Partilhar via

Gerir a sua chave de encriptação gerida pelo cliente

Os clientes têm requisitos de privacidade e conformidade de dados para proteger os seus dados, encriptando-os quando estão armazenados. Isto assegura que os dados não ficam expostos num evento em que uma cópia da base de dados foi roubada. Com a encriptação de dados em repouso, dados de base de dados roubados estão protegidos contra a sua restauração num servidor diferente sem a chave de encriptação.

Por predefinição, todos os dados de clientes armazenados no Power Platform são encriptados em repouso com chaves de encriptação fortes geridas pela Microsoft. A Microsoft armazena e gere a chave de encriptação da base de dados de todos os seus dados para que o utilizador não tenha de o fazer. No entanto, a Power Platform fornece esta chave de encriptação gerida pelo cliente (CMK) para o seu controlo adicional de proteção de dados, onde pode autogerir a chave de encriptação da base de dados associada ao seu ambiente Microsoft Dataverse. Isto permite-lhe substituir ou trocar a chave de encriptação a pedido e também prevenir o acesso da Microsoft aos dados dos seus clientes ao revogar o acesso à chave dos serviços da Microsoft, em qualquer altura.

Para obter mais informações sobre a chave gerida pelo cliente no Power Platform, assista ao vídeo da chave gerida pelo cliente.

Estas operações de chave de encriptação estão disponíveis com a chave gerida pelo cliente (CMK):

  • Crie uma chave RSA (RSA-HSM) a partir do seu cofre Azure de chaves.
  • Criar uma política empresarial do Power Platform para a sua chave.
  • Conceder a permissão da política empresarial do Power Platform para aceder ao seu cofre de chaves.
  • Conceder ao administrador de serviço do Power Platform a leitura da política empresarial.
  • Aplicar a chave de encriptação ao seu ambiente.
  • Reverter/remover a encriptação CMK do ambiente para a chave gerida pela Microsoft.
  • Alterar a chave criando uma nova política empresarial, removendo o ambiente do CMK e voltando a aplicar o CMK à nova política empresarial.
  • Bloquear ambientes CMK revogando o cofre de chaves CMK e/ou as permissões de chaves.
  • Migrar ambientes bring your own key (BYOK) para CMK ao aplicar uma chave CMK.

Atualmente, todos os dados dos seus clientes armazenados apenas nas seguintes aplicações e serviços podem ser encriptados com chave gerida pelo cliente:

Cloud comercial

Nuvem soberana - GCC High

Nota

  • Contacte um representante dos serviços não listados acima para obter informações sobre o suporte de chaves geridas pelo cliente.
  • O Nuance Conversational IVR e o conteúdo de boas-vindas para criadores estão excluídos da encriptação da chave gerida pelo cliente.
  • As definições de ligação para conectores continuam a ser encriptadas com uma chave gerida pela Microsoft.
  • Os nomes de visualização, descrições e metadados de ligação do Power Apps continuam a ser encriptados com uma chave gerida pela Microsoft.
  • A ligação dos resultados de transferência e outros dados produzidos pelo uso do verificador de soluções durante a verificação de uma solução continua a ser encriptada com uma chave gerida pela Microsoft.

Os ambientes com aplicações de finanças e operações em que a integração com o Power Platform está ativada também podem ser encriptados. Os ambientes de finanças e operações sem integração do Power Platform continuam a utilizar a chave predefinida gerida pela Microsoft para encriptar dados. Mais informações em Encriptação em aplicações de finanças e operações.

Chave de encriptação gerida pelo cliente no Power Platform

Introdução à chave controlada pelo cliente

Com a chave gerida pelo cliente, os administradores podem fornecer a sua própria chave de encriptação a partir do seu próprio Azure Key Vault para os serviços de armazenamento Power Platform para encriptar os dados dos seus clientes. A Microsoft não tem acesso direto ao seu Azure Key Vault. Para que os serviços Power Platform acedam à chave de encriptação do seu Azure Key Vault, o administrador cria uma política empresarial Power Platform, que faz referência à chave de encriptação e concede a esta política empresarial acesso para ler a chave do seu Azure Key Vault.

O administrador do serviço Power Platform pode, então, adicionar ambientes Dataverse à política empresarial para começar a encriptar todos os dados de clientes no ambiente com a sua chave de encriptação. Os administradores podem alterar a chave de encriptação do ambiente criando outra política empresarial e adicionando o ambiente (depois de o remover) à nova política empresarial. Se o ambiente já não precisar de ser encriptado com a chave gerida pelo cliente, o administrador pode remover o ambiente do Dataverse da política empresarial para reverter a encriptação de dados de volta para a chave gerida pela Microsoft.

O administrador pode bloquear os ambientes de chaves geridas pelo cliente ao revogar o acesso à chave da política da empresa e pode desbloquear os ambientes ao restaurar esse acesso. Mais informações: Bloquear ambientes revogando o acesso ao cofre de chaves e/ou a chaves de permissão

Para simplificar as tarefas de gestão de chave, as tarefas são divididas em três áreas principais:

  1. Criar a chave de encriptação.
  2. Criar a política empresarial e conceder acesso.
  3. Gerir a encriptação de um ambiente.

