Υποστήριξη για κλειδιά κρυπτογράφησης υπό τη διαχείριση πελάτη
Όλα τα δεδομένα πελατών που είναι αποθηκευμένα στο Power Platform κρυπτογραφούνται αδρανή χρησιμοποιώντας κλειδιά διαχειριζόμενα (MMK) από τη Microsoft από προεπιλογή. Με τα κλειδιά που διαχειρίζεται ο πελάτης (CMK), οι πελάτες μπορούν να φέρουν τα δικά τους κλειδιά κρυπτογράφησης για την προστασία των δεδομένων Power Automate. Αυτή η δυνατότητα επιτρέπει στους πελάτες να έχουν ένα επιπλέον επίπεδο προστασίας για τη διαχείριση των Power Platform πάγιων στοιχείων τους. Με αυτήν τη δυνατότητα, μπορείτε να περιστρέψετε ή να χρησιμοποιήσετε κλειδιά κρυπτογράφησης κατ' απαίτηση. Επίσης, εμποδίζει την πρόσβαση της Microsoft στα δεδομένα πελατών σας, εάν επιλέξετε να ανακαλέσετε την κύρια πρόσβαση στις υπηρεσίες της Microsoft ανά πάσα στιγμή.
Με τα CMK, οι ροές εργασιών σας και όλα τα συσχετισμένα δεδομένα σε ανάπαυση αποθηκεύονται και εκτελούνται σε μια αποκλειστική υποδομή, που έχει χωριστεί σε διαμερίσματα από το περιβάλλον. Σε αυτόν περιλαμβάνονται οι ορισμοί ροής εργασιών, τόσο οι ροές cloud και επιφάνειας εργασίας καθώς και το ιστορικό εκτέλεσης ροής εργασίας με λεπτομερείς εισόδους και εξόδους.
Ζητήματα σχετικά με τα προαπαιτούμενα πριν από την προστασία των ροών σας με CMK
Λάβετε υπόψη τα ακόλουθα σενάρια κατά την εφαρμογή της εταιρικής πολιτικής CMK στο περιβάλλον σας.
- Όταν εφαρμόζεται η εταιρική πολιτική CMK, οι ροές cloud και τα δεδομένα τους με CMK προστατεύονται αυτόματα. Ορισμένες ροές ενδέχεται να συνεχίσουν να προστατεύονται από MMK. Οι διαχειριστές μπορούν να αναγνωρίσουν αυτές τις ροές χρησιμοποιώντας εντολές PowerShell.
- Η δημιουργία και οι ενημερώσεις των ροών αποκλείονται κατά τη μετεγκατάσταση. Το ιστορικό εκτέλεσης δεν μεταφέρεται. Μπορείτε να το ζητήσετε μέσω ενός δελτίου υποστήριξης έως και 30 ημέρες μετά τη μετεγκατάσταση.
- Προς το παρόν, τα CMKs δεν αξιοποιούνται για την κρυπτογράφηση μη συνδέσεων OAuth. Αυτές οι συνδέσεις που δεν βασίζονται στο Microsoft Entra εξακολουθούν να κρυπτογραφούνται σε αδράνεια χρησιμοποιώντας MMK.
- Για να ενεργοποιήσετε την εισερχόμενη και εξερχόμενη κυκλοφορία δικτύου από υποδομή που προστατεύεται από CMK, ενημερώστε τη ρύθμιση παραμέτρων του τείχους προστασίας για να διασφαλίσετε ότι οι ροές σας θα συνεχίσουν να λειτουργούν.
- Δημιουργήστε ένα δελτίο υποστήριξης εάν σχεδιάζετε να προστατεύσετε περισσότερα από 25 περιβάλλοντα στον μισθωτή σας χρησιμοποιώντας CMK. Το προεπιλεγμένο όριο για περιβάλλοντα Power Automate με δυνατότητα CMK ανά μισθωτή είναι 25. Αυτός ο αριθμός μπορεί να επεκταθεί ενεργοποιώντας την ομάδα υποστήριξης.
Η εφαρμογή ενός κλειδιού κρυπτογράφησης είναι μια διαδικασία απόκρυψης που εκτελείται από διαχειριστές Power Platform και δεν είναι ορατή στους χρήστες. Οι χρήστες μπορούν να δημιουργήσουν, να αποθηκεύσουν και να εκτελέσουν ροές εργασιών Power Automate ακριβώς όπως εάν τα MMKs κρυπτογραφούσαν τα δεδομένα.
