对客户管理的密钥的支持
默认情况下,存储在 Power Platform 中的所有客户数据都使用 Microsoft 管理的密钥 (MMK) 进行静态加密。 使用客户管理的密钥 (CMK),客户可以引入自己的加密密钥来保护 Power Automate 数据。 这样,客户可以额外获得一层保护来管理其 Power Platform 资产。 使用此功能,您可以按需轮换或交换加密密钥。 无论何时,如果您选择撤销对 Microsoft 服务的密钥访问权限,它还会阻止 Microsoft 访问您的客户数据。
重要提示
- 在应用企业策略之前,请确保在此环境中没有创建任何流。
- 如果您在具有现有流的环境中应用企业策略,这些流及其数据将继续使用 Microsoft 管理的密钥进行加密。
- 目前,未利用客户托管密钥来加密非OAuth 连接。 此类基于非 Microsoft Entra 的连接将继续使用 Microsoft 管理的密钥进行静态加密。
- 如果您计划使用 CMK 保护您的租户中的 25 个以上环境,请创建支持工单。 对于每个租户,CMK 支持的 Power Automate 的环境的默认限制是 25 个。 这个数字可以通过与支持团队合作来扩展。
应用加密密钥是 Power Platform 管理员执行的手势,用户看不到。 用户可以创建、保存和执行 Power Automate 工作流,就像 Microsoft 管理的密钥加密数据一样。
了解有关客户托管密钥以及 在管理客户托管的加密密钥中启用客户托管密钥的分步说明。 此功能使您能够利用在环境中创建的单一企业策略来保护 Power Automate 工作流。
使用 CMK,您的工作流和所有相关的静态数据都将在专用基础结构上存储和执行,并按环境进行分区。 这包括您的工作流定义、云和桌面流以及具有详细输入和输出的工作流执行历史记录。
Power Automate CMK 应用程序警告消息
自 2024 年 4 月 30 日起,CMK 支持 Power Automate 云端流。 启用仅限于没有流存在的环境,当环境中存在流时对环境的处理会导致警告。 这不会影响其他平台组件的客户管理的关键应用程序。
如果环境中存在已启用客户管理密钥的流,将显示类似“Power Automate 流仍使用 Microsoft 托管密钥加密”的警告消息。 在某些情况下,可能会显示失败状态。 要查看 Power Automate 警告,请转到企业策略体验。
Power Automate 托管机器人流程自动化 (RPA)(预览)
Power Automate 托管 RPA 解决方案的简介中的托管机器组功能支持客户管理的密钥。 应用客户管理的密钥后,您必须在机器组详细信息页面上选择重新配置组来重新配置任何现有的托管机器组。 重新配置后,托管机器组机器人的虚拟机磁盘将使用客户管理的密钥进行加密。
备注
托管机器功能的客户管理密钥当前不可用。
已知限制
限制包括对利用分析渠道的功能的限制,以及对由 Power Apps 触发的非解决方案云端流的限制,如本节所述。
利用分析渠道的功能限制
当环境支持客户管理的密钥时,在一系列情况下,Power Automate 数据无法发送到分析管道:
- 管理中心中的组织 Power Platform 范围的报表
- 数据导出到数据湖
- 云端流运行历史记录(针对自动化中心)
- Power Automate 移动应用程序,通知页面
- 云端流活动页面
- 流失败电子邮件
- 流失败摘要电子邮件
由 Power Apps 触发的对非解决方案云端流的限制
使用 Power Apps 触发器并在受 CMK 保护的环境中创建的非解决方案云端流不能从应用中引用。 尝试注册来自 Power Apps 的流时出错。 只有解决方案云流可以从 CMK 受保护的环境中的应用程序进行引用。 为了避免这种情况,应该首先将流添加到 Dataverse 解决方案中,以便可以成功引用。 为防止出现这种情况,应在受 CMK 保护的环境中启用自动在 Dataverse 解决方案中创建流的环境设置。 此设置确保新流是解决方案云流。
调用 Copilot Skills 触发器流的限制
通过 Copilot Skills 触发器调用云端流的场景利用调用 Copilot 用户的连接,而不是嵌入式连接,不支持 CMK 保护的云流。 在运行适用于 Microsoft 365 的 Copilot 流中,了解有关从 Copilot 使用流作为插件的更多信息。