Aviso

Quando os ambientes estão bloqueados, não é possível o acesso de ninguém, incluindo o suporte da Microsoft. Os ambientes bloqueados ficam desativados e pode ocorrer perda de dados.

Requisitos de licenciamento para chave gerida pelo cliente

A política de chave gerida pelo cliente só é imposta em ambientes ativados para Ambientes Geridos. Os Ambientes Geridos estão incluídos como direito em licenças independentes de Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e Dynamics 365 que conferem direitos de utilização premium. Saiba mais sobre o licenciamento de Managed Environment, com a visão geral do Licenciamento para Microsoft Power Platform.

Além disso, o acesso à utilização de chaves geridas pelo cliente para Microsoft Power Platform e Dynamics 365 exige que os utilizadores nos ambientes onde a política de chave de encriptação é aplicada tenham uma destas subscrições:

  • Microsoft 365 ou Office 365 A5/E5/G5
  • Conformidade Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 Segurança & Conformidade
  • Proteção e Governança da Informação do Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 A5/E5/F5/G5 Gestão de Risco Interno

Mais informações sobre estas licenças.

Compreender o risco potencial ao gerir a sua chave

Tal como acontece com qualquer aplicação de negócio crítica, o pessoal na organização com acesso de nível de administração tem de ser de confiança. Antes de utilizar a funcionalidade de gestão de chaves, deve compreender o risco quando gere as chaves de encriptação da sua base de dados. É concebível que um administrador malicioso (uma pessoa a quem tenha sido concedido ou tenha obtido acesso de nível de administrador com a intenção de danificar os processos de segurança ou de negócio de uma organização) a trabalhar na sua organização possa utilizar a caraterística de gestão de chaves para criar uma chave e utilizá-la para bloquear os seus ambientes num inquilino.

Considere a seguinte sequência de eventos.

O administrador malicioso do cofre de chaves cria uma chave e uma política empresarial no portal do Azure. O administrador do Azure Key Vault vai ao centro de administração do Power Platform e adiciona ambientes à política empresarial. O administrador malicioso regressa então ao portal do Azure e revoga o acesso chave à política empresarial, bloqueando assim todos os ambientes. Isto causa interrupções empresariais à medida que todos os ambientes ficam inacessíveis e, se este evento não for resolvido, ou seja, se o acesso chave não for restaurado, os dados do ambiente podem ser potencialmente perdidos.

Nota

  • Azure Key Vault tem salvaguardas incorporadas que ajudam a restaurar a chave e requerem as definições Soft Delete e proteção contra expurgo do Key Vault ativadas.
  • Outra salvaguarda a considerar é garantir a separação das tarefas onde o administrador do Azure Key Vault não tenha acesso ao centro de administração do Power Platform.

Separação de funções para mitigar o risco

Esta seção descreve as responsabilidades da característica de chave gerida pelo cliente, da qual cada função de administrador é encarregada. A separação destas tarefas ajuda a mitigar o risco envolvido nas chaves geridas pelo cliente.

Azure Key Vault e tarefas administrativas dos serviços Power Platform/Dynamics 365

Para permitir chaves geridas pelo cliente, primeiro o administrador do cofre de chaves cria uma chave no cofre de chaves do Azure e cria uma política empresarial Power Platform. Quando a política empresarial é criada, é criada uma identidade especial gerida pelo Microsoft Entra ID. De seguida, o administrador do cofre de chaves regressa ao cofre de chaves do Azure e concede à política empresarial/identidade gerida acesso à chave de encriptação.

O administrador do cofre de chaves concede então ao respetivo administrador de serviço Power Platform/Dynamics 365 acesso de leitura à política empresarial. Uma vez concedida a permissão de leitura, o administrador do serviço Power Platform/Dynamics 365 pode aceder ao Centro de Administração do Power Platform e adicionar ambientes à política empresarial. Todos os dados dos clientes adicionados em ambientes são depois encriptados com a chave gerida pelo cliente associada a esta política empresarial.

Pré-requisitos
  • Uma subscrição do Azure que inclui o Azure Key Vault ou módulos de segurança de hardware geridos do Azure Key Vault.
  • Um Microsoft Entra ID com:
    • Permissão do colaborador para a subscrição do Microsoft Entra.
    • Permissão para criar um Azure Key Vault e uma chave.
    • Acesso para criar um grupo de recursos. Isto é necessário para configurar o cofre de chaves.
Crie a chave e conceda acesso usando o Azure Key Vault

O administrador do Azure Key Vault realiza estas tarefas no Azure.

