管理客户管理的加密密钥

客户有数据隐私和合规性要求，以通过加密静态数据来保护他们的数据。 这可以保护数据在数据库副本被盗的情况下不被暴露。 通过静态数据加密，可以保护被盗的数据库数据在没有加密密钥的情况下不会还原到其他服务器。

默认情况下，存储在 Power Platform 中的所有客户数据都使用强 Microsoft 管理加密密钥进行静态加密。 Microsoft 为您的所有数据存储和管理数据库加密密钥，因此您不必管理。 但是，Power Platform 为添加的数据保护控制提供此客户管理的加密密钥（CMK），你可以在其中自行管理与Microsoft Dataverse环境关联的数据库加密密钥。 这使您可以按需轮换或交换加密密钥，还可以让您在随时撤销密钥服务访问权限时阻止 Microsoft 访问您的客户数据。

要了解 Power Platform 中客户管理密钥的更多信息，请观看客户管理密钥视频。

这些加密密钥操作可用于客户管理的密钥 (CMK)：

• 从 Azure Key Vault 创建 RSA （RSA-HSM） 密钥。
• 为您的密钥创建 Power Platform 企业策略。
• 授予 Power Platform 企业策略权限以访问密钥保管库。
• 授予 Power Platform 服务管理员读取企业策略的权限。
• 将加密密钥应用于您的环境。
• 对 Microsoft 管理的密钥还原/删除环境的 CMK 加密。
• 通过创建新的企业策略、从 CMK 中删除环境并使用新的企业策略重新应用 CMK 来更改密钥。
• 通过撤销 CMK 密钥保管库和/或密钥权限来锁定 CMK 环境。
• 通过应用 CMK 密钥，将自带密钥 (BYOK) 环境迁移到 CMK。

目前，所有仅存储在以下应用和服务中的客户数据都可以使用客户管理的密钥进行加密：

商业云

• Dataverse（自定义解决方案和 Microsoft 服务）
• Dataverse 模型驱动应用的 Copilot
• Power Automate
• Dynamics 365的聊天功能
• Dynamics 365 Sales
• Dynamics 365 客户服务
• Dynamics 365 Customer Insights - 数据
• Dynamics 365 Field Service
• Dynamics 365 Retail
• Dynamics 365 Finance（财务和运营）
• Dynamics 365 Intelligent Order Management（财务和运营）
• Dynamics 365 Project Operations（财务和运营）
• Dynamics 365 Supply Chain Management（财务和运营）
• Copilot Studio

主权云 - GCC High

• Dataverse（自定义解决方案和 Microsoft 服务）
• Dataverse 模型驱动应用的 Copilot
• Dynamics 365的聊天功能
• Dynamics 365 Sales
• Dynamics 365 客户服务
• Dynamics 365 Customer Insights - 数据
• Copilot Studio

还可以对启用了 Power Platform 集成的财务和运营应用环境进行加密。 无 Power Platform 集成的财务和运营环境将继续使用默认的 Microsoft 托管密钥加密数据。 在财务和运营应用中的加密中了解更多。

客户管理的加密密钥简介

使用客户管理的密钥，管理员可以将自己的加密密钥从自己的Azure Key Vault提供给 Power Platform 存储服务，以加密其客户数据。 Microsoft无权直接访问Azure Key Vault。 为使 Power Platform 服务能够从Azure Key Vault访问加密密钥，管理员创建一个 Power Platform 企业策略，该策略引用加密密钥，并授予此企业策略访问权限以从Azure Key Vault读取密钥。

然后，Power Platform 服务管理员可以将 Dataverse 环境添加到企业策略中，以开始使用您的加密密钥加密环境中的所有客户数据。 管理员可以通过创建另一个企业策略来更改环境的加密密钥，并将环境（删除后）添加到新的企业策略。 如果不再需要使用客户管理的密钥对环境进行加密，那么管理员可以从企业策略中删除 Dataverse 环境，以将数据加密恢复为 Microsoft 托管密钥。