Αυτή η CMK δυνατότητα σάς επιτρέπει να χρησιμοποιήσετε την πολιτική για μία επιχείρηση που έχει δημιουργηθεί στο περιβάλλον για την ασφάλεια των Power Automate ροών εργασιών. Μάθετε περισσότερα σχετικά με το CMK και τις οδηγίες βήμα προς βήμα για την ενεργοποίηση των CMK στην ενότητα Διαχείριση του κλειδιού κρυπτογράφησης που διαχειρίζεται ο πελάτης.
Ρομποτική αυτοματοποίηση διεργασιών (RPA) Power Automate φιλοξενούμενη (έκδοση προεπισκόπησης)
Η δυνατότητα φιλοξενούμενης ομάδας υπολογιστών της λύσης Power Automate φιλοξενούμενο RPA υποστηρίζει κλειδιά διαχειριζόμενα από CMKs. Αφού εφαρμόσετε CMKs διαχειριζόμενα από τον πελάτη, πρέπει να προμηθεύσετε εκ νέου τυχόν υπάρχουσες ομάδες φιλοξενούμενων ομάδων υπολογιστών που επιλέγουν Εκ νέου προμήθεια ομάδας στη σελίδα λεπτομερειών ομάδας υπολογιστών. Μόλις γίνει εκ νέου προμήθεια, οι δίσκοι VM για την φιλοξενούμενη ομάδα υπολογιστών κρυπτογραφούνται με το κλειδί που είναι διαχειριζόμενο από το CMK.
Σημείωμα
Το CMK για τη δυνατότητα φιλοξενούμενης μηχανής δεν είναι διαθέσιμο αυτήν τη στιγμή.
Ενημέρωση ρύθμισης παραμέτρων τείχους προστασίας
Το Power Automate σάς επιτρέπει να δημιουργήσετε ροές που μπορούν να πραγματοποιούν κλήσεις HTTP. Μετά την εφαρμογή του CMK, οι εξερχόμενες ενέργειες HTTP από το Power Automate προέρχονται διαφορετική περιοχή IP από πριν. Εάν το τείχος προστασίας είχε ρυθμιστεί προηγουμένως ώστε να επιτρέπει ενέργειες ροής HTTP, είναι πιθανό ότι η ρύθμιση παραμέτρων πρέπει να ενημερωθεί ώστε να επιτρέπει το νέο εύρος διευθύνσεων IP.
- Εάν χρησιμοποιείτε το Τείχος προστασίας Azure, εφαρμόστε την ετικέτα υπηρεσίας
PowerPlatformPlexαπευθείας στη ρύθμιση παραμέτρων για να ρυθμιστεί αυτόματα το σωστό εύρος IP. Μάθετε περισσότερα στην ενότητα Ετικέτες υπηρεσίας εικονικού δικτύου. - Εάν χρησιμοποιείτε διαφορετικό τείχος προστασίας, αναζητήστε και ενεργοποιήστε την εισερχόμενη κυκλοφορία από το εύρος IP για
PowerPlatformPlexπου αναφέρεται στη λήψη Azure Εύρη IP και ετικέτες υπηρεσιών - Δημόσιο cloud.
Εάν αυτό δεν είναι σε ισχύ, ενδέχεται να λάβετε το σφάλμα Η αίτηση HTTP απέτυχε καθώς υπάρχει σφάλμα: "Δεν ήταν δυνατή η σύνδεση επειδή ο υπολογιστής προορισμού την αρνήθηκε ενεργά".
Προειδοποιητικά μηνύματα της εφαρμογής Power Automate CMK
Εάν ορισμένες ροές εξακολουθούν να προστατεύονται από MMK μετά την εφαρμογή CMK, εμφανίζονται προειδοποιήσεις στις εμπειρίες διαχείρισης πολιτικής και περιβάλλοντος. Εμφανίζεται ένα μήνυμα "Οι ροές Power Automate εξακολουθούν να προστατεύονται με διαχειριζόμενο κλειδί της Microsoft".
Μπορείτε να αξιοποιήσετε τις εντολές PowerShell για να προσδιορίσετε τέτοιες ροές και να τις προστατεύσετε με CMK.
