Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os seguintes dois tipos de encriptação estão disponíveis quando utiliza o Microsoft Graph Data Connect (Data Connect):
Encriptação para dados inativos: os clientes podem utilizar a funcionalidade de encriptação de dados inativos do Azure e as chaves geridas pelo cliente ao configurar a respetiva conta de armazenamento do Azure para garantir que está corretamente bloqueada e segura para a entrega de dados.
Encriptação para dados em trânsito: o Data Connect oferece encriptação para dados em trânsito através da nossa encriptação personalizada com a capacidade de chaves pertencentes ao cliente. Também garante que todos os pedidos de dados entre os recursos do Microsoft 365 e do Azure de um cliente são seguros através da utilização de normas de serviço aprovadas pelo SOC.
Recomendamos que utilize o Azure Key Vault (AKV) para gerar e armazenar as chaves públicas ou privadas e atualizá-las quando necessário. Este artigo descreve a funcionalidade de encriptação personalizada que pode ser aplicada aos conjuntos de dados pedidos numa aplicação para uma entrega de dados segura.
Ativar a encriptação personalizada com chaves pertencentes ao cliente para dados em trânsito
Os clientes (programadores) podem utilizar a encriptação personalizada na respetiva aplicação Data Connect para uma entrega de conjuntos de dados ainda mais segura. Para ativar a funcionalidade, crie e configure um AKV para gerar chaves RSA ou certifique-se de que o AKV existente tem a configuração correta com chaves RSA. Em seguida, ative a encriptação ao configurar uma nova aplicação do Data Connect ou edite uma existente para ativar a encriptação e ligar o AKV atual. O Data Connect encripta conjuntos de dados através de chaves públicas autorizadas do AKV e fornece-os encriptados juntamente com uma chave de desencriptação. A chave de desencriptação será encriptada pelo Data Connect e poderá ser desencriptada com a chave privada dos clientes.
Observação
A encriptação personalizada não está disponível para clientes que ainda estejam a utilizar o processo de consentimento do PAM ou os Fluxos de Dados Geridos (MDF).
Ativar a encriptação personalizada para a sua aplicação do Data Connect
Se tiver uma aplicação do Data Connect existente, utilize os seguintes passos para ativar a encriptação personalizada:
Inicie sessão no Portal do Azure.
- Selecione Microsoft Graph Data Connect e selecione a sua aplicação atual.
- Escolha as propriedades>Inquilino Único e ative a encriptação.
- Se não tiver um AKV, abra um novo separador e siga as instruções em Configurar o Azure Key Vault.
- Siga os passos em Utilizar o Azure Key Vault e Gerar chaves RSA com o Key Vault do Azure para garantir que o AKV tem as permissões de função corretas e é preenchido com chaves RSA.
- No menu pendente da aplicação Data Connect, selecione o URI do Azure Key Vault (nome do AKV).
- Selecione Atualizar Propriedades para guardar. A encriptação será aplicada quando o administrador aprovar as alterações às propriedades da aplicação.
Observação
A encriptação só será aplicada a conjuntos de dados elegíveis. O AKV tem de ser configurado corretamente para que os conjuntos de dados sejam encriptados.
Se não tiver uma aplicação do Data Connect existente, utilize os seguintes passos para criar uma:
Siga o guia de introdução para criar a aplicação Data Connect.
Quando estiver no passo Registar a aplicação Microsoft Entra com o Microsoft Graph Data Connect, faça o seguinte:
- Preencha os detalhes da aplicação na página Informações de Registo .
- Selecione Ativar encriptação para conjuntos de dados.
- Para Key Vault, no menu pendente, selecione o URI do AKV (nome do AKV).
- Se o AKV não existir, abra um novo separador e siga os passos em Configurar o Azure Key Vault.
- Voltar ao separador da aplicação Data Connect e procure o AKV na lista pendente para selecioná-lo. Poderá ter de atualizar a página do AKV para preencher na lista pendente.
Observação
A encriptação será aplicada a todos os conjuntos de dados elegíveis pedidos na aplicação. Selecione a sugestão de ferramenta junto à encriptação para saber quais os conjuntos de dados que são elegíveis.
