Partilhar via

Gerir a chave de encriptação

Todos os ambientes do Microsoft Dataverse utilizam a Encriptação de Dados Transparente (TDE) do SQL Server para proceder à encriptação em tempo real dos dados quando são escritos no disco. Isto também é conhecido como encriptação em repouso.

Por predefinição, a Microsoft armazena e gere a chave de encriptação da base de dados para os seus ambientes, para você não ter de o fazer. A funcionalidade de chaves geridas no centro de administração do Microsoft Power Platform permite aos administradores gerir automaticamente a chave de encriptação da base de dados que está associada ao inquilino do Dataverse.

Importante

A partir de 6 de janeiro de 2026, iremos descontinuar o suporte para Traga a sua própria chave (BYOK). Encorajamos os clientes a fazer a transição para chaves geridas pelo cliente (CMK), uma solução avançada que oferece funcionalidade melhorada, suporte mais amplo a origens de dados e melhor desempenho. Obtenha mais informações em Gerir a sua chave de encriptação gerida pelo cliente e Migrar ambientes traga a sua própria chave (BYOK) para a chave gerida pelo cliente.

A gestão de chaves de encriptação só é aplicável a bases de dados de ambiente SQL do Azure. As caraterísticas e serviços seguintes continuam a utilizar a chave de encriptação gerida pela Microsoft para encriptar os dados e não podem ser encriptados com a chave de encriptação gerida automaticamente:

  • Funcionalidades de copilotos e IA generativa no Microsoft Power Platform e Microsoft Dynamics 365
  • Pesquisa do Dataverse
  • Tabelas elásticas
  • Móvel Offline
  • Registo de Atividades (portal do Microsoft 365)
  • Troca (sincronização do lado do servidor)

Nota

  • A caraterísticas de chave de encriptação da base de dados de gestão automática tem de ser ativada pela Microsoft para o seu inquilino antes de poder utilizar a funcionalidade.
  • Para utilizar as funcionalidades de gestão de encriptação de dados para um ambiente, o ambiente tem de ser criado após a funcionalidade de chave de encriptação da base de dados ser ativada pela Microsoft.
  • Depois de a caraterística ser ativada no inquilino, todos os novos ambientes são criados apenas com o armazenamento do SQL do Azure. Estes ambientes, independentemente de serem encriptados com traga a sua própria chave (BYOK) ou uma chave gerida pela Microsoft, têm restrições com o tamanho do carregamento de ficheiros, não podem usar os serviços do Azure Cosmos DB e de data lake, e os índices de pesquisa do Dataverse são encriptados com uma chave gerida pela Microsoft. Para usar estes serviços, tem de migrar para uma chave gerida pelo cliente.
  • Ficheiros e Imagens com tamanhos inferiores a 128 MB podem ser utilizados se o seu ambiente for a versão 9.2.21052.00103 ou posterior.
  • A maioria dos ambientes existentes têm ficheiros e registos armazenados em bases de dados do SQL não pertencentes ao Azure. Estes ambientes não podem ser utilizados pela chave de encriptação gerida automaticamente. Apenas os novos ambientes (depois de ser inscrever neste programa) podem ser ativados com uma chave de encriptação gerida automaticamente.

Introdução à gestão de chaves

Com a gestão de chave, os administradores podem fornecer a própria chave de encriptação ou gerar uma chave de encriptação automaticamente, que é utilizada para proteger a base de dados para um ambiente.

A funcionalidade de gestão de chaves suporta ficheiros de chave de encriptação PFX e BYOK, tais como as armazenadas num módulo de hardware de segurança (HSM). Para utilizar a opção de chave de encriptação de carregamento, precisa da chave de encriptação pública e privada.

A funcionalidade de gestão de chaves retira a complexidade da gestão da chave de encriptação utilizando o Azure Key Vault para armazenar de forma segura chaves de encriptação. O Azure Key Vault ajuda a salvaguardar chaves criptográficas e segredos utilizados por aplicações cloud e serviços. A funcionalidade de gestão de chaves não requer que tenha uma subscrição do Azure Key Vault e, para a maioria das situações, não há a necessidade de aceder a chaves de encriptação utilizadas para o Dataverse dentro do cofre.