Προστατέψτε ροές που συνεχίζουν να προστατεύονται από MMK
Οι ακόλουθες κατηγορίες ροών εξακολουθούν να προστατεύονται από MMK μετά την εφαρμογή της πολιτικής για επιχειρήσεις. Ακολουθήστε τις οδηγίες για να προστατεύσετε τις ροές από το CMK.
| Κατηγορία | Προσέγγιση για την προστασία με CMK |
|---|---|
| Οι ροές ενεργοποίησης Power App v1 που δεν βρίσκονται σε λύση | Επιλογή 1 (Συνιστάται) Ενημερώστε τη ροή ώστε να χρησιμοποιεί το έναυσμα V2 πριν από την εφαρμογή του CMK. Επιλογή 2 Καταχώρηση εφαρμογής CMK, χρησιμοποιήστε την επιλογή Αποθήκευση ως για να δημιουργήσετε ένα αντίγραφο της ροής. Ενημέρωση κλήσεων Power Apps για χρήση του νέου αντιγράφου της ροής. |
| Ροές ενεργοποίησης HTTP και ροές ενεργοποίησης Teams | Εφαρμογή πολιτικής επιχείρησης, χρησιμοποιήστε την επιλογή Αποθήκευση ως για να δημιουργήσετε ένα αντίγραφο της ροής. Ενημερώστε το σύστημα κλήσεων για να χρησιμοποιήσετε τη διεύθυνση URL της νέας ροής. Αυτή η κατηγορία ροών δεν προστατεύεται αυτόματα, καθώς δημιουργείται μια νέα διεύθυνση URL ροής στην υποδομή που προστατεύεται από CMK. Οι πελάτες ενδέχεται να αξιοποιούν τη διεύθυνση URL στα συστήματα κλήσης. |
| Γονικά στοιχεία ροών που δεν μπορούν να μετεγκατασταθούν αυτόματα | Εάν δεν είναι δυνατή η μετεγκατάσταση μιας ροής, τότε οι εξαρτώμενες ροές δεν μετεγκαθίστανται για να διασφαλιστεί ότι δεν θα υπάρξει διακοπή της επιχειρηματικής δραστηριότητας. |
Εντολές PowerShell
Οι διαχειριστές μπορούν να χρησιμοποιούν εντολές PowerShell ως μέρος των επικυρώσεων πριν και μετά την πτήση.
Ανάκτηση ροών που δεν μπορούν να προστατευτούν αυτόματα με χρήση CMK
Μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή για να προσδιορίσετε ροές που εξακολουθούν να προστατεύονται από την εταιρική εφαρμογή MMK CMK.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Λήψη τιμολογίου HTTP | ροή-1 | περιβάλλον-1 |
| Πληρωμή τιμολογίου από εφαρμογή | ροή-2 | περιβάλλον-2 |
| Συμφωνία λογαριασμού | ροή-3 | περιβάλλον-3 |
Ανάκτηση ροών που δεν προστατεύονται από CMK σε δεδομένο περιβάλλον
Μπορείτε να χρησιμοποιήσετε αυτήν την εντολή πριν και μετά την εκτέλεση της εταιρικής πολιτικής CMK για να προσδιορίσετε όλες τις ροές στο περιβάλλον που προστατεύονται από την MMK. Επίσης, μπορείτε να χρησιμοποιήσετε αυτήν την εντολή για να αξιολογήσετε την πρόοδο της εφαρμογής CMK για ροές σε ένα δεδομένο περιβάλλον.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Λήψη τιμολογίου HTTP | ροή-4 | περιβάλλον-4 |
Μάθετε περισσότερα στη Διαχείριση του κλειδιού κρυπτογράφησης που διαχειρίζεται ο πελάτης.
Λήψη ιστορικού εκτέλεσης από τη σελίδα λεπτομερειών ροής
Η λίστα ιστορικού εκτέλεσης στη σελίδα Λεπτομέρειες ροής εμφανίζει νέες εκτελέσεις μόνο μετά την εφαρμογή CMK.
