Understøttelse af kundeadministrerede nøgler
Alle kundedata, der lagres i Power Platform, krypteres som standard med Microsoft-administrerede nøgler (MMK'er). Med CMK'er (kundeadministrerede nøgler) kan kunderne medbringe deres egne krypteringsnøgler for at beskytte Power Automate-data. Denne mulighed giver kunderne et ekstra beskyttende lag til at administrere deres Power Platform-aktiver. Med denne funktion kan du rotere eller bruge krypteringsnøgler efter behov. Den forhindrer også Microsofts adgang til dine kundedata, hvis du vælger at ophæve nøgleadgangen til Microsoft-tjenester når som helst.
Med CMK'er lagres og køres arbejdsprocesserne og alle tilknyttede inaktive data i en dedikeret infrastruktur, der er partitioneret af miljøet. Dette omfatter definitionerne på arbejdsprocesser, både cloud- og skrivebordsflow, og historik over arbejdsprocesser med detaljerede input og output.
Overvejelser om forudsætninger, før du beskytter dine workflows med CMK
Overvej følgende scenarier, når CMK-virksomhedspolitikken anvendes på dit miljø.
- Når CMK's virksomhedspolitik anvendes, beskyttes cloud workflows og deres data med CMK automatisk. Nogle flows er muligvis fortsat beskyttet af MMK'er. Administratorer kan identificere disse flows ved hjælp af PowerShell-kommandoer.
- Oprettelse og opdateringer af flows blokeres under overførslen. Kørselshistorikken overføres ikke. Du kan anmode om det via en supportbillet op til 30 dage efter overførslen.
- I øjeblikket bruges CMK til at kryptere forbindelser, der ikke er OAuth. Disse ikke-Microsoft Entra baserede forbindelser krypteres fortsat i hvile ved hjælp af MMK'er.
- Hvis du vil aktivere indgående og udgående netværkstrafik fra CMK-beskyttet infrastruktur, skal du opdatere firewallkonfigurationen for at sikre, at dine flows fortsat fungerer.
- Hvis du har planer om at beskytte mere end 25 miljøer i lejeren ved hjælp af CMK, skal du oprette en supportanmodning. Standardgrænsen for CMK-aktiverede Power Automate miljøer pr. lejer er 25. Dette antal kan udvides ved at kontakte supportteamet.
Anvendelse af en krypteringsnøgle er en handling, der udføres af Power Platform-administratorer, og som ikke er synlig for brugere. Brugere kan oprette, gemme og udføre Power Automate arbejdsprocesser på nøjagtig samme måde, som hvis MKK'ers krypterede dataene.
CMK-funktionen giver dig mulighed for at udnytte den enkelte virksomhedspolitik, der er oprettet i miljøet, til at sikre Power Automate arbejdsprocesser. Få mere at vide om CMK og de trinvise instruktioner til aktivering af CMK'er i Administrer din kundeadministrerede krypteringsnøgle.
Power Automate-hostet procesautomatisering med robotteknologi (RPA) (forhåndsversion)
Funktionen til hostet maskingruppe i Introduktion til den Power Automate-hostede RPA-løsning understøtter CMK're. Når du har anvendt CMK'er, skal du genklargøre alle eksisterende hostede maskingrupper igen ved at vælge Omgrupperingsgruppe på siden med detaljer om maskingrupper. Når VM-diskene til hostet maskingruppes robotter er omgrupperet, krypteres de med CMK.
Bemærk
CMK for den hostede maskines funktion er ikke tilgængelig i øjeblikket.
Opdater firewallkonfiguration
Power Automate giver dig mulighed for at oprette flows, der kan foretage HTTP-kald. Når du har anvendt CMK, kommer udgående HTTP-handlinger fra Power Automate ud fra et andet IP-område end før. Hvis firewallen tidligere er konfigureret til at tillade HTTP-handlinger for flow, skal konfigurationen sandsynligvis opdateres for at tillade det nye IP-område.
- Hvis du bruger Azure Firewall, skal du anvende servicemærket
PowerPlatformPlexdirekte på konfigurationen, så det korrekte IP-interval konfigureres automatisk. Få mere at vide i Virtuelle netværksservicemærker. - Hvis du bruger en anden firewall, skal du slå indgående trafik op og aktivere indgående trafik fra IP-området, som der henvises til
PowerPlatformPlexi overførslen af Azure IP-intervaller og servicemærker – offentlig cloud.
Hvis dette ikke er på plads, får du muligvis fejlen, Http-anmodningen mislykkedes, da der er en fejl: 'Der kunne ikke oprettes forbindelse, fordi målmaskinen aktivt afviste den.'
Power Automate CMK-programadvarsler
Hvis visse flows fortsat er beskyttet af MMK'er efter CMK-programmet, vises advarsler i Politik- og miljøstyringsoplevelser. Meddelelsen "Power Automate flows er stadig beskyttet med Microsoft-administreret nøgle" vises.
Du kan bruge PowerShell-kommandoer til at identificere sådanne flow og beskytte dem med CMK'er.
