Compatibilidad con claves administradas por el cliente
Todos los datos de los clientes almacenados en Power Platform se cifran en reposo con claves administradas por Microsoft de (MMKs) forma predeterminada. Con las claves administradas por el cliente (CMK), los clientes pueden traer sus propias claves de cifrado para proteger los datos de Power Automate. Esta capacidad permite a los clientes tener una capa protectora adicional para administrar sus activos de Power Platform. Con esta función, puede rotar o intercambiar claves de cifrado bajo demanda. También impide el acceso de Microsoft a sus datos de cliente, si elige revocar el acceso clave a los servicios de Microsoft en cualquier momento.
Con las CMK, sus flujos de trabajo y todos los datos en reposo asociados se almacenan y ejecutan en una infraestructura dedicada, dividida por el entorno. Esto incluye sus definiciones de flujo de trabajo, flujos de escritorio y en la nube e historial de ejecución de flujo de trabajo con entradas y salidas detalladas.
Consideraciones previas antes de proteger los flujos con CMK
Tenga en cuenta los siguientes escenarios al aplicar la directiva empresarial de CMK a su entorno.
- Cuando se aplica la directiva empresarial de CMK, los flujos de nube y sus datos con CMK se protegen automáticamente. Es posible que algunos flujos continúen protegidos por MMK. Los administradores pueden identificar estos flujos mediante comandos de PowerShell.
- La creación y las actualizaciones de los flujos se bloquean durante la migración. El historial de ejecución no se transfiere. Puede solicitarlo a través de un ticket de asistencia hasta 30 días después de la migración.
- Actualmente, las CMK no se aprovechan para cifrar las conexiones no OAuth. Estas conexiones no basadas en Microsoft Entra se siguen cifrando en reposo mediante MMK.
- Para habilitar el tráfico de red entrante y saliente desde la infraestructura protegida por CMK, actualice la configuración de firewall para asegurarse de que los flujos sigan funcionando.
- Si planea proteger más de 25 entornos en su inquilino mediante CMK, cree una incidencia de soporte técnico. El límite predeterminado de entornos de Power Automate habilitados por CMK por inquilino es de 25. Este número puede ampliarse si se pone en contacto con el equipo de soporte técnico.
La aplicación de una clave de cifrado es un gesto realizado por administradores de Power Platform y es invisible para los usuarios. Los usuarios pueden crear, guardar y ejecutar Power Automate flujos de trabajo exactamente de la misma manera que si las MMK cifraran los datos.
La característica CMK le permite aprovechar la directiva empresarial única creada en el entorno para proteger los flujos de trabajo de Power Automate. Obtenga más información sobre CMK y las instrucciones paso a paso para habilitar CMK en Gestione su clave de cifrado administrada por el cliente.
Automatización robótica de procesos (RPA) hospedados en Power Automate (versión preliminar)
La capacidad del grupo de máquinas hospedadas de la Introducción a la solución de RPA hospedada en Power Automate admite CMK. Después de aplicar las CMK, debe volver a aprovisionar los grupos de máquinas hospedadas existentes seleccionando Reaprovisionar grupo en la página de detalles del grupo de máquinas. Una vez que se vuelven a aprovisionar, los discos de VM para los bots del grupo de máquinas hospedadas se cifran con la CMK.
Nota
CMK para la capacidad de máquina hospedada no está disponible actualmente.
Actualizar configuración de firewall
Power Automate le permite crear flujos que pueden realizar llamadas HTTP. Tras aplicar CMK, las acciones HTTP salientes desde Power Automate se originan desde un intervalo de IP diferente al anterior. Si el firewall se configuró previamente para permitir acciones HTTP del flujo, es probable que sea necesario actualizar la configuración para permitir el nuevo rango de IP.
- Si usa Azure Firewall, aplique la etiqueta de servicio
PowerPlatformPlexdirectamente a la configuración para que se configure automáticamente el intervalo de IP correcto. Obtenga más información en Etiquetas del servicio de red virtual. - Si usa otro firewall, busque y habilite el tráfico entrante desde el intervalo de direcciones para
PowerPlatformPlexreferenciado en la descarga de Rangos de IP y Etiquetas de servicio de Azure - Nube pública.
Si esto no está configurado correctamente, es posible que obtenga el error, la solicitud HTTP falló ya que hay un error: "No se pudo establecer ninguna conexión porque la máquina de destino la rechazó activamente".
Mensajes de advertencia de la aplicación Power Automate CMK
Si ciertos flujos continúan protegidos por MMK después de la aplicación de CMK, aparecen advertencias en las experiencias de administración de directivas y entorno. Se muestra un mensaje "Los flujos de Power Automate siguen protegidos con la clave administrada de Microsoft".
Puede aprovechar los comandos de PowerShell para identificar dichos flujos y protegerlos con CMK.