Preencha os restantes detalhes da aplicação necessários e submeta a aplicação para que o seu administrador do Microsoft 365 reveja.
Observação
Anote o principal de serviço existente; irá precisar disto mais tarde.
Agora que submeteu a aplicação, siga os passos em Utilizar o Azure Key Vault e Gerar chaves RSA com o Azure Key Vault para garantir que o AKV tem as permissões de função corretas e é preenchido com chaves RSA.
A encriptação será aplicada a todos os conjuntos de dados elegíveis na aplicação assim que o administrador aprovar a aplicação. Se executar um pipeline sem configurar as permissões de função corretas e gerar chaves RSA no AKV, os dados pedidos não serão encriptados.
Desencriptação de conjuntos de dados após a entrega de dados
Após a entrega dos dados encriptados, o cliente é responsável pela desencriptação de dados. O Data Connect não desencripta dados após a entrega. Esta secção descreve como desencriptar dados após a entrega.
Pré-requisitos
Certifique-se de que o Azure Key Vault está configurado corretamente. Para obter detalhes, veja Utilizar o Azure Key Vault para encriptação personalizada.
Metadados e encriptação
A parte pública do par de chaves RSA é utilizada para encriptar a chave de desencriptação. Pode utilizar a respetiva parte privada correspondente para desencriptar a chave de desencriptação após a entrega de dados. A Microsoft armazena a chave de desencriptação; apenas a sua aplicação pode desencriptar a chave de desencriptação com a chave privada. Apenas o utilizador tem acesso à chave privada. A chave de desencriptação é uma chave simétrica AES de 256 bits utilizada para encriptar o ficheiro.
A aplicação tem de reverter o processo de encriptação e compressão para aceder aos dados originais. Para aceder aos dados do cliente a partir da remoção de dados:
Obtenha a chave de desencriptação de ficheiros a partir dos metadados de extração.
Desencripte a chave de encriptação com a chave privada do cliente (fornecida no Azure Key Vault). Para obter mais informações, veja API desencriptação do Azure Key Vault.
Desencripte o ficheiro com a chave de encriptação de ficheiros. Para obter um exemplo de C#, veja Encriptar dados.
Ficheiro de metadados
Após a extração, receberá uma remoção de dados. Cada remoção de dados inclui um ficheiro de encryptionKeyDetails.json, com um caminho de metadados/MoreMetadata/EncryptedDatasets no diretório de raiz. Este ficheiro JSON inclui detalhes sobre a atividade de cópia. A tabela seguinte descreve o esquema.
| Campo | Descrição |
|---|---|
| DecryptionKeyDetails | Os detalhes sobre a chave de desencriptação. |
| PublicKeyVersion | A versão da chave pública. Isto é necessário para que o parceiro identifique qual a versão da chave privada correspondente que deve utilizar para a desencriptação. |
| DecryptionKeyValue | A representação Base64 do valor da chave de desencriptação. |
| DecryptionKeyIV | A representação Base64 do vetor de inicialização utilizado para criar a chave de desencriptação. |
Chaves de desencriptação
A chave de desencriptação vem encriptada como uma cadeia Base64 com a chave pública de inquilino por cliente fornecida no Azure Key Vault. As chaves de desencriptação consistem nos seguintes componentes:
- value – a representação Base64 do valor da chave de desencriptação. Por exemplo:
oF8xFGjrhxC2LsrsrUA3eTCWDl2fYlBkUe886jRLnKFwdbH/9SRA+55ekL42JCcL+iXsQNZdMWmy3LnLgk2nSfZ96ecU/++sOM7QB/6kWrS2Wmg+5XCW5FErodnyBZKCbOo1RETgrxTH8YlcoLX5319VCmBleSMxgitn0Jl+VCM+NjfE87oPWyLo+vifaBtFnIgSOkzKh20dZm/Ue1AxXQlYQ/WptHBRa4Lmza/oXgbTpqk9Y+Mw+4IhVtHbCdcEt0DqQ0FRb/qjlwMPaYqOlZ5GxFTiQFsAtYVTpnvcffkDBp1gzlOL2iLhudc66PP4h6v4cBxHx6RTz8bO4KiaQg== - iv – a representação Base64 do vetor de inicialização utilizado para criar a chave de desencriptação. Por exemplo:
vLvaqqAN8GaYI9gGuX1bsQ==
Codificação
Existem alguns detalhes de codificação a ter em conta durante o processo de desencriptação. Os seguintes dados contêm estes tipos de codificação:
- Chave de Desencriptação: UTF-8
- Chave de Desencriptação IV: UTF-8
- Preenchimento para AES – CBC/PKCS5 PKCS7 em C# é o mesmo que PKCS5 em Java
Além disso, o resultado da API REST de Desencriptação do Azure Key Vault é codificado com URL Base64. Terá de descodificar o valor do URL base64 para bytes e, em seguida, codificar o resultado para Base64.