管理员可以通过从企业策略中撤销密钥访问来锁定客户管理的密钥环境，并通过恢复密钥访问来解锁环境。 详细信息：通过撤消密钥保管库和/或密钥权限访问权限来锁定环境

为了简化关键管理任务，这些任务分为三个主要区域：

1. 创建加密密钥。
2. 创建企业策略和授予访问权限。
3. 管理环境的加密。

客户管理密钥的许可要求

客户管理的密钥策略仅在为托管环境激活的环境上强制执行。 托管环境作为高级使用权限，包含在独立版 Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages 及 Dynamics 365 许可证中。 有关 Managed Environment licensing 的详细信息，请参阅 Microsoft Power Platform 的 许可概述。

此外，想要在 Microsoft Power Platform 和 Dynamics 365 中使用客户管理的密钥，涉及到的用户必须在实施加密密钥策略的环境中拥有以下订阅之一：

• Microsoft 365或Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 合规性
• Microsoft 365 F5 安全性与合 规
• Microsoft 365 A5/E5/F5/G5 信息保护和治理
• Microsoft 365 A5/E5/F5/G5 内部风险管理

了解有关这些许可证的更多信息。

了解管理密钥时的潜伏风险

与所有业务关键型应用程序一样，组织内有管理级访问权的人员必须受信任。 在使用密钥管理功能之前，您应该了解管理数据库加密密钥的风险。 可以想象，在您组织内工作的恶意管理员（被授权或已获得管理员级访问权并意图损害组织安全或业务流程的人）可能使用管理密钥功能来创建密钥，并用它来锁定租户中您的环境。

考虑以下事件顺序。

恶意密钥保管库管理员在 Azure 门户中创建密钥和企业策略。 Azure Key Vault管理员转到 Power Platform 管理中心，并将环境添加到企业策略。 然后，恶意管理员返回到Azure门户，并撤销对企业策略的密钥访问权限，从而锁定所有环境。 这会导致业务中断，因为所有环境都会变得不可访问，如果此事件未解决，即密钥访问已恢复，则环境数据可能会丢失。

分离职责以缓解风险

本节介绍每个管理员角色负责的客户管理的密钥功能职责。 分开这些任务有助于缓解客户管理的密钥相关风险。

Azure Key Vault和 Power Platform/Dynamics 365 服务管理任务

若要启用客户管理的密钥，首先密钥保管库管理员会在Azure密钥保管库中创建密钥，并创建 Power Platform 企业策略。 创建企业策略时，将创建特殊的Microsoft Entra ID托管标识。 接下来，密钥保管库管理员返回到Azure密钥保管库，并向企业策略/托管标识授予对加密密钥的访问权限。

然后，密钥保管库管理员向相应的 Power Platform/Dynamics 365 服务管理员授予对企业策略的读取访问权限。 授予读取权限后，Power Platform/Dynamics 365 服务管理员可以转到 Power Platform 管理中心，并将环境添加到企业策略。 然后使用链接到此企业策略的客户管理的密钥对所有添加的环境客户数据进行加密。

先决条件

• 包含 Azure Key Vault 或 Azure Key Vault 托管硬件安全模块的 Azure 订阅。
• 一个拥有Microsoft Entra ID的用户：
  • 对 Microsoft Entra 订阅的贡献者权限。
  • 创建 Azure 密钥保管库和密钥的权限。
  • 创建资源组的访问权限。 这是设置密钥保管库所必需的。

使用Azure Key Vault创建密钥并授予访问权限

Azure Key Vault管理员在Azure中执行这些任务。

1. 创建Azure付费订阅和Key Vault。 如果已有包含Azure Key Vault的订阅，请忽略此步骤。
2. 转到Azure Key Vault服务，并创建密钥。 详细信息：在密钥保管库中创建密钥
3. 为Azure订阅启用 Power Platform 企业策略服务。 仅执行一次此操作。 详细信息：为 Azure 订阅提供 Power Platform 企业策略服务
4. 创建 Power Platform 企业策略。 详细信息：创建企业策略
5. 授予企业策略权限以访问密钥保管库。 详细信息：授予企业策略权限以访问密钥保管库
6. 授予 Power Platform 和Dynamics 365管理员读取企业策略的权限。 详细信息：授予 Power Platform 管理员权限以读取企业策略