  1. Crie uma subscrição paga do Azure e Key Vault. Ignore este passo se já tiver uma subscrição que inclua o Azure Key Vault.
  2. Vai ao serviço Azure Key Vault e cria uma chave. Mais informações: Criar uma chave no cofre de chaves
  3. Ative o serviço de políticas empresariais Power Platform para a sua subscrição do Azure. Faça-o apenas uma vez. Mais informações: Ative o serviço de políticas empresariais Power Platform para a sua subscrição de Azure
  4. Criar uma política empresarial do Power Platform. Mais informações: Criar uma política empresarial
  5. Conceder permissões da política empresarial para aceder ao cofre de chaves. Mais informações: Conceder permissões de política empresarial para aceder ao Key Vault
  6. Conceda permissão aos administradores da Power Platform e do Dynamics 365 para lerem a política empresarial. Mais informações: Conceder o privilégio de administrador do Power Platform para ler a política empresarial

Power Platform/Dynamics 365 administrador de serviços Tarefas do centro de administração do Power Platform

Pré-requisito

O administrador do Power Platform deve ser atribuído à função de administrador do Power Platform ou à função de administrador do Serviço do Dynamics 365 na função Microsoft Entra.

Gerir a encriptação do ambiente no centro de administração do Power Platform

O administrador do Power Platform gere tarefas de chave geridas pelo cliente relacionadas com o ambiente no centro de administrador do Power Platform.

  1. Adicione os ambientes do Power Platform à política empresarial para encriptar dados com a chave gerida pelo cliente. Mais informações: Adicionar um ambiente à política empresarial para encriptar dados
  2. Remover ambientes da política empresarial para devolver a encriptação à chave gerida pela Microsoft. Mais informações: Remover os ambientes da política para retornar à chave gerida pela Microsoft
  3. Altere a chave removendo os ambientes da política empresarial antiga e adicionando ambientes a uma nova política empresarial. Mais informações: Criar chave de encriptação e conceder acesso
  4. Migre a partir de BYOK. Se estiver a utilizar a caraterística anterior de chave de cifra auto-gerida, pode migrar a chave para uma chave gerida pelo cliente. Mais informações em Migrar ambientes com chave própria para a chave gerida pelo cliente.

Criar chave de encriptação e conceder acesso

Crie uma subscrição paga do Azure e um cofre de chaves

No Azure, execute os seguintes passos:

  1. Crie uma subscrição Pay-as-you-go ou equivalente ao Azure. Este passo não é necessário se o inquilino já tiver uma subscrição.

  2. Crie um grupo de recursos. Mais informações: Criar grupos de recursos

    Nota

    Crie ou use um grupo de recursos que tenha uma localização, por exemplo, no Centro dos EUA, que corresponda à região do ambiente Power Platform, como os Estados Unidos.

  3. Crie um cofre de chaves utilizando a subscrição paga que inclui eliminação recuperável e proteção contra remoção com o grupo de recursos criado no passo anterior.

    Importante

    Para garantir que o seu ambiente está protegido contra eliminação acidental da chave de encriptação, o cofre de chaves tem de ter a eliminação recuperável e a proteção contra remoção ativadas. Não irá conseguir encriptar o seu ambiente com a sua própria chave sem ativar estas definições. Mais informações: Azure Key Vault visão geral de eliminação suave Mais informações: Criar um cofre de chaves usando Azure portal

Criar uma chave no cofre de chaves

  1. Certifique-se de cumpriu os pré-requisitos.
  2. Vai ao portal Azure>Key Vault e localiza a key vault onde queres gerar uma chave de encriptação.
  3. Verifique as definições do cofre de chaves do Azure:
    1. Selecione Propriedades por baixo de Definições.
    2. Sob Eliminação suave, defina ou verifique se está selecionada a opção Eliminação suave foi ativada neste cofre de chaves.
    3. Em Proteção contra remoção, defina ou verifique que Ativar proteção contra remoção (impor um período de retenção obrigatório para cofres e objetos de cofres eliminados) está ativada.
    4. Se tiver feito alterações, selecione Guardar.
Criar chaves de RSA

  1. Criar ou importar uma chave que tenha estas propriedades:

    1. Nas páginas de propriedades Key Vault, selecione Keys.
    2. Selecione Gerar/Importar.
    3. No ecrã Criar uma chave defina os seguintes valores e, em seguida, selecione Criar.
      • Opções: Gerar
      • Nome: forneça um nome para a chave
      • Tipo de Chave: RSA
      • Tamanho da chave RSA: 2048 ou 3072

    Importante

    Se definir uma data de expiração na sua chave e a chave expirar, todos os ambientes encriptados com esta chave ficarão inativos. Defina um alerta para monitorizar certificados de validade com notificações por email para o administrador local da Power Platform e Azure administrador do cofre de chaves como lembrete para renovar a data de expiração. Isto é importante para evitar quaisquer indisponibilidades do sistema não planeadas.

Importar chaves protegidas para Módulos de Segurança de Hardware (HSM)

Pode utilizar as suas chaves protegidas de módulos de segurança de hardware (HSM) para encriptar os seus ambientes do Dataverse no Power Platform. As suas chaves protegidas por HSM têm de ser importadas para o cofre de chaves, para que seja possível criar uma política Enterprise. Para obter mais informações, consulte HSMs suportadosImportar chaves protegidas por HSM para o Key Vault (BYOK).

