Støtte for kundeadministrerte nøkler
Alle kundedata som er lagret i Power Platform, krypteres i hviletilstand med Microsoft-administrerte nøkler (MMK-er) som standard. Med kundestyrte nøkler (CMK-er) kan kunder hente sine egne krypteringsnøkler for å beskytte Power Automate-data. Denne funksjonen gjør at kunder kan ha et ekstra beskyttende lag for administrasjon av Power Platform-ressursene. Med denne funksjonen kan du rotere eller bytte krypteringsnøkler på forespørsel. Det hindrer også Microsofts tilgang til kundedataene dine hvis du velger å oppheve nøkkeltilgangen til Microsoft-tjenester når som helst.
Med CMK-er lagres og kjøres arbeidsflytene dine og alle tilknyttede data på en dedikert infrastruktur, partisjonert av miljøet. Dette inkluderer arbeidsflytdefinisjonene, både sky- og skrivebordsflyter og historikken for arbeidsflytkjøring med detaljerte inndata og utdata.
Nødvendige hensyn før du beskytter flytene med CMK
Tenk deg følgende scenarioer når du bruker CMK-virksomhetspolicyen på miljøet.
- Når CMK-virksomhetspolicyen brukes, beskyttes skyflyter og dataene med CMK automatisk. Noen flyter kan fortsatt være beskyttet av MMK-er. Administratorer kan identifisere disse flytene ved hjelp av PowerShell-kommandoer.
- Oppretting og oppdatering av flyter blokkeres under overføringen. Kjørehistorikk videreføres ikke. Du kan be om det gjennom en støtteforespørsel opptil 30 dager etter overføringen.
- CMK-er brukes ikke til å kryptere ikke-OAuth-tilkoblinger for øyeblikket. Disse ikke-Microsoft Entra-baserte tilkoblingene krypteres fortsatt i hvile ved hjelp av MMK-er.
- Hvis du vil aktivere innkommende og utgående nettverkstrafikk fra CMK-beskyttet infrastruktur, må du oppdatere brannmurkonfigurasjonen for å sikre at flytene fortsetter å fungere.
- Opprett en støtteforespørsel hvis du planlegger å beskytte mer enn 25 miljøer i leieren ved hjelp av CMK. Standardgrensen for CMK-aktiverte Power Automate-miljøer per leier er 25. Du kan utvide dette antallet ved å engasjere kundestøtteteamet.
Bruk av en krypteringsnøkkel er en bevegelse som utføres av Power Platform-administratorer, og den er usynlig for brukere. Brukere kan opprette, lagre og kjøre Power Automate-arbeidsflyter på nøyaktig samme måte som om MMK-er krypterte dataene.
Med CMK-funksjonen kan du bruke enkeltbedriftspolicyen som er opprettet i miljøet, til å sikre Power Automate-arbeidsflyter. Finn ut mer om CMK og de trinnvise instruksjonene for å aktivere CMK-er i Administrer den kundeadministrerte krypteringsnøkkelen.
Driftet robotautomatisering (RPA) for Power Automate (forhåndsversjon)
Funksjonen for vertsbasert maskingruppe i løsningen Innføring i driftet RPA for Power Automate støtter CMK-er. Når du har brukt CMK-er, må du klargjøre eventuelt eksisterende vertsbaserte maskingrupper på nytt ved å velge Klargjør gruppe på nytt på siden med maskingruppedetaljer. Etter den nye klargjøringen krypteres VM-diskene for robotene for vertsbasert maskingruppe med CMK-en.
Notat
CMK for vertsbasert maskinfunksjon er for øyeblikket ikke tilgjengelig.
Oppdater brannmurkonfigurasjonen
Power Automate lar deg bygge flyter som kan foreta HTTP-oppkall. Når du har brukt CMK, kommer utgående HTTP-handlinger fra Power Automate et annet IP-område enn før. Hvis brannmuren tidligere var konfigurert for å tillate HTTP-flythandlinger, er det sannsynlig at konfigurasjonen må oppdateres for å tillate det nye IP-området.
- Hvis du bruker Azure Firewall, må du bruke servicetaggen
PowerPlatformPlexdirekte på konfigurasjonen for at riktig IP-område skal konfigureres automatisk. Finn ut mer i Virtuelle nettverkstjenestekoder. - Hvis du bruker en annen brannmur, kan du slå opp og aktivere innkommende trafikk fra IP-området for
PowerPlatformPlexsom det refereres til i nedlastingen av Azure IP-områder og servicemerker – offentlig sky.
Hvis dette ikke er på plass, kan du få feilen Http-forespørselen mislyktes da det er en feil: 'Ingen tilkobling kunne opprettes fordi målmaskinen aktivt nektet den.'
Advarselsmeldinger i Power Automate CMK-appen
Hvis visse flyter fortsetter å være beskyttet av MMK-er etter CMK-søknaden, vises advarsler i opplevelsene for policy- og miljøadministrasjon. Meldingen "Power Automate-flyter er fortsatt beskyttet med den Microsoft-administrerte nøkkelen" vises.
Du kan utnytte PowerShell kommandoer for å identifisere slike flyter og beskytte dem med CMK-er.