Power Platform/Dynamics 365服务管理员 Power Platform 管理中心任务

先决条件

Power Platform 管理员必须被分配为 Power Platform 或 Dynamics 365 服务管理员 Microsoft Entra 角色。

在 Power Platform 管理中心管理环境加密

Power Platform 管理员在 Power Platform 管理中心管理与环境相关的客户管理密钥任务。

1. 将 Power Platform 环境添加到企业策略以使用客户管理的密钥加密数据。 详细信息：将环境添加到企业策略以加密数据
2. 从企业策略中删除环境以将加密返回至 Microsoft 托管密钥。 详细信息：从策略中删除环境以返回至 Microsoft 托管密钥
3. 通过从旧企业策略中删除环境并将环境添加到新企业策略来更改密钥。 详细信息：创建加密密钥并授予访问权限
4. 从 BYOK 迁移。 如果您使用的是早期的自我管理加密密钥功能，则可以将您的密钥迁移到客户管理的密钥。 更多信息请参阅将创建自己的密钥环境迁移到客户管理的密钥。

创建加密密钥和授予访问权限

创建Azure付费订阅和密钥保管库

在Azure中，执行以下步骤：

1. 创建按需付费或其等效 Azure 订阅。 如果租户已具有订阅，则不需要执行此步骤。

2. 创建一个资源组。 详细信息：创建资源组

   备注

   创建或使用具有位置的资源组，该位置与 Power Platform 环境的区域匹配，例如美国中部。

3. 使用包含软删除和清除保护的付费订阅以及您在上一步中创建的资源组创建密钥保管库。

   重要提示

   为确保您的环境免受加密密钥意外删除的影响，密钥保管库必须启用软删除和清除保护。 如果不启用这些设置，您将无法使用自己的密钥加密您的环境。 详细信息：Azure Key Vault软删除概述详细信息：使用 Azure 门户创建密钥保管库

在密钥保管库中创建密钥

1. 确保满足了先决条件。
2. 转到 Azure 门户>Key Vault，并找到要在其中生成加密密钥的密钥保管库。
3. 验证Azure密钥保管库设置：
   1. 在设置下面，选择属性。
   2. 在软删除下面，进行设置或验证它是否设置为已在此密钥保管库上启用软删除选项。
   3. 在清除保护下面，进行设置或验证是否启用了启用清除保护（对已删除的保管库和保管库对象实施强制保留期）。
   4. 如果进行了任何更改，请选择“保存”。

创建 RSA 密钥

1. 创建或导入具有以下属性的密钥：

   1. 在 Key Vault 属性页上，选择 Keys。
   2. 选择生成/导入。
   3. 在创建密钥屏幕上，输入以下值，然后选择创建。
      • 选项：生成
      • 名称：为密钥提供名称
      • 密钥类型：RSA
      • RSA 密钥大小：2048 或 3072

   重要提示

   如果您在密钥中设置了过期日期，并且密钥已过期，则使用此密钥加密的所有环境都将关闭。 设置 一个警报，以监视证书到期，并通过电子邮件通知本地 Power Platform 管理员和 Azure 密钥保管库管理员，以提醒续订到期日期。 这对防止任何意外的系统中断非常重要。

为硬件安全模块 (HSM) 导入受保护的密钥

您可以对硬件安全模块 (HSM) 使用受保护的密钥以加密 Power Platform Dataverse 环境。 受 HSM 保护的密钥必须导入密钥保管库中，才能创建企业策略。 有关详细信息，请参阅 受支持的 HSM将 HSM 保护的密钥导入 Key Vault（BYOK）。

在Azure Key Vault托管 HSM 中创建密钥

可以使用从 Azure Key Vault 托管 HSM 创建的加密密钥来加密环境数据。 这为您提供了 FIPS 140-2 级别 3 支持。

创建 RSA-HSM 密钥

1. 确保满足了先决条件。

2. 转到 Azure 门户。

3. 创建托管 HSM：

   1. 预配托管 HSM。
   2. 激活托管 HSM。

4. 在您的托管 HSM 中启用清除保护。

5. 将托管 HSM 加密用户角色授予创建托管 HSM 密钥保管库的人员。

   1. 在 Azure 门户上访问托管 HSM 密钥保管库。
   2. 导航至本地 RBAC，然后选择 + 添加。
   3. 在角色下拉列表中，选择角色分配页面上的托管 HSM 加密用户角色。
   4. 在范围下选择所有密钥。
   5. 选择选择安全主体，然后在添加主体页面上选择管理员。
   6. 选择 创建。

