Utilizar a encriptação com o Microsoft Graph Data Connect

Os seguintes dois tipos de encriptação estão disponíveis quando utiliza o Microsoft Graph Data Connect (Data Connect):

  • Encriptação para dados inativos: os clientes podem utilizar a funcionalidade de encriptação de dados inativos do Azure e as chaves geridas pelo cliente ao configurar a respetiva conta de armazenamento do Azure para garantir que está corretamente bloqueada e segura para a entrega de dados.

  • Encriptação para dados em trânsito: o Data Connect oferece encriptação para dados em trânsito através da nossa encriptação personalizada com a capacidade de chaves pertencentes ao cliente. Também garante que todos os pedidos de dados entre os recursos do Microsoft 365 e do Azure de um cliente são seguros através da utilização de normas de serviço aprovadas pelo SOC.

Recomendamos que utilize o Azure Key Vault (AKV) para gerar e armazenar as chaves públicas ou privadas e atualizá-las quando necessário. Este artigo descreve a funcionalidade de encriptação personalizada que pode ser aplicada aos conjuntos de dados pedidos numa aplicação para uma entrega de dados segura.

Ativar a encriptação personalizada com chaves pertencentes ao cliente para dados em trânsito

Os clientes (programadores) podem utilizar a encriptação personalizada na respetiva aplicação Data Connect para uma entrega de conjuntos de dados ainda mais segura. Para ativar a funcionalidade, crie e configure um AKV para gerar chaves RSA ou certifique-se de que o AKV existente tem a configuração correta com chaves RSA. Em seguida, ative a encriptação ao configurar uma nova aplicação do Data Connect ou edite uma existente para ativar a encriptação e ligar o AKV atual. O Data Connect encripta conjuntos de dados através de chaves públicas autorizadas do AKV e fornece-os encriptados juntamente com uma chave de desencriptação. A chave de desencriptação será encriptada pelo Data Connect e poderá ser desencriptada com a chave privada dos clientes.

Observação

A encriptação personalizada não está disponível para clientes que ainda estejam a utilizar o processo de consentimento do PAM ou os Fluxos de Dados Geridos (MDF).

Ativar a encriptação personalizada para a sua aplicação do Data Connect

Se tiver uma aplicação do Data Connect existente, utilize os seguintes passos para ativar a encriptação personalizada:

  1. Inicie sessão no Portal do Azure.

    1. Selecione Microsoft Graph Data Connect e selecione a sua aplicação atual.
    2. Escolha as propriedades>Inquilino Único e ative a encriptação.
    3. Se não tiver um AKV, abra um novo separador e siga as instruções em Configurar o Azure Key Vault.
    4. Siga os passos em Utilizar o Azure Key Vault e Gerar chaves RSA com o Key Vault do Azure para garantir que o AKV tem as permissões de função corretas e é preenchido com chaves RSA.
    5. No menu pendente da aplicação Data Connect, selecione o URI do Azure Key Vault (nome do AKV).
    6. Selecione Atualizar Propriedades para guardar. A encriptação será aplicada quando o administrador aprovar as alterações às propriedades da aplicação.

    Observação

    A encriptação só será aplicada a conjuntos de dados elegíveis. O AKV tem de ser configurado corretamente para que os conjuntos de dados sejam encriptados.

    Captura de ecrã do portal do Azure com o Microsoft Graph Data Connect realçado

    Captura de ecrã de uma aplicação existente com Propriedades e Propriedades de Atualização realçadas

Se não tiver uma aplicação do Data Connect existente, utilize os seguintes passos para criar uma:

  1. Siga o guia de introdução para criar a aplicação Data Connect.

  2. Quando estiver no passo Registar a aplicação Microsoft Entra com o Microsoft Graph Data Connect, faça o seguinte:

    1. Preencha os detalhes da aplicação na página Informações de Registo .
    2. Selecione Ativar encriptação para conjuntos de dados.
    3. Para Key Vault, no menu pendente, selecione o URI do AKV (nome do AKV).
    4. Se o AKV não existir, abra um novo separador e siga os passos em Configurar o Azure Key Vault.
    5. Voltar ao separador da aplicação Data Connect e procure o AKV na lista pendente para selecioná-lo. Poderá ter de atualizar a página do AKV para preencher na lista pendente.

    Observação

    A encriptação será aplicada a todos os conjuntos de dados elegíveis pedidos na aplicação. Selecione a sugestão de ferramenta junto à encriptação para saber quais os conjuntos de dados que são elegíveis.