A caraterística de gestão de chaves permite executar as seguintes tarefas:

  • Ative a capacidade para gerir automaticamente as chaves de encriptação de base de dados associadas a ambientes.

  • Gere novas chaves de encriptação ou carregue os ficheiros de chave de encriptação PFX ou BYOK existentes.

  • Bloquear e desbloquear ambientes de inquilinos.

    Aviso

    Apesar de um inquilino estar bloqueado, ninguém pode aceder aos ambientes no inquilino. Mais informações: Bloquear o inquilino

Compreender o risco potencial quando gere as suas chaves

Tal como acontece com qualquer aplicação de negócio crítica, o pessoal na organização com acesso de nível de administração tem de ser de confiança. Antes de utilizar a funcionalidade de gestão de chaves, deve compreender o risco quando gere as chaves de encriptação da sua base de dados. É concebível que um administrador malicioso (uma pessoa a quem tenha sido concedido ou tenha obtido acesso de nível de administrador com a intenção de danificar os processos de segurança ou de negócio de uma organização) a trabalhar na sua organização poderá utilizar a caraterística de chaves geridas para criar uma chave e utilizá-la para bloquear todos os ambientes de um inquilino.

Considere a seguinte sequência de eventos.

O administrador mal-intencionado entra no centro de administração da Power Platform, vai para a página Ambientes e seleciona Gerenciar chave de criptografia. O administrador mal-intencionado cria uma nova chave com uma palavra-passe e transfere a chave de encriptação para a unidade local e ativa a nova chave. Agora, todas as bases de dados de ambiente estão encriptadas com a nova chave. Em seguida, o administrador mal-intencionado bloqueia o inquilino com a chave recém transferida e, em seguida, efetua ou elimina a chave de encriptação descarregada.

Estas ações resultam na desativação de todos os ambientes do acesso online e tornar todas as cópias de segurança da base de dados não restauráveis.

Importante

Para impedir que o administrador malicioso interrompa as operações de negócio bloqueando a base de dados, a funcionalidade de chaves geridas não permite que os ambientes do inquilino sejam bloqueados durante 72 horas após a chave de encriptação ser alterada ou ativada. Permite até 72 horas para que outros administradores anulem quaisquer alterações de chave não autorizadas.

Requisitos da chave de encriptação

Se fornecer uma chave de encriptação própria, a sua chave terá de cumprir estes requisitos que serão aceites pelo Azure Key Vault.

  • O formato de ficheiro da chave de encriptação tem de ser PFX ou BYOK.
  • RSA de 2048 bits.
  • Tipo de chave RSA-HSM (requer um pedido de Suporte da Microsoft).
  • Os ficheiros de chave de encriptação PFX têm de ser protegidos por palavra-passe.

Para mais informações sobre como gerar e transferir uma chave protegida por HSM através da Internet, consulte Como gerar e transferir chaves protegidas por HSM para o Azure Key Vault. Apenas a chave HSM do fornecedor nCipher é suportada. Antes de gerar a sua chave HSM, vá ao centro de administração do Power Platform janela Gerir chaves de encriptação>Criar nova chave para obter o ID de subscrição para a região do ambiente. Tem de copiar e colar este ID de subscrição no seu HSM para criar a chave. Isto garante que apenas o nosso Azure Key Vault pode abrir o seu ficheiro.

Tarefas de gestão de dados

Para simplificar as tarefas de gestão de chave, as tarefas são divididas em três áreas:

Os administradores podem usar os cmdlets do centro de administração do Power Platform ou do módulo de administração do Power Platform para executar as tarefas de gestão de chave de proteção do inquilino descritas aqui.

Gerar ou carregar a chave de encriptação para um inquilino

Todas as chaves de encriptação são armazenadas no Azure Key Vault e só pode existir uma chave ativa em qualquer altura. Uma vez que a chave ativa é utilizada para encriptar todos os ambientes no inquilino, a gestão da encriptação é operada no nível do inquilino. Depois de a chave ser ativada, cada ambiente individual pode ser selecionado para utilizar a chave para encriptação.

Utilize este procedimento para definir a caraterística de chaves geridas pela primeira vez para um ambiente ou para alterar (ou substituir) uma chave de encriptação para um inquilino já gerido automaticamente.