6. 创建一个 RSA-HSM 密钥：

   • 选项：生成
   • 名称：为密钥提供名称
   • 密钥类型：RSA-HSM
   • RSA 密钥大小：2048

   备注

   支持的 RSA-HSM 密钥大小：2048 位和 3072 位。

使用专用链接通过Azure Key Vault密钥加密环境

可以通过启用专用终结点来更新 Azure Key Vault 的网络配置，并使用密钥保管库中的密钥加密 Power Platform 环境。

您可以创建新密钥保管库并建立专用链接连接，或建立现有密钥保管库的专用链接连接，并从此密钥保管库创建密钥并使用它来加密您的环境。 您还可以在创建密钥并使用它加密环境后，建立现有密钥保管库的专用链接连接。

使用带有专用链接的密钥保管库中的密钥加密数据

1. 使用以下选项创建 Azure Key Vault：

   • 启用清除保护
   • 密钥类型：RSA
   • 密钥大小：2048 或 3072

2. 复制密钥保管库 URL 以及用于创建企业策略的加密密钥 URL。

   备注

   您将专用终结点添加到密钥保管库或禁用了公共访问网络，除非您具有相应的权限，否则您将无法查看密钥。

3. 创建虚拟网络。

4. 返回到密钥保管库，并向 Azure Key Vault 添加 私有终结点连接。

   备注

   您需要选择禁用公共访问网络选项，并启用允许受信任的 Microsoft 服务绕过此防火墙例外。

5. 创建 Power Platform 企业策略。 详细信息：创建企业策略

6. 授予企业策略权限以访问密钥保管库。 详细信息：授予企业策略权限以访问密钥保管库

7. 授予 Power Platform 和Dynamics 365管理员读取企业策略的权限。 详细信息：授予 Power Platform 管理员权限以读取企业策略

8. Power Platform 管理中心管理员选择要加密并启用托管环境的环境。 详细信息：支持将托管环境添加到企业策略中

9. Power Platform 管理中心管理员将托管环境添加到企业策略中。 详细信息：将环境添加到企业策略以加密数据

为 Azure 订阅启用 Power Platform 企业策略服务

将 Power Platform 注册为资源提供程序。 对于Azure密钥保管库所在的每个Azure订阅，只需执行一次此任务。 您需要对订阅具有访问权限才能注册资源提供程序。

1. 登录到 Azure 门户并转到 Subscription>Resource providers。
2. 在资源提供程序列表中，搜索 Microsoft.PowerPlatform 并注册它。

创建企业策略

1. 安装 PowerShell MSI。 详细信息：Windows、Linux 和 macOS 上的 Install PowerShell
2. 安装 PowerShell MSI 后，返回到 在 Azure 中部署自定义模板。
3. 选择在编辑器中构建您自己的模板链接。
4. 将 此 JSON 模板 复制到记事本等文本编辑器中。 详细信息：企业策略 json 模板
5. 将 JSON 模板中的值替换为：EnterprisePolicyName、需要创建 EnterprisePolicy 的位置、keyVaultId 和 keyName 。 详细信息：json 模板的字段定义
6. 从文本编辑器复制更新的模板，然后将其粘贴到 Azure 的 Edit template 中的 Custom deployment，并选择保存。
7. 选择要在其中创建企业策略的预订和资源组。
8. 选择“查看 + 创建”，然后选择“创建”。

部署已启动。 完成后，将创建企业策略。

企业策略 json 模板

 {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30",
            "name": {EnterprisePolicyName},
            "location": {location where EnterprisePolicy needs to be created},
            "kind": "Encryption",
            "identity": {
                "type": "SystemAssigned"
            },
            "properties": {
                "lockbox": null,
                "encryption": {
                    "state": "Enabled",
                    "keyVault": {
                        "id": {keyVaultId},
                        "key": {
                            "name": {keyName}
                        }
                    }
                },
                "networkInjection": null
            }
        }
    ]
   }

