แชร์ผ่าน

สร้างข้อมูลประจำตัว Azure Key Vault

  • บทความ

ในหน้า ข้อมูลประจำตัว ใน Power Automate ช่วยให้คุณสร้าง แก้ไข และแชร์ข้อมูลประจำตัวการลงชื่อเข้าใช้โดยใช้ Azure Key Vault และใช้ในการเชื่อมต่อโฟลว์เดสก์ท็อป

นอกจากนี้คุณยังสามารถ สร้างข้อมูลประจำตัวด้วย CyberArk® (พรีวิว)

สำคัญ

  • ขณะนี้ คุณลักษณะใหม่นี้ยังไม่พร้อมใช้งานสำหรับระบบคลาวด์ของรัฐบาลสหรัฐฯ

ข้อกำหนดเบื้องต้น

ข้อมูลประจำตัวใช้ข้อมูลลับที่จัดเก็บไว้ใน Azure Key Vault หากต้องการสร้างข้อมูลประจำตัว ผู้ดูแลระบบของคุณต้องตั้งค่า Azure Key Vault ก่อน

พูดง่ายคือ ผู้ดูแลระบบต้องตรวจสอบให้แน่ใจ:

  1. ลงทะเบียนผู้ให้บริการทรัพยากรของ Microsoft Power Platform ในการสมัครใช้งาน Azure
  2. มี Azure Key Vault ที่มีข้อมูลลับที่จะใช้ในข้อมูลประจำตัว
  3. บริการหลัก Dataverse ได้รับอนุญาตให้ใช้ข้อมูลลับ
  4. ผู้ใช้ที่สร้างตัวแปรสภาพแวดล้อมมีสิทธิ์ที่เหมาะสมในทรัพยากร Azure Key Vault
  5. สภาพแวดล้อม Power Automate และการสมัครใช้งาน Azure ต้องอยู่ในผู้เช่ารายเดียวกัน

หากต้องการกำหนดค่า Azure Key Vault ให้ทำตามขั้นตอนที่อธิบายไว้ใน กำหนดค่า Azure Key Vault

การรับรองความถูกต้องด้วยใบรับรอง (พรีวิว)

การรับรองความถูกต้องด้วยใบรับรอง Microsoft Entra ID เป็นการรับรองความถูกต้องด้วยปัจจัยเดียวที่ช่วยให้คุณปฏิบัติตามข้อกำหนดการรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) แทนที่จะใช้การรับรองความถูกต้องด้วยรหัสผ่าน ให้ใช้การรับรองความถูกต้องด้วยใบรับรอง (CBA) ซึ่งจะยืนยันตัวตนของคุณตามใบรับรองดิจิทัล

หากต้องการใช้ CBA ให้ปฏิบัติตามขั้นตอนใน กำหนดค่าการรับรองความถูกต้องด้วยใบรับรอง มิฉะนั้น ให้เริ่มสร้างข้อมูลประจำตัว

สร้างข้อมูลประจำตัว

หากต้องการสร้างข้อมูลประจำตัวของคุณ:

  1. ไปยังหน้า ข้อมูลประจำตัว ถ้าคุณไม่เห็นหน้า ข้อมูลประจำตัว ให้ทำตามขั้นตอนเหล่านี้:

    1. เลือก เพิ่มเติม ในการนำทางด้านซ้าย จากนั้นเลือก ค้นหาทั้งหมด
    2. ใต้ ข้อมูล เลือก ข้อมูลประจำตัว คุณสามารถปักหมุดหน้าในการนำทางด้านซ้ายเพื่อให้เข้าถึงได้ง่ายขึ้น

  2. บนหน้า ข้อมูลประจำตัว ให้สร้างข้อมูลประจำตัวแรกของคุณโดยเลือก ข้อมูลประจำตัวใหม่

ภาพหน้าจอของการกำหนดชื่อของข้อมูลประจำตัว

กำหนดชื่อข้อมูลประจำตัว

ให้ข้อมูลต่อไปนี้เพื่อสร้างข้อมูลประจำตัวของคุณ:

