo cliente:

Nuvem comercial

• Dataverse (Soluções personalizadas e serviços da Microsoft)
• Dataverse Copilot para aplicativos baseados em modelo
• Power Automate
• Chat para Dynamics 365
• Vendas do Dynamics 365
• Atendimento ao Cliente do Dynamics 365
• Dynamics 365 Customer Insights - Dados
• Dynamics 365 Field Service
• Dynamics 365 para Varejo
• Dynamics 365 Finance (Finanças e operações)
• Dynamics 365 Intelligent Order Management (Finanças e operações)
• Dynamics 365 Project Operations (Finanças e operações)
• Dynamics 365 Supply Chain Management (Finanças e operações)
• Copilot Studio

Nuvem soberana – GCC High

• Dataverse (Soluções personalizadas e serviços da Microsoft)
• Dataverse Copilot para aplicativos baseados em modelo
• Chat para Dynamics 365
• Vendas do Dynamics 365
• Atendimento ao Cliente do Dynamics 365
• Dados do Dynamics 365 Customer Insights
• Copilot Studio

Ambientes com aplicativos de finanças e operações onde a integração do Power Platform está habilitada também podem ser criptografados. Os ambientes de finanças e operações sem integração do Power Platform continuam a usar a chave gerenciada pela Microsoft padrão para criptografar dados. Saiba mais em Criptografia em aplicativos de finanças e operações.

Introdução à chave gerenciada pelo cliente

Com a chave gerenciada pelo cliente, os administradores podem fornecer sua própria chave de criptografia de seus próprios Azure Key Vault aos serviços de armazenamento do Power Platform para criptografar seus dados do cliente. A Microsoft não tem acesso direto ao seu Azure Key Vault. Para que os serviços do Power Platform acessem a chave de criptografia de seu Azure Key Vault, o administrador cria uma política empresarial do Power Platform, que faz referência à chave de criptografia e concede a essa política empresarial acesso para ler a chave de seu Azure Key Vault.

O administrador de serviços do Power Platform pode adicionar ambientes do Dataverse à política corporativa para começar a criptografar todos os dados do cliente no ambiente com sua chave de criptografia. Os administradores podem alterar a chave de criptografia do ambiente criando outra política corporativa e adicionando o ambiente (depois de removê-lo) à nova política corporativa. Se o ambiente não precisar mais ser criptografado usando sua chave gerenciada pelo cliente, o administrador poderá remover o ambiente do Dataverse da política corporativa para reverter a criptografia de dados para a chave gerenciada pela Microsoft.

O administrador pode bloquear os ambientes de chave gerenciados pelo cliente revogando o acesso de chave da política corporativa e desbloquear os ambientes restaurando o acesso da chave. More information: Bloquear ambientes revogando o cofre de chaves e/ou o acesso à permissão de chaves

Para simplificar as tarefas de gerenciamento de chaves, elas estão divididas em três áreas principais:

1. Criar chave de criptografia.
2. Criar política corporativa e conceder acesso.
3. Gerenciar criptografia do ambiente.

Requisitos de licenciamento para chave gerenciada pelo cliente

A política de chaves gerenciadas pelo cliente é aplicada apenas em ambientes ativados para Ambientes Gerenciados. Os Ambientes Gerenciados são incluídos como um direito em licenças autônomas de Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e Dynamics 365 que concedem direitos de uso premium. Saiba mais sobre o licenciamento Managed Environment, com a visão geral do licenciamento para Microsoft Power Platform.

Além disso, o acesso ao uso de chave gerenciada pelo cliente para Microsoft Power Platform e Dynamics 365 requer que os usuários nos ambientes em que a política de chave de criptografia seja imposta tenham uma destas assinaturas:

• Microsoft 365 ou Office 365 A5/E5/G5
• Conformidade do Microsoft 365 A5/E5/F5/G5
• Microsoft 365 F5 Segurança e Conformidade
• Microsoft 365 A5/E5/F5/G5 Proteção e Governança da Informação
• Microsoft 365 A5/E5/F5/G5 Gerenciamento de Risco Interno

Saiba mais sobre estas licenças.