    Captura de ecrã do portal do Azure com a Key Vault do Azure e a encriptação efetuadas em caixa

  3. Preencha os restantes detalhes da aplicação necessários e submeta a aplicação para que o seu administrador do Microsoft 365 reveja.

    Observação

    Anote o principal de serviço existente; irá precisar disto mais tarde.

  4. Agora que submeteu a aplicação, siga os passos em Utilizar o Azure Key Vault e Gerar chaves RSA com o Azure Key Vault para garantir que o AKV tem as permissões de função corretas e é preenchido com chaves RSA.

  5. A encriptação será aplicada a todos os conjuntos de dados elegíveis na aplicação assim que o administrador aprovar a aplicação. Se executar um pipeline sem configurar as permissões de função corretas e gerar chaves RSA no AKV, os dados pedidos não serão encriptados.

Desencriptação de conjuntos de dados após a entrega de dados

Após a entrega dos dados encriptados, o cliente é responsável pela desencriptação de dados. O Data Connect não desencripta dados após a entrega. Esta secção descreve como desencriptar dados após a entrega.

Pré-requisitos

Certifique-se de que o Azure Key Vault está configurado corretamente. Para obter detalhes, veja Utilizar o Azure Key Vault para encriptação personalizada.

Metadados e encriptação

A parte pública do par de chaves RSA é utilizada para encriptar a chave de desencriptação. Pode utilizar a respetiva parte privada correspondente para desencriptar a chave de desencriptação após a entrega de dados. A Microsoft armazena a chave de desencriptação; apenas a sua aplicação pode desencriptar a chave de desencriptação com a chave privada. Apenas o utilizador tem acesso à chave privada. A chave de desencriptação é uma chave simétrica AES de 256 bits utilizada para encriptar o ficheiro.

A aplicação tem de reverter o processo de encriptação e compressão para aceder aos dados originais. Para aceder aos dados do cliente a partir da remoção de dados:

  1. Obtenha a chave de desencriptação de ficheiros a partir dos metadados de extração.

  2. Desencripte a chave de encriptação com a chave privada do cliente (fornecida no Azure Key Vault). Para obter mais informações, veja API desencriptação do Azure Key Vault.

  3. Desencripte o ficheiro com a chave de encriptação de ficheiros. Para obter um exemplo de C#, veja Encriptar dados.

Ficheiro de metadados

Após a extração, receberá uma remoção de dados. Cada remoção de dados inclui um ficheiro de encryptionKeyDetails.json, com um caminho de metadados/MoreMetadata/EncryptedDatasets no diretório de raiz. Este ficheiro JSON inclui detalhes sobre a atividade de cópia. A tabela seguinte descreve o esquema.

Campo Descrição
DecryptionKeyDetails Os detalhes sobre a chave de desencriptação.
PublicKeyVersion A versão da chave pública. Isto é necessário para que o parceiro identifique qual a versão da chave privada correspondente que deve utilizar para a desencriptação.
DecryptionKeyValue A representação Base64 do valor da chave de desencriptação.
DecryptionKeyIV A representação Base64 do vetor de inicialização utilizado para criar a chave de desencriptação.

Chaves de desencriptação

A chave de desencriptação vem encriptada como uma cadeia Base64 com a chave pública de inquilino por cliente fornecida no Azure Key Vault. As chaves de desencriptação consistem nos seguintes componentes:

  • value – a representação Base64 do valor da chave de desencriptação. Por exemplo: oF8xFGjrhxC2LsrsrUA3eTCWDl2fYlBkUe886jRLnKFwdbH/9SRA+55ekL42JCcL+iXsQNZdMWmy3LnLgk2nSfZ96ecU/++sOM7QB/6kWrS2Wmg+5XCW5FErodnyBZKCbOo1RETgrxTH8YlcoLX5319VCmBleSMxgitn0Jl+VCM+NjfE87oPWyLo+vifaBtFnIgSOkzKh20dZm/Ue1AxXQlYQ/WptHBRa4Lmza/oXgbTpqk9Y+Mw+4IhVtHbCdcEt0DqQ0FRb/qjlwMPaYqOlZ5GxFTiQFsAtYVTpnvcffkDBp1gzlOL2iLhudc66PP4h6v4cBxHx6RTz8bO4KiaQg==
  • iv – a representação Base64 do vetor de inicialização utilizado para criar a chave de desencriptação. Por exemplo: vLvaqqAN8GaYI9gGuX1bsQ==

Codificação

Existem alguns detalhes de codificação a ter em conta durante o processo de desencriptação. Os seguintes dados contêm estes tipos de codificação:

  • Chave de Desencriptação: UTF-8
  • Chave de Desencriptação IV: UTF-8
  • Preenchimento para AES – CBC/PKCS5 PKCS7 em C# é o mesmo que PKCS5 em Java

Além disso, o resultado da API REST de Desencriptação do Azure Key Vault é codificado com URL Base64. Terá de descodificar o valor do URL base64 para bytes e, em seguida, codificar o resultado para Base64.