  • ชื่อข้อมูลประจำตัว: ป้อนชื่อสำหรับข้อมูลประจำตัว
  • คำอธิบาย: (เลือกได้)

เลือกที่เก็บข้อมูลประจำตัว

  1. หลังจากเลือก ถัดไป ให้เลือกตำแหน่งที่จะใช้ข้อมูลประจำตัว
  2. เลือก การเชื่อมต่อ หรือ เครือข่าย เป็นตำแหน่งที่จะใช้ข้อมูลประจำตัว การใช้ข้อมูลประจำตัวในโฟลว์เดสก์ท็อปยังไม่รองรับ Azure Key Vault
  3. หากได้รับแจ้ง ให้เลือก Azure Key Vault เป็นชนิดของที่เก็บข้อมูลประจำตัว จากนั้นเลือก ถัดไป
ตำแหน่งที่ตั้งในการใช้ข้อมูลประจำตัว Description รองรับการรับรองความถูกต้อง Azure Key Vault
Connection ใช้ในการเชื่อมต่อโฟลว์เดสก์ท็อป ข้อมูลประจำตัวจะใช้เพื่อเข้าสู่ระบบเครื่องระหว่างรันไทม์ (การเรียกใช้แบบมีผู้เข้าร่วมและแบบอัตโนมัติ) • ชื่อผู้ใช้และรหัสผ่าน
• การรับรองความถูกต้องตามใบรับรอง
เครือข่าย ใช้เมื่อสร้าง การเชื่อมต่อเครือข่ายการเข้าร่วมแบบไฮบริด Microsoft Entra สำหรับกลุ่มเครื่องที่เป็นโฮสต์ • ชื่อผู้ใช้และรหัสผ่าน

เลือกค่าข้อมูลประจำตัว

ในขั้นตอนสุดท้ายของตัวช่วยสร้าง ให้เลือกค่าข้อมูลประจำตัว การรับรองความถูกต้องที่รองรับอาจมีสองประเภท ทั้งนี้ขึ้นอยู่กับตำแหน่งที่ตั้งที่จะใช้ข้อมูลประจำตัว:

  1. ชื่อผู้ใช้และรหัสผ่าน: ข้อมูลลับที่เก็บไว้ในชุดเก็บข้อมูลประจำตัวคือรหัสผ่าน
  2. การรับรองความถูกต้องด้วยใบรับรอง: ข้อมูลลับที่เก็บไว้ในชุดเก็บข้อมูลประจำตัวคือใบรับรอง
  • ชื่อผู้ใช้: หากต้องการเลือกชื่อผู้ใช้ คุณสามารถใช้ดรอปดาวน์ หากคุณไม่มีตัวแปรสภาพแวดล้อม ให้เลือก ใหม่:

    • ชื่อที่แสดง ป้อนชื่อสำหรับชื่อตัวแปรสภาพแวดล้อม

    • ชื่อ ชื่อเฉพาะจะถูกสร้างขึ้นโดยอัตโนมัติจาก ชื่อที่แสดง แต่คุณสามารถเปลี่ยนได้

    • ค่า เติมข้อมูลชื่อของผู้ใช้ สำหรับผู้ใช้ภายในเครื่อง ให้ระบุชื่อผู้ใช้ สำหรับผู้ใช้โดเมน ให้ระบุ <DOMAIN\username> หรือ <username@domain.com>

      ภาพหน้าจอของการกำหนดชื่อผู้ใช้ของข้อมูลประจำตัว

หมายเหตุ

ชื่อผู้ใช้ของข้อมูลประจำตัวเป็นตัวแปรสภาพแวดล้อมข้อความ คุณยังสามารถ สร้างตัวแปรข้อความจากหน้าโซลูชัน และเลือกเป็นชื่อผู้ใช้ได้