Εάν θέλετε να προβάλετε δεδομένα εισόδου/εξόδου, μπορείτε να χρησιμοποιήσετε το ιστορικό εκτέλεσης (προβολή Όλες οι εκτελέσεις) για να εξαγάγετε το ιστορικό εκτέλεσης ροής σε CSV. Αυτό το ιστορικό περιέχει τόσο νέες όσο και υπάρχουσες εκτελέσεις ροής, συμπεριλαμβανομένων όλων των εισόδων και εξόδων ενεργοποίησης/ενέργειας, με όριο τις 100 εγγραφές. Αυτός ο περιορισμός είναι σύμφωνος με την υπάρχουσα συμπεριφορά για την εξαγωγή CSV.
Λήψη ιστορικού εκτέλεσης κατά δελτίο υποστήριξης
Παρέχουμε μια συνοπτική προβολή για όλες τις εκτελέσεις τόσο από υπάρχουσες όσο και από νέες εκτελέσεις ροής μετά την εφαρμογή CMK. Αυτή η προβολή περιέχει συνοπτικές πληροφορίες, όπως αναγνωριστικό εκτέλεσης, ώρα έναρξης, διάρκεια και αποτυχία/επιτυχία. Δεν περιέχει δεδομένα εισόδου/εξόδου.
Γνωστοί περιορισμοί
Οι περιορισμοί περιλαμβάνουν περιορισμούς για δυνατότητες αξιοποίησης της διοχέτευσης αναλύσεων και για ροές cloud μη λύσης που ενεργοποιούνται από το Power Apps, όπως περιγράφεται σε αυτήν την ενότητα.
Περιορισμοί σχετικά με τις δυνατότητες αξιοποίησης της διοχέτευσης αναλύσεων
Όταν ενεργοποιείται ένα περιβάλλον για κλειδιά διαχειριζόμενα από τον πελάτη, τότε τα Power Automate δεδομένα δεν είναι δυνατό να αποσταλούν στη διοχέτευση αναλύσεων για ένα εύρος σεναρίων:
- Αναφορές για μισθωτή στο κέντρο διαχείρισης του Power Platform
- Εξαγωγή δεδομένων στη λίμνη δεδομένων
- Ιστορικό εκτέλεσης ροής cloud (για κέντρο αυτοματοποίησης)
- Εφαρμογή Power Automate για κινητά, σελίδα ειδοποιήσεων
- Σελίδα δραστηριότητας ροής cloud
- Μήνυμα ηλεκτρονικού ταχυδρομείου αποτυχίας ροής
- Μήνυμα ηλεκτρονικού ταχυδρομείου σύνοψης αποτυχίας ροής
Περιορισμός στις ροές cloud εκτός λύσης που ενεργοποιούνται από το Power Apps
Οι ροές cloud εκτός λύσης που χρησιμοποιούν την ενεργοποίηση Power Apps και δημιουργούνται σε περιβάλλοντα που προστατεύονται από CMK δεν μπορούν να αναφέρονται από μια εφαρμογή. Προκύπτει ένα σφάλμα κατά την προσπάθεια εγγραφής της ροής από το Power Apps. Μόνο οι ροές cloud λύσης μπορούν να αναφέρονται από μια εφαρμογή σε περιβάλλοντα που προστατεύονται από CMK. Για να αποφευχθεί αυτή η κατάσταση, οι ροές πρέπει πρώτα να προστεθούν σε μια Dataverse λύση ώστε να είναι δυνατή η επιτυχημένη αναφορά τους. Για να αποφευχθεί αυτή η κατάσταση, η ρύθμιση περιβάλλοντος για την αυτόματη δημιουργία ροών στις Dataverse λύσεις θα πρέπει να ενεργοποιείται σε περιβάλλοντα που προστατεύονται από CMK. Αυτή η ρύθμιση διασφαλίζει ότι οι νέες ροές είναι ροές cloud λύσης.
Περιορισμός κλήσης των ροών ενεργοποίησης Δεξιότητες Copilot
Τα σενάρια όπου μια ροή cloud καλείται μέσω της ενεργοποίησης Δεξιότητες Copilot αξιοποιώντας τη σύνδεση του χρήστη Copilot που καλείται ως ενσωματωμένη σύνδεση δεν υποστηρίζεται για προστατευμένες ροές cloud CMK. Μάθετε περισσότερα σχετικά με τη χρήση ροών ως προσθηκών από το Copilot στην Εκτέλεση ροών από το Copilot για Microsoft 365.
Σχετικές πληροφορίες
Διαχειριστείτε κλειδί κρυπτογράφησης διαχειριζόμενο από πελάτη