客戶自控金鑰的支援
根據預設,所有儲存在 Power Platform 中的客戶資料,都會使用受 Microsoft 管理的金鑰 (MMKs) 同時進行靜態加密。 使用客戶自控金鑰 (CMK),客戶可以使用自己的加密金鑰來保護 Power Automate 資料。 此功能使客戶能夠擁有額外的保護層來管理其 Power Platform 資產。 使用此功能,您可以視需要旋轉或交換加密金鑰。 如果您隨時選擇撤銷金鑰存取 Microsoft 服務的權限,它也讓 Microsoft 無法存取您的客戶資料,。
借助 CMK,您的工作流程和所有關聯的靜態資料都在按照環境分區的專用基礎結構上儲存和執行。 這包括您的工作流程定義、同時包含雲端和桌面流程,以及含有詳細輸入和輸出的工作流程執行歷史記錄。
使用 CMK 保護流程之前的必要條件
將 CMK 企業原則套用到您的環境時,請考慮以下場景。
- 套用 CMK 企業原則時,使用 CMK 的雲端流程及其資料將自動受到保護。 某些流程可能會繼續受到 MMK 的保護。 管理員可以使用 PowerShell 命令來識別這些流程。
- 移轉期間會阻止建立和更新流程。 執行歷程記錄不會轉送。 您可以在移轉後 30 天內透過支援票證要求。
- 目前,CMK 無法用於加密非 OAuth 連線。 這些非 Microsoft Entra 型連線繼續使用 MMK 進行靜態加密。
- 若要啟用來自 CMK 保護的基礎結構的傳入和傳出網路流量,請更新您的防火牆設定以確保您的流量繼續運作。
- 如果您打算使用 CMK 保護租用戶中超過 25 個環境,請建立支援票證。 每個租戶已啟用 CMK 的 Power Automate 環境的預設限制為 25 個。 可以透過聯繫支援團隊來擴大此數量。
應用加密金鑰是 Power Platform 管理員執行的手勢,對使用者不可見。 使用者可以像 MMK 加密資料一樣建立、儲存和執行 Power Automate 工作流程。
CMK 功能可讓您利用在環境中建立的單一企業原則來保護 Power Automate 工作流程。 在管理客戶自控加密金鑰中詳細了解 CMK 以及啟用 CMK 的逐步說明。
Power Automate 託管機器人程序自動化 (RPA) (預覽版)
Power Automate 託管 RPA 解決方案簡介的託管電腦群組功能支援 CMK。 套用 CMK 後,您必須透過在電腦群組詳細資料頁面上選擇重新佈建群組來重新佈建現有託管電腦群組。 重新佈建後,託管電腦群組機器人的 VM 磁碟將使用 CMK 進行加密。
注意
用於託管電腦功能的 CMK 目前不可用。
更新防火牆設定
Power Automate 可讓您建立可以進行 HTTP 呼叫的流程。 套用 CMK 後,來自 Power Automate 的輸出 HTTP 動作源自與先前不同的 IP 範圍。 如果防火牆先前已設定為允許流程 HTTP 動作,則可能需要更新設定以允許新的 IP 範圍。
- 如果使用 Azure 防火牆,請將服務標籤
PowerPlatformPlex直接套用至設定,以便自動設定正確的 IP 範圍。 如需進一步了解,請參閱虛擬網路服務標籤。 - 如果使用不同的防火牆,請尋找並啟用下載 Azure IP 範圍和服務標籤 - 公用雲端中
PowerPlatformPlex參考的 IP 範圍的輸入流量。
如果這沒有到位,您可能會收到錯誤,Http 請求失敗,因為存在錯誤:「無法建立連接,因為目標電腦主動拒絕它。」
Power Automate CMK 應用程式警告訊息
如果某些流程在 CMK 套用後繼續受到 MMK 保護,則原則和環境管理體驗中會出現警告。 將顯示一則訊息「Power Automate 流程仍受 Microsoft 受控金鑰保護」。
您可以利用 PowerShell 命令來識別此類流程,並使用 CMK 保護它們。
保護繼續受 MMK 保護的流程
套用企業原則後,以下類別的流程繼續受 MMK 保護。 按照說明透過 CMK 保護流程。
| 目錄 | 使用 CMK 進行保護的方法 |
|---|---|
| Power App v1 觸發解決方案中沒有的流程 | 選項 1 (建議) 在套用 CMK 之前更新流程以使用 V2 觸發程序。 選項 2 在 CMK 應用程式後,使用另存新檔建立流程的副本。 更新呼叫 Power Apps 以使用流程的新副本。 |
| HTTP 觸發流程和 Teams 觸發流程 | 套用企業原則後,使用另存新檔建立流程的副本。 更新呼叫系統以使用新流程的 URL。 此類流程不會自動受到保護,因為新的流程 URL 是在 CMK 保護的基礎架構中建立的。 客戶可能會在其叫用系統中利用該 URL。 |
| 無法自動移轉流程的父級 | 如果無法移轉流程,相關流程也不會移轉,以確保不會造成業務中斷。 |
PowerShell 指令
管理者可以利用 PowerShell 命令作為飛行前和飛行後驗證的一部分。
擷取無法使用 CMK 自動保護的流程
您可以使用下列命令來識別在 CMK Enterprise 應用程式之後,繼續受 MMK 保護的流程。
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| 取得發票 HTTP | 流程-1 | 環境-1 |
| 從應用程式支付發票 | 流程-2 | 環境-2 |
| 核對帳戶 | 流程-3 | 環境-3 |
擷取指定環境中不受 CMK 保護的流程
您可以在執行 CMK 企業原則之前和之後,利用此命令來識別環境中受 MMK 保護的所有流程。 此外,您還可以利用此命令來評估指定環境中流程的 CMK 應用程式的進度。
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| 取得發票 HTTP | 流程-4 | 環境-4 |
深入了解管理您的客戶自控加密金鑰。
從流程詳細資訊頁面取得執行歷程記錄
流程詳細資訊頁面上的執行歷程記錄清單僅顯示 CMK 應用程式後的新執行。
如果要查看輸入/輸出資料,可以使用執行歷程記錄 (所有執行檢視) 將流程執行歷程記錄匯出到 CSV。 此歷程記錄包含新的和現有的流程運行,包括所有觸發器/動作輸入和輸出,限制為 100 條記錄。 此限制符合 CSV 導出的現有行為。
透過支援票證取得執行歷程記錄
我們提供 CMK 應用程式後現有流程執行和新流程執行的所有執行的摘要檢視。 此檢視包含摘要訊息,例如執行識別碼、開始時間、持續時間和失敗/成功。 它不包含輸入/輸出資料。
已知限制
限制包括使用分析管線功能的限制,以及 Power Apps 觸發的非解決方案雲端流程的限制,如本節所述。
套用分析管道的功能的限制
當環境啟用客戶自控金鑰時,Power Automate 的資料在多數情況下無法傳送到分析管線:
- Power Platform 系統管理中心中的租用戶範圍報表
- 匯出至資料湖
- 雲端流程執行歷程記錄 (用於自動化中心)
- Power Automate 行動應用程式、通知頁面
- 雲端流程活動頁面
- 流程失敗電子郵件
- 流程失敗摘要電子郵件
對 Power Apps 觸發的非解決方案雲端流程的限制
在 CMK 保護環境中建立的非解決方案雲流程,若使用 Power Apps 觸發程序,則無法從應用程式中參考。 嘗試從 Power Apps 註冊流時會發生錯誤。 只能從 CMK 保護環境中的應用程式參考解決方案雲端流程。 為了避免這種情況,應先將流程新增到 Dataverse 解決方案中,以便可以成功參考。 為了防止這種情況,應在 CMK 保護的環境中啟用在 Dataverse 解決方案中自動建立流程的環境設定。 此設定可確保新流程是解決方案雲端流程。
叫用 Copilot Skills 觸發流程的限制
CMK 保護的雲端流程不支援透過 Copilot 技能觸發套用叫用 Copilot 使用者的連線而不是嵌入式連線來呼叫雲端流程的情境。 如需進一步了解在 Copilot 中使用流程作為外掛程式的資訊,請參閱從適用於 Microsoft 365 的 Copilot 執行流程。