  • รหัสผ่าน: หากต้องการเลือกรหัสผ่าน คุณสามารถใช้ดรอปดาวน์ หากคุณไม่มีตัวแปรสภาพแวดล้อมข้อมูลลับ ให้เลือก ใหม่:
    • ชื่อที่แสดง ป้อนชื่อสำหรับชื่อตัวแปรสภาพแวดล้อม
    • ชื่อ ชื่อเฉพาะจะถูกสร้างขึ้นโดยอัตโนมัติจาก ชื่อที่แสดง แต่คุณสามารถเปลี่ยนได้
    • รหัสการสมัครใช้งาน: รหัสการสมัครใช้งาน Azure ที่เชื่อมโยงกับ Key Vault
    • ชื่อกลุ่มทรัพยากร กลุ่มทรัพยากร Azure ที่มี Key Vault ที่มีข้อมูลลับอยู่
    • ชื่อ Azure Key Vault ชื่อของ Key Vault ที่มีข้อมูลลับ
    • ชื่อข้อมูลลับ ชื่อของข้อมูลลับที่อยู่ใน Azure Key Vault

ภาพหน้าจอของการกำหนดรหัสผ่านของข้อมูลประจำตัว

หมายเหตุ

ID การสมัครใช้งาน, ชื่อกลุ่มทรัพยากร, และชื่อ key vault สามารถพบได้บนหน้า ภาพรวม ของพอร์ทัล Azure ของ key vault ชื่อข้อมูลลับสามารถพบได้บนหน้า key vault ในพอร์ทัล Azure โดยการเลือก ข้อมูลลับ ภายใต้ การตั้งค่า การตรวจสอบความถูกต้องของการเข้าถึงของผู้ใช้สำหรับข้อมูลลับจะถูกดำเนินการในเบื้องหลัง หากผู้ใช้ไม่มีสิทธิ์ในการอ่านเป็นอย่างน้อย ข้อผิดพลาดในการตรวจสอบนี้จะปรากฏขึ้น "ตัวแปรนี้บันทึกไม่ถูกต้อง ผู้ใช้ไม่ได้รับอนุญาตให้อ่านข้อมูลลับจาก 'เส้นทาง Azure Key Vault'" รหัสผ่านใช้ ตัวแปรสภาพแวดล้อมที่เป็นข้อมูลลับ คุณยังสามารถ สร้างตัวแปรข้อมูลลับจากหน้าโซลูชัน และเลือกเป็นรหัสผ่านได้

สร้างการเชื่อมต่อโฟลว์เดสก์ท็อปโดยใช้ข้อมูลประจำตัว

หมายเหตุ: ขณะนี้ข้อมูลประจำตัวได้รับการสนับสนุนในการเชื่อมต่อโฟลว์เดสก์ท็อปเท่านั้น

ตอนนี้คุณสามารถใช้ข้อมูลประจำตัวของคุณใน การเชื่อมต่อโฟลว์เดสก์ท็อป

ดูว่ามีการใช้ข้อมูลลับที่ใด

จากหน้าโซลูชัน คุณสามารถดึงข้อมูลการขึ้นต่อกันทั้งหมดของตัวแปรสภาพแวดล้อมที่เป็นข้อมูลลับได้ ซึ่งช่วยให้คุณเข้าใจว่าข้อมูลลับ Azure Key Vault ของคุณถูกใช้ไปที่ใดก่อนที่จะทำการแก้ไข

  • เลือกหนึ่งตัวแปรสภาพแวดล้อม
  • เลือกตัวเลือก ขั้นสูง และเลือก แสดงการขึ้นต่อกัน
  • คุณสามารถดู:
    • ข้อมูลประจำตัวที่ใช้ตัวแปรสภาพแวดล้อมนี้
    • การเชื่อมต่อที่ใช้ตัวแปรสภาพแวดล้อมนี้

แบ่งปันข้อมูลประจำตัว

คุณสามารถแชร์ข้อมูลประจำตัวกับผู้ใช้คนอื่น ๆ ในองค์กรของคุณและให้สิทธิ์เฉพาะผู้ใช้เหล่านั้นในการเข้าถึงข้อมูลประจำตัวของคุณ

