Obsługa kluczy zarządzanych przez klienta
Wszystkie dane klientów przechowywane w Power Platform są domyślnie szyfrowane przy użyciu kluczy szyfrowania zarządzanych przez Microsoft (MMK). Dzięki kluczom zarządzanym przez klienta (CMK) klienci mogą przynosić własne klucze szyfrowania w celu ochrony danych Power Automate. Ta możliwość pozwala klientom mieć dodatkową warstwę ochronną do zarządzania zasobami Power Platform. Dzięki tej funkcji można na żądanie zmienić typy kluczy szyfrowania. Uniemożliwia to również firmie Microsoft dostęp do danych klienta, jeśli w dowolnym momencie wybierzesz cofnięcie dostępu do usług Microsoft.
W przypadku CMK przepływy pracy i wszystkie skojarzone z nimi dane w spoczynku są przechowywane i wykonywane w dedykowanej infrastrukturze z partycjami według środowiska. Definicje przepływów pracy, przepływy pracy w chmurze i pulpitu oraz historia wykonywania przepływu pracy zawierają szczegółowe dane wejściowe i wyjściowe.
Zagadnienia dotyczące wymagań wstępnych przed rozpoczęciem ochrony przepływów za pomocą klucza zarządzanego przez klienta
Podczas stosowania zasad przedsiębiorstwa CMK do środowiska należy wziąć pod uwagę następujące scenariusze.
- Po zastosowaniu zasad przedsiębiorstwa CMK przepływy w chmurze i ich dane za pomocą CMK są automatycznie chronione. Niektóre przepływy mogą być nadal chronione przez konsole MMK Administratorzy mogą identyfikować te przepływy za pomocą PowerShell poleceń.
- Tworzenie i aktualizowanie przepływów jest blokowane podczas migracji. Historia uruchamiania nie jest przenoszona do przodu. Możesz poprosić o to za pośrednictwem biletu pomocy technicznej do 30 dni po migracji.
- Obecnie CMK nie są wykorzystywane do szyfrowania połączeń innych niż OAuth. Te połączenia nieoparte na Microsoft Entra na danych są nadal szyfrowane w spoczynku przy użyciu wiadomości MMK.
- Aby włączyć przychodzący i wychodzący ruch sieciowy z infrastruktury chronionej przez CMK, zaktualizuj konfigurację zapory, aby upewnić się, że przepływy nadal działają.
- Jeśli użytkownik chce chronić ponad 25 środowisk dzierżawcy przy użyciu usługi CMK, utwórz bilet pomocy technicznej. Domyślny limit środowisk Power Automate z włączoną funkcją CMK na dzierżawę wynosi 25. Numer ten można rozszerzyć, kontaktując się z zespołem pomocy technicznej.
Zastosowanie klucza szyfrowania jest wykonywane przez administratorów Power Platform i jest niewidoczne dla użytkowników. Użytkownicy mogą tworzyć, zapisywać i wykonywać przepływy pracy Power Automate tak samo, jak dane szyfrowane za pomocą kluczy zarządzanych przez Microsoft.
Funkcja CMK ta umożliwia wykorzystanie pojedynczych zasad przedsiębiorstwa utworzonych w środowisku w celu zabezpieczenia procesów Power Automate. Dowiedz się więcej o kluczu zarządzanym przez klienta i instrukcjach krok po kroku dotyczących włączania kluczy zarządzanych przez klienta w temacie Zarządzanie kluczem szyfrowania zarządzanym przez klienta.
Hostowana zrobotyzowana automatyzacja procesów (RPA) Power Automate (wersja zapoznawcza)
Funkcja hostowanej grupy maszyn w rozwiązaniu Wprowadzenie do hostowanego rozwiązania RPA Power Automate obsługuje klucze zarządzane przez klienta. Po zastosowaniu CMK należy przeprowadzić ponowną weryfikację wszystkich istniejących hostowanych grup maszyn, wybierając opcję Ponowna konfiguracja grupy na stronie szczegółów grupy maszyn. Po ponownej aprowizacji dyski maszyn wirtualnych dla botów grupy maszyn hostowanych są szyfrowane za pomocą CMK.
Notatka
Zestaw CMK dla funkcji maszyny hostowanej nie jest obecnie dostępny.