Beskytt flyter som fortsatt er beskyttet av MMK-er
Følgende flytkategorier beskyttes fortsatt av MMK etter at bedriftspolicyen er tatt i bruk. Følg instruksjonene for å beskytte flytene av CMK.
| Fane | Tilnærming for å beskytte med CMK |
|---|---|
| Power App v1-utløserflyter som ikke er i en løsning | Alternativ 1 (anbefales) Oppdater flyten til å bruke V2-utløseren før du bruker CMK. Alternativ 2 Etter CMK-programmet bruker du Lagre som til å opprette en kopi av flyten. Oppdater kalling av Power Apps for å bruke den nye kopien av flyten. |
| HTTP-utløserflyter og Teams-utløserflyter | Etter bruk av virksomhetspolicy bruker du Lagre som til å opprette en kopi av flyten. Oppdater oppkallsystemet for å bruke nettadressen til den nye flyten. Denne flytkategorien beskyttes ikke automatisk, siden det opprettes en ny flyt-URL-adresse i den CMK-beskyttede infrastrukturen. Kunder kan utnytte URL-adressen i påkallingssystemene. |
| Overordnede til flyter som ikke kan overføres automatisk | Hvis en flyt ikke kan overføres, overføres heller ikke avhengige flyter for å sikre at det ikke oppstår forretningsavbrudd. |
| Flyter ved hjelp av koblingshandlingen Vis flyter som administrator (V1) | Flyter som refererer til denne eldre handlingen, må slettes eller oppdateres for å bruke handlingen Vis flyter som administrator (V2). |
PowerShell-kommandoer
Administratorer kan bruke PowerShell-kommandoer som en del av valideringer før og etter kjøringen.
Hent flyter som ikke kan beskyttes automatisk ved hjelp av CMK
Du kan bruke følgende kommando til å identifisere flyter som fortsatt er beskyttet av MMK post CMK Enterprise-appen.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Hent faktura-HTTP | flow-1 | environment-1 |
| Betal faktura fra app | flow-2 | environment-2 |
| Avstem konto | flow-3 | environment-3 |
Hent flyter som ikke er beskyttet av CMK i et gitt miljø
Du kan bruke denne kommandoen før og etter kjøring av CMK-virksomhetspolicyen for å identifisere alle flyter i miljøet som er beskyttet av MMK. Du kan også bruke denne kommandoen til å vurdere fremdriften for CMK-programmet for flyter i et gitt miljø.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Hent faktura-HTTP | flow-4 | environment-4 |
Finn ut mer i Administrer den kundeadministrerte krypteringsnøkkelen.
Hent kjøringslogg fra Detaljer-siden for flyten
Listen over kjørelogger på Detaljer-siden for flyten viser bare nye kjøringer etter CMK-programmet.
Hvis du vil vise inndata/utdata, kan du bruke kjøreloggen (visningen Alle kjøringer) til å eksportere flytkjøringsloggen til en CSV-fil. Denne loggen inneholder både nye og eksisterende flytkjøringer, inkludert alle utløser-/handlingsinndata og -utdata, med en grense på 100 oppføringer. Denne begrensningen er i tråd med eksisterende virkemåte for CSV-eksporten.
Få kjørehistorikk etter støtteforespørsel
Det finnes en sammendragsvisning for alle kjøringer fra både eksisterende og nye flytkjøringer etter CMK-programmet. Denne visningen inneholder sammendragsinformasjon, for eksempel kjøre-ID, starttidspunkt, varighet og mislykket/vellykket behandling. Den inneholder ikke inndata/utdata.
Beskytt flyter i miljøer som allerede er beskyttet av CMK
Når det gjelder miljøer som allerede er beskyttet av CMK, kan beskyttelse av flyter ved hjelp av CMK sendes inn ved hjelp av en støtteforespørsel.
Kjente begrensninger
Begrensninger omfatter begrensninger for funksjoner som bruker analysekanal, og for ikke-løsningsskyflyter som utløses av Power Apps, som beskrevet i denne delen.
Begrensninger for funksjoner som bruker analysekanal
Når et miljø er aktivert for kundeadministrerte nøkler, kan ikke Power Automate-data sendes til analysekanalen for en rekke scenarioer:
- Rapportering for hele leieren i administrasjonssenteret for Power Platform
- Dataeksport til datasjø
- Logg for skyflytkjøring (for automatiseringssenter)
- Power Automate-mobilappen, siden for varslinger
- Siden for skyflytaktivitet
- E-postmelding om flytfeil
- E-postsammendrag om flytfeil
Begrensning ved ikke-løsningsskyflyter som utløses av Power Apps
Du kan ikke henvise til ikke-løsningsskyflyter som bruker Power Apps-utløseren og opprettes i CMK-beskyttede miljøer, fra en app. Det oppstår en feil ved forsøk på å registrere flyten fra Power Apps. Du kan bare henvise til løsningsskyflyter fra en app i CMK-beskyttede miljøer. Du kan unngå denne situasjonen ved å legge til flyter i en Dataverse-løsning først, slik at du kan henvise til dem uten problemer. Du kan unngå denne situasjonen ved å aktivere miljøinnstillingen for å opprette flyter i Dataverse-løsninger automatisk i CMK-beskyttede miljøer. Denne innstillingen sikrer at nye flyter er løsningsskyflyter.
Begrensning ved aktivering av flyter med utløser for Copilot-ferdigheter
Scenarioene der en skyflyt aktiveres via utløseren for Copilot-ferdigheter og bruker den aktiverende Copilot-brukerens tilkobling i stedet for en innebygd tilkobling, støttes ikke for CMK-beskyttede skyflyter. Finn ut mer om hvordan du bruker flyter som programtillegg fra Copilot, i Kjør flyter fra Copilot for Microsoft 365.