  1. ลงชื่อเข้าใช้ Power Automate แล้วไปที่ ข้อมูลประจำตัว
  2. เลือกข้อมูลประจำตัวของคุณจากรายการข้อมูลประจำตัว
  3. ในแถบคำสั่ง ให้เลือก แชร์
  4. เลือก เพิ่มบุคคล จากนั้นป้อนชื่อของบุคคลในองค์กรของคุณที่คุณต้องการแชร์ข้อมูลประจำตัวด้วย แล้วเลือกบทบาทที่คุณต้องการยินยอมไปยังผู้ใช้นี้:
    • เจ้าของร่วม (สามารถแก้ไขได้) ระดับการเข้าถึงนี้ให้สิทธิ์แบบเต็มแก่ข้อมูลประจำตัวนั้น เจ้าของร่วมสามารถใช้ข้อมูลประจำตัว ใช้งานร่วมกับผู้อื่น แก้ไขรายละเอียดและลบ
    • ผู้ใช้ (สามารถดูเท่านั้น) ระดับการเข้าถึงนี้ให้สิทธิ์เพื่อใช้แก่ข้อมูลประจำตัวนั้นเท่านั้น ไม่มีสิทธิ์แก้ไข แชร์ หรือลบด้วยการเข้าถึงนี้
    • ผู้ใช้ (สามารถดูและแชร์ได้) ระดับการเข้าถึงนี้เหมือนกับตัวเลือกดูอย่างเดียว แต่ให้สิทธิ์ในการแชร์
  5. เลือก บันทึก

หมายเหตุ

ด้วยการแชร์ข้อมูลประจำตัวของคุณ ตัวแปรสภาพแวดล้อมทั้งหมดที่ใช้ในข้อมูลประจำตัวจะถูกแชร์ด้วย การลบสิทธิ์ในข้อมูลประจำตัวจะไม่ลบสิทธิ์ในตัวแปรสภาพแวดล้อม

ลบข้อมูลประจำตัว

  1. ลงชื่อเข้าใช้ Power Automate แล้วไปที่ ข้อมูลประจำตัว
  2. จากรายการ เลือกข้อมูลประจำตัวที่คุณต้องการลบ และเลือก ลบเครื่อง บนแถบคำสั่ง

หมายเหตุ

การลบข้อมูลประจำตัวจะไม่ลบตัวแปรสภาพแวดล้อมที่เกี่ยวข้อง

ส่งออกการเชื่อมต่อโฟลว์เดสก์ท็อปโดยใช้ข้อมูลประจำตัว

หมายเหตุ

คุณควรอ่านบทความเกี่ยวกับ ALM สำหรับโฟลว์เดสก์ท็อป ก่อน

คุณสามารถส่งออกโฟลว์ระบบคลาวด์ด้วยการเชื่อมต่อโฟลว์เดสก์ท็อปโดยใช้ข้อมูลประจำตัว คุณควรนำเข้าโซลูชันที่มีข้อมูลประจำตัวและตัวแปรสภาพแวดล้อมที่เกี่ยวข้องก่อน จากนั้นจึงนำเข้าโซลูชันที่มีโฟลว์ระบบคลาวด์และโฟลว์เดสก์ท็อป

ข้อจำกัด

  • ปัจจุบัน คุณลักษณะนี้ใช้ได้เฉพาะกับการเชื่อมต่อโฟลว์ระบบคลาวด์
  • คุณไม่สามารถแก้ไขชื่อผู้ใช้และข้อมูลลับที่เลือกในข้อมูลประจำตัวที่มีอยู่ได้ หากคุณต้องการเปลี่ยนค่าของชื่อผู้ใช้และรหัสผ่าน คุณต้องอัปเดตตัวแปรสภาพแวดล้อมหรือข้อมูลลับ Azure Key Vault
  • หากสภาพแวดล้อมของคุณใช้ข้อมูลประจำตัวที่มีการจัดการเพื่อ เข้าถึง Azure Data Lake ของคุณ ข้อมูลประจำตัวนั้นจะถูกใช้เพื่อเข้าถึง Azure Key Vault ของคุณด้วย นโยบายองค์กรเพียงนโยบายเดียวเท่านั้นที่สามารถเชื่อมต่อกับสภาพแวดล้อม Dataverse พร้อมกันได้ ตรวจสอบให้แน่ใจว่าข้อมูลประจำตัวที่มีการจัดการมีสิทธิ์ที่เหมาะสมสำหรับทรัพยากร Azure Key Vault

