Stöd för kundhanterade nycklar
Alla kunddata som lagras i Power Platform krypteras i vila med Microsoft-hanterade nycklar (MMK:er) som standard. Med kundhanterade nycklar kan kunderna hämta sina egna krypteringsnycklar för att skydda Power Automate-data. Detta gör att kunderna kan ha ett extra lager för att hantera sina Power Platform-tillgångar. Med den här funktionen kan du rotera eller växla krypteringsnycklar på begäran. Det hindrar också att Microsoft får åtkomst till dina kunddata om du väljer att när som helst upphäva nyckelåtkomsten till Microsoft-tjänster.
Med CMK-program lagras och körs arbetsflödena och alla associerade at-rest-data på en dedicerad infrastruktur som partitioneras av miljön. Detta omfattar dina arbetsflödesdefinitioner, både moln- och datorflöden och arbetsflödeskörningshistorik med detaljerade indata och utdata.
Att tänka på innan du skyddar dina flöden med CMK
Tänk på följande scenarier när du tillämpar CMK-företagsprincipen på din miljö.
- När CMK-företagsprincipen tillämpas skyddas molnflöden och deras data med CMK automatiskt. Vissa flöden kan fortsätta att skyddas av MMK:er. Administratörer kan identifiera dessa flöden med hjälp av PowerShell kommandon.
- Skapande och uppdateringar av flöden blockeras under migreringen. Körningshistoriken överförs inte. Du kan begära det via ett supportärende upp till 30 dagar efter migreringen .
- För närvarande används inte kundhanterade nycklar för att kryptera icke-OAuth-anslutningar. Dessa anslutningar som inte är baserade på Microsoft Entra anslutningar fortsätter att krypteras i vila med hjälp av MMK:er.
- Om du vill aktivera inkommande och utgående nätverkstrafik från CMK-skyddad infrastruktur uppdaterar du brandväggskonfigurationen för att säkerställa att flödena fortsätter att fungera.
- Om du planerar att skydda fler än 25 miljöer i din klientorganisation med hjälp av CMK ska du skapa en supportbegäran. Standardgränsen för CMK-aktiverade Power Automate-miljöer per klientorganisation är 25. Detta antal kan utökas genom att kontakta supportteamet.
Att tillämpa en krypteringsnyckel beror på att Power Platform administratören utför den och är osynlig för användarna. Användare kan skapa, spara och köra arbetsflöden Power Automate på exakt samma sätt som om Microsoft-hanterade nycklar krypterade data.
CMK-egenskapen gör att du kan använda den enda företagspolicy som skapats i miljön för att säkra Power Automate-arbetsflöden. Läs mer om CMK och de stegvisa anvisningarna för att aktivera CMK:er i Hantera din kundhanterade krypteringsnyckel.
Power Automate värdbaserad robotstyrd processautomation (RPA) (förhandsversion)
Den värdbaserade datorgruppens funktion i lösningen Introduktion till lösningen Power Automate värdbaserad RPA solution stöder CMK:er. Efter att ha tillämpat CMK:er måste du återprovisionera befintliga värdbaserade datorgrupper genom att välja Återprovisionera grupp på sidan för datorgruppsdetaljer. När de har förts om krypteras VM-diskarna för den värdbaserade datorgruppen med CMK:n.
Obs
CMK för funktionen för den värdbaserade datorn är inte tillgänglig för närvarande.
Uppdatera brandväggskonfigurationen
Power Automate gör att du kan skapa flöden som kan göra HTTP-anrop. När du har tillämpat CMK kommer utgående HTTP-åtgärder från Power Automate ett annat IP-intervall än tidigare. Om brandväggen tidigare har konfigurerats för att tillåta HTTP-åtgärder för flödet är det troligt att konfigurationen måste uppdateras för att tillåta det nya IP-intervallet.
- Om du använder Azure brandvägg tillämpar du tjänsttaggen
PowerPlatformPlexdirekt på konfigurationen för att rätt IP-intervall ska konfigureras automatiskt. Läs mer i Tjänsttaggar för virtuellt nätverk. - Om du använder en annan brandvägg letar du upp och aktiverar inkommande trafik från IP-intervallet som
PowerPlatformPlexrefereras till i nedladdningen av Azure IP-intervall och tjänsttaggar – offentligt moln.
Om detta inte är på plats kan du få felet,Http-begäran misslyckades eftersom det finns ett fel: "Ingen anslutning kunde göras eftersom måldatorn aktivt nekade den."
Power AutomateFel- och varningsmeddelanden i CMK-programmet
Om vissa flöden fortsätter att skyddas av MMK:er efter CMK-programmet visas varningar i princip- och miljöhanteringsupplevelserna. Meddelandet ”Power Automate-flöden är fortfarande skyddade med den Microsoft-hanterade nyckeln” visas.
Du kan använda PowerShell kommandon för att identifiera sådana flöden och skydda dem med CMK:er .