Aktualizuj konfigurację zapory
Power Automate umożliwia tworzenie przepływów, które mogą wykonywać wywołania HTTP. Po zastosowaniu klucza zarządzanego przez klienta wychodzące akcje HTTP z Power Automate pochodzą z innego zakresu adresów IP niż wcześniej. Jeśli zapora została wcześniej skonfigurowana tak, aby zezwalała na akcje HTTP przepływu, prawdopodobnie konfiguracja musi zostać zaktualizowana, aby umożliwić nowy zakres adresów IP.
- Jeśli używasz zapory Azure, zastosuj tag
PowerPlatformPlexusługi bezpośrednio do konfiguracji, aby automatycznie skonfigurować prawidłowy zakres adresów IP. Dowiedz się więcej w temacie Tagi usługi sieci wirtualnej. - Jeśli używasz innej zapory, wyszukaj i włącz ruch przychodzący z zakresu
PowerPlatformPlexadresów IP, do którego odwołuje się pobieranie Azure Zakresy adresów IP i tagi usług — chmura publiczna.
Jeśli to nie jest na miejscu, może pojawić się błąd,Żądanie HTTP nie powiodło się, ponieważ wystąpił błąd: "Nie można nawiązać połączenia, ponieważ maszyna docelowa aktywnie je odrzuciła".
Wiadomości ostrzegawcze aplikacji Power Automate CMK
Jeśli niektóre przepływy będą nadal chronione przez moduły MMK po zastosowaniu CMK, ostrzeżenia będą wyświetlane w środowiskach zarządzania zasadami i środowiskiem. Wiadomość" przepływy usługi Power Automate nadal są szyfrowane za pomocą klucza zarządzanego przez firmę Microsoft .
Polecenia PowerShell umożliwiają identyfikowanie takich przepływów i chronienie ich za pomocą zestawów CMK.
Niektóre przepływy mogą być nadal chronione przez konsole MMK
Następujące kategorie przepływów są nadal chronione przez MMK po zastosowaniu zasad przedsiębiorstwa. Postępuj zgodnie z instrukcjami, aby chronić przepływy przez CMK.
| Kategoria | Podejście do ochrony za pomocą CMK |
|---|---|
| Power App V1 Wyzwalanie przepływów, które nie znajdują się w rozwiązaniu | Opcja 1 (zalecana) Przed zastosowaniem CMK zaktualizuj przepływ, aby używał wyzwalacza w wersji 2. Opcja 2 Po złożeniu wniosku CMK użyj polecenia Zapisz jako , aby utworzyć kopię przepływu. Zaktualizuj wywołania Power Apps , aby użyć nowej kopii przepływu. |
| Przepływy wyzwalaczy HTTP i przepływy wyzwalaczy usługi Teams | Po złożeniu wniosku o zastosowanie zasad przedsiębiorstwa użyj polecenia Zapisz jako , aby utworzyć kopię przepływu. Zaktualizuj system wywołań, aby używał adresu URL nowego przepływu. Ta kategoria przepływów nie jest automatycznie chroniona, ponieważ nowy adres URL przepływu jest tworzony w infrastrukturze chronionej przez menedżera zarządzanego przez menedżera polecenia. Klienci mogą korzystać z adresu URL w swoich systemach wywoływania. |
| Elementy nadrzędne przepływów, których nie można migrować automatycznie | Jeśli nie można przeprowadzić migracji przepływu, przepływy zależne również nie są migrowane, aby zapewnić, że nie wystąpią zakłócenia w działalności. |
Korzystanie z poleceń DLP w PowerShell
Administratorzy mogą korzystać z poleceń PowerShell w ramach weryfikacji przed lotem i po locie.