อัปเดตข้อมูลลับ (การหมุนเวียนรหัสผ่าน) - เลิกใช้แล้ว

หมายเหตุ

ขณะนี้ส่วนนี้มีการเลิกใช้แล้วสำหรับการเชื่อมต่อโฟลว์เดสก์ท็อป การเชื่อมต่อโฟลว์เดสก์ท็อปที่ใช้ข้อมูลประจำตัวกำลังดึงข้อมูลลับระหว่างการดำเนินการโฟลว์ ไม่จำเป็นต้องสร้างโฟลว์แบบกำหนดเองนี้เพื่ออัปเดตการเชื่อมต่ออีกต่อไป การเชื่อมต่อที่ใช้ข้อมูลประจำตัวที่สร้างขึ้นก่อนเดือนเมษายน 2024 ควรได้รับการอัปเดตเพื่อให้ได้รับประโยชน์จากการอัปเดตอัตโนมัติ

ข้อกำหนดเบื้องต้นสำหรับการอัปเดตข้อมูลลับ (การหมุนเวียนรหัสผ่าน)

หมายเหตุ

ส่วนนี้ต้องการสิทธิ์เฉพาะ เช่น ผู้ดูแลระบบขององค์กร มิฉะนั้นเฉพาะการเชื่อมต่อโฟลว์เดสก์ท็อปของคุณเท่านั้นที่จะได้รับการอัปเดต

สร้างโฟลว์ระบบคลาวด์โดยใช้ทริกเกอร์ Event Grid

เมื่อคุณแก้ไขข้อมูลลับใน Azure Key Vault คุณต้องแน่ใจว่าข้อมูลประจำตัวและการเชื่อมต่อที่ใช้ข้อมูลลับเหล่านี้เป็นข้อมูลล่าสุดอยู่เสมอ เพื่อหลีกเลี่ยงไม่ให้ระบบอัตโนมัติเสียหาย ใน Power Automate คุณต้องสร้างโฟลว์ระบบคลาวด์ที่อัปเดตข้อมูลประจำตัวเมื่อมีการเปลี่ยนแปลงข้อมูลลับใน Azure Key Vault

โฟลว์ระบบคลาวด์นี้ประกอบด้วยทริกเกอร์หนึ่งรายการและการดำเนินการหนึ่งรายการ:

  1. ทริกเกอร์: เมื่อมีเหตุการณ์ทรัพยากรเกิดขึ้น (Event Grid)
    • ชนิดทรัพยากร: Microsoft.KeyVault.vaults
    • ชื่อทรัพยากร: ระบุชื่อของ Key Vault
    • การสมัครใช้งาน: ระบุชื่อของการสมัครใช้งาน
    • ชนิดเหตุการณ์: Microsoft.KeyVault.SecretNewVersionCreated
  2. การดำเนินการ: ดำเนินการที่ไม่ถูกผูกไว้ (Dataverse)
    • ชื่อการดำเนินการ: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: หัวข้อ
    • ชื่อข้อมูลลับ: ชื่อเรื่อง

ภาพหน้าจอของการดำเนินการ Dataverse

หากคุณใช้ Key Vault หนึ่งอันสำหรับข้อมูลลับทั้งหมดของคุณ คุณจำเป็นต้องมีโฟลว์ระบบคลาวด์เพียงอันเดียว หากคุณมี Key Vault หลายรายการ คุณจะต้องทำซ้ำโฟลว์ระบบคลาวด์และอัปเดตชื่อทรัพยากร

เพื่อให้แน่ใจว่าโฟลว์ระบบคลาวด์ของคุณทำงานอย่างถูกต้องกับ Azure Key Vault:

  1. ไปที่ Key Vault ของคุณ
  2. เลือก เหตุการณ์
  3. ใน การสมัครใช้งานเหตุการณ์ ให้ตรวจสอบว่าคุณเห็น Webhook ของ LogicApps หรือไม่

ภาพหน้าจอของการสมัครใช้งานเหตุการณ์ใน Azure Key Vault