Asiakkaan hallitsemien avainten tuki
Kaikki Power Platformiin tallennetut tiedot salataan oletusarvoisesti levossa Microsoftin hallitsemien avaimien (MMK) avulla. Asiakkaan hallitsemilla avaimilla asiakkaat voivat käyttää omia salausavaimiaan Power Automate -tietojen suojaamiseen. Näin asiakkailla on ylimääräinen suojakerros Power Platform -resurssiensa hallintaa varten. Tämän ominaisuuden avulla salausavaimia voidaan kierrättää tai vaihtaa tarpeen mukaan. Se myös estää Microsoftin pääsyn asiakastietoihin, jos Microsoft-palvelujen käyttö avaimen avulla päätetään jossain vaiheessa kumota.
Asiakkaan hallitsemien avainten yhteydessä työnkulut ja kaikki niihin liittyvät levossa olevat tiedot tallennetaan ja suoritetaan erillisessä infrastruktuurissa, jonka ympäristö jakaa osioihin. Tämä koskee sekä pilvi- että työpöytätyönkulkujen määrityksiä ja työnkulun suoritushistoriaa tarkkoine syöte- ja tuotostietoineen.
Huomioon otettavat asiat ennen työnkulkujen suojaamista CMK:lla
Ota huomioon seuraavat tilanteet, kun otat CMK:n yrityskäytännön käyttöön ympäristössäsi.
- Kun CMK:n yrityskäytäntöä käytetään, pilvityönkulut ja niiden tiedot CMK:lla suojataan automaattisesti. MMK:t saattavat edelleen suojata joitakin työnkulkuja. Järjestelmänvalvojat voivat tunnistaa nämä työnkulut PowerShell-komentojen avulla.
- Työnkulkujen luominen ja päivittäminen estetään siirron aikana. Suoritushistoria ei säily. Voit pyytää sitä tukipalvelupyynnöllä enintään 30 päivää siirron jälkeen.
- Tällä hetkellä CMK-avaimia ei käytetä muiden kuin OAuth-yhteyksien salaamiseen. Nämä muut kuin Microsoft Entra -pohjaiset yhteydet salataan edelleen levossa MMK-avaimien avulla.
- CMK-suojatusta infrastruktuurista saapuvan ja siihen lähtevän liikenteen mahdollistaminen edellyttää palomuurimäärityksen päivitystä sen varmistamiseksi, että työnkulut toimivat edelleen.
- Luo tukipalelupyyntö, jos aiot suojata yli 25 ympäristöä vuokraajassa CMK:n avulla. Oletusarvoinen CMK-avaimia käyttävien Power Automate -ympäristöjen vuokraajakohtainen raja on 25. Tätä määrää voi suurentaa ottamalla yhteyttä tukihenkilöstöön.
Salausavaimen käyttäminen on Power Platformin järjestelmänvalvojien suorittama toiminto, eivätkä käyttäjät näe sitä. Käyttäjät voivat luoda, tallentaa ja suorittaa Power Automate- työnkulkuja täysin samalla tavalla kuin silloin, jos tiedot olisi salattu MMK-avaimilla.
CMK-ominaisuuden avulla voit suojata Power Automate -työnkulkuja käyttäen ympäristöä varten luotua yksittäistä yrityskäytäntöä. Lisätietoja CMK-avaimista ja vaiheittaiset ohjeet niiden käyttöönottoon: Asiakkaan hallitseman salausavaimen hallinta.
Power Automate -isännöity ohjelmointirobotiikka (RPA) (esiversio)
Johdanto Power Automate -isännöityyn RPA:han -ratkaisun isännöidyn koneryhmän omaisuus tukee CMK-avaimia. Kun CMK-avaimet on otettu käyttöön, olemassa olevat isännöidyt koneryhmät on valmisteltava uudelleen valitsemalla koneryhmän tietosivulla Valmistele ryhmä uudelleen. Kun uudelleenvalmistelu on valmis, isännöidyn koneryhmän bottien näennäiskonelevyt salataan CMK-avaimella.
Muistiinpano
Isännöityjen koneiden ominaisuutta varten ei tällä hetkellä ole saatavilla CMK-avainta.