Pobieranie przepływów, których nie można automatycznie chronić przy użyciu klucza zarządzanego przez klienta
Za pomocą następującego polecenia można zidentyfikować przepływy, które nadal są chronione przez aplikację MMK post CMK Enterprise.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | NazwaŚrodowiska |
|---|---|---|
| Pobierz faktury HTTP | flow-1 | environment-1 |
| Zapłać fakturę z aplikacji | flow-2 | environment-2 |
| Uzgadnianie konta | flow-3 | environment-3 |
Pobieranie przepływów, które nie są chronione przez klucz zarządzany przez klucz zarządzany przez klienta w danym środowisku
Za pomocą tego polecenia można użyć przed wykonaniem zasad przedsiębiorstwa CMK i po jego wykonaniu, aby zidentyfikować wszystkie przepływy w środowisku, które są chronione przez program MMK. Za pomocą tego polecenia można również ocenić postęp aplikacji CMK dla przepływów w danym środowisku.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | NazwaŚrodowiska |
|---|---|---|
| Pobierz faktury HTTP | flow-4 | environment-4 |
Więcej informacji: Zarządzanie kluczem szyfrowania zarządzanym przez klienta
Pobierz historię uruchamiania ze strony Szczegóły przepływu
Na liście historii uruchamiania na stronie Szczegóły przepływu są wyświetlane tylko nowe przebiegi po aplikacji CMK.
Jeśli chcesz wyświetlić dane wejściowe/wyjściowe, możesz użyć historii uruchamiania (widok Wszystkie przebiegi ), aby wyeksportować historię uruchamiania przepływu do pliku CSV. Ta historia zawiera zarówno nowe, jak i istniejące przebiegi przepływu, w tym wszystkie dane wejściowe i wyjściowe wyzwalacza/akcji, z limitem 100 rekordów. To ograniczenie jest zgodne z istniejącym zachowaniem eksportu pliku CSV.
Pobierz historię uruchamiania według biletu pomocy technicznej
Udostępniamy widok podsumowania dla wszystkich przebiegów zarówno z istniejących, jak i nowych przebiegów przepływu po aplikacji CMK. Ten widok zawiera podsumowanie informacji, takich jak identyfikator uruchomienia, czas rozpoczęcia, czas trwania i niepowodzenie/sukcesy. Nie zawiera danych wejściowych/wyjściowych.
Znane ograniczenia
Ograniczenia obejmują ograniczenia funkcji wykorzystujących potok analityczny i przepływy w chmurze inne niż rozwiązanie wyzwalane przez Power Apps, jak opisano w tej sekcji.
Ograniczenia funkcji wykorzystujących potok analityczny
Gdy środowisko jest włączone dla kluczy zarządzanych przez klienta, dane Power Automate nie mogą być wysyłane do potoku analitycznego dla szeregu scenariuszy:
- Raportowanie dla całej dzierżawy w centrum administracyjnym Power Platform
- Eksport danych do usługi Data Lake
- Historia uruchomień przepływu w chmurze (dla centrum automatyzacji)
- Aplikacja mobilna Power Automate, strona powiadomień
- Strona Działanie przepływu w chmurze
- E-mail o niepowodzeniu przepływu
- Skrót e-maila dotyczącego niepowodzenia przepływu
Ograniczenie przepływów w chmurze innych niż rozwiązania wyzwalane przez Power Apps
Przepływy w chmurze niebędące rozwiązaniem, które korzystają z wyzwalacza Power Apps i są tworzone w środowiskach chronionych przez CMK, nie mogą być przywoływane z aplikacji. Wystąpił błąd podczas próby zarejestrowania przepływu z pliku Power Apps. Tylko przepływy chmury rozwiązań mogą być przywoływane z aplikacji w środowiskach chronionych CMK. Aby uniknąć takiej sytuacji, przepływy należy najpierw dodać do rozwiązania Dataverse, aby można było się do nich odwoływać. Aby zapobiec tej sytuacji, ustawienie środowiska na automatyczne tworzenie przepływów w rozwiązaniach Dataverse powinno być włączone w środowiskach chronionych CMK. To ustawienie zapewnia, że nowe przepływy są przepływami w chmurze rozwiązania.
Ograniczenie wywoływania przepływów wyzwalanych przez umiejętności Copilot
Scenariusze, w których przepływ w chmurze jest wywoływany przez wyzwalacz Copilot Skills wykorzystujący połączenie użytkownika wywołującego Copilot, a nie połączenie wbudowane, nie są obsługiwane dla przepływów w chmurze chronionych CMK. Dowiedz się więcej o korzystaniu z przepływów jako wtyczek z Copilot w Uruchom przepływy z Copilot dla Microsoft 365.