Proteger los flujos que siguen estando protegidos por MMK
Las siguientes categorías de flujos continúan estando protegidas por MMK después de aplicar la directiva Enterprise. Siga las instrucciones para proteger los flujos mediante CMK.
| Categoría | Enfoque para proteger con CMK |
|---|---|
| Flujos activados por Power App v1 que no están en una solución | Opción 1 (recomendada) Actualice el flujo para usar el activador V2 antes de aplicar CMK. Opción 2 Después de la aplicación de CMK, use Guardar como para crear una copia del flujo. Actualice las llamadas Power Apps para usar la nueva copia del flujo. |
| Flujos activados por HTTP y flujos activados por Teams | Después de aplicar la directiva empresarial, use Guardar como para crear una copia del flujo. Actualice el sistema de llamada para usar la dirección URL del nuevo flujo de trabajo. Esta categoría de flujos de trabajo no se protege automáticamente, ya que se crea una nueva URL de flujo de trabajo en la infraestructura protegida de CMK. Es posible que los clientes estén aprovechando la dirección URL en sus sistemas invocadores. |
| Flujos principales que no se pueden migrar automáticamente | Si un flujo no se puede migrar, los flujos dependientes tampoco se migran para garantizar que no haya interrupciones en el negocio. |
| Flujos que usan la acción de conector Mostrar flujos como administrador (v1) | Los flujos que hacen referencia a esta acción heredada deben eliminarse o actualizarse para usar la acción Mostrar flujos como administrador (V2). |
Comandos de PowerShell
Los administradores pueden aprovechar los comandos de PowerShell como parte de las validaciones previas y posteriores a la ejecución.
Recuperar flujos que no se pueden proteger automáticamente con CMK
Puede usar el siguiente comando para identificar los flujos que continúan protegidos después de la aplicación CMK Enterprise.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| Nombre para mostrar | FlowName | EnvironmentName |
|---|---|---|
| Obtener factura HTTP | flujo-1 | entorno-1 |
| Pagar factura desde la aplicación | flujo-2 | entorno-2 |
| Conciliar cuenta | flujo-3 | entorno-3 |
Recuperar flujos no protegidos por CMK en un entorno determinado
Puede aprovechar este comando antes y después de ejecutar la directiva CMK Enterprise para identificar todos los flujos del entorno que están protegidos por CMK. Además, puede aprovechar este comando para evaluar el progreso de la aplicación CMK para flujos en un entorno determinado.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| Nombre para mostrar | FlowName | EnvironmentName |
|---|---|---|
| Obtener factura HTTP | flujo-4 | entorno-4 |
Más información: Administrar la clave de cifrado administrada por el cliente.
Obtener el historial de ejecución de la página Detalles del flujo
La lista del historial de ejecución en la página del flujo Detalles muestra las nuevas ejecuciones solo después de la aplicación CMK.
Si desea ver los datos de entrada y salida, puede usar el historial de ejecuciones (vista Todas las ejecuciones) para exportar el historial de ejecuciones de flujo a CSV. Este historial contiene ejecuciones de flujo nuevas y existentes, incluidas todas las entradas y salidas de desencadenador o acción, con un límite de 100 registros. Esta limitación está en línea con el comportamiento existente para la exportación de CSV.
Obtener historial de ejecución por incidencia de soporte técnico
Proporcionamos una vista de resumen de todas las ejecuciones de las ejecuciones de flujo existentes y nuevas después de la aplicación CMK. Esta vista contiene información resumida como el identificador de ejecución, la hora de inicio, la duración y el fracaso/éxito. No contiene datos de entrada/salida.
Proteja los flujos en entornos que ya están protegidos por CMK
En el caso de los entornos que ya están protegidos por CMK, la protección de los flujos mediante CMK se puede solicitar mediante un ticket de soporte.
Limitaciones conocidas
Las limitaciones incluyen limitaciones para las características que usan la canalización de análisis y para los flujos de nube que no son de solución desencadenados por Power Apps, como se describe en esta sección.
Limitaciones en las características que aplican la canalización de análisis
Cuando un entorno está habilitado para claves administradas por el cliente, los datos de Power Automate no se pueden enviar a la canalización de análisis para una variedad de escenarios:
- Informes de nivel de todo el inquilino en el centro de administración de Power Platform
- Exportación de datos a lago de datos
- Historial de ejecución del flujo de nube (para centro de automatización)
- Aplicación móvil de Power Automate, página de notificaciones
- Página de actividad de flujo de nube
- Correo electrónico de fallo del flujo
- Correo electrónico de resumen de fallos de flujo
Limitación de los flujos de nube que no son de solución desencadenados por Power Apps
No se puede hacer referencia desde una aplicación a los flujos de nube que no son de solución que usan el desencadenador de Power Apps y se crean en entornos protegidos por CMK. Se produce un error al intentar registrar el flujo desde Power Apps. Solo se puede hacer referencia a los flujos de nube de la solución desde una aplicación en entornos protegidos por CMK. Para evitar esta situación, los flujos primero deben agregarse a una solución de Dataverse para que se pueda hacer referencia a ellos correctamente. Para evitar esta situación, la configuración del entorno para crear flujos automáticamente en soluciones de Dataverse debe estar habilitada en entornos protegidos por CMK. Esta configuración garantiza que los nuevos flujos sean flujos de nube solución.
Limitación de la invocación de flujos desencadenadores de habilidades de Copilot
Los escenarios en los que se invoca un flujo de nube a través del desencadenador de habilidades de Copilot aplicando la conexión del usuario de Copilot que invoca en lugar de una conexión integrada no son compatibles con los flujos de nube protegidos por CMK. Obtenga más información sobre el uso de flujos como complementos de Copilot en Ejecutar flujos desde Copilot para Microsoft 365.
Información relacionada
Administrar su clave de encriptación administrada por el cliente