Compreenda os riscos potenciais quando você gerencia sua chave

Como em qualquer aplicativo crítico para os negócios, as pessoas de sua organização que têm acesso em nível administrativo devem ser confiáveis. Antes de usar o recurso de gerenciamento de chaves, você deve compreender o risco do gerenciamento de suas chaves de criptografia do banco de dados. É concebível que um administrador mal-intencionado (uma pessoa que receba ou obtenha acesso de nível de administrador com a intenção de prejudicar a segurança da organização ou os processos empresariais) que trabalha em sua organização possa usar o recurso de gerenciamento de chaves para criar uma chave e usá-la para bloquear todos os ambientes no locatário.

Considere a seguinte sequência de eventos.

O administrador mal-intencionado do cofre de chaves cria uma chave e uma política corporativa no portal do Azure. O administrador do Azure Key Vault vai para o centro de administração do Power Platform e adiciona ambientes à política corporativa. Em seguida, o administrador mal-intencionado retorna ao portal Azure e revoga o acesso de chave à política corporativa, bloqueando assim todos os ambientes. Isso causa interrupções nos negócios, pois todos os ambientes ficam inacessíveis e, se esse evento não for resolvido, ou seja, o acesso à chave restaurado, os dados do ambiente podem ser potencialmente perdidos.

Separação de funções para mitigar o risco

Esta seção descreve as principais funções gerenciadas pelo cliente pelas quais cada função administrativa é responsável. Separar essas tarefas ajuda a reduzir o risco envolvido com chaves gerenciadas pelo cliente.

tarefas de administrador de serviço do Azure Key Vault e do Power Platform/Dynamics 365

Para habilitar chaves gerenciadas pelo cliente, primeiro o administrador do cofre de chaves cria uma chave no cofre de chaves Azure e cria uma política empresarial do Power Platform. Quando a política corporativa é criada, uma identidade gerenciada Microsoft Entra ID especial é criada. Em seguida, o administrador do cofre de chaves retorna ao cofre de chaves do Azure e concede à identidade gerenciada da política corporativa o acesso à chave de criptografia.

Em seguida, o administrador do cofre de chaves concede ao respectivo administrador de serviços do Power Platform/Dynamics 365 acesso de leitura à política corporativa. Depois que a permissão de leitura for concedida, o administrador de serviços do Power Platform/Dynamics 365 poderá acessar o Centro de Administração do Power Platform e adicionar ambientes à política corporativa. Todos os dados de clientes dos ambientes adicionados são, em seguida, criptografados com a chave gerenciada pelo cliente vinculada a essa política corporativa.

Pré-requisitos

• Uma assinatura do Azure que inclui o Azure Key Vault ou módulos de segurança de hardware gerenciados do Azure Key Vault.
• Um Microsoft Entra ID com:
  • Permissão de colaborador para a assinatura Microsoft Entra.
  • Permissão para criar um Azure Key Vault e uma chave.
  • Acesso para criar um grupo de recursos. Isso é necessário para configurar o cofre de chaves.

Criar a chave e conceder acesso usando Azure Key Vault

O administrador do Azure Key Vault executa essas tarefas em Azure.

1. Crie uma assinatura paga Azure e Key Vault. Ignore esta etapa se você já tiver uma assinatura que inclua Azure Key Vault.
2. Vá para o serviço Azure Key Vault e crie uma chave. Mais Informações: Criar uma chave no cofre de chaves
3. Habilite o serviço de políticas corporativas do Power Platform para sua assinatura de Azure. Faça isso apenas uma vez. Mais informações: Enável o serviço de políticas corporativas do Power Platform para sua assinatura Azure
4. Criar uma política corporativa do Power Platform. Mais informações: criar uma política corporativa
5. Conceder permissões da política corporativa para acessar o cofre de chaves. Mais informações: Conceder permissões da política corporativa para acessar o cofre de chaves
6. Conceda ao Power Platform e aos administradores Dynamics 365 permissão para ler a política corporativa. Mais Informações: Conceder o privilégio de administrador do Power Platform para ler a política corporativa

Tarefas do centro de administração do Power Platform e administrador de serviços do Power Platform/Dynamics 365

Pré-requisito

O administrador do Power Platform deve ser atribuído ao papel de administrador do Power Platform ou do Dynamics 365 Service na função Microsoft Entra.

