ใช้ตัวแปรสภาพแวดล้อมสำหรับ Azure Key Vault secrets

ตัวแปรสภาพแวดล้อมอนุญาตให้อ้างอิงข้อมูลลับที่เก็บไว้ใน Azure Key Vault ข้อมูลลับเหล่านี้จะถูกทำให้พร้อมสำหรับการใช้ภายในโฟลว์ Power Automate และตัวเชื่อมต่อแบบกำหนดเอง โปรดสังเกตว่าข้อมูลลับไม่สามารถใช้งานสำหรับการแก้ไข/ปรับปรุงตามคำสั่งอื่นๆ หรือการใช้โดยทั่วไปผ่าน API

ข้อมูลลับจริงจะถูกเก็บไว้ใน Azure Key Vault เท่านั้น และตัวแปรสภาพแวดล้อมจะอ้างอิงถึงที่ตั้งข้อมูลลับของ Key Vault การใช้ข้อมูลลับของ Azure Key Vault กับตัวแปรสภาพแวดล้อม จำเป็นต้องให้คุณกำหนดค่า Azure Key Vault เพื่อให้ Power Platform สามารถอ่านข้อมูลลับเฉพาะที่คุณต้องการอ้างอิงได้

ตัวแปรสภาพแวดล้อมที่อ้างอิงถึงความลับไม่สามารถใช้งานได้ในขณะนี้จากตัวเลือกเนื้อหาแบบไดนามิกสำหรับใช้งานใน Power Automate โฟลว์

กำหนดค่า Azure Key Vault

ในการใช้ความลับ Key Vault Azure กับ Power Platform การสมัครสมาชิก Azure ที่มี vault จะต้องลงทะเบียนผู้ให้บริการทรัพยากร PowerPlatform และผู้ใช้ที่สร้างตัวแปรสภาพแวดล้อมจะต้องมีสิทธิ์ที่เหมาะสมในการใช้ทรัพยากร Key Vault Azure

สำคัญ

• มีการเปลี่ยนแปลงล่าสุดใน Security role ที่ใช้เพื่อยืนยันสิทธิ์การเข้าถึงภายใน Azure Key Vault คำแนะนำก่อนหน้านี้รวมถึงการกำหนดบทบาทผู้อ่าน Key Vault หากคุณได้ตั้งค่า Key Vault ของคุณไว้ก่อนหน้านี้ด้วยบทบาท Key Vault ผู้อ่าน ตรวจสอบให้แน่ใจว่าคุณได้เพิ่มบทบาทผู้ใช้ Key Vault Secrets เพื่อให้แน่ใจว่าผู้ใช้ของคุณและ Microsoft Dataverse มีสิทธิ์เพียงพอในการดึงข้อมูลความลับ
• เราทราบดีว่าบริการของเรากำลังใช้ API การควบคุมการเข้าถึงตามบทบาทของ Azure เพื่อประเมินการกำหนดบทบาทความปลอดภัย แม้ว่าคุณจะยังคงกำหนดค่า Key Vault ของคุณให้ใช้รูปแบบสิทธิ์ของนโยบายการเข้าถึงชุดเก็บข้อมูลประจำตัว เพื่อให้การกำหนดค่าของคุณง่ายขึ้น เราขอแนะนำให้คุณเปลี่ยนรูปแบบสิทธิ์ของชุดเก็บข้อมูลประจำตัวเป็นการควบคุมการเข้าถึงตามบทบาทของ Azure คุณสามารถทำได้บนแท็บ การกำหนดค่าการเข้าถึง

1. ลงทะเบียนผู้ให้บริการทรัพยากรในการสมัครสมาชิก Azure ของคุณ Microsoft.PowerPlatform ปฏิบัติตามขั้นตอนเหล่านี้เพื่อตรวจสอบและกำหนดค่า: ผู้ให้บริการทรัพยากรและประเภททรัพยากร

   

2. สร้าง vault ของ Azure Key Vault พิจารณาการใช้ vault ที่แยกต่างหากสำหรับสภาพแวดล้อม Power Platform ทั้งหมดเพื่อลดภัยคุกคามในกรณีที่มีการละเมิด พิจารณาการกำหนดค่าคีย์วอลต์ของคุณเพื่อใช้ Azure การควบคุมการเข้าถึงตามบทบาท สำหรับ โมเดลการอนุญาต ข้อมูลเพิ่มเติม: แนวทางปฏิบัติที่ดีที่สุดสำหรับการใช้ Azure Key Vault, การเริ่มต้นอย่างรวดเร็ว - สร้าง Azure Key Vault ด้วยพอร์ทัล Azure

3. ผู้ใช้ที่สร้างหรือใช้ตัวแปรสภาพแวดล้อมชนิดข้อมูลลับต้องมีสิทธิ์ในการดึงเนื้อหาข้อมูลลับ หากต้องการให้ผู้ใช้ใหม่สามารถใช้ความลับได้ ให้เลือกพื้นที่ การควบคุมการเข้าถึง (IAM) เลือก เพิ่ม จากนั้นเลือก เพิ่มการมอบหมายบทบาท จากเมนูแบบดรอปดาวน์ ข้อมูลเพิ่มเติม: ให้สิทธิ์การเข้าถึงคีย์ ใบรับรอง และความลับของ Key Vault ด้วยการควบคุมการเข้าถึงตามบทบาท Azure

   

4. ในตัวช่วยสร้าง เพิ่มการกำหนดบทบาท ให้ปล่อยประเภทการกำหนดเริ่มต้นเป็น บทบาทฟังก์ชันงาน และดำเนินการต่อที่แท็บ บทบาท ค้นหา บทบาทผู้ใช้ความลับของคลังคีย์ และเลือก ไปที่แท็บสมาชิกและเลือกลิงก์ เลือกสมาชิก และค้นหาผู้ใช้ในแผงด้านข้าง เมื่อคุณเลือกผู้ใช้แล้วและแสดงในส่วนสมาชิก ให้ไปที่แท็บตรวจสแบและกำหนด และทำตามตัวช่วยสร้างให้เสร็จสิ้น

5. Azure Key Vault ต้องได้รับบทบาท ผู้ใช้ความลับของ Key Vault ที่มอบให้กับผู้ให้บริการ Dataverse หากไม่มีสำหรับชุดเก็บข้อมูลประจำตัวนี้ ให้เพิ่มนโยบายการเข้าถึงใหม่โดยใช้วิธีการเดียวกับที่คุณใช้ก่อนหน้านี้สำหรับสิทธิ์ของผู้ใช้ โดยใช้เฉพาะข้อมูลประจำตัวของแอปพลิเคชัน Dataverse แทนผู้ใช้ หากคุณมีบริการหลัก Dataverse หลายรายการในผู้เช่าของคุณ เราขอแนะนำให้คุณเลือกทั้งหมดและบันทึกการกำหนดบทบาท เมื่อกำหนดบทบาทแล้ว ให้ตรวจสอบแต่ละรายการ Dataverse ที่แสดงในรายการการกำหนดบทบาท และเลือกชื่อ Dataverse เพื่อดูรายละเอียด หากไม่มี Application ID 00000007-0000-0000-c000-000000000000** ให้เลือกข้อมูลประจำตัว จากนั้นเลือก ลบ เพื่อลบออกจากรายการ

6. หากคุณเปิดใช้งาน Azure Key Vault Firewall คุณต้องอนุญาตให้ Power Platform เข้าถึงที่อยู่ IP ใน Key Vault ของคุณได้ Power Platform ไม่รวมอยู่ในตัวเลือก "Trusted Services Only" ไปที่ Power Platform URL และช่วงที่อยู่ IP สำหรับที่อยู่ IP ปัจจุบันที่ใช้ในการบริการ

7. หากคุณยังไม่ได้ดำเนินการดังกล่าว ให้เพิ่มข้อมูลลับใน vault ใหม่ของคุณ ข้อมูลเพิ่มเติม: Azure การเริ่มต้นอย่างรวดเร็ว - ตั้งค่าและดึงข้อมูลความลับจาก Key Vault โดยใช้พอร์ทัล Azure

สร้างตัวแปรสภาพแวดล้อมใหม่สำหรับข้อมูลลับของ Key Vault

เมื่อมีการกำหนดค่า Azure Key Vault และคุณมีข้อมูลลับที่ลงทะเบียนใน vault ของคุณแล้ว ขณะนี้คุณสามารถอ้างอิงได้ภายใน Power Apps โดยใช้ตัวแปรสภาพแวดล้อม

หมายเหตุ

• การตรวจสอบความถูกต้องของการเข้าถึงของผู้ใช้สำหรับข้อมูลลับจะถูกดำเนินการในเบื้องหลัง หากผู้ใช้ไม่มีสิทธิ์ในการอ่านเป็นอย่างน้อย ข้อผิดพลาดในการตรวจสอบนี้จะปรากฏขึ้น "ตัวแปรนี้บันทึกไม่ถูกต้อง ผู้ใช้ไม่ได้รับอนุญาตให้อ่านความลับจาก 'เส้นทาง Azure Key Vault'"
• ปัจจุบัน Azure Key Vault เป็นที่เก็บข้อมูลลับเพียงแห่งเดียวที่ได้รับการสนับสนุนด้วยตัวแปรสภาพแวดล้อม
• Azure Key Vault ต้องอยู่ในผู้เช่าเดียวกันกับการสมัครใช้งาน Power Platform ของคุณ

1. ลงชื่อเข้าใช้ Power Apps และในพื้นที่ โซลูชัน ให้เปิดโซลูชันที่ไม่ได้รับการจัดการที่คุณใช้สำหรับการพัฒนา

2. เลือก ใหม่>เพิ่มเติม>ตัวแปรสภาพแวดล้อม

3. ป้อน a ชื่อที่แสดง และ a Description สำหรับตัวแปรสภาพแวดล้อม (ไม่จำเป็น)

4. เลือก ประเภทข้อมูล เป็น ข้อมูลลับ และ ที่เก็บข้อมูลลับ เป็น Azure Key Vault

5. เลือกจากตัวเลือกดังต่อไปนี้:

   • เลือก อ้างอิงค่า Key Vault Azure ใหม่ หลังจากเพิ่มข้อมูลลงใน ขั้นตอน ถัดไปและบันทึกแล้ว จะสร้างระเบียนตัวแปรสภาพแวดล้อม ค่า
   • ขยาย แสดงค่าเริ่มต้น เพื่อแสดงฟิลด์ที่จะสร้าง ค่าเริ่มต้น Azure Key Vault secret หลังจากเพิ่มข้อมูลลงใน ขั้นตอน ถัดไปและบันทึกแล้ว การแบ่งขอบเขตค่าเริ่มต้นจะถูกเพิ่มลงในเรกคอร์ด definition ของตัวแปรสภาพแวดล้อม

6. ใส่ข้อมูลต่อไปนี้:

   • Azure รหัสการสมัครสมาชิก: รหัสการสมัครสมาชิก Azure ที่เชื่อมโยงกับคลังคีย์

   • ชื่อกลุ่มทรัพยากร : กลุ่มทรัพยากร Azure ที่มีห้องนิรภัยคีย์ที่ประกอบด้วยความลับอยู่

   • Azure ชื่อคีย์วอลต์: ชื่อของคีย์วอลต์ที่ประกอบด้วยความลับ

   • ชื่อความลับ: ชื่อของความลับที่อยู่ใน Azure Key Vault

     เคล็ดลับ

     ID การสมัครใช้งาน, ชื่อกลุ่มทรัพยากร, และชื่อ key vault สามารถพบได้บนหน้า ภาพรวม ของพอร์ทัล Azure ของ key vault ชื่อข้อมูลลับสามารถพบได้บนหน้า key vault ในพอร์ทัล Azure โดยการเลือก ข้อมูลลับ ภายใต้ การตั้งค่า

7. เลือก บันทึก

สร้างโฟลว์ Power Automate เพื่อทดสอบข้อมูลลับของตัวแปรสภาพแวดล้อม

สถานการณ์ง่ายๆ ในการสาธิตวิธีใช้ข้อมูลลับที่ได้รับจาก Azure Key Vault คือการสร้างโฟลว์ Power Automate เพื่อใช้ข้อมูลลับในการตรวจสอบกับ Web Service

หมายเหตุ

URI สำหรับ Web service ในตัวอย่างนี้ไม่ได้เป็น Web service ที่ทำงาน

1. เข้าสู่ระบบ Power Apps เลือก โซลูชัน จากนั้นเปิดโซลูชันที่ไม่ได้รับการจัดการที่คุณต้องการ หากรายการไม่อยู่ในบานหน้าต่างแผงด้านข้าง ให้เลือก …เพิ่มเติม แล้วเลือกรายการที่คุณต้องการ

2. เลือก ใหม่>ระบบอัตโนมัติ>โฟลว์ระบบคลาวด์>แบบทันที

3. ป้อนชื่อสำหรับโฟลว์ เลือก ทริกเกอร์โฟลว์ด้วยตนเอง จากนั้นเลือก สร้าง

4. เลือก ใหม่ ขั้นตอน เลือกตัวเชื่อมต่อ Microsoft Dataverse จากนั้นเลือกแท็บ การดำเนินการ เลือก ดำเนินการที่ไม่ผูกมัด

5. เลือกการดำเนินการที่ชื่อ RetrieveEnvironmentVariableSecretValue จากรายการดรอปดาวน์

6. ระบุชื่อตัวแปรสภาพแวดล้อมที่ไม่ซ้ำกัน (ไม่ใช่ ชื่อที่แสดง) ที่เพิ่มในส่วนก่อนหน้า สำหรับตัวอย่างนี้ จะใช้ new_TestSecret

7. เลือก ...>เปลี่ยนชื่อ เพื่อเปลี่ยนชื่อการดำเนินการ เพื่อให้สามารถอ้างอิงได้ง่ายขึ้นในการดำเนินการครั้งต่อไป ในภาพหน้าจอนี้ ได้มีการเปลี่ยนชื่อเป็น GetSecret

   

8. เลือก ...>การตั้งค่า เพื่อแสดงการตั้งค่าการดำเนินการ รับความลับ

9. เปิดใช้งานตัวเลือก เอาต์พุตที่ปลอดภัย ในการตั้งค่า จากนั้นเลือก เสร็จสิ้น นี่เป็นการป้องกันไม่ให้ผลลัพธ์ของการดำเนินการที่ถูกเปิดเผยในประวัติการเรียกใช้โฟลว์

   

10. เลือก ขั้นตอน ใหม่ ค้นหา และเลือกตัวเชื่อมต่อ HTTP

11. เลือก วิธีการ เป็น GET และป้อน URI สำหรับบริการเว็บ ในตัวอย่างนี้ จะมีการใช้บริการเว็บสมมติ httpbin.org

12. เลือก แสดงตัวเลือกขั้นสูง เลือก การรับรองความถูกต้อง เป็น พื้นฐาน จากนั้นป้อน ชื่อผู้ใช้

13. เลือกฟิลด์ รหัสผ่าน จากนั้นบนแท็บ เนื้อหาไดนามิก ภายใต้ชื่อโฟลว์ ขั้นตอน ด้านบน (รับความลับ ในตัวอย่างนี้) ให้เลือก เรียกค้นสภาพแวดล้อมตัวแปรความลับตอบกลับ สภาพแวดล้อมตัวแปรความลับ ซึ่งจะถูกเพิ่มเป็นนิพจน์ outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] หรือ body('GetSecretTest')['EnvironmentVariableSecretValue']

    

14. เลือก ...>การตั้งค่า เพื่อแสดงการตั้งค่าการดำเนินการ HTTP

15. เปิดใช้งานตัวเลือก อินพุตที่ปลอดภัย และ เอาต์พุตที่ปลอดภัย ในการตั้งค่า จากนั้นเลือก เสร็จสิ้น การเปิดใช้งานตัวเลือกเหล่านี่เป็นการป้องกันไม่ให้อินพุตและเอาท์พุตของการดำเนินการถูกเปิดเผยในประวัติการเรียกใช้โฟลว์

16. เลือก บันทึก เพื่อสร้างโฟลว์

17. เรียกใช้โฟลว์เพื่อทดสอบด้วยตนเอง

    โดยใช้ประวัติการเรียกใช้ของโฟลว์ ผลลัพธ์สามารถตรวจสอบได้

    

ใช้ความลับของตัวแปรสภาพแวดล้อมใน Microsoft Copilot Studio

ความลับของตัวแปรสภาพแวดล้อมในการทำงานแตกต่างกันเล็กน้อย Microsoft Copilot Studio คุณต้องดำเนินการตามขั้นตอนในส่วนต่างๆ ใน กำหนดค่า Azure Key Vault และ สร้างตัวแปรสภาพแวดล้อมใหม่สำหรับความลับของ Key Vault เพื่อใช้ความลับกับตัวแปรสภาพแวดล้อม

ให้สิทธิ์การเข้าถึง Azure Key Vault Copilot Studio

ทำตามขั้นตอนเหล่านี้:

1. กลับไปที่ Azure Key Vault ของคุณ

2. Copilot Studio ต้องการเข้าถึงห้องนิรภัย ในการให้ Copilot Studio ความสามารถในการใช้ความลับ ให้เลือก การควบคุมการเข้าถึง (IAM) ในแถบนำทางด้านซ้าย เลือก เพิ่ม จากนั้นเลือก เพิ่มการมอบหมายบทบาท

   

3. เลือกบทบาท ผู้ใช้ Key Vault Secrets จากนั้นเลือก ถัดไป

4. เลือก เลือกสมาชิก ค้นหา Power Virtual Agents บริการ เลือก จากนั้นเลือก เลือก

5. เลือก ตรวจสอบ + กำหนด ที่ด้านล่างของหน้าจอ ตรวจสอบข้อมูลและเลือก ตรวจสอบ + กำหนด อีกครั้งหากทุกอย่างถูกต้อง

เพิ่มแท็กเพื่อให้ Copilot สามารถเข้าถึงความลับใน Azure Key Vault ได้

เมื่อดำเนินการตามขั้นตอนก่อนหน้าในส่วนนี้แล้ว Copilot Studio ตอนนี้คุณจะสามารถเข้าถึง Azure Key Vault ได้แล้ว แต่คุณยังใช้ไม่ได้ หากต้องการดำเนินการให้เสร็จสมบูรณ์ ให้ทำตามขั้นตอนเหล่านี้:

1. ไปที่ Microsoft Copilot Studio และเปิด ตัวแทน ที่คุณต้องการใช้สำหรับตัวแปรสภาพแวดล้อม secret หรือสร้างใหม่

2. เปิด ตัวแทน หัวข้อ หรือสร้างใหม่

3. เลือกไอคอน + เพื่อเพิ่มโหนด จากนั้นเลือก ส่งข้อความ

4. เลือกตัวเลือก แทรกตัวแปร {x} ในโหนด ส่งข้อความ

5. เลือกแท็บ Environment เลือกความลับของตัวแปรสภาพแวดล้อมที่คุณสร้างขึ้นใน Create a new environment variable for Key Vault secret ขั้นตอน

6. เลือก บันทึก เพื่อบันทึก หัวข้อ ของคุณ

7. ในบานหน้าต่างการทดสอบ ให้ทดสอบ หัวข้อ ของคุณโดยใช้หนึ่งในวลีเริ่มต้นของ หัวข้อ ที่คุณเพิ่งเพิ่มโหนด ส่งข้อความ พร้อมกับตัวแปรความลับของสภาพแวดล้อม คุณควรพบข้อผิดพลาดที่มีลักษณะดังนี้:

   

   ซึ่งหมายความว่าคุณต้องกลับไปที่ Azure Key Vault และแก้ไขความลับ ปล่อย Copilot Studio เปิดเอาไว้ เพราะคุณจะกลับมาที่นี่ภายหลัง

8. ไปที่ Azure Key Vault ในการนำทางด้านซ้าย ให้เลือก ความลับ ภายใต้ วัตถุ เลือกความลับที่คุณต้องการให้พร้อมใช้งาน Copilot Studio โดยเลือกชื่อ

9. เลือกเวอร์ชันของความลับ

10. เลือก 0 แท็ก ถัดจาก แท็ก เพิ่ม ชื่อแท็ก และ ค่าแท็ก ข้อความแสดงข้อผิดพลาดใน Copilot Studio ควรแจ้งค่าที่แน่นอนของคุณสมบัติทั้งสองนี้แก่คุณ ภายใต้ ชื่อแท็ก คุณต้องเพิ่ม AllowedBots และใน ค่าแท็ก คุณต้องเพิ่มค่าที่แสดงในข้อความแสดงข้อผิดพลาด ค่านี้ถูกจัดรูปแบบเป็น {envId}/{schemaName} หากมีผู้ช่วยนักบินหลายรายที่ต้องอนุญาต ให้คั่นค่าด้วยเครื่องหมายจุลภาค เมื่อดำเนินการเสร็จสิ้น เลือก ตกลง

11. เลือก ใช้ เพื่อนำแท็กไปใช้กับความลับ

12. ย้อนกลับไป Copilot Studio เลือก รีเฟรช ในบานหน้าต่าง ทดสอบ Copilot ของคุณ

13. ในบานหน้าต่างการทดสอบ ให้ทดสอบ หัวข้อ ของคุณอีกครั้งโดยใช้หนึ่งในวลีเริ่มต้นของ หัวข้อ

ค่าความลับของคุณควรปรากฏในแผงทดสอบ

เพิ่มแท็กเพื่ออนุญาตให้ผู้ช่วยนักบินทั้งหมดในสภาพแวดล้อมสามารถเข้าถึงความลับใน Azure Key Vault ได้

อีกวิธีหนึ่งคือคุณสามารถอนุญาตให้ผู้ช่วยนักบินทั้งหมดในสภาพแวดล้อมเข้าถึงความลับใน Azure Key Vault ได้ หากต้องการดำเนินการให้เสร็จสมบูรณ์ ให้ทำตามขั้นตอนเหล่านี้:

1. ไปที่ Azure Key Vault ในการนำทางด้านซ้าย ให้เลือก ความลับ ภายใต้ วัตถุ เลือกความลับที่คุณต้องการให้พร้อมใช้งาน Copilot Studio โดยเลือกชื่อ
2. เลือกเวอร์ชันของความลับ
3. เลือก 0 แท็ก ถัดจาก แท็ก เพิ่ม ชื่อแท็ก และ ค่าแท็ก ภายใต้ ชื่อแท็ก เพิ่ม AllowedEnvironments และใน ค่าแท็ก เพิ่ม ID สภาพแวดล้อมของสภาพแวดล้อมที่คุณต้องการอนุญาต เมื่อเสร็จแล้วให้เลือก ตกลง
4. เลือก ใช้ เพื่อนำแท็กไปใช้กับความลับ

ข้อจำกัด

ตัวแปรสภาพแวดล้อมที่อ้างอิงถึง Azure ขณะนี้ความลับของ Key Vault ถูกจำกัดให้ใช้กับ Power Automate โฟลว์ Copilot Studio ตัวแทน และตัวเชื่อมต่อแบบกำหนดเองเท่านั้น

(ดูเพิ่มเติม )

ใช้ตัวแปรสภาพแวดล้อมของแหล่งข้อมูลในแอปพื้นที่ทำงาน
ใช้ตัวแปรสภาพแวดล้อมในโฟลว์ระบบคลาวด์ของการแก้ไขปัญหา Power Automate
ภาพรวมตัวแปรสภาพแวดล้อม