对客户管理的密钥的支持
默认情况下,存储在 Power Platform 中的所有客户数据都使用 Microsoft 管理的密钥 (MMK) 进行静态加密。 使用客户管理的密钥 (CMK),客户可以引入自己的加密密钥来保护 Power Automate 数据。 这样,客户可以额外获得一层保护来管理其 Power Platform 资产。 使用此功能,您可以按需轮换或交换加密密钥。 无论何时,如果您选择撤销对 Microsoft 服务的密钥访问权限,它还会阻止 Microsoft 访问您的客户数据。
使用 CMK,您的工作流和所有相关的静态数据都将在专用基础结构上存储和执行,并按环境进行分区。 这包括您的工作流定义、云和桌面流以及具有详细输入和输出的工作流执行历史记录。
使用 CMK 保护您的流之前的先决条件考虑
在将 CMK 企业策略应用于您的环境时,请考虑以下情况。
- 当应用 CMK 企业策略时,云端流及其与 CMK 的数据会自动受到保护。 一些流可能会继续受到 MMK 的保护。 管理员可以使用 PowerShell 命令来识别这些流。
- 在迁移期间,流的创建和更新被阻止。 运行历史记录不会转移。 您可以在迁移后的 30 天内通过支持票证申请该服务。
- 目前,CMK 不能用来加密非 OAuth 连接。 这些基于非 Microsoft Entra 的连接继续使用 MMK 进行静态加密。
- 要启用来自 CMK 受保护基础架构的传入和传出网络流量,更新您的防火墙配置以确保您的流继续工作。
- 如果您计划使用 CMK 保护您的租户中超过 25 个环境,请创建支持票证。 对于每个租户,CMK 支持的 Power Automate 的环境的默认限制是 25 个。 这个数字可以通过与支持团队合作来扩展。
应用加密密钥是 Power Platform 管理员执行的手势,用户看不到。 用户可以创建、保存和执行 Power Automate 工作流,就像 MMK 加密数据一样。
CMK 功能使您能够利用在环境中创建的单个企业策略来保护 Power Automate 工作流。 在管理您的客户托管加密密钥中,了解有关 CMK 和启用 CMK 的分步说明的更多信息。
Power Automate 托管机器人流程自动化 (RPA)(预览)
Power Automate 托管 RPA 解决方案的简介中的托管计算机组功能支持 CMK。 应用 CMK 后,您必须通过在“机器组详细信息”页面上选择重新配置组来重新配置现有的托管机器组。 重新配置后,托管机器组机器人的虚拟机磁盘将使用 CMK 加密。
备注
托管计算机功能的 CMK 目前不可用。
更新防火墙配置
Power Automate 允许您构建可以调用 HTTP 的流。 应用 CMK后,来自 Power Automate 的出站 HTTP 操作来自与以前不同的 IP 范围。 如果此前已配置防火墙以允许流 HTTP 操作,则可能需要更新配置以允许新的 IP 范围。
- 如果您使用的是 Azure 防火墙,请将服务标签
PowerPlatformPlex直接应用到配置中,以便自动配置正确的 IP 范围。 请参阅虚拟网络服务标签了解更多信息。 - 如果您使用的是不同的防火墙,请从 Azure IP 范围和服务标签 - 公共云的下载中引用的
PowerPlatformPlex的 IP 范围中查找并启用入站流量。
如果没有这样做,您可能会得到错误,Http 请求失败,因为有一个错误:“无法建立连接,因为目标计算机主动拒绝了它。”
Power Automate CMK 应用程序警告消息
如果某些流继续受到 CMK 后 MMK 应用程序的保护,则在策略和环境管理经验中会出现警告。 显示的邮件“Power Automate 流仍受Microsoft托管密钥”的保护。
您可以利用 PowerShell 命令来识别此类流,并使用 CMK 保护它们。
保护仍然受到 MMK 保护的流
在应用企业策略后,以下类别流仍然受到 MMK 保护。 按照 CMK 的指示保护流。
| 类别 | 使用 CMK 进行保护的方法 |
|---|---|
| 不在解决方案中的 Power App v1 触发流程 | 选项1(推荐) 在应用 CMK 之前,更新流程以使用V2触发器。 选项 2 发布 CMK 应用程序,使用另存为创建流的副本。 更新调用 Power Apps 以使用流的新副本。 |
| HTTP 触发流和 Teams 触发流 | 发布企业策略应用程序,使用另存为创建流的副本。 更新调用系统以使用新流程的 URL。 由于在 CMK 受保护的基础结构中创建了新的流 URL,因此此类流不会自动保护。 客户可能会在他们的调用系统中利用 URL。 |
| 无法自动迁移的流的父级 | 如果无法迁移流,则不迁移依赖流以确保没有业务中断。 |
| 使用“以管理员身份列出流量”(V1)连接器操作的流 | 应删除或更新引用此旧操作的流,以使用将流列为管理员(V2)操作。 |
PowerShell 命令
管理员可以利用 PowerShell 命令作为飞行前和飞行后验证的一部分。
检索无法使用 CMK 自动保护的流
您可以使用以下命令来识别继续受 MMK 后 CMK 企业应用程序保护的流。
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| 获取发票 HTTP | 流-1 | 环境-1 |
| 通过应用程序支付发票 | 流-2 | 环境-2 |
| 帐户对帐 | 流-3 | 环境-3 |
检索在给定环境中不受 CMK 保护的流
您可以在执行 CMK 企业策略之前和之后利用此命令来识别环境中受 MMK 保护的所有流。 此外,您可以利用此命令来评估给定环境中的流的 CMK 应用程序的进度。
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| 获取发票 HTTP | 流-4 | 环境-4 |
请参阅管理客户管理的加密密钥了解更多信息。
从流详细信息页获取运行历史记录
流详细信息页面上的运行历史列表仅显示 CMK 应用程序后的新运行。
如果您想查看输入/输出数据,您可以使用运行历史记录(所有运行视图)将流运行历史记录导出到 CSV。 此历史记录包含新的和现有的流运行,包括所有触发器/活动输入和输出,限制为 100 条记录。 此限制与 CSV 导出的现有行为一样。
通过支持票证获取运行历史记录
我们提供 CMK 应用程序后现有和新流运行的所有运行的汇总视图。 此视图包含摘要信息,例如运行 ID、开始时间、持续时间和失败/成功。 其中不包含输入/输出数据。
保护已受 CMK 保护的环境中的流
对于已受 CMK 保护的环境,可以使用支持票证请求使用 CMK 保护流。
已知限制
限制包括对利用分析渠道的功能的限制,以及对由 Power Apps 触发的非解决方案云端流的限制,如本节所述。
应用分析管道的功能的限制
当环境支持客户管理的密钥时,在一系列情况下,Power Automate 数据无法发送到分析管道:
- 在 Power Platform 管理中心进行租户范围的报告
- 数据导出到数据湖
- 云端流运行历史记录(针对自动化中心)
- Power Automate 移动应用程序,通知页面
- 云端流活动页面
- 流失败电子邮件
- 流失败摘要电子邮件
由 Power Apps 触发的对非解决方案云端流的限制
使用 Power Apps 触发器并在受 CMK 保护的环境中创建的非解决方案云端流不能从应用中引用。 尝试注册来自 Power Apps 的流时出错。 只有解决方案云流可以从 CMK 受保护的环境中的应用程序进行引用。 为了避免这种情况,应该首先将流添加到 Dataverse 解决方案中,以便可以成功引用。 为防止出现这种情况,应在受 CMK 保护的环境中启用自动在 Dataverse 解决方案中创建流的环境设置。 此设置确保新流是解决方案云流。
调用 Copilot Skills 触发器流的限制
通过 Copilot Skills 触发器调用云端流的场景应用调用 Copilot 用户的连接,而不是嵌入式连接,不支持 CMK 保护的云流。 在运行适用于 Microsoft 365 的 Copilot 流中,了解有关从 Copilot 使用流作为插件的更多信息。