Gerenciar a criptografia do ambiente no centro de administração do Power Platform

O administrador do Power Platform gerencia as tarefas de chave gerenciadas pelo cliente relacionadas ao ambiente no centro de administração do Power Platform.

1. Adicionar os ambientes do Power Platform à política corporativa para criptografar dados com a chave gerenciada pelo cliente. Mais informações: Adicionar um ambiente à política corporativa para criptografar dados
2. Remover os ambientes da política corporativa para retornar a criptografia à chave gerenciada da Microsoft. Mais informações: Remover ambientes da política para retornar à chave gerenciada da Microsoft
3. Alterar a chave removendo ambientes da política corporativa antiga e adicionando ambientes a uma nova política corporativa. Mais informações: Criar chave de criptografia e conceder acesso
4. Migração do BYOK. Se estiver usando o recurso de chave de criptografia gerenciada anterior, você poderá migrar sua chave para a chave gerenciada pelo cliente. Saiba mais em Migrar ambientes traga sua própria chave para uma chave gerenciada pelo cliente.

Criar a chave de criptografia e conceder acesso

Criar uma assinatura paga Azure e um cofre de chaves

Em Azure, execute as seguintes etapas:

1. Crie uma assinatura do tipo Pagamento Conforme o Uso ou uma assinatura equivalente do Azure. Esta etapa não é necessária se o locatário já tiver uma assinatura.

2. Criar um grupo de recursos. Mais informações: Criar grupos de recursos

   Nota

   Crie ou use um grupo de recursos que tenha um local, por exemplo, Central dos EUA, que corresponda à região do ambiente do Power Platform, como Estados Unidos.

3. Crie um cofre de chaves usando a assinatura paga que inclui proteção contra exclusão temporária e eliminação com o grupo de recursos que você criou na etapa anterior.

   Importante

   Para garantir que seu ambiente esteja protegido contra exclusão acidental da chave de criptografia, o cofre de chaves deve ter a proteção contra exclusão temporária e eliminação habilitada. Você não poderá criptografar seu ambiente com sua própria chave sem habilitar essas configurações. Mais informações: Azure Key Vault visão geral da exclusão suave Mais informações: Criar um cofre de chaves usando o portal do Azure

Criar uma chave no cofre de chaves

1. Certifique-se de que os pré-requisitos foram atendidos.
2. Acesse o portal Azure>Key Vault e localize a key vault em que você deseja gerar uma chave de criptografia.
3. Verifique as configurações do cofre de chaves Azure:
   1. Selecione Propriedades em Configurações.
   2. Em Exclusão temporária, defina ou verifique se está definida a opção A exclusão temporária foi habilitada neste cofre de chaves.
   3. Em Proteção contra eliminação, defina ou verifique se a opção Habilitar proteção contra eliminação (aplicar um período de retenção obrigatório para cofres excluídos e objetos do cofre) está ativada.
   4. Se você tiver feito alterações, selecione Salvar.

Criar chaves do RSA

1. Criar ou importar uma chave com estas propriedades:

   1. Nas páginas de propriedades Key Vault, selecione Keys.
   2. Selecione Gerar/Importar.
   3. Na tela Criar uma chave, defina os seguintes valores e selecione Criar.
      • Opções: Gerar
      • Nome: forneça um nome para a chave
      • Tipo de chave: RSA
      • Tamanho da chave de RSA: 2048 ou 3072

   Importante

   Se você definir uma data de validade em sua chave e a chave expirar, todos os ambientes criptografados com essa chave ficarão inativos. Defina um alerta para monitorar certificados de expiração com notificações por e-mail para o administrador local do Power Platform e o administrador do cofre de chaves do Azure como um lembrete para renovar os certificados antes da data de vencimento. Isso é importante para evitar interrupções não planejadas do sistema.

Importar chaves protegidas para Módulos de Segurança de Hardware (HSM)

Você pode usar suas chaves protegidas para módulos de segurança de hardware (HSM) para criptografar seus ambientes do Power Platform Dataverse. Suas chaves protegidas por HSM devem ser importadas para o cofre de chaves para que uma política Enterprise possa ser criada. Para obter mais informações, consulte HSMs com suporteImportação de chaves protegidas por HSM no Key Vault (BYOK).