JSON 模板的字段定义

• name。 企业策略的名称。 这是显示在 Power Platform 管理中心中的策略的名称。

• 位置。 以下各项之一。 这是企业策略的位置，必须对应于 Dataverse 环境的区域：

  • '"unitedstates"'
  • '"southafrica"'
  • '"uk"'
  • '"japan"'
  • '"india"'
  • '"france"'
  • '"europe"'
  • '"germany"'
  • '"switzerland"'
  • '"canada"'
  • '"brazil"'
  • '"australia"'
  • '"asia"'
  • '"uae"'
  • '"korea"'
  • '"norway"'
  • '"singapore"'
  • '"sweden"'

• 从 Azure 门户中的密钥保管库属性复制这些值：

  • keyVaultId：转到密钥保管库>选择密钥保管库>概述。 在 Essentials 旁边，选择 JSON 视图。 将资源 ID 复制到剪贴板，然后将整个内容粘贴到 JSON 模板中。
  • keyName：转到密钥保管库>选择密钥保管库>密钥。 请注意密钥名称，并将名称键入您的 JSON 模板。

授予企业策略权限以访问密钥保管库

创建企业策略后，密钥保管库管理员会向加密密钥授予企业策略的托管标识访问权限。

1. 登录到 Azure 门户并转到 Key vaults。
2. 选择密钥分配给企业策略的密钥保管库。
3. 选择访问控制 (IAM) 选项卡，然后选择 +添加。
4. 从下拉列表中选择添加角色分配，
5. 搜索Key Vault Crypto Service Encryption User，然后选择它。
6. 选择“下一步”。
7. 选择“选择成员”。
8. 搜索已创建的企业策略。
9. 选择企业策略，然后选择选择。
10. 选择审核 + 分配。

上述权限设置基于密钥保管库的 权限模型 和 Azure 基于角色的访问控制。 如果您的密钥保管库设置为保管库访问策略，建议您迁移到基于角色的模型。 要使用保管库访问策略授予您的企业策略对密钥保管库的访问权限，请创建一个访问策略，在密钥管理操作中选择获取，并在加密操作中选择解包密钥和包装密钥。

授予 Power Platform 管理员读取企业策略的权限

具有Dynamics 365或 Power Platform 管理角色的管理员可以访问 Power Platform 管理中心，将环境分配到企业策略。 若要访问企业策略，需要具有Azure密钥保管库访问权限的管理员才能向 Power Platform 管理员授予 Reader 角色。授予 Reader 角色后，Power Platform 管理员可以在 Power Platform 管理中心查看企业策略。

为 Power Platform 管理员授予读取者角色

1. 登录到 Azure 门户。
2. 复制 Power Platform 或 Dynamics 365 管理员的对象 ID。 要执行此操作：
   1. 转到 Azure 中的 Users 区域。
   2. 在 所有用户 列表中，使用 搜索用户 查找具有 Power Platform 或 Dynamics 365 管理员权限的用户。
   3. 打开用户记录，在概述选项卡上复制用户的对象 ID。 将其粘贴到记事本等文本编辑器中以备后用。
3. 复制企业策略资源 ID。 要执行此操作：
   1. 转到 Azure 中的 Resource Graph Explorer。
   2. 在microsoft.powerplatform/enterprisepolicies框中输入 ，然后选择 microsoft.powerplatform/enterprisepolicies 资源。
   3. 在命令栏上选择运行查询。 显示所有 Power Platform 企业策略的列表。
   4. 找到要授予访问权限的企业策略。
   5. 滚动到企业策略的右侧，然后选择查看详细信息。
   6. 在详细信息页上，复制 ID。
4. 启动 Azure Cloud Shell， 然后运行以下命令，将 objId替换为用户的对象 ID，并将 EP 资源 ID替换为在前面的步骤中复制的 enterprisepolicies ID：New-AzRoleAssignment -ObjectId { objId} -RoleDefinitionName Reader -Scope {EP Resource Id}