Aviso

Quando efetuar os passos descritos aqui pela primeira vez, está a optar por gerir automaticamente as chaves de encriptação. Mais informações: Compreender o risco potencial quando gere as suas chaves

  1. Inicie sessão no centro de administração do Power Platform como administrador (administrador do Dynamics 365 ou administrador do Microsoft Power Platform).

  2. Selecione Gerenciar no painel de navegação.

  3. No painel Gerir, selecione Ambientes. É apresentada a página Ambientes.

  4. Selecione Gerenciar chaves de criptografia na barra de ferramentas.

  5. Selecione Confirmar para confirmar o risco de chave gerida.

  6. Selecione Nova chave na barra de ferramentas.

  7. No painel esquerdo, preencha os detalhes para gerar ou carregar uma chave:

    • Selecione uma Região. Esta opção só é mostrada se o seu inquilino tiver várias regiões.
    • Introduza um Nome da chave.
    • Escolha entre as seguintes opções:

  8. Selecione Seguinte.

Gerar uma nova chave (.pfx)

  1. Introduza uma palavra-passe e, em seguida, reintroduza a palavra-passe para confirmar.
  2. Selecione Criar e, em seguida, selecione a notificação do ficheiro criado no browser.
  3. O ficheiro .pfx da chave de encriptação é transferido para a pasta de transferência predefinida do browser. Guarde o ficheiro numa localização segura (recomendamos que esta chave seja submetida a backup juntamente com a palavra-passe).

Carregar uma chave (.pfx ou .byok)

  1. Selecione carregar a chave, selecione o ficheiro .pfx ou .byok1 e, em seguida, selecione abrir.
  2. Introduza a palavra-passe para a chave e, em seguida, selecione Criar.

1 Para os ficheiros de encriptação .byok, certifique-se de que utiliza o ID de subscrição apresentado no ecrã quando exporta a chave de encriptação a partir do seu HSM local. Mais informações: Como gerar e transferir chaves protegidas por HSM para o Azure Key Vault

Nota

Para reduzir o número de passos para que o administrador faça a gestão do processo chave, a chave é ativada automaticamente quando é carregada pela primeira vez. Todas os carregamentos de chave subsequentes necessitam de um passo adicional para ativar a chave.

Ativar uma chave de encriptação para um inquilino

Depois de gerada ou carregada uma chave de encriptação para o inquilino, esta poderá ser ativada.

  1. Inicie sessão no centro de administração do Power Platform como administrador (administrador do Dynamics 365 ou administrador do Microsoft Power Platform).
  2. Selecione Gerenciar no painel de navegação.
  3. No painel Gerir, selecione Ambientes. É apresentada a página Ambientes.
  4. Selecione Gerenciar chaves de criptografia na barra de ferramentas.
  5. Selecione Confirmar para confirmar o risco de chave gerida.
  6. Selecione uma chave que tenha um estado disponível e, em seguida, selecione Ativar chave na barra de ferramentas.
  7. Selecione Confirmar para confirmar a alteração da chave.

Quando ativa uma chave para o inquilino, o serviço de gestão de chaves demora um pouco para ativar a chave. O estado do estado da chave apresenta a chave como a instalar quando a chave nova ou carregada é ativada.

Depois de ativada a chave, ocorre o seguinte:

  • Todos os ambientes encriptados são encriptados automaticamente com a chave ativa (não existe tempo de inatividade com esta ação).
  • Quando ativada, a chave de encriptação é aplicada a todos os ambientes alterados a partir da chave de encriptação fornecida pela Microsoft e gerida automaticamente.

Importante

Para simplificar o processo de gestão de chaves para que todos os ambientes sejam geridos pela mesma chave, a chave ativa não pode ser atualizada quando existem ambientes bloqueados. Todos os ambientes bloqueados têm de ser desbloqueados para que uma nova chave possa ser ativada. Se não for necessário desbloquear ambientes bloqueados, estes terão de ser eliminados.

Nota

Depois de ativada uma chave de encriptação, não é possível ativar outra chave durante 24 horas.

Gerir a encriptação para um ambiente

Por predefinição, cada ambiente é encriptado com a chave de encriptação fornecida pela Microsoft. Depois de a chave de encriptação ser ativada para o inquilino, os administradores podem optar por alterar a encriptação predefinida para utilizar a chave de encriptação ativada. Para utilizar a chave ativada, siga estes passos.