Crie uma chave no Azure Key Vault Managed HSM

Pode usar uma chave de encriptação criada a partir do Azure Key Vault Managed HSM para encriptar os seus dados de ambiente. Isto fornece-lhe suporte FIPS 140-2 Nível 3.

Criar chaves de RSA-HSM

  1. Certifique-se de cumpriu os pré-requisitos.

  2. Vai ao portal Azure.

  3. Criar um HSM Gerenciado:

    1. Aprovisionar o HSM Gerido.
    2. Ativar o HSM Gerido.

  4. Ative Proteção contra a Eliminação no seu HSM Gerido.

  5. Conceda a função de Utilizador Cripto do HSM Gerido à pessoa que criou o cofre de chaves do HSM Gerido.

    1. Aceda ao cofre de chaves do HSM gerido no portal Azure.
    2. Navegue para RBAC Local e selecione + Adicionar.
    3. Na lista pendente Função, selecione a função de Utilizador Cripto de HSM Gerido na página Atribuição de função.
    4. Selecione Todas as chaves em Âmbito.
    5. Selecione Selecionar principal de segurança e, em seguida, selecione o administrador na página Adicionar Principal.
    6. Selecione Criar.

  6. Criar uma chave RSA-HSM:

    • Opções: Gerar
    • Nome: forneça um nome para a chave
    • Tipo de Chave: RSA-HSM
    • Dimensão da chave RSA: 2048

    Nota

    Tamanhos de chave RSA-HSM suportados: 2048 bits e 3072 bits.

Pode atualizar a rede do seu Azure Key Vault ativando um endpoint privado e usar a chave no Key Vault para encriptar os seus ambientes Power Platform.

Pode criar um novo Key Vault e estabelecer uma ligação à ligação privada ou estabelecer uma ligação à ligação privada para um Key Vault existente e crie uma chave a partir deste Key Vault e utilize-a para encriptar o ambiente. Também pode estabelecer uma ligação privada a um Key Vault existente depois de já ter criado uma chave e de a utilizar para encriptar o ambiente.

  1. Crie um Cofre de Chaves do Azure com as seguintes opções:

    • Ative a Proteção de Limpeza
    • Tipo de Chave: RSA
    • Tamanho da chave: 2048 ou 3072

  2. Copie o URL do Key Vault e o URL da chave de encriptação a utilizar para criar a política empresarial.

    Nota

    Depois de adicionar um ponto final privado ao seu Key Vault ou de ter desativado a rede de acesso pública, não conseguirá ver a chave a menos que tenha a permissão adequada.

  3. Crie uma rede virtual.

  4. Volte ao seu cofre de chaves e adicione ligações de ponto de extremidade privado ao seu cofre de chaves do Azure.

    Nota

    Tem de selecionar a opção de rede Desativar acesso público e ativar a exceção Permitir serviços Microsoft fidedignos para contornar esta firewall.

  5. Criar uma política empresarial do Power Platform. Mais informações: Criar uma política empresarial

  6. Conceder permissões da política empresarial para aceder ao cofre de chaves. Mais informações: Conceder permissões de política empresarial para aceder ao Key Vault

  7. Conceda permissão aos administradores da Power Platform e do Dynamics 365 para lerem a política empresarial. Mais informações: Conceder o privilégio de administrador do Power Platform para ler a política empresarial

  8. No centro de administração do Power Platform, o administrador seleciona o ambiente para encriptar e ativar o Ambiente Gerido. Mais informações: Ativar o ambiente gerido para ser adicionado à política empresarial

  9. O administrador do centro de administração do Power Platform adiciona o Ambiente Gerido à política empresarial. Mais informações: Adicionar um ambiente à política empresarial para encriptar dados

Ative o serviço de políticas empresariais Power Platform para a sua subscrição do Azure

Registe o Power Platform como fornecedor de recursos. Só precisa de fazer esta tarefa uma vez por cada subscrição do Azure onde o seu Azure Key Vault está localizado. É necessário ter direitos de acesso à subscrição para poder registar o fornecedor de recursos.

  1. Inicie sessão no portal Azure e aceda a Subscrição>Fornecedores de recursos.
  2. Na lista de Fornecedores de recursos, pesquise por Microsoft.PowerPlatform e escolha Registar.

Criar uma política empresarial

  1. Instalar o MSI da PowerShell Mais informações: Instalar PowerShell em Windows, Linux e macOS
  2. Depois de instalar o PowerShell MSI, volte a Implemente um modelo personalizado no Azure.
  3. Selecione a ligação Criar o seu próprio modelo no editor.
  4. Copie este modelo JSON para um editor de texto como o Bloco de Notas. Mais informações: Modelo json da política empresarial
  5. Substitua os valores no modelo JSON por: EnterprisePolicyName, localização onde EnterprisePolicy precisa de ser criado, keyVaultId e keyName. Mais informações: Definições de campo para o modelo json
  6. Copie o modelo atualizado do seu editor de texto e depois cole-o no modelo Editar do Custom deployment no Azure, e selecione Save.
  7. Selecione uma Subscrição e Grupo de recursos onde a política empresarial deve ser criada.
  8. Selecione Rever + criar e, em seguida, selecione Criar.