管理环境的加密

若要管理环境的加密，需要以下权限：

• 具有 Power Platform 和/或 Dynamics 365 管理员安全角色的 Microsoft Entra 活动用户。
• 具有 Microsoft Entra、Power Platform 或 Dynamics 365 服务管理员角色的用户。

密钥保管库管理员通知 Power Platform 管理员已创建加密密钥和企业策略，并将企业策略提供给 Power Platform 管理员。为了启用客户管理的密钥，Power Platform 管理员将他们的环境分配给企业策略。 分配并保存环境后，Dataverse 启动加密过程以设置所有环境数据，并使用客户管理的密钥对其进行加密。

支持将托管环境添加到企业策略中

1. 登录到 Power Platform 管理中心。
2. 在导航窗格中，选择“ 管理”。
3. 在管理窗格中，选择环境，然后从可用环境列表中选择一个环境。
4. 选择启用托管环境。
5. 选择启用。

将环境添加到企业策略以加密数据

1. 登录到 Power Platform 管理中心。
2. 在导航窗格中，选择安全性。
3. 在安全窗格中，选择设置下的数据和隐私。
4. 选择客户管理加密密钥以转到企业策略页面。
5. 选择一个策略，然后选择编辑策略。
6. 选择添加环境，选择所需的环境，然后选择继续。
7. 选择保存，然后选择确认。

从策略中删除环境以恢复使用 Microsoft 管理密钥

如果您想恢复使用 Microsoft 管理加密密钥，请按照以下步骤操作。

1. 登录到 Power Platform 管理中心。
2. 在导航窗格中，选择安全性。
3. 在安全窗格中，选择设置下的数据和隐私。
4. 选择客户管理加密密钥以转到企业策略页面。
5. 选择具有策略的环境选项卡，然后查找要从客户管理的密钥中移除的环境。
6. 选择所有策略选项卡，选择在步骤 2 中验证的环境，然后在命令栏上选择编辑策略。
7. 选择命令栏上的删除环境，选择要删除的环境，然后选择继续。
8. 选择“保存”。

查看环境的加密状态

从企业策略中查看加密状态

1. 登录到 Power Platform 管理中心。

2. 在导航窗格中，选择安全性。

3. 在安全窗格中，选择设置下的数据和隐私。

4. 选择客户管理加密密钥以转到企业策略页面。

5. 选择策略，然后在命令栏中选择编辑策略。

6. 在具有此策略的环境部分查看环境的加密状态。

   备注

   环境的加密状态可以是：

   • 加密中 - 客户管理的密钥加密过程正在运行，系统已禁用在线使用。

   • 加密中 - 在线 - 所有需要系统停机才能完成的核心服务加密已完成，系统已启用在线使用。

   • 加密 - 企业策略加密密钥处于活动状态，并且使用您的密钥对环境进行加密。

   • 恢复 - 加密密钥正在从客户管理密钥切换为 Microsoft 管理密钥，系统已禁用在线使用。

   • 恢复 - 在线 - 所有需要系统停机时间的核心服务加密已完成密钥恢复，系统已启用在线使用。

   • Microsoft 管理密钥 - Microsoft 管理密钥加密已启用。

   • 失败 - 企业策略加密密钥未被所有 Dataverse 存储服务使用。 这些服务需要更多时间处理，您可以重新运行添加环境操作。 如果重新运行操作失败，请联系支持。

     失败加密状态不会影响环境数据及其操作。 这意味着一些 Dataverse 存储服务正在使用您的密钥加密数据，而另一些则继续使用 Microsoft 管理的密钥。 不建议还原，因为当您重新运行添加环境操作时，服务会从原来的位置恢复。

   • 警告 - 企业策略加密密钥处于活动状态，并且该服务的数据之一继续使用 Microsoft 管理的密钥进行加密。 有关更多信息，请参阅Power Automate CMK 应用程序的警告消息。

