Suporte para chaves geridas pelo cliente
Por predefinição, todos os dados armazenados de clientes no Power Platform são encriptados inativamente através de chaves geridas pela Microsoft (MMK). Com as chaves geridas pelo cliente (CMK), os clientes podem trazer as suas próprias chaves de encriptação para proteger os dados do Power Automate. Esta capacidade permite que os clientes tenham uma camada de proteção extra para gerir os seus ativos do Power Platform. Com esta funcionalidade, pode girar ou trocar chaves de encriptação a pedido. Também impede o acesso da Microsoft aos dados dos seus clientes, se optar por revogar o acesso da chave aos serviços Microsoft em qualquer altura.
Com as CMK, os seus fluxos de trabalho e todos os dados inativos associados são armazenados e executados numa infraestrutura dedicada, particionada pelo ambiente. Isto inclui as definições de fluxo de trabalho, os fluxos de ambiente de trabalho e da cloud e o histórico de execução de fluxos de trabalho com entradas e saídas detalhadas.
Considerações sobre pré-requisitos antes de proteger os fluxos com CMK
Considere os seguintes cenários ao aplicar a política empresarial CMK ao seu ambiente.
- Quando a política empresarial da CMK é aplicada, os fluxos de cloud e os seus dados com a CMK são protegidos automaticamente. Alguns fluxos podem continuar a ser protegidos por MMKs. Os administradores podem identificar esses fluxos usando os comandos PowerShell.
- A criação e as atualizações dos fluxos são bloqueadas durante a migração. O histórico de execuções não é transferido. Pode solicitá-lo através de um pedido de suporte até 30 dias após a migração.
- Atualmente, as CMKs não são utilizadas para encriptar ligações não OAuth. Estas ligações não baseadas no Microsoft Entra continuam a ser encriptadas em repouso usando MMKs.
- Para ativar o tráfego de rede de entrada e saída da infraestrutura protegida por CMK, atualize a configuração da firewall para garantir que os fluxos continuam a funcionar.
- Se planear proteger mais de 25 ambientes no seu inquilino com CMK, crie um pedido de suporte. O limite predefinido de ambientes do Power Automate ativados para CMK por inquilino é 25. Este número pode ser expandido contactando a equipa de suporte.
A aplicação de uma chave de encriptação é uma operação executada por administradores do Power Platform e é invisível para os utilizadores. Os utilizadores podem criar, guardar e executar fluxos de trabalho do Power Automate exatamente da mesma forma como se as MMKs encriptassem os dados.
A funcionalidade CMK permite-lhe tirar partido da política empresarial única criada no ambiente para proteger fluxos de trabalho do Power Automate. Saiba mais sobre a CMK e as instruções passo a passo para ativar as CMKs em Gerir a sua chave de encriptação gerida pelo cliente.
Automatização robótica de processos (RPA) alojada do Power Automate (pré-visualização)
A capacidade do grupo de computadores alojados da soluçãoIntrodução ao RPA alojado do Power Automate suporta CMKs. Depois de aplicar CMKs, tem de reaprovisionar todos os grupos de computadores alojados existentes, selecionando Reaprovisionar grupo na página de detalhes do grupo de computadores. Depois de reaprovisionados, os discos de VM para os bots do grupo de computadores alojados são encriptados com a CMK.
Nota
A CMK para a capacidade de computador alojado não está disponível neste momento.
Atualizar configuração da firewall
O Power Automate permite-lhe criar fluxos que podem fazer chamadas HTTP. Depois de aplicar a CMK, as ações HTTP de saída do Power Automate têm origem num intervalo de IP diferente do anterior. Se a firewall foi configurada anteriormente para permitir ações HTTP de fluxo, é provável que a configuração precise de ser atualizada para permitir o novo intervalo de IP.
- Se estiver a usar a Azure Firewall, aplique a etiqueta de serviço
PowerPlatformPlexdiretamente à configuração para que o intervalo de IP correto seja configurado automaticamente. Saiba mais em Etiquetas de serviço de rede virtual. - Se estiver a usar uma firewall diferente, procure e ative o tráfego de entrada do intervalo de IP para
PowerPlatformPlexreferido no download de Intervalos de IP Azure e Etiquetas de serviço - Cloud Pública.
Se não estiver em vigor, pode receber o erro, Falha no pedido de Http, pois há um erro: "Não foi possível realizar uma ligação porque o computador de destino ativamente recusou."
Mensagens de aviso da aplicação CMK do Power Automate
Se determinados fluxos continuarem a ser protegidos por MMKs após a aplicação CMK, os avisos surgirão nas experiências de Gestão de políticas e ambientes. Aparece a mensagem "Os fluxos do Power Automate ainda estão protegidos com a Microsoft Managed Key".
Pode tirar partido dos comandos PowerShell para identificar esses fluxos e protegê-los com CMKs.