Uma implementação é iniciada. Quando concluída, a política empresarial é criada.

Modelo json de política empresarial

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

Definições de campo para o modelo JSON

  • nome. Nome da política empresarial. Este é o nome da política que aparece no centro de administração do Power Platform.

  • localização. Um dos seguintes. Esta é a localização da política empresarial e tem de corresponder à região do ambiente Dataverse:

    • "estadosunidos"
    • "África do Sul"
    • '"uk"'
    • "Japão"
    • "india"
    • "França"
    • '"europe"'
    • "Alemanha"
    • "Suíça"
    • '"canada"'
    • "Brasil"
    • "Austrália"
    • '"asia"'
    • "Emirados Árabes Unidos"
    • "korea"
    • "Noruega"
    • "Singapura"
    • "Suécia"

  • Copie estes valores das propriedades do seu cofre de chaves no portal do Azure.

    • keyVaultId: aceda a Cofres de chaves> selecione o seu cofre de chaves >Descrição geral. Junto a Essentials, selecione Vista JSON. Copie o ID de Recurso para a área de transferência e cole o conteúdo completo no modelo JSON.
    • keyName: aceda a Cofres de chaves> selecione o seu cofre de chaves >Chaves. Repare na chave Name e escreva esse nome no seu modelo JSON.

Conceder permissões às políticas empresariais para aceder ao repositório de chaves

Quando a política empresarial está criada, o administrador do cofre de chaves concede à identidade gerida da política empresarial acesso à chave de encriptação.

  1. Inicie sessão no portal do Azure e aceda aos Cofres de Chaves.
  2. Selecione o cofre de chaves no qual a chave foi atribuída à política empresarial.
  3. Selecione o separador Controlo de acesso (IAM) e, em seguida, selecione + Adicionar.
  4. Selecione Adicionar atribuição de função na lista pendente,
  5. Procura Key Vault Crypto Service Encryption User e seleciona-o.
  6. Selecione Avançar.
  7. Selecione + Selecione membros.
  8. Pesquise pela política empresarial que criou.
  9. Selecione a política empresarial e, em seguida, escolha Selecionar.
  10. Selecione Verificar + atribuir.

A definição de permissões acima baseia-se no modelo de permissões do Controlo de Acesso Baseado em Funções do Azure. Se o seu Key Vault estiver definido como Política de acesso do Vault, recomenda-se que migre para o modelo baseado em funções. Para conceder à sua política empresarial acesso ao Key Vault utilizando a Política de acesso do Vault, crie uma Política de acesso, selecione Obter em Operações de gestão de chaves, Desencapsular chave e Encapsular chave em Operações Criptográficas.

Nota

Para evitar interrupções não planeadas do sistema, é importante que a política empresarial tenha acesso à chave. Certifique-se de que:

  • O cofre de chaves está ativo.
  • A chave está ativa e não expirou.
  • A chave não é eliminada.
  • As permissões de chave acima não são revogadas.

Os ambientes que estão a usar esta chave são desativados quando a chave de encriptação não está acessível.

Conceder o privilégio de administrador do Power Platform para ler a política empresarial

Os administradores que desempenham funções administrativas no Dynamics 365 ou Power Platform podem aceder ao centro de administração do Power Platform para atribuir ambientes à política empresarial. Para aceder às políticas empresariais, o administrador com acesso Azure ao cofre de chaves é obrigado a conceder o papel Reader ao administrador da Power Platform. Assim que o papel de Reader é concedido, o administrador da Power Platform pode visualizar as políticas empresariais no centro de administração da Power Platform.

Nota

Apenas os administradores Power Platform e Dynamics 365 que recebem o papel de leitor na política empresarial podem adicionar um ambiente à política. Outros administradores da Power Platform ou Dynamics 365 podem conseguir ver a política empresarial, mas recebem um erro quando tentam Adicionar ambiente à política.

Conceder função de leitor a um administrador do Power Platform

  1. Inicie sessão no portal Azure.
  2. Copie o ID do objeto do administrador do Power Platform ou do Dynamics 365. Para isso:
    1. Vai à área Users na Azure.
    2. Na lista Todos os utilizadores, encontre o utilizador com permissões de administrador Power Platform ou Dynamics 365 usando Pesquisar utilizadores.
    3. Abra o registo de utilizadores, no separador Descrição geral , copie o ID de Objeto do utilizador. Cole-o num editor de texto como o Bloco de Notas para usar mais tarde.
  3. Copie o ID do recurso de política empresarial. Para isso:
    1. Vai a Resource Graph Explorer em Azure.
    2. Introduza microsoft.powerplatform/enterprisepolicies na caixa de Pesquisa e, me seguida, selecione o recurso microsoft.powerplatform/enterprisepolicies.
    3. Selecione Executar consulta na barra de comandos. É apresentada uma lista de todas as políticas empresariais do Power Platform.
    4. Localize a política empresarial onde pretende conceder acesso.
    5. Desloque para a direita da política empresarial e selecione Ver detalhes.
    6. Na página Detalhes, copie o id.
  4. Inicie Azure Cloud Shell e execute o seguinte comando que substitui objId pelo ID de objeto do utilizador e EP Resource Id pelo ID enterprisepolicies copiado nos passos anteriores: New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

Gerir a encriptação de um ambiente

Para gerir a encriptação do ambiente, necessita da seguinte permissão:

  • Utilizador ativo da Microsoft Entra que possui uma função de segurança como administrador da Power Platform e/ou do Dynamics 365.
  • Utilizador da Microsoft Entra que tem uma função de administrador de serviços no Power Platform ou no Dynamics 365.

