การสนับสนุนสำหรับคีย์ที่มีการจัดการโดยลูกค้า
ข้อมูลลูกค้าทั้งหมดที่จัดเก็บไว้ใน Power Platform ได้รับการเข้ารหัสลับขณะจัดเก็บโดยใช้คีย์ที่มีการจัดการโดย Microsoft (MMK) ตามค่าเริ่มต้น เมื่อใช้คีย์ที่จัดการโดยลูกค้า (CMK) ลูกค้าสามารถนำคีย์การเข้ารหัสลับของตนเองมาใช้เพื่อปกป้องข้อมูล Power Automate ได้ ความสามารถนี้ช่วยให้ลูกค้ามีชั้นป้องกันพิเศษในการจัดการแอสเซท Power Platform ของตน ด้วยคุณลักษณะนี้ คุณสามารถหมุนเวียนหรือสลับคีย์การเข้ารหัสลับได้ตามต้องการ นอกจากนี้ยังป้องกันไม่ให้ Microsoft เข้าถึงข้อมูลลูกค้าของคุณ หากคุณเลือกที่จะเพิกถอนการเข้าถึงคีย์สำหรับบริการของ Microsoft ได้ตลอดเวลา
ด้วย CMK เวิร์กโฟลว์ของคุณและข้อมูลที่เหลือที่เกี่ยวข้องทั้งหมดจะถูกจัดเก็บและดำเนินการบนโครงสร้างพื้นฐานเฉพาะที่แบ่งพาร์ติชันตามสภาพแวดล้อม ซึ่งรวมถึงข้อกำหนดเวิร์กโฟลว์ของคุณ ทั้งโฟลว์ระบบคลาวด์และโฟลว์เดสก์ท็อป และประวัติการดำเนินการเวิร์กโฟลว์พร้อมอินพุตและเอาต์พุตโดยละเอียด
ข้อควรพิจารณาเบื้องต้นก่อนป้องกันโฟลว์ของคุณด้วย CMK
พิจารณาสถานการณ์ต่อไปนี้เมื่อใช้นโยบายองค์กร CMK กับสภาพแวดล้อมของคุณ
- เมื่อใช้นโยบายองค์กร CMK โฟลว์ระบบคลาวด์และข้อมูลที่มี CMK จะได้รับการป้องกันโดยอัตโนมัติ โฟลว์บางส่วนอาจยังคงได้รับการป้องกันโดย MMK ผู้ดูแลระบบสามารถระบุโฟลว์เหล่านี้ได้โดยใช้ คำสั่ง PowerShell
- การสร้างและการอัปเดตโฟลว์ถูกบล็อกในระหว่างการย้าย ประวัติการเรียกใช้จะไม่ถูกย้ายไป คุณสามารถขอผ่าน ตั๋วการสนับสนุน ได้ภายใน 30 วันหลังจากการย้ายข้อมูล
- ปัจจุบัน CMK ไม่ได้ใช้ประโยชน์เพื่อเข้ารหัสลับการเชื่อมต่อที่ไม่ใช่ OAuth การเชื่อมต่อที่ไม่ใช้ Microsoft Entra พื้นฐานเหล่านี้ยังคงได้รับการเข้ารหัสลับเมื่อไม่ได้ใช้งานโดยใช้ MMK
- หากต้องการเปิดใช้งานการรับส่งข้อมูลบนเครือข่ายขาเข้าและขาออกจากโครงสร้างพื้นฐานที่มีการป้องกันด้วย CMK ให้ อัปเดตการกำหนดค่าไฟร์วอลล์ ของคุณเพื่อให้แน่ใจว่าโฟลว์ของคุณยังคงทำงานต่อไป
- หากคุณวางแผนที่จะป้องกันสภาพแวดล้อมมากกว่า 25 รายการในผู้เช่าของคุณโดยใช้ CMK ให้สร้างตั๋วการสนับสนุน ขีดจำกัดเริ่มต้นของสภาพแวดล้อม Power Automate ที่เปิดใช้งาน CMK ต่อผู้เช่าคือ 25 จำนวนนี้สามารถขยายได้โดยการร่วมมือกับทีมสนับสนุน
การใช้คีย์การเข้ารหัสลับเป็นรูปแบบที่ดำเนินการโดยผู้ดูแลระบบ Power Platform และผู้ใช้จะมองไม่เห็น ผู้ใช้สามารถสร้าง บันทึก และดำเนินการเวิร์กโฟลว์ Power Automate ในลักษณะเดียวกับที่คีย์ที่ MMK เข้ารหัสลับข้อมูล