Palomuurimäärityksen päivittäminen
Power Automate mahdollista HTTP-kutsuihin kykenevien työnkulkujen luomisen. Kun olet ottanut CMK-avaimen käyttöön, Power Automaten lähtevät HTTP-toiminnot ovat peräisin eri IP-osoitealueelta kuin aiemmin. Jos palomuuri oli aiemmin määritetty sallimaan työnkulkujen HTTP-toiminnot, määritys on todennäköisesti päivitettävä uuden IP-osoitealueen sallimiseksi.
- Jos käytössä on Azure-palomuuri, lisää palvelutunniste
PowerPlatformPlexsuoraan määritykseen, jotta oikea IP-osoitealue määritetään automaattisesti. Lisätietoja: Näennäisverkon palvelutunnisteet. - Jos käytät eri palomuuria, etsi ja ota käyttöön saapuva liikenne
PowerPlatformPlex:n ip-osoitealueelta, johon viitataan Azuren IP-osoitealueet ja palvelutunnukset – julkinen pilvi -latauksessa.
Jos tämä ei ole käytössä, saattaa ilmetä virhe HTTP-pyyntö virheen vuoksi: Yhteyttä ei voitu muodostaa, koska kohdekone kieltäytyi siitä aktiivisesti.
Power Automate CMK -sovelluksen varoitusviestit
Jos MMK:t suojaavat edelleen tiettyjä työnkulkuja CMK-avainten käyttöönoton jälkeen, Käytäntö- ja Ympäristönhallinta-kokemuksissa ilmoitetaan virheistä. Sanoma Power Automate -työnkulkuja suojataan edelleen Microsoftin hallitsemalla avaimella tulee näkyviin.
Voit hyödyntää PowerShell-komentoja tällaisten työnkulkujen tunnistamiseen ja niiden suojaamiseen CMK-avaimilla.
Edelleen MMK-avaimilla suojattujen työnkulkujen suojaaminen
MMK suojaa edelleen seuraavia työnkulkuluokkia yrityskäytännön soveltamisen jälkeen. Noudata ohjeita suojataksesi työnkulut CMK-avaimilla.
| Luokka | Lähestymistapa CMK:lla suojaamiseen |
|---|---|
| Power App v1 käynnistää työnkulkuja, jotka eivät ole ratkaisussa | Vaihtoehto 1 (suositus) Päivitä työnkulku käyttämään V2-käynnistintä ennen CMK-käyttöönottoa. Vaihtoehto 2 : CMK-käyttöönoton jälkeen luo kopio työnkulusta käyttämällä toimintoa Tallenna nimellä. Päivitä Power Apps -kutsut käyttämään työnkulun uutta kopioita. |
| HTTP-käynnistintyönkulut ja Teams-käynnistintyönkulut | Luo kopio työnkulusta yrityskäytännön soveltamisen jälkeen Tallenna nimellä -toiminnon avulla. Päivitä kutsujärjestelmä käyttämään uuden työnkulun URL-osoitetta. Tätä työnkulkuluokkaa ei suojata automaattisesti, koska uusi työnkulun URL-osoite luodaan CMK-suojatussa infrastruktuurissa. Asiakkaat saattavat hyödyntää URL-osoitetta kutsujärjestelmissään. |
| Niiden työnkulkujen ylätasot, joita ei voi siirtää automaattisesti | Jos työnkulkua ei voi siirtää, myöskään riippuvaisia työnkulkuja ei siirretä, jotta liiketoiminta ei häiriinny. |
PowerShell-komennot
Järjestelmänvalvojat voivat hyödyntää PowerShell-komentoja väliversiota edeltäviä ja sen jälkeisiä vahvistuksia.
Sellaisten työnkulkujen noutaminen, joita ei voi suojata automaattisesti CMK:n avulla
Seuraavan komennon avulla voit tunnistaa työnkulut, joita suojataan edelleen MMK-avaimella CMK-yrityskäytännön soveltamisen jälkeen.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Nouda laskun HTTP | flow-1 | environment-1 |
| Laskun maksaminen sovelluksesta | flow-2 | environment-2 |
| Tilin täsmäytys | flow-3 | environment-3 |
Muiden kuin CMK-suojattujen työnkulkujen noutaminen tietyssä ympäristössä
Tämän komennon avulla voit tunnistaa kaikki MMK-suojatut työnkulut ympäristössä ennen CMK-yrityskäytännön suorittamista ja sen jälkeen. Tämän komennon avulla voit myös arvioida CMK-käyttöönoton edistymistä tietyn ympäristön työnkuluissa.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Nouda laskun HTTP | flow-4 | environment-4 |
Lisätietoja: Asiakkaan hallitseman salausavaimen hallinta
Suoritushistorian noutaminen työnkulun tietosivulta
Työnkulun Tiedot-sivun suoritushistoria sisältää vain CMK-käyttöönoton jälkeiset suoritukset.