Proteger fluxos que continuam a ser protegidos por MMK
As seguintes categorias de fluxos continuam a ser protegidas pela MMK após a aplicação da política empresarial. Siga as instruções para proteger os fluxos por CMK.
| Categoria | Abordagem para proteger com CMK |
|---|---|
| Os fluxos do acionador Power App V1 que não estão numa solução | Opção 1 (Recomendado) Atualize o fluxo para usar o acionador V2 antes de aplicar a CMK. Opção 2 Após a aplicação de CMK, use Guardar como para criar uma cópia do fluxo. Atualize a chamada do Power Apps para usar a nova cópia do fluxo. |
| Fluxos do acionador HTTP e fluxos do acionador Teams | Após a aplicação da política empresarial, use Guardar como para criar uma cópia do fluxo. Atualize o sistema de chamadas para usar o URL do novo fluxo. Esta categoria de fluxos não é protegida automaticamente, uma vez que é criado um novo URL de fluxo na infraestrutura protegida por CMK. Os clientes podem estar a usar o URL nos seus sistemas de invocação. |
| Fluxos principais que não podem ser migrados automaticamente | Se um fluxo não puder ser migrado, os fluxos dependentes também não serão migrados para garantir que não haja interrupção nos negócios. |
Comandos do PowerShell
Os administradores podem usar os comandos PowerShell como parte das validações antes e após disponibilizar como piloto.
Obter fluxos que não podem ser protegidos automaticamente usando CMK
Pode usar o comando a seguir para identificar fluxos que continuam a ser protegidos pela aplicação empresarial MMK após CMK.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Obter HTTP de faturas | flow-1 | environment-1 |
| Pagar fatura a partir da aplicação | flow-2 | environment-2 |
| Reconciliar Conta | flow-3 | environment-3 |
Obter fluxos não protegidos pela CMK num determinado ambiente
Pode usar este comando antes e depois de executar a política empresarial CMK para identificar todos os fluxos no ambiente protegidos pelo MMK. Além disso, pode usar este comando para avaliar o progresso da aplicação CMK para fluxos num determinado ambiente.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Obter HTTP de faturas | flow-4 | environment-4 |
Saiba mais em Gerir a sua chave de encriptação gerida pelo cliente.
Obter histórico de execuções a partir da página Detalhes do fluxo
A lista do histórico de execuções na página Detalhes do fluxo apresenta as novas execuções apenas após a aplicação CMK.
Se quiser visualizar dados de entrada/saída, pode usar o histórico de execuções (vista Todas as Execuções) para exportar o histórico de execuções de fluxo para CSV. Este histórico contém execuções de fluxo novas e existentes, incluindo todas as entradas e saídas do acionador/ação, com um limite de 100 registos. Esta limitação está de acordo com o comportamento existente para a exportação CSV.
Obter histórico de execuções por pedido de suporte
Fornecemos uma visão resumida de todas as execuções de fluxos existentes e novas execuções após a aplicação CMK. Esta vista contém informações de resumo, tais como ID de execução, hora de início, duração e falhas/êxitos. Não contém dados de entrada/saída.
Limitações conhecidas
As limitações incluem limitações para funcionalidades que usam o pipeline de análise e para fluxos de nuvem que não são de solução acionados por Power Apps, conforme descrito nesta secção.
Limitações nas funcionalidades que aplicam o pipeline de análise
Quando um ambiente está ativado para chaves geridas pelo utilizador, os dados do Power Automate não podem ser enviados para o pipeline de análise para um intervalo de cenários:
- Relatórios em todo o inquilino no centro de administração do Power Platform
- Exportação de Dados para Data Lake
- Histórico de execuções de fluxos de cloud (para centro de automatização)
- Aplicação móvel Power Automate, página de notificações
- Página de atividade do fluxo de cloud
- E-mail de falha de fluxo
- E-mail de resumo de falha de fluxo
Limitação de fluxos de cloud não solução acionados por Power Apps
Os fluxos de cloud não solução que utilizam o acionador Power Apps e são criados em ambientes protegidos por CMK não podem ser referenciados a partir de uma aplicação. Ocorre um erro ao tentar registar o fluxo do Power Apps. Apenas os fluxos de cloud da solução podem ser referenciados a partir de uma aplicação em ambientes protegidos por CMK. Para evitar esta situação, os fluxos devem primeiro ser adicionados a uma solução Dataverse para que possam ser referenciados com êxito. Para evitar essa situação, a definição de ambiente para criar fluxos automaticamente em soluções Dataverse deve ser ativada em ambientes protegidos por CMK. Esta definição garante que os novos fluxos sejam fluxos de cloud de solução.
Limitação da invocação de fluxos de acionamento de capacidades do Copilot
Os cenários em que um fluxo de cloud é invocado através do acionador de Capacidades do Copilot, aplicando a ligação do utilizador do Copilot que está a invocar em vez de uma ligação incorporada, não são suportados para fluxos de cloud protegidos por CMK. Saiba mais sobre como utilizar fluxos como plug-ins do Copilot em Executar fluxos do Copilot para Microsoft 365.