O administrador do cofre de chaves notifica o administrador do Power Platform de que foram criadas uma chave de encriptação e uma política empresarial, fornecendo a política empresarial ao administrador do Power Platform. Para ativar a chave gerida pelo cliente, o administrador do Power Platform atribui os respetivos ambientes à política empresarial. Depois de o ambiente ser atribuído e guardado, o Dataverse inicia o processo de encriptação para definir todos os dados do ambiente e encriptá-los com a chave gerida pelo cliente.

Permitir adicionar o Ambiente Gerido à política empresarial

  1. Inicie sessão no Centro de administração do Power Platform.
  2. No painel de navegação, selecione Gerenciar.
  3. No painel Gerir, selecione Ambientes e, em seguida, selecione um ambiente a partir da lista de ambientes disponíveis.
  4. Selecione Ativar Ambientes Geridos.
  5. Selecione Ativar.

Adicionar um ambiente à política empresarial para encriptar dados

Importante

O ambiente é desativado quando é adicionado à política empresarial para encriptação de dados. A duração do tempo de inatividade do sistema está dependente da dimensão da base de dados. Recomendamos que realize uma execução de teste ao criar uma cópia do ambiente de destino num ambiente de teste para determinar o tempo de inatividade do sistema estimado. O tempo de inatividade do sistema pode ser determinado ao verificar o estado de encriptação do ambiente. O tempo de inatividade do sistema está entre os estados de A encriptar e A encriptar — online. Para reduzir o tempo de inatividade do sistema, alteramos o estado de encriptação para A Encriptar — online quando todos os passos centrais de encriptação que exigiam que o sistema estivesse inativo estiverem concluídos. O sistema pode ser utilizado pelos seus utilizadores enquanto os restantes serviços de armazenamento, como pesquisa e índice Copilot, continuam a encriptar os dados com a sua chave gerida pelo cliente.

  1. Inicie sessão no Centro de administração do Power Platform.
  2. No painel de navegação esquerdo, selecione Segurança.
  3. No painel Segurança, selecione Dados e Privacidade em Definições.
  4. Selecione Chave de encriptação gerida pelo cliente para aceder à página de Políticas Empresariais.
  5. Selecione uma política e, em seguida, selecione Editar política.
  6. Selecione Adicionar ambientes, selecione o ambiente que pretende e, em seguida, selecione Continuar. Adicionar um ambiente a uma política empresarial
  7. Selecione Guardar e, em seguida, selecione Confirmar.

Importante

  • Apenas ambientes na mesma região que a política empresarial são apresentados na lista Adicionar ambientes .
  • A encriptação pode demorar até quatro dias a ser concluída, mas o ambiente poderá ser ativado antes de a operação Adicionar ambientes ser concluída.
  • A operação poderá não ser concluída e, se falhar, os dados continuarão a ser encriptados com a chave gerida da Microsoft. Pode executar novamente a operação Adicionar ambientes novamente.

Nota

Só pode adicionar ambientes que estão ativados como Ambientes Geridos. Não é possível adicionar tipos de ambientes de Avaliação e do Teams à política empresarial.

Remover ambientes da política para devolver à chave gerida pela Microsoft

Siga estes passos se pretende regressar a uma chave de encriptação gerida pela Microsoft.

Importante

O ambiente é desativado quando é removido da política empresarial para devolver a encriptação de dados através da chave gerida pela Microsoft.

  1. Inicie sessão no Centro de administração do Power Platform.
  2. No painel de navegação esquerdo, selecione Segurança.
  3. No painel Segurança, selecione Dados e Privacidade em Definições.
  4. Selecione Chave de encriptação gerida pelo cliente para aceder à página de Políticas Empresariais.
  5. Selecione o separador Ambiente com políticas e, em seguida, localize o ambiente que pretende remover da chave gerida pelo cliente.
  6. Selecione o separador Todas as políticas, selecione o ambiente que verificou no passo 2 e, em seguida, selecione Editar política na barra de comandos. O separador Todas as Políticas
  7. Selecione Remover ambiente na barra de comandos, selecione o ambiente que pretende remover e, em seguida, selecione Continuar.
  8. Selecione Guardar.

Importante

O ambiente é desativado quando é removido da política empresarial para reverter a encriptação de dados para a chave gerida pela Microsoft. Não elimine nem desative a chave, elimine ou desative o Key Vault, nem remova as permissões da política empresarial para o Key Vault. O acesso da chave e do Key Vault é necessário para suportar o restauro da base de dados. Pode eliminar e remover as permissões da política empresarial após 30 dias.