Jos haluat tarkastella syöte- ja tulostietoja, voit viedä työnkulun suoritushistorian CSV-tiedostoon suoritushistorian (Kaikki suoritukset -näkymä) avulla. Tämä historia sisältää sekä uusia että aiempia työnkulun suorituksia, mukaan luettuna kaikki käynnistinten tai toimintojen syötteet ja tulokset siten, että tietueita on enintään 100. Tämä rajoitus vastaa CSV-viennin nykyistä toimintatapaa.
Suoritushistorian noutaminen tukipalvelupyynnön perusteella
Tarjoamme yhteenvetonäkymän kaikista suorituksista sekä aiemmista että uusista työnkulun suorituksista CMK-käyttöönoton jälkeen. Tämä näkymä sisältää yhteenvetotietoja, kuten suoritustunnuksen, aloitusajan, keston ja tiedon onnistumisesta/epäonnistumisesta. Se ei sisällä syöte-/tulostietoja.
Tunnetut rajoitukset
Rajoituksia kohdistuu esimerkiksi analytiikkaputkea käyttäviin ominaisuuksiin ja Power Appsin käynnistymiin muihin kuin ratkaisun pilvityönkulkuihin, kuten tässä osassa kuvataan.
Analyysiputkea käyttävien ominaisuuksien rajoitukset
Kun ympäristössä on otettu käyttöön asiakkaan hallitsemat avaimet, Power Automate -tietoja ei voi lähettää analytiikkaputkeen tietyissä tilanteissa:
- Vuokraajanlaajuinen raportointi Power Platformin hallintakeskuksessa
- Tietojen vienti Data Lake -tallennustilaan
- Pilvityönkulkujen suoritushistoria (automaatiokeskusta varten)
- Power Automate -mobiilisovellus, ilmoitussivu
- Pilvityönkulun aktiviteettipaketti
- Työnkulkuvirheen sähköpostiviesti
- Työnkulkuvirheen yhteeenvedon sähköpostiviesti
Power Appsin käynnistämien muiden kuin ratkaisun pilvityönkulkujen rajoitus
Muihin kuin ratkaisun pilvityönkulkuihin, joissa käytetään Power Apps -käynnistintä ja jotka on luotu asiakkaan hallitsemilla avaimilla suojatuissa ympäristöissä, ei voi viitata sovelluksesta. Tuloksena on virhe, kun työnkulku yritetään rekisteröidä Power Appsista. Vain ratkaisun pilvityönkulkuihin voi viitata sovelluksesta asiakkaan hallitsemilla avaimilla suojatuissa ympäristöissä. Tämän tilanteen välttämiseksi työnkulut pitää ensin lisätä Dataverse-ratkaisuun, jotta niihin voi viitata onnistuneesti. Tämän tilanteen välttämiseksi asetuksen, jolla työnkulkuja luodaan automaattisesti Dataverse-ratkaisuissa, on oltava käytössä asiakkaan hallitsemilla avaimilla suojatuissa ympäristöissä. Tällä asetuksella varmistetaan, että uudet työnkulut ovat ratkaisun pilvityönkulkuja.
Copilot-osaamisen käynnistystyökalujen kutsumisen rajoitus
Skenaariot, joissa pilvityönkulkua kutsutaan Copilot-osaamiskäynnistimellä käyttäen kutsuvaa Copilot-käyttäjäyhteyttä upotetun yhteyden sijaan, ei tueta asiakkaan hallitsemilla avaimella suojattujen pilvityönkulkujen osalta. Lisätietoja työnkulkujen käyttämiseen Copilot-perusteisina laajennuksina: Työnkulkujen suorittaminen Microsoft 365:n Copilotista.