Criar uma chave no HSM Gerenciado do Azure Key Vault

Você pode usar uma chave de criptografia criada com base no HSM Gerenciado do Azure Key Vault para criptografar os dados do ambiente. Isso oferece suporte ao FIPS 140-2 Nível 3.

Criar chaves do RSA-HSM

1. Certifique-se de que os pré-requisitos foram atendidos.

2. Acesse o portal Azure.

3. Crie um HSM Gerenciado:

   1. Provisione o HSM Gerenciado.
   2. Ative o HSM Gerenciado.

4. Ative Proteção contra Limpeza em seu HSM Gerenciado.

5. Conceda a função Usuário Criptográfico do HSM Gerenciado à pessoa que criou o cofre de chaves do HSM Gerenciado.

   1. Acesse o cofre de chaves HSM gerenciado no Azure portal.
   2. Navegue até RBAC Local e selecione + Adicionar.
   3. Na lista suspensa Função , selecione a função Usuário Criptografado do HSM Gerenciado na página Atribuição de função .
   4. Selecione Todas as chaves em Escopo.
   5. Escolha Selecionar entidade de segurança e selecione o administrador na página Adicionar entidade .
   6. Selecione Criar.

6. Criar uma chave RSA-HSM:

   • Opções: Gerar
   • Nome: forneça um nome para a chave
   • Tipo de chave: RSA-HSM
   • Tamanho da Chave RSA: 2048

   Nota

   Supported Tamanhos de chave RSA-HSM: 2048 bits e 3072 bits.

Criptografar seu ambiente com chave de Azure Key Vault com link privado

Você pode atualizar a rede do seu cofre de chaves do Azure habilitando um ponto de extremidade privado private e usar a chave no cofre de chaves para criptografar seus ambientes do Power Platform.

Você pode criar um novo cofre de chaves e estabelecer uma conexão de link privado ou estabelecer uma conexão de link privado para um cofre de chaves existente, e criar uma chave desse cofre de chaves e usá-la para criptografar seu ambiente. Você também pode estabelecer uma conexão de link privado para um cofre de chaves existente após já ter criado uma chave e usá-la para criptografar seu ambiente.

Criptografe dados com a chave do cofre de chaves com link privado

1. Crie um Azure Key Vault com estas opções:

   • Ativar Proteção contra Limpeza
   • Tipo de chave: RSA
   • Tamanho da chave: 2048 ou 3072

2. Copie a URL do cofre de chaves e a URL da chave de criptografia a serem usadas ​​para criar a política corporativa.

   Nota

   Depois de adicionar um ponto de extremidade privado ao seu cofre de chaves ou desabilitar a rede de acesso público, você não poderá ver a chave, a menos que tenha a permissão apropriada.

3. Crie uma rede virtual.

4. Retorne ao Cofre de Chaves e adicione conexões privadas de ponto de extremidade ao Azure Key Vault.

   Nota

   Você precisa selecionar a opção de rede Desativar acesso público e habilitar a exceção Permitir que serviços confiáveis ​​da Microsoft ignorem este firewall.

5. Criar uma política corporativa do Power Platform. Mais informações: criar uma política corporativa

6. Conceder permissões da política corporativa para acessar o cofre de chaves. Mais informações: Conceder permissões da política corporativa para acessar o cofre de chaves

7. Conceda ao Power Platform e aos administradores Dynamics 365 permissão para ler a política corporativa. Mais Informações: Conceder o privilégio de administrador do Power Platform para ler a política corporativa

8. O administrador do centro de administração do Power Platform seleciona o ambiente para criptografar e ativar o ambiente gerenciado. Mais informações: Habilite o Ambiente gerenciado a ser adicionado à política corporativa

9. O administrador do centro de administração do Power Platform adiciona o ambiente gerenciado à política corporativa. Mais informações: Adicionar um ambiente à política corporativa para criptografar dados

Habilitar o serviço de políticas empresariais do Power Platform para sua assinatura Azure

Registre o Power Platform como um provedor de recursos. Você só precisa fazer essa tarefa uma vez para cada assinatura Azure em que o cofre de chaves Azure reside. Você precisa ter direitos de acesso à assinatura para registrar o provedor de recursos.