Rever o estado de encriptação do ambiente

Rever o estado de encriptação das políticas Enterprise

  1. Inicie sessão no Centro de administração do Power Platform.

  2. No painel de navegação esquerdo, selecione Segurança.

  3. No painel Segurança, selecione Dados e Privacidade em Definições.

  4. Selecione Chave de encriptação gerida pelo cliente para aceder à página de Políticas Empresariais.

  5. Selecione uma política e, em seguida, na barra de comandos, selecione Editar política.

  6. Reveja o Estado de encriptação do ambiente na secção Ambientes com esta política.

    Nota

    O estado de encriptação do ambiente pode ser:

    • Encriptar — O processo de encriptação de chaves gerida pelo cliente está a decorrer e o sistema está desativado para utilização online.

    • Encriptar - online — A encriptação de todos os serviços centrais que exigiam inatividade do sistema está concluída e o sistema está agora disponível para utilização online.

    • Encriptado — A chave de encriptação da política empresarial está ativa e o ambiente está encriptado com a sua chave.

    • Revertendo — A chave de encriptação está a ser alterada de uma chave gerida pelo cliente para uma chave gerida pela Microsoft e o sistema está desativado para uso online.

    • Reversão — em linha — Todos os serviços de encriptação centrais que exigiam interrupção do sistema reverteram a chave e o sistema está ativado para utilização em linha.

    • Chave gerida pela Microsoft — A encriptação da chave gerida pela Microsoft está ativa.

    • Falhou — A chave de criptografia da política empresarial não é utilizada por todos os serviços de armazenamento do Dataverse. Exigem mais tempo para processar e pode executar novamente a operação Adicionar ambiente. Contacte o Suporte se a operação de voltar a executar falhar.

      O estado de encriptação Falha não afeta os dados do ambiente e as suas operações. Isto significa que alguns dos serviços de armazenamento do Dataverse estão a encriptar os seus dados com a sua chave e alguns continuam a usar a chave gerida pela Microsoft. Não é recomendado efetuar uma reversão, pois quando volta a executar a operação Adicionar ambiente, o serviço retoma de onde parou.

    • Aviso — A chave de encriptação da política empresarial está ativa e um dos dados do serviço continua a ser encriptado com a chave gerida pela Microsoft. Saiba mais em mensagens de aviso da aplicação CMK do Power Automate.

Rever o estado de encriptação a partir da página Histórico do Ambiente

Pode ver o histórico do ambiente.

  1. Inicie sessão no Centro de administração do Power Platform.

  2. No painel de navegação, selecione Gerenciar.

  3. No painel Gerir, selecione Ambientes e, em seguida, selecione um ambiente a partir da lista de ambientes disponíveis.

  4. Na barra de comandos, selecione Histórico.

  5. Localize o histórico para Atualizar Chave Gerida pelo Cliente.

    Nota

    O Estado mostra Em execução quando a encriptação está em curso. Mostra Com êxito quando a criptografia é concluída. O estado mostra Falha quando há algum problema com um dos serviços que não consegue aplicar a chave de encriptação.

    Um estado Falhado pode ser um aviso e não precisa de reexecutar a opção Adicionar ambiente. Pode confirmar se é um aviso.

Alterar a chave de encriptação do ambiente com uma nova política e chave empresarial

Para alterar a sua chave de encriptação, crie uma nova chave e uma nova política empresarial. Pode, então, alterar a política empresarial ao remover os ambientes e, em seguida, adicionar os ambientes a uma nova política empresarial. O sistema fica inativo duas vezes quando mudar para uma nova política empresarial — 1) para reverter a encriptação para a chave gerida pela Microsoft e 2) para aplicar a nova política empresarial.

Sugestão

Para alternar a chave de encriptação, recomendamos a utilização da Nova versão dos Key Vaults ou configurar uma Política de rotação.

  1. No portal Azure, crie uma nova chave e uma nova política empresarial. Mais informações: Criar chave de encriptação e conceder acesso e Criar uma política empresarial
  2. Conceda à nova política empresarial acesso à chave antiga.
  3. Depois de a nova chave e política empresarial serem criadas, inicie sessão no centro de administração do Power Platform.
  4. No painel de navegação esquerdo, selecione Segurança.
  5. No painel Segurança, selecione Dados e Privacidade em Definições.
  6. Selecione Chave de encriptação gerida pelo cliente para aceder à página de Políticas Empresariais.
  7. Selecione o separador Ambiente com políticas e, em seguida, localize o ambiente que pretende remover da chave gerida pelo cliente.
  8. Selecione o separador Todas as políticas, selecione o ambiente que verificou no passo 2 e, em seguida, selecione Editar política na barra de comandos. Editar políticas empresariais
  9. Selecione Remover ambiente na barra de comandos, selecione o ambiente que pretende remover e, em seguida, selecione Continuar.
  10. Selecione Guardar.
  11. Repita os passos 2 a 10 até que todos os ambientes da política empresarial tenham sido removidos.

Importante

O ambiente é desativado quando é removido da política empresarial para reverter a encriptação de dados para a chave gerida pela Microsoft. Não elimine nem desative a chave e o Key Vault, e não elimine nem desative o cofre de chaves nem remova as permissões da política empresarial para o Key Vault. Conceda a nova política empresarial ao cofre de chaves antigo. O acesso da chave e do Key Vault é necessário para suportar o restauro da base de dados. Poderá eliminar e remover as permissões da política empresarial após 30 dias.

  1. Depois de todos os ambientes serem removidos, no centro de administração do Power Platform, aceda a Políticas empresariais.
  2. Seleccione a nova política empresarial e, em seguida, seleccione Editar política.
  3. Selecione Adicionar ambientes, selecione os ambientes que pretende adicionar e, em seguida, selecione Continuar.

Importante

O ambiente é desativado quando é integrado na nova política da empresa.

Alternar a chave de encriptação do ambiente para uma nova versão da chave

Pode alterar a chave de encriptação do ambiente criando uma nova versão de chave. Quando cria uma nova versão de chave, esta é ativada automaticamente. Todos os recursos de armazenamento detetam a nova versão de chave e começam a aplicá-la para encriptar os dados.

Quando modifica a chave ou a versão de chave, a proteção da chave de encriptação de raiz muda, mas os dados no armazenamento permanecem sempre encriptados com a sua chave. Não é necessária qualquer ação da sua parte para garantir que os dados estão protegidos. A rotação da versão da chave não afeta o desempenho. Não existe nenhum tempo de inatividade associado à rotação da versão da chave. A aplicação da nova versão da chave em segundo plano a todos os fornecedores de recursos poderá demorar 24 horas. A versão da chave anterior não pode estar desativada, uma vez que é necessário que o serviço a utilize para voltar a encriptar e para o suporte de restauro de bases de dados.

Para substituir a chave de encriptação criando uma nova versão da chave, utilize os seguintes passos.

  1. Vai ao portal Azure>Cofres de Chaves e localiza o cofre de chaves onde queres criar uma nova versão de chave.
  2. Navegue até Chaves.
  3. Selecione a chave atual e ativa.
  4. Selecione + Nova Versão.
  5. A definição Ativado assume a predefinição de Sim, o que significa que a nova versão de chave é ativada automaticamente após a criação.
  6. Selecione Criar.

Sugestão

Para estar em conformidade com a sua política de rotação de chaves, pode rodar a chave de encriptação utilizando a Política de rotação. Pode configurar uma política de rotação ou rodar, a pedido, invocando Rodar agora.

Importante

A nova versão da chave é girada automaticamente em segundo plano e não há nenhuma ação exigida pelo administrador do Power Platform. É importante que a versão da chave anterior não seja desativada ou eliminada por, pelo menos, 28 dias para oferecer suporte à restauração da base de dados. A desativação ou eliminação demasiado cedo da versão de chave anterior pode fazer com que o ambiente fique offline.

Ver a lista de ambientes encriptados

  1. Inicie sessão no Centro de administração do Power Platform.
  2. No painel de navegação esquerdo, selecione Segurança.
  3. No painel Segurança, selecione Dados e Privacidade em Definições.
  4. Selecione Chave de encriptação gerida pelo cliente para aceder à página de Políticas Empresariais.
  5. Na página Políticas empresariais , selecione o separador Ambientes com políticas . É apresentada a lista de ambientes que foram adicionados às políticas empresariais.

Nota

Poderão haver situações em que o Estado do ambiente ou o Estado de encriptação são mostrados com um estado Falhado. Quando isto acontecer, pode tentar reexecutar a operação Add environment ou enviar um pedido de ajuda Microsoft Support.

Operações da base de dados do ambiente

Um tenant de cliente pode ter ambientes encriptados utilizando a chave gerida pela Microsoft e ambientes encriptados com a chave gerida pelo cliente. Para manter a integridade de dados e a proteção de dados, os seguintes controlos estão disponíveis ao gerir operações de base de dados de ambiente.

  • Restaurar O ambiente para o qual está a ser restaurado está restrito ao mesmo ambiente em que a cópia de segurança foi efetuada ou a outro ambiente que esteja encriptado usando a mesma chave gerida pelo cliente.

    Restaurar cópia de segurança

  • Copy

    O ambiente a substituir (o ambiente para o qual se copia) está limitado a outro ambiente que esteja encriptado com a mesma chave gerida pelo cliente.

    Copiar ambiente

    Nota

    Se tiver sido criado um ambiente de investigação de suporte para resolver o problema de suporte num ambiente gerido pelo cliente, a chave de encriptação para o ambiente de investigação de suporte tem de ser alterada para a chave gerida pelo cliente antes da operação de cópia do ambiente ser efetuada.

  • Repor Os dados encriptados do ambiente são eliminados, incluindo as cópias de segurança. Depois do ambiente ser reiniciado, a encriptação de ambiente será revertida para a chave gerida pela Microsoft.

Próximos passos

Sobre Azure Key Vault

  • Last updated on