Certifique-se de que tem em conta estas diferenças de codificação quando desencriptar os dados. Se os dados codificados forem desencriptados incorretamente, poderá obter um erro semelhante ao seguinte: Invalid AES key length: 88 bytes.
Eligiblidade do conjunto de dados para encriptação
Os seguintes conjuntos de dados são elegíveis para encriptação para o Data Connect:
- Todos os conjuntos de dados do Azure Active Directory
- Todos os conjuntos de dados do Outlook e Exchange Online
- Todos os conjuntos de dados do Microsoft Teams
- Todos os conjuntos de dados para Grupos Microsoft
- Todos os conjuntos de dados do OneDrive e do SharePoint
Os seguintes conjuntos de dados ainda não são elegíveis para encriptação:
- Todos os conjuntos de dados para Viva Insights
Observação
Se a sua aplicação tiver a encriptação ativada e contiver uma combinação de conjuntos de dados elegíveis e não elegíveis, apenas os conjuntos de dados elegíveis serão encriptados.
aprovação da aplicação Administração
Os administradores utilizam o seguinte processo para aprovar aplicações do Data Connect:
Inicie sessão no portal de autorização de administrador do Microsoft 365 com as suas credenciais de administrador.
Selecione o separador Segurança & Privacidade nas Definições da organização e, em seguida, selecione Aplicações do Microsoft Graph Data Connect, conforme mostrado na imagem seguinte.
Selecione a aplicação que está pronta para revisão. Na secção Descrição geral dos detalhes da aplicação, certifique-se de que a encriptação está ativada.
Na secção Rever dos detalhes da aplicação, certifique-se de que a encriptação está selecionada e reveja os conjuntos de dados.
Observação
Se a encriptação estiver ativada durante o registo de aplicações, será aplicada a todos os conjuntos de dados elegíveis na aplicação.
Depois de rever a aplicação, selecione Aprovar, Recusar ou Cancelar. Tem de ser efetuada uma ação e o Data Connect só aplicará a encriptação após a aprovação da aplicação. Para obter mais informações, veja Autorização da aplicação.
Utilizar o Azure Key Vault para encriptação personalizada
Se não tiver um AKV configurado, siga os passos no separador Configurar o Azure Key Vault antes de avançar para o separador seguinte.
Depois de ter um AKV existente, aceda ao separador Utilizar o Azure Key Vault para ativar as permissões de função necessárias. Em seguida, aceda ao separador Gerar chaves RSA com o separador Key Vault do Azure para criar as chaves RSA necessárias no AKV para encriptação personalizada.
Não é necessária qualquer ação por parte do administrador do Microsoft 365 para ativar a encriptação personalizada.
- Configurar o Azure Key Vault
- Utilizar a sua Key Vault do Azure
- Gerar chaves RSA com o Azure Key Vault
1. Inicie sessão no portal do Azure com as suas credenciais de programador e selecione o ícone Key Vault do Azure.
Se não tiver um AKV existente, selecione Criar. Para obter mais informações, veja Criar um cofre de chaves com o portal do Azure.
Selecione Controlo de acesso baseado em funções do Azure (recomendado) em Modelo de permissão.
No separador Rede , selecione Ativar acesso público para permitir que o Data Connect aceda a quaisquer chaves públicas que tenham sido geradas e armazenadas. O Data Connect está autorizado apenas a aceder a chaves públicas selecionadas.
Siga os passos e selecione Rever + Criar quando terminar.