1. Entre no portal Azure e acesse Subscription>Resource providers.
2. Na lista de Provedores de recursos, procure por Microsoft.PowerPlatform e Registre isso.

Criar uma política corporativa

1. Instale o MSI do PowerShell. Mais informações: Instalar o PowerShell em Windows, Linux e macOS
2. Depois que o MSI do PowerShell for instalado, volte para Implantar um modelo personalizado no Azure.
3. Selecione o link Criar seu próprio modelo no editor.
4. Copie esse modelo JSON em um editor de texto, como o Bloco de Notas. Mais informações: Modelo json da política corporativa
5. Substitua os valores no modelo JSON por: EnterprisePolicyName, local onde a EnterprisePolicy precisa ser criada, keyVaultId e keyName. Mais informações: Definições de campo para modelo json
6. Copie o modelo atualizado do editor de texto e cole-o no modelo Edit da implantação Custom no Azure e selecione Save.
7. Selecione uma Assinatura e Grupo de recursos onde a política corporativa deve ser criada.
8. Selecione Examinar + Criar e, em seguida, selecione Criar.

Uma implantação é iniciada. Quando concluído, a política corporativa será criada.

Modelo json de política empresarial

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definições de campo para modelo JSON

• nome. Nome da política corporativa. Este é o nome da política que aparece no centro de administração do Power Platform.

• local. Uma das opções a seguir. Este é o local da política corporativa e deve corresponder à região do ambiente do Dataverse:

  • '"unitedstates"'
  • '"southafrica"'
  • '"uk"'
  • '"japan"'
  • '"india"'
  • '"france"'
  • '"europe"'
  • '"germany"'
  • '"switzerland"'
  • '"canada"'
  • '"brazil"'
  • '"australia"'
  • '"asia"'
  • '"uae"'
  • '"korea"'
  • '"norway"'
  • '"singapore"'
  • '"sweden"'

• Copie esses valores das propriedades do Key Vault no portal do Azure.

  • keyVaultId: acesse Key vaults> selecione seu cofre de chaves >Visão geral. Ao lado de Essentials selecione Exibição JSON. Copie o ID do Recurso para a área de transferência e cole todo o conteúdo em seu modelo JSON.
  • keyName: acesse Cofre de chaves> selecione seu cofre de chaves >Chaves. Observe a chave Nome e digite o nome em seu modelo JSON.

Conceder permissões da política corporativa para acessar o cofre de chaves

Depois que a política corporativa for criada, o administrador do cofre de chaves concede acesso à identidade gerenciada pela política corporativa à chave de criptografia.

1. Entre no portal Azure e vá para Key vaults.
2. Selecione o cofre de chaves onde a chave foi atribuída à política corporativa.
3. Selecione a guia Controle de acesso (IAM) e, depois, + Adicionar.
4. Selecione Adicionar atribuição de função na caixa suspensa.
5. Pesquise Key Vault Crypto Service Encryption User e selecione-o.
6. Selecione Próximo.
7. Selecione + Selecione membros.
8. Pesquise a política corporativa que você criou.
9. Selecione a política corporativa e escolha Selecionar.
10. Selecione Examinar + atribuir.

A configuração de permissão acima baseia-se no modelo de permissão do controle de acesso baseado em funções do Azure do seu cofre de chaves. Se seu cofre de chaves estiver definido como Política de acesso ao cofre, é recomendável migrar para o modelo baseado em função. Para conceder à política corporativa acesso ao cofre de chaves usando a Política de acesso ao cofre, crie uma Política de acesso, selecione Obter em Operações de gerenciamento de chaves e Desempacotar chave e Empacotar chave em Operações criptográficas.