Certifique-se de que tem em conta estas diferenças de codificação quando desencriptar os dados. Se os dados codificados forem desencriptados incorretamente, poderá obter um erro semelhante ao seguinte: Invalid AES key length: 88 bytes.

Eligiblidade do conjunto de dados para encriptação

Os seguintes conjuntos de dados são elegíveis para encriptação para o Data Connect:

  • Todos os conjuntos de dados do Azure Active Directory
  • Todos os conjuntos de dados do Outlook e Exchange Online
  • Todos os conjuntos de dados do Microsoft Teams
  • Todos os conjuntos de dados para Grupos Microsoft
  • Todos os conjuntos de dados do OneDrive e do SharePoint

Os seguintes conjuntos de dados ainda não são elegíveis para encriptação:

  • Todos os conjuntos de dados para Viva Insights

Observação

Se a sua aplicação tiver a encriptação ativada e contiver uma combinação de conjuntos de dados elegíveis e não elegíveis, apenas os conjuntos de dados elegíveis serão encriptados.

aprovação da aplicação Administração

Os administradores utilizam o seguinte processo para aprovar aplicações do Data Connect:

  1. Inicie sessão no portal de autorização de administrador do Microsoft 365 com as suas credenciais de administrador.

  2. Selecione o separador Segurança & Privacidade nas Definições da organização e, em seguida, selecione Aplicações do Microsoft Graph Data Connect, conforme mostrado na imagem seguinte. Captura de ecrã com as definições da Organização, o separador Segurança & Privacidade e as aplicações Microsoft Graph Data Connect realçadas.

  3. Selecione a aplicação que está pronta para revisão. Na secção Descrição geral dos detalhes da aplicação, certifique-se de que a encriptação está ativada. Captura de ecrã de uma aplicação do Data Connect com a Descrição Geral e a Encriptação de Conjuntos de Dados realçadas

  4. Na secção Rever dos detalhes da aplicação, certifique-se de que a encriptação está selecionada e reveja os conjuntos de dados.

    Observação

    Se a encriptação estiver ativada durante o registo de aplicações, será aplicada a todos os conjuntos de dados elegíveis na aplicação.

    Captura de ecrã de uma aplicação do Data Connect com a Revisão e a Encriptação de Dados realçadas

  5. Depois de rever a aplicação, selecione Aprovar, Recusar ou Cancelar. Tem de ser efetuada uma ação e o Data Connect só aplicará a encriptação após a aprovação da aplicação. Para obter mais informações, veja Autorização da aplicação.

Utilizar o Azure Key Vault para encriptação personalizada

Se não tiver um AKV configurado, siga os passos no separador Configurar o Azure Key Vault antes de avançar para o separador seguinte.

Depois de ter um AKV existente, aceda ao separador Utilizar o Azure Key Vault para ativar as permissões de função necessárias. Em seguida, aceda ao separador Gerar chaves RSA com o separador Key Vault do Azure para criar as chaves RSA necessárias no AKV para encriptação personalizada.

Não é necessária qualquer ação por parte do administrador do Microsoft 365 para ativar a encriptação personalizada.

1. Inicie sessão no portal do Azure com as suas credenciais de programador e selecione o ícone Key Vault do Azure. Captura de ecrã do portal do Azure com o Key Vault do Azure realçado

  1. Se não tiver um AKV existente, selecione Criar. Para obter mais informações, veja Criar um cofre de chaves com o portal do Azure. Captura de ecrã da página Cofres de chaves com a origem Criar realçada

  2. Selecione Controlo de acesso baseado em funções do Azure (recomendado) em Modelo de permissão. Captura de ecrã da secção Modelo de permissões do registo do AKV

  3. No separador Rede , selecione Ativar acesso público para permitir que o Data Connect aceda a quaisquer chaves públicas que tenham sido geradas e armazenadas. O Data Connect está autorizado apenas a aceder a chaves públicas selecionadas. Captura de ecrã do separador Rede do Azure Key Vault

  4. Siga os passos e selecione Rever + Criar quando terminar.