Skyddar flöden som kan fortsätta att skyddas av MMK:er
Följande flödeskategorier fortsätter att skyddas av MMK efter att företagsprincipen har tillämpats. Följ anvisningarna för att skydda flödena från CMK.
| Kategori | Metod för att skydda med CMK |
|---|---|
| Power App v1 utlöser flöden som inte finns i en lösning | Alternativ 1 (rekommenderas) Uppdatera flödet så att det använder V2-utlösaren innan du tillämpar CMK. Alternativ 2 Efter CMK-program använder du Spara som för att skapa en kopia av flödet. Uppdatera anropet Power Apps för att använda den nya kopian av flödet. |
| HTTP-utlösarflöden och Teams-utlösarflöden | Efter företagspolicyprogram använder du Spara som för att skapa en kopia av flödet. Uppdatera det anropande systemet så att det använder URL:en för det nya flödet. Den här kategorin av flöden skyddas inte automatiskt eftersom en ny flödes-URL skapas i den CMK-skyddade infrastrukturen. Kunder kan använda URL:en i sina anropssystem. |
| Överordnad till flöden som inte kan migreras automatiskt | Om ett flöde inte kan migreras migreras inte heller beroende flöden för att säkerställa att det inte uppstår några avbrott i verksamheten. |
| Flöden som använder anslutningsåtgärden Lista flöden som administratör (v1) | Flöden som refererar till den här äldre åtgärden bör antingen tas bort eller uppdateras för att använda åtgärden Lista flöden som administratör (V2). |
PowerShell-kommandon
Administratörer kan använda PowerShell kommandon som en del av valideringarna före och efter flygningen.
Hämta flöden som inte kan skyddas automatiskt med CMK
Du kan använda följande kommando för att identifiera flöden som fortsätter att skyddas av MMK efter CMK Enterprise-programmet.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | Flödesnamn | EnvironmentName |
|---|---|---|
| Hämta HTTP för faktura | flöde-1 | miljö-1 |
| Betala faktura från app | flöde-2 | miljö-2 |
| Stämma av ett konto | flöde-3 | miljö-3 |
Hämta flöden som inte skyddas av CMK i en viss miljö
Du kan använda det här kommandot före och efter att du har kört CMK Enterprise-principen för att identifiera alla flöden i miljön som skyddas av MMK. Du kan också använda det här kommandot för att utvärdera förloppet för CMK-programmet för flöden i en viss miljö.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | Flödesnamn | EnvironmentName |
|---|---|---|
| Hämta HTTP för faktura | flöde-4 | miljö-4 |
Mer information i Hantera din kundhanterade krypteringsnyckel.
Hämta körningshistorik från sidan med flödesinformation
Körningshistoriklistan på sidan Flödesinformation visar endast nya körningar efter CMK-programmet.
Om du vill visa indata-/utdata kan du använda körningshistoriken (vyn Alla körningar ) för att exportera flödeskörningshistoriken till CSV. Den här historiken innehåller både nya och befintliga flödeskörningar, inklusive alla indata och utdata för utlösare/åtgärder, med en gräns på 100 poster. Den här begränsningen är i linje med det befintliga beteendet för CSV-exporten.
Hämta körningshistorik efter supportärende
Vi tillhandahåller en sammanfattningsvy för alla körningar från både befintliga och nya flödeskörningar efter CMK-programmet. Den här vyn innehåller sammanfattningsinformation som körnings-ID, starttid, varaktighet och fel/lyckade. Den innehåller inte indata/utdata.
Skydda flöden i miljöer som redan skyddas av CMK
För miljöer som redan skyddas av CMK kan skydd av flöden med CMK begäras av ett supportärende.
Kända begränsningar
Begränsningarna inkluderar begränsningar för funktioner som utnyttjar analyspipelinen och för molnflöden utanför lösningar som utlöses av Power Apps, enligt beskrivningen i detta avsnitt.
Begränsningar för funktioner som utnyttjar pipelinen för analyser
När en miljö har aktiverats för kundhanterade nycklar kan inte Power Automate data inte skickas till analyspipelinen under en rad olika scenarier:
- Rapportering för hela klientorganisationen i Power Platform administrationscenter
- Dataexport till Data Lake
- Historik över molnflöden (för automatiseringscenter)
- Power Automate mobilapp, meddelandesidan
- Sidan Molnflödesaktivitet
- E-post med flödesfel
- Sammanfattande e-post för flödesfel
Begränsning av molnflöden utanför lösningar som utlöses av Power Apps
Molnflöden som inte innehåller lösningar med Power Apps-utlösaren och som skapas i CMK-skyddade miljöer kan inte refereras från en app. Ett fel uppstår när du försöker registrera flödet från Power Apps. Endast lösningsmolnflöden kan refereras från en app i CMK-skyddade miljöer. För att undvika detta bör flöden först läggas till i en Dataverse-lösning så att de kan refereras. För att förhindra denna situation, miljön inställningen till automatiskt skapa flöden i Dataverse-lösningar bör vara aktiverat i CMK-skyddade miljöer. Den här inställningen säkerställer att nya flöden är lösningsmolnflöden.
Begränsning av att anropa Copilot-kunskaper utlöser flöden
Scenarier där ett molnflöde anropas via Copilot-kunskaper utlöser och utnyttjar Copilot-användarens anslutning istället för en inbäddad anslutning stöds inte för CMK-skyddade molnflöden. Lär dig mer om att använda flöden som plugins från Copilot i Kör flöden från Copilot för Microsoft 365.