Beskyt flows der fortsat er beskyttet af MMK
Følgende kategorier af flows er fortsat beskyttet af MMK efter anvendelse af virksomhedspolitikken. Følg instruktionerne for at beskytte flows ved CMK.
| Kategori | Tilgang til beskyttelse med CMK |
|---|---|
| Power App v1-flows, der udløses, og som ikke findes i en løsning | Mulighed 1 (anbefales) Opdater flow til at bruge V2-udløseren, før du anvender CMK. Mulighed 2 Efter anvendelse af CMK, skal du bruge Gem som til at oprette en kopi af flow. Opdater opkaldssystem Power Apps for at bruge den nye kopi af flow. |
| HTTP-udløserflows og Teams-udløserflows | Efter anvendelse af virksomhedspolitik, skal du bruge Gem som til at oprette en kopi af flow. Opdater opkaldssystem for at bruge URL-adressen til det nye flow. Denne kategori af flows beskyttes ikke automatisk, da der oprettes en ny URL-adresse til flow i den CMK-beskyttede infrastruktur. Kunder udnytter muligvis URL-adressen i deres kaldesystemer. |
| Overordnede for flows, der ikke kan overføres automatisk | Hvis et flow ikke kan overføres, overføres afhængige flows heller ikke for at sikre, at der ikke opstår forretningsforstyrrelser. |
| Flows, der bruger connector-handlingen Vis liste over flows som administrator (v1) | Flows, der refererer til denne ældre handling, skal enten slettes eller opdateres for at bruge handlingen Vis liste over flow som administrator (V2). |
PowerShell-kommandoer
Administratorer kan udnytte PowerShell-kommandoer som en del af valideringer før og efter processen.
Hent flows, der ikke kan beskyttes automatisk ved hjælp af CMK
Du kan bruge følgende kommando til at identificere flows, der fortsat er beskyttet af MMK efter anvendelsen af CMK Enterprise.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Hent faktura-HTTP | flow-1 | miljø-1 |
| Betal faktura fra app | flow-2 | miljø-2 |
| Afstemme konto | flow-3 | miljø-3 |
Hent flows, der ikke er beskyttet af CMK i et givet miljø
Du kan bruge denne kommando før og efter udførelse af CMK Enterprise-politikken til at identificere alle flows i miljøet, der er beskyttet af MMK. Du kan også bruge denne kommando til at vurdere status for anvendelsen af CMK for flows i et givet miljø.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Hent faktura-HTTP | flow-4 | miljø-4 |
Få mere at vide i Administrere din kundestyrede krypteringsnøgle.
Hent kørselshistorik fra siden med detaljer om flowet
Listen over kørselshistorik på siden med flowdetaljer viser kun nye kørsler efter anvendelsen af CMK.
Hvis du vil have vist input/output-data, kan du bruge historik over kørsler (visningen Alle kørsler ) til at eksportere historik over flow-kørsler til CSV. Denne historik indeholder både nye og eksisterende kørsler af flows, herunder alle input og output for udløsere/handlinger, med en grænse på 100 poster. Denne begrænsning er i overensstemmelse med den eksisterende funktionsmåde for CSV-eksporten.
Hent kørselshistorik efter supportbillet
Vi leverer en oversigtsvisning for alle kørsler fra både eksisterende og nye kørsler af flows efter anvendelse af CMK. Denne visning indeholder oversigtsoplysninger, f.eks. kørsels-id, starttidspunkt, varighed og mislykket/vellykket. Den indeholder ikke input/output-data.
Beskyt flow i miljøer, der allerede er beskyttet af CMK
I forbindelse med miljøer, der allerede er beskyttet af CMK, kan der anmodes om beskyttelse af flows, der bruger CMK, via en supportanmodning.
Kendte begrænsninger
Begrænsningerne omfatter begrænsninger for funktioner, der udnytter analysepipelinen, og for cloudflows, der ikke er en del af en løsning, der udløses af Power Apps, som beskrevet i dette afsnit.
Begrænsninger for funktioner, der anvender analysepipeline
Når et miljø er aktiveret for kundeadministrerede nøgler, så kan Power Automate-data ikke sendes til analysepipelinen for en række scenarier:
- Rapportering for hele lejeren i Power Platform Administration
- Dataeksport til Data Lake
- Cloudflow-kørselshistorik (for automatiseringscenter)
- Power Automate-mobilapp, meddelelsesside
- Cloudflow-aktivitetsside
- E-mail om flowfejl
- Samlet mail med flowfejl
Begrænsning af ikke-løsningsbaserede cloudflows, der udløses af Power Apps
Ikke-løsningsbaserede cloudflows, der bruger udløseren Power Apps , og som er oprettet i CMK-beskyttede miljøer, kan ikke refereres fra en app. Der opstår en fejl, når du forsøger at registrere flowet fra Power Apps. Det er kun løsningscloudflows, der kan refereres til fra en app i CMK-beskyttede miljøer. For at undgå denne situation skal flows først tilføjes en Dataverse-løsning, så der kan refereres til dem. For at forhindre denne situation skal miljøindstillingen til automatisk oprettelse af flows i Dataverse-løsninger aktiveres i CMK-beskyttede miljøer. Denne indstilling sikrer, at nye flows er cloudflow-løsninger.
Begrænsning af aktivering af udløserflows for Copilot-færdigheder
De scenarier, hvor et cloud flow kaldes via udløseren Copilot Skills, der anvender den kaldende Copilot-brugers forbindelse i modsætning til en integreret forbindelse, understøttes ikke for CMK-beskyttede cloudflows. Få mere at vide om brug af flows som plug-ins fra Copilot i Kør flows fra Copilot til Microsoft 365.