Aplicar a chave de encriptação a um ambiente

  1. Inicie sessão no centro de administração do Power Platform como administrador (administrador do Dynamics 365 ou administrador do Microsoft Power Platform).
  2. Selecione Gerenciar no painel de navegação.
  3. No painel Gerir, selecione Ambientes. É apresentada a página Ambientes.
  4. Abra um ambiente encriptado fornecido pela Microsoft.
  5. Selecione Ver tudo.
  6. Na secção encriptação do ambiente, selecione gerir.
  7. Selecione Confirmar para confirmar o risco de chave gerida.
  8. Selecione aplicar esta chave para aceitar a alteração da encriptação para utilizar a chave ativada.
  9. Selecione confirmar para confirmar que está a gerir a chave diretamente e que existe tempo de inatividade para esta ação.

Devolver uma chave de encriptação gerida à chave de encriptação fornecida pela Microsoft

A reversão para a chave de encriptação fornecida pela Microsoft configura o ambiente novamente para o comportamento predefinido onde a Microsoft gere a chave de encriptação por si.

  1. Inicie sessão no centro de administração do Power Platform como administrador (administrador do Dynamics 365 ou administrador do Microsoft Power Platform).
  2. Selecione Gerenciar no painel de navegação.
  3. No painel Gerir, selecione Ambientes. É apresentada a página Ambientes.
  4. Selecione um ambiente criptografado com uma chave autogerenciada.
  5. Selecione Ver tudo.
  6. Na secção Encriptação do Ambiente, selecione Gerir e, em seguida, selecione Confirmar.
  7. Em Voltar à gestão de chaves de encriptação padrão, selecione Voltar .
  8. Para ambientes de produção, confirme o ambiente introduzindo o nome do ambiente.
  9. Selecione Confirmar para voltar à gestão de chave de encriptação padrão.

Bloquear o inquilino

Uma vez que existe apenas uma chave ativa por inquilino, o bloqueio da encriptação para o inquilino desativa todos os ambientes que se encontram no inquilino. Todos os ambientes bloqueados permanecem inacessíveis a todos, incluindo a Microsoft, até um administrador do Power Platform na sua organização os desbloquear com a chave utilizada para a bloquear.

Atenção

Nunca deve bloquear os ambientes do inquilino como parte do processo de negócio normal. Quando bloqueia um inquilino Dataverse, todos os ambientes são colocados offline e não podem ser acedidos por ninguém, incluindo a Microsoft. Além disso, os serviços como a sincronização e a manutenção são todos parados. Se optar por deixar o serviço bloqueado, o bloqueio do inquilino pode assegurar que os seus dados online nunca serão novamente acedidos por qualquer pessoa.

Tenha em atenção o seguinte sobre os ambientes de inquilinos que bloqueiam:

  • Não é possível restaurar os ambientes bloqueados a partir de uma cópia de segurança.
  • Os ambientes bloqueados são eliminados se não forem desbloqueados após 28 dias.
  • Não é possível bloquear ambientes durante 72 horas após alteração da chave de encriptação.
  • O bloqueio de um inquilino bloqueia todos os ambientes ativos do inquilino.

Importante

  • Tem de aguardar pelo menos uma hora depois de bloquear ambientes ativos antes de poder desbloqueá-los.
  • Após o início do processo de bloqueio, todas as chaves de encriptação com um estado ativo ou disponível são eliminadas. O processo de bloqueio pode demorar até uma hora e durante este período o desbloqueio de ambientes bloqueados não é permitido.
  1. Inicie sessão no centro de administração do Power Platform como administrador (administrador do Dynamics 365 ou administrador do Microsoft Power Platform).
  2. Selecione Gerenciar no painel de navegação.
  3. No painel Gerir, selecione Ambientes. É apresentada a página Ambientes.
  4. Selecione Gerenciar chaves de criptografia na barra de ferramentas.
  5. Selecione a chave ativa e, em seguida, selecione bloquear ambientes ativos.
  6. No painel da direita, selecione carregar chave ativa, procure e selecione a chave, introduza a palavra-passe e, em seguida, selecione bloquear.
  7. Quando lhe for pedido, introduza o texto que é apresentado no ecrã para confirmar que pretende bloquear todos os ambientes na região e, em seguida, selecione confirmar.