Conceder ao administrador do Power Platform privilégio para ler a política corporativa

Os administradores que têm funções de administração do Dynamics 365 ou do Power Platform podem acessar o centro de administração do Power Platform para atribuir ambientes à política corporativa. Para acessar as políticas corporativas, o administrador com acesso ao cofre de chaves do Azure precisa conceder a função Reader ao administrador do Power Platform. Depois que a função Reader for concedida, o administrador do Power Platform poderá visualizar as políticas corporativas no centro de administração do Power Platform.

Conceder função de leitor a um administrador do Power Platform

1. Entre no Azure portal.
2. Copie o ID do objeto do administrador do Power Platform ou do Dynamics 365. Para fazer isso:
   1. Vá para a área Users em Azure.
   2. Na lista Todos usuários, localize o usuário com permissões de administrador do Power Platform ou do Dynamics 365 usando Pesquisar usuários.
   3. Abra o registro do usuário, na guia Visão geral , copie a ID do objeto do usuário. Cole em um editor de texto, como o Bloco de Notas.
3. Copie a ID do recurso da política corporativa. Para fazer isso:
   1. Vá para Resource Graph Explorer em Azure.
   2. Digite microsoft.powerplatform/enterprisepolicies na caixa Pesquisar e selecione o recurso microsoft.powerplatform/enterprisepolicies.
   3. Selecione Executar consulta na barra de comandos. Uma lista de todas as políticas corporativas do Power Platform será exibida.
   4. Localize a política corporativa à qual deseja conceder acesso.
   5. Role para a direita da política corporativa e selecione Ver detalhes.
   6. Na página Detalhes, copie a id.
4. Inicie Azure Cloud Shell e execute o seguinte comando substituindo objId pela ID do objeto do usuário e EP Resource Id pela ID enterprisepolicies copiada nas etapas anteriores: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Gerenciar criptografia do ambiente

Para gerenciar a criptografia do ambiente, você precisa da seguinte permissão:

• usuário ativo do Microsoft Entra que tem uma função de administrador de segurança do Power Platform e/ou Dynamics 365.
• O usuário do Microsoft Entra que tem uma função de administrador de serviço do Power Platform ou Dynamics 365.

O administrador do cofre de chaves notifica o administrador do Power Platform de que uma chave de criptografia e uma política corporativa foram criadas e fornece a política corporativa ao administrador do Power Platform. Para habilitar a chave gerenciada pelo cliente, o administrador do Power Platform atribui seus ambientes à política corporativa. Depois que o ambiente é atribuído e salvo, o Dataverse inicia o processo de criptografia para definir todos os dados do ambiente e criptografá-los com a chave gerenciada pelo cliente.

Habilite o Ambiente gerenciado a ser adicionado à política corporativa

1. Entre no centro de administração do Power Platform.
2. No painel de navegação, selecione Gerenciar.
3. No painel Gerenciar, selecione Ambientes, e, em seguida, escolha um ambiente da lista de ambientes disponíveis.
4. Selecione Habilitar Ambientes Gerenciados.
5. Selecione Habilitar.

Adicionar um ambiente à política corporativa para criptografar dados

1. Entre no centro de administração do Power Platform.
2. No painel de navegação, selecione Segurança.
3. No painel Segurança, selecione Dados e Privacidade em Configurações.
4. Select Chave de criptografia gerenciada pelo cliente para ir para a página Políticas Corporativas.
5. Selecione uma política, em seguida, escolha Editar política.
6. Selecione Adicionar ambientes, escolha o ambiente que deseja e, em seguida, escolha Continuar.
7. Selecione Salvar e depois Confirmar.

Remover os ambientes da política para retornar à chave gerenciada da Microsoft

Siga estas etapas se quiser retornar a uma chave de criptografia gerenciada pela Microsoft.

1. Entre no centro de administração do Power Platform.
2. No painel de navegação, selecione Segurança.
3. No painel Segurança, selecione Dados e Privacidade em Configurações.
4. Select Chave de criptografia gerenciada pelo cliente para ir para a página Políticas Corporativas.
5. Selecione a guia Ambiente com políticas e localize o ambiente que deseja remover da chave gerenciada pelo cliente.
6. Selecione a guia Todas as políticas, escolha o ambiente que você verificou na etapa 2 e, em seguida, selecione Editar política na barra de comandos.
7. Selecione Remover ambiente na barra de comandos, escolha o ambiente que deseja remover e, em seguida, selecione Continuar.
8. Clique em Salvar.

