Freigeben über

Power Automate für Desktop-Architektur

  • Artikel

Wichtig

Es gibt zwei verschiedene Methoden, die Power Automate verwenden kann, um eine Verbindung zu den Clouddiensten herzustellen, um Flowausführungsaufträge zu erhalten. Die erste Option ist die direkte Konnektivität, während die zweite Option die Installation des lokalen Datengateways erfordert.

Der Datenfluss zwischen Desktop und Cloud ist bei beiden Optionen gleich. Lediglich die Anwendung und das Benutzerkonto, das die Webanfragen initiiert, sind unterschiedlich.

Direkte Konnektivität des beaufsichtigten/unbeaufsichtigten Desktops zum Cloud-