Desbloquear ambientes bloqueados

Para desbloquear ambientes primeiro tem de carregar e em seguida ativar a chave de encriptação de inquilinos com a mesma chave que foi utilizada para bloquear o inquilino. Os ambientes bloqueados não são desbloqueados automaticamente depois que a chave é ativada. Cada ambiente bloqueado tem de ser desbloqueado individualmente.

Importante

  • Tem de aguardar pelo menos uma hora depois de bloquear ambientes ativos antes de poder desbloqueá-los.
  • O processo de desbloqueio pode demorar até uma hora. Depois de a chave ser desbloqueada, pode utilizar a tecla para gerir a encriptação para um ambiente.
  • Não pode gerar uma nova ou carregar uma chave existente até que todos os ambientes bloqueados sejam desbloqueados.
Desbloquear chave de encriptação

  1. Inicie sessão no centro de administração do Power Platform como administrador (administrador do Dynamics 365 ou administrador do Microsoft Power Platform).

  2. Selecione Gerenciar no painel de navegação.

  3. No painel Gerir, selecione Ambientes. É apresentada a página Ambientes.

  4. Selecione Gerenciar chaves de criptografia na barra de ferramentas.

  5. Selecione a chave que tenha um estado bloqueado e, em seguida, na barra de comando selecione desbloquear chave.

  6. Selecione carregar chave bloqueada, procure e selecione a chave usada para bloquear o inquilino, introduza a palavra-passe e, em seguida, selecione desbloquear.

    A chave é enviada para um estado de instalação. Tem de aguardar até que a chave esteja num estado ativo antes de poder desbloquear ambientes bloqueados.

  7. Para desbloquear um ambiente, consulte a secção seguinte.

Desbloquear ambientes

  1. Vá para a página Ambientes e selecione o nome do ambiente bloqueado.

    Gorjeta

    Não selecione a coluna. Selecione o nome do ambiente.

  2. Na secção detalhes, selecione ver tudo para apresentar o painel detalhes à direita.

  3. Na secção de encriptação do Ambiente, no painel Detalhes, selecione Gerir.

  4. Na página Encriptação do ambiente, selecione Desbloquear.

  5. Selecione Confirmar para confirmar que pretende desbloquear o ambiente.

  6. Repita os passos anteriores para desbloquear outros ambientes.

Operações da base de dados do ambiente

Um inquilino de cliente pode ter ambientes que são encriptados utilizando a chave e os ambientes geridos pela Microsoft que são criptografados com a chave gerida pelo cliente. Para manter a integridade de dados e a proteção de dados, os seguintes controlos estão disponíveis ao gerir operações de base de dados de ambiente.

  1. Restaurar

    O ambiente para substituir (o restaurado para ambiente) está restrito ao mesmo ambiente em que a cópia de segurança foi tirada ou para outro ambiente que esteja encriptado com a mesma chave gerida pelo cliente. Além disso, um backup anterior feito quando o ambiente foi criptografado com chave gerenciada pela Microsoft não pode ser restaurado para um ambiente que esteja atualmente criptografado com a chave gerenciada pelo cliente. Em outras palavras, a restauração de um backup em um ambiente é permitida quando o estado de criptografia do ambiente atual (seja a chave gerenciada pela Microsoft ou a chave gerenciada pelo cliente) corresponde ao estado de criptografia do ambiente no momento em que o backup foi feito.

  2. Copiar

    O ambiente a substituir (o copiado para ambiente) está restrito a outro ambiente que esteja encriptado com a mesma chave gerida pelo cliente.

    Nota

    Se tiver sido criado um ambiente de investigação de suporte para resolver um problema de suporte num ambiente gerido pelo cliente, a chave de encriptação para o ambiente de investigação de suporte tem de ser alterada para a chave gerida pelo cliente antes da operação de cópia do ambiente ser efetuada.

  3. Repor

    Os dados encriptados do ambiente são eliminados, incluindo as cópias de segurança. Depois do ambiente ser reiniciado, a encriptação de ambiente será revertida para a chave gerida pela Microsoft.

Conteúdos relacionados

SQL Server: Encriptação de Dados Transparente (TDE)

  • Last updated on