从“环境历史记录”页面查看加密状态

您可以查看环境历史记录。

1. 登录到 Power Platform 管理中心。

2. 在导航窗格中，选择“ 管理”。

3. 在管理窗格中，选择环境，然后从可用环境列表中选择一个环境。

4. 在命令栏上，选择历史记录。

5. 找到更新客户管理的密钥的历史记录。

   备注

   当加密正在进行时，状态显示正在运行。 加密完成时，会显示成功。 当其中一项服务出现问题无法应用加密密钥时，状态显示为失败。

   失败状态可能是警告，您无需重新运行添加环境选项。 您可以确认这是否是一个警告。

使用新的企业策略和密钥更改环境的加密密钥

若要更改您的加密密钥，请创建新密钥和新企业策略。 然后，您可以通过删除环境然后将环境添加到新的企业策略来更改企业策略。 当更改为新的企业策略时，系统将停机 2 次 - 1) 将加密恢复为 Microsoft 管理密钥，2) 应用新的企业策略。

1. 在 Azure 门户中，创建新的密钥和新的企业策略。 详细信息：创建加密密钥并授予访问权限和创建企业策略
2. 授予新企业策略访问旧密钥的权限。
3. 创建新密钥和企业策略后，登录到 Power Platform 管理中心。
4. 在导航窗格中，选择安全性。
5. 在安全窗格中，选择设置下的数据和隐私。
6. 选择客户管理加密密钥以转到企业策略页面。
7. 选择具有策略的环境选项卡，然后查找要从客户管理的密钥中移除的环境。
8. 选择所有策略选项卡，选择在步骤 2 中验证的环境，然后在命令栏上选择编辑策略。
9. 选择命令栏上的删除环境，选择要删除的环境，然后选择继续。
10. 选择“保存”。
11. 重复步骤 2 到步骤 10，直到删除了企业策略中的所有环境。

12. 删除所有环境后，从 Power Platform 管理中心转到企业策略。
13. 选择新企业策略，然后选择编辑策略。
14. 选择添加环境，选择想要添加的环境，然后选择继续。

使用新的密钥版本轮换环境的加密密钥

您可以通过创建新的密钥版本来更改环境的加密密钥。 当创建新的密钥版本时，新的密钥版本会自动启用。 所有存储资源都会检测新的密钥版本，并开始应用该新版本来加密数据。

修改密钥或密钥版本时，根加密密钥的保护会改变，但存储中的数据始终会使用密钥进行加密。 您不需要执行其他操作来确保您的数据安全。 轮换密钥版本不会影响性能。 没有与轮换密钥版本相关的停机时间。 所有资源提供程序都可能需要 24 个小时才能在后台应用新密钥版本。 由于服务需要将以前的密钥版本用于重新加密和支持数据库还原，因此不能禁用该密钥版本。

要通过创建新的密钥版本来轮换加密密钥，请使用以下步骤。

1. 转到 Azure 门户>Key Vaults，找到要在其中创建新密钥版本的密钥保管库。
2. 导航至密钥。
3. 选择当前启用的密钥。
4. 选择 + 新版本。
5. 启用设置默认为是，这意味着新密钥版本在创建时会自动启用。
6. 选择 创建。

查看加密环境的列表

1. 登录到 Power Platform 管理中心。
2. 在导航窗格中，选择安全性。
3. 在安全窗格中，选择设置下的数据和隐私。
4. 选择客户管理加密密钥以转到企业策略页面。
5. 在企业策略页上，选择具有策略的环境选项卡。将显示添加到企业策略中的环境的列表。

环境数据库操作

客户租户中可以有使用 Microsoft 托管密钥加密的环境和使用客户托管密钥加密的环境。 为了维护数据完整性和数据保护，管理环境数据库操作时可使用以下控件。

• 还原要覆盖的环境（还原为的环境）限制为创建备份的同一个环境或使用相同客户托管密钥加密的另一个环境。

  

• Copy

  要覆盖的环境（复制到的环境）限制为使用同一个客户托管密钥加密的另一个环境。

  

  备注

  如果创建了支持调查环境以解决客户托管环境中的支持问题，则必须先将支持调查环境的加密密钥更改为客户托管密钥，才能执行复制环境操作。

• 重置 将删除环境的加密数据，包括备份。 重置环境后，环境加密将恢复为 Microsoft 托管密钥。

后续步骤

关于 Azure Key Vault