Revisar o status de criptografia do ambiente

Revisar o status de criptografia das políticas corporativas

1. Entre no centro de administração do Power Platform.

2. No painel de navegação, selecione Segurança.

3. No painel Segurança, selecione Dados e Privacidade em Configurações.

4. Select Chave de criptografia gerenciada pelo cliente para ir para a página Políticas Corporativas.

5. Selecione uma política e, em seguida, na barra de comandos, escolha Editar política.

6. Revise o Status de criptografia ambiente na seção Ambientes com esta política.

   Nota

   O status de criptografia do ambiente pode ser:

   • Criptografia - O processo de criptografia de chave gerenciado pelo cliente está em execução e o sistema está desabilitado para uso online.

   • Criptografia - online - Todos os serviços principais de criptografia que exigiram tempo de inatividade do sistema estão concluídos e o sistema está habilitado para uso online.

   • Criptografado: a chave de criptografia da política corporativa está ativa e o ambiente é criptografado com sua chave.

   • Reversão - A chave de criptografia está sendo alterada de chave gerenciada pelo cliente para chave gerenciada pela Microsoft e o sistema está desabilitado para uso online.

   • Reversão - online - Toda a criptografia dos serviços principais que exigia tempo de inatividade do sistema teve a chave revertida, e o sistema está habilitado para uso online.

   • Chave Gerenciada pela Microsoft- A criptografia de chave gerenciada pela Microsoft está ativa.

   • Falha - A chave de criptografia da política corporativa não é usada por todos os serviços de armazenamento do Dataverse Eles exigem mais tempo para processar e você pode reexecutar a operação Adicionar ambiente. Entre em contato com o Suporte se houver falha ao reexecutar a operação.

     Um status de criptografia Com falha não afeta os dados do ambiente e suas operações. Isso significa que alguns dos serviços de armazenamento do Dataverse estão criptografando seus dados com sua chave e alguns continuam a usar a chave gerenciada pela Microsoft. Uma reversão não é recomendada, pois quando você executa novamente a operação Adicionar ambiente , o serviço é retomado de onde parou.

   • Aviso: a chave de criptografia da política corporativa está ativa e um dos dados de serviço continua a ser criptografado com a chave gerenciada pela Microsoft. Saiba mais em mensagens de aviso do aplicativo CMK no Power Automate.

Revise o status da criptografia na página Histórico do Ambiente

Você pode ver o histórico do ambiente.

1. Entre no centro de administração do Power Platform.

2. No painel de navegação, selecione Gerenciar.

3. No painel Gerenciar, selecione Ambientes, e, em seguida, escolha um ambiente da lista de ambientes disponíveis.

4. Na barra de comandos, selecione Histórico

5. Localizar o histórico para Atualizar Chave Gerenciada pelo Cliente.

   Nota

   O Status mostra Executando quando a criptografia está em andamento. Ele mostra Bem-sucedido quando a criptografia é concluída. O status mostra Com Falha quando há algum problema com um dos serviços que não consegue aplicar a chave de criptografia.

   Um estado de Falha pode ser um aviso e você não precisa executar novamente a opção Adicionar ambiente. Você pode confirmar se é um aviso.

Alterar a chave de criptografia do ambiente com uma nova política e chave corporativa

Para alterar sua chave de criptografia, crie uma nova chave e uma nova política corporativa. Em seguida, você pode alterar a política corporativa removendo os ambientes e depois adicionando os ambientes à nova política corporativa. O sistema ficará inativo 2 vezes ao mudar para uma nova política corporativa - 1) para reverter a criptografia para a chave gerenciada da Microsoft e 2) para aplicar a nova política corporativa.

1. No portal Azure, crie uma nova chave e uma nova política empresarial. Mais informações: Criar a chave de criptografia e conceder acesso e Criar uma política corporativa
2. Conceda à nova política corporativa acesso à chave antiga.
3. Depois que a nova chave e a nova política corporativa forem criadas, entre no Centro de administração do Power Platform.
4. No painel de navegação, selecione Segurança.
5. No painel Segurança, selecione Dados e Privacidade em Configurações.
6. Select Chave de criptografia gerenciada pelo cliente para ir para a página Políticas Corporativas.
7. Selecione a guia Ambiente com políticas e localize o ambiente que deseja remover da chave gerenciada pelo cliente.
8. Selecione a guia Todas as políticas, escolha o ambiente que você verificou na etapa 2 e, em seguida, selecione Editar política na barra de comandos.
9. Selecione Remover ambiente na barra de comandos, escolha o ambiente que deseja remover e, em seguida, selecione Continuar.
10. Clique em Salvar.
11. Repita as etapas 2 a 10 até que todos os ambientes na política corporativa tenham sido removidos.

12. Depois que todos os ambientes forem removidos, no centro de administração do Power Platform vá para Políticas corporativas.
13. Selecione a nova política corporativa e, em seguida, selecione Editar política.
14. Selecione Adicionar ambiente, escolha os ambientes que deseja adicionar e, em seguida, escolha Continuar.

Girar a chave de criptografia do ambiente com uma nova versão de chave

Você pode alterar a chave de criptografia do ambiente criando uma nova versão de chave. Quando você cria uma nova versão de chave, ela é automaticamente habilitada. Todos os recursos de armazenamento detectam a nova versão da chave e começam a aplicá-la para criptografar seus dados.

Quando você modifica a chave ou a versão da chave, a proteção da chave de criptografia raiz muda, mas os dados no armazenamento sempre permanecem criptografados com sua chave. Não há mais ação necessária de sua parte para garantir que seus dados estejam protegidos. A rotação da versão chave não afeta o desempenho. Não há tempo de inatividade associado à rotação da versão da chave. Pode levar 24 horas para que todos os provedores de recursos apliquem a nova versão da chave em segundo plano. A versão anterior da chave não deve ser desabilitada, pois é necessária para que o serviço a utilize para a nova criptografia e para suporte à restauração do banco de dados.

Para girar a chave de criptografia criando uma nova versão de chave, siga as etapas a seguir.

1. Acesse o portal Azure>Key Vaults e localize o cofre de chaves onde você deseja criar uma nova versão de chave.
2. Navegue até Chaves.
3. Selecione a chave atual, habilitada.
4. Selecione + Nova Versão.
5. A configuração Habilitada é padronizada como Sim, o que significa que a nova versão da chave é habilitada automaticamente após a criação.
6. Selecione Criar.

Veja a lista de ambientes criptografados

1. Entre no centro de administração do Power Platform.
2. No painel de navegação, selecione Segurança.
3. No painel Segurança, selecione Dados e Privacidade em Configurações.
4. Select Chave de criptografia gerenciada pelo cliente para ir para a página Políticas Corporativas.
5. Na página Políticas corporativas , selecione a guia Ambientes com políticas. A lista de ambientes que foram adicionados às políticas corporativas será exibida.

Operações de banco de dados do ambiente

Um locatário do cliente pode ter ambientes criptografados usando a chave gerenciada da Microsoft e ambientes que são criptografados com a chave gerenciada pelo cliente. Para manter a integridade e a proteção dos dados, os seguintes controles estão disponíveis ao gerenciar operações de banco de dados do ambiente.

• Restaurar O ambiente a ser substituído (o ambiente onde será feita a restauração) é restrito ao mesmo ambiente em que o backup foi obtido ou a outro ambiente criptografado com a mesma chave gerenciada pelo cliente.

  

• Copy

  O ambiente a ser substituído (o ambiente para o qual foi feita a cópia) é restrito a outro ambiente criptografado com a mesma chave gerenciada do cliente.

  

  Nota

  Se um ambiente de investigação de suporte foi criado para resolver um problema de suporte em um ambiente gerenciado pelo cliente, a chave de criptografia do ambiente de investigação de suporte deve ser alterada para a chave gerenciada pelo cliente para que a operação do ambiente de cópia possa ser executada.

• Redefinir Os dados criptografados do ambiente serão excluídos, inclusive os backups. Depois que o ambiente for redefinido, a criptografia do ambiente será revertida para a chave gerenciada da Microsoft.

Próximas etapas

Sobre o Azure Key Vault