คุณลักษณะ CMK นี้ช่วยให้คุณสามารถใช้ประโยชน์จากนโยบายองค์กรเดียวที่สร้างขึ้นในสภาพแวดล้อมเพื่อรักษาความปลอดภัยเวิร์กโฟลว์ Power Automate เรียนรู้เพิ่มเติมเกี่ยวกับ CMK และคำแนะนำทีละขั้นตอนเพื่อเปิดใช้งาน CMK ใน จัดการคีย์การเข้ารหัสลับที่จัดการโดยลูกค้าของคุณ
กระบวนการทำงานอัตโนมัติโดยหุ่นยนต์ (RPA) ของ Power Automate (พรีวิว)
ความสามารถของเครื่องที่เป็นโฮสต์ของ บทนำเกี่ยวกับโซลูชัน RPA ที่โฮสต์ Power Automate รองรับ CMK หลังจากใช้ CMK คุณต้องจัดเตรียมกลุ่มเครื่องที่เป็นโฮสต์ที่มีอยู่ใหม่โดยเลือก เตรียมใช้งานกลุ่มใหม่ บนหน้ารายละเอียดกลุ่มเครื่อง เมื่อเตรียมใช้งานใหม่แล้ว ดิสก์ VM สำหรับบอทเครื่องที่เป็นโฮสต์จะถูกเข้ารหัสลับด้วย CMK
หมายเหตุ
CMK สำหรับความสามารถของเครื่องที่เป็นโฮสต์ยังไม่พร้อมใช้งานในขณะนี้
อัปเดตการกำหนดค่าไฟร์วอล
Power Automate ช่วยให้คุณสร้างโฟลว์ที่สามารถเรียก HTTP ได้ หลังจากที่คุณใช้ CMK การดำเนินการ HTTP ขาออกจาก Power Automate จะมาจากช่วง IP ที่แตกต่างจากก่อนหน้านี้ หากไฟร์วอลล์ได้รับการกำหนดค่าก่อนหน้านี้เพื่ออนุญาตการดำเนินการ HTTP ของโฟลว์ อาจเป็นไปได้ว่าการกำหนดค่าจำเป็นต้องได้รับการอัปเดตเพื่อให้มีช่วง IP ใหม่
- หากคุณใช้ไฟร์วอลล์ Azure ให้ใช้แท็กบริการ
PowerPlatformPlexโดยตรงกับการกำหนดค่าสำหรับช่วง IP ที่ถูกต้องที่จะกำหนดค่าโดยอัตโนมัติ เรียนรู้เพิ่มเติมใน แท็กบริการเครือข่ายเสมือน - หากคุณใช้ไฟร์วอลล์อื่น ให้ค้นหาและเปิดใช้งานการรับส่งข้อมูลขาเข้าจากช่วง IP สำหรับ
PowerPlatformPlexที่อ้างอิงในการดาวน์โหลด ช่วง IP และแท็กบริการ Azure - ระบบคลาวด์สาธารณะ
หากไม่มีอยู่ คุณอาจได้รับข้อผิดพลาด การร้องขอทาง HTTP ล้มเหลวเนื่องจากมีข้อผิดพลาด: 'ไม่สามารถเชื่อมต่อได้เนื่องจากเครื่องเป้าหมายปฏิเสธอย่างชัดเจน'
ข้อความแสดงคำเตือนของแอปพลิเคชัน Power Automate CMK
หากโฟลว์บางอย่างยังคงได้รับการป้องกันโดย MMK หลังการใช้งาน CMK คำเตือนจะปรากฏในประสบการณ์การจัดการนโยบายและสภาพแวดล้อม ข้อความ "โฟลว์ของ Power Automate ยังคงได้รับการเข้ารหัสลับด้วยคีย์ที่มีการจัดการโดย Microsoft" ปรากฏขึ้น
คุณสามารถใช้ประโยชน์จาก คำสั่ง PowerShell เพื่อระบุโฟลว์ดังกล่าวและป้องกันโฟลว์เหล่านั้นด้วย CMK
ป้องกันโฟลว์ที่อาจยังคงได้รับการป้องกันโดย MMK
โฟลว์ประเภทต่อไปนี้ยังคงได้รับการป้องกันโดย MMK หลังจากใช้นโยบายองค์กร ปฏิบัติตามคำแนะนำเพื่อป้องกันโฟลว์โดย CMK
| หมวดหมู่ | แนวทางการป้องกันด้วย CMK |
|---|---|
| Power App v1 ทริกเกอร์โฟลว์ที่ไม่ได้อยู่ในโซลูชัน | ตัวเลือกที่ 1 (แนะนำ) อัปเดตโฟลว์เพื่อใช้ทริกเกอร์ V2 ก่อน ใช้ CMK ตัวเลือกที่ 2 หลังการใช้ CMK ให้ใช้ บันทึกเป็น เพื่อสร้างสำเนาของโฟลว์ อัปเดตการเรียก Power Apps เพื่อใช้สำเนาใหม่ของโฟลว์ |
| โฟลว์ทริกเกอร์ HTTP และโฟลว์ทริกเกอร์ Teams | หลังการใช้นโยบายองค์กร ให้ใช้ บันทึกเป็น เพื่อสร้างสำเนาของโฟลว์ อัปเดตระบบการเรียกเพื่อใช้ URL ของโฟลว์ใหม่ โฟลว์ประเภทนี้ไม่ได้รับการป้องกันโดยอัตโนมัติ เนื่องจากมีการสร้าง URL ของโฟลว์ใหม่ในโครงสร้างพื้นฐานที่มีการป้องกันด้วย CMK ลูกค้าอาจใช้ประโยชน์จาก URL ในระบบการเรียกใช้ |
| รายการหลักของโฟลว์ที่ไม่สามารถย้ายโดยอัตโนมัติได้ | หากไม่สามารถย้ายโฟลว์ได้ โฟลว์ที่ขึ้นต่อกันจะไม่ถูกย้ายเพื่อให้แน่ใจว่าจะไม่มีการหยุดชะงักทางธุรกิจ |
| การดำเนินการของโฟลว์ที่ใช้ตัวเชื่อมต่อรายการโฟลว์ในฐานะผู้ดูแลระบบ (v1) | โฟลว์ที่อ้างอิงการดำเนินการดั้งเดิมนี้ควรถูกลบหรืออัปเดตเพื่อใช้ การดำเนินการ List Flows as Admin (V2) |
คำสั่ง PowerShell
ผู้ดูแลระบบสามารถใช้ประโยชน์จากคำสั่ง PowerShell เป็นส่วนหนึ่งของการตรวจสอบก่อนทดสอบและหลังทดสอบ
ดึงโฟลว์ที่ไม่สามารถป้องกันโดยอัตโนมัติโดยใช้ CMK
คุณสามารถใช้คำสั่งต่อไปนี้เพื่อระบุโฟลว์ที่ยังคงได้รับการป้องกันโดยแอปพลิเคชัน MMK หลังการใช้ CMK
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| รับ HTTP ใบแจ้งหนี้ | โฟลว์-1 | สภาพแวดล้อม-1 |
| ชำระใบแจ้งหนี้จากแอป | โฟลว์-2 | สภาพแวดล้อม-2 |
| กระทบยอดบัญชี | โฟลว์-3 | สภาพแวดล้อม-3 |
ดึงโฟลว์ที่ไม่มีการป้องกันโดย CMK ในสภาพแวดล้อมที่กำหนด
คุณสามารถใช้ประโยชน์จากคำสั่งนี้ก่อนและหลังการดำเนินการนโยบายองค์กร CMK เพื่อระบุโฟลว์ทั้งหมดในสภาพแวดล้อมที่ได้รับการป้องกันโดย MMK นอกจากนี้ คุณสามารถใช้ประโยชน์จากคำสั่งนี้เพื่อประเมินความคืบหน้าของการใช้ CMK สำหรับโฟลว์ในสภาพแวดล้อมที่กำหนด
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| รับ HTTP ใบแจ้งหนี้ | โฟลว์-4 | สภาพแวดล้อม-4 |
เรียนรู้เพิ่มเติมใน จัดการคีย์การเข้ารหัสลับที่จัดการโดยลูกค้า
รับประวัติการเรียกใช้จากหน้ารายละเอียดโฟลว์
รายการประวัติการเรียกใช้บนหน้า รายละเอียด โฟลว์ จะแสดงการเรียกใช้ใหม่หลังการใช้ CMK เท่านั้น
หากคุณต้องการดูข้อมูลอินพุต/เอาต์พุต คุณสามารถใช้ประวัติการเรียกใช้ (มุมมอง การเรียกใช้ทั้งหมด) เพื่อส่งออกประวัติการเรียกใช้โฟลว์เป็น CSV ประวัตินี้มีทั้งการเรียกใช้โฟลว์ใหม่และที่มีอยู่ รวมถึงอินพุตและเอาต์พุตของทริกเกอร์/การดำเนินการทั้งหมด โดยจำกัดไว้ที่ 100 เรกคอร์ด ข้อจำกัดนี้สอดคล้องกับลักษณะการทำงานที่มีอยู่สำหรับการส่งออก CSV
รับประวัติการเรียกใช้โดยตั๋วการสนับสนุน
เรามีมุมมองสรุปสำหรับการเรียกใช้ทั้งหมดจากการเรียกใช้โฟลว์ที่มีอยู่และของใหม่หลังการใช้ CMK มุมมองนี้มีข้อมูลสรุป เช่น รหัสการเรียกใช้ เวลาเริ่มต้น ระยะเวลา และล้มเหลว/สำเร็จ ไม่มีข้อมูลอินพุต/เอาต์พุต
ปกป้องโฟลว์ในสภาพแวดล้อมที่ CMK ป้องกันอยู่แล้ว
สำหรับสภาพแวดล้อมที่ได้รับการป้องกันโดย CMK อยู่แล้ว ตั๋วสนับสนุนสามารถขอการป้องกันโฟลว์โดยใช้ CMK ได้
ข้อจำกัดที่ทราบ
ข้อจำกัดรวมถึงข้อจำกัดสำหรับคุณลักษณะที่ใช้ไปป์ไลน์การวิเคราะห์และสำหรับโฟลว์ระบบคลาวด์ที่ไม่ใช่โซลูชันที่ทริกเกอร์โดย Power Apps ตามที่อธิบายไว้ในส่วนนี้
ข้อจำกัดเกี่ยวกับคุณลักษณะที่ใช้ไปป์ไลน์การวิเคราะห์
เมื่อเปิดใช้งานสภาพแวดล้อมสำหรับคีย์ที่จัดการโดยลูกค้า Power Automate จะไม่สามารถส่งข้อมูลไปยังไปป์ไลน์การวิเคราะห์สำหรับสถานการณ์ต่างๆ ได้:
- การรายงานทั่วทั้งผู้เช่าในศูนย์จัดการ Power Platform
- ส่งออกไปยังที่จัดเก็บข้อมูลดิบ
- ประวัติการเรียกใช้โฟลว์ระบบคลาวด์ (สำหรับ ศูนย์ระบบอัตโนมัติ)
- แอปสำหรับอุปกรณ์เคลื่อนที่ Power Automate, หน้าการแจ้งเตือน
- หน้ากิจกรรมโฟลว์ระบบคลาวด์
- อีเมลความล้มเหลวของโฟลว์
- อีเมลสรุปย่อความล้มเหลวของโฟลว์
ข้อจำกัดเกี่ยวกับโฟลว์ระบบคลาวด์ที่ไม่ใช่โซลูชันที่ทริกเกอร์โดย Power Apps
โฟลว์ระบบคลาวด์ที่ไม่ใช่โซลูชันที่ใช้ทริกเกอร์ Power Apps และสร้างขึ้นในสภาพแวดล้อมที่มีการป้องกันด้วย CMK ไม่สามารถอ้างอิงจากแอปได้ เกิดข้อผิดพลาดเมื่อพยายามลงทะเบียนโฟลว์จาก Power Apps เฉพาะโฟลว์ระบบคลาวด์ของโซลูชันเท่านั้นที่สามารถอ้างอิงจากแอปในสภาพแวดล้อมที่มีการป้องกันด้วย CMK เพื่อหลีกเลี่ยงสถานการณ์นี้ ควรเพิ่มโฟลว์ลงในโซลูชัน Dataverse ก่อน เพื่อให้สามารถอ้างอิงได้สำเร็จ เพื่อป้องกันสถานการณ์นี้ การตั้งค่าสภาพแวดล้อมเพื่อ สร้างโฟลว์ในโซลูชัน Dataverse โดยอัตโนมัติ ควรเปิดใช้งานในสภาพแวดล้อมที่มีการป้องกันด้วย CMK การตั้งค่านี้ช่วยให้แน่ใจว่าโฟลว์ใหม่เป็นโฟลว์ระบบคลาวด์ของโซลูชัน
ข้อจำกัดของการเรียกโฟลว์ทริกเกอร์ทักษะ Copilot
สถานการณ์ที่มีการเรียกโฟลว์ระบบคลาวด์ผ่านทริกเกอร์ทักษะ Copilot ที่ใช้การเรียกการเชื่อมต่อของผู้ใช้ Copilot ซึ่งต่างจากการเชื่อมต่อแบบฝังที่ไม่ได้รับการสนับสนุนสำหรับโฟลว์ระบบคลาวด์ที่มีการป้องกันด้วย CMK เรียนรู้เพิ่มเติมเกี่ยวกับการใช้โฟลว์เป็นปลั๊กอินจาก Copilot ใน เรียกใช้โฟลว์จาก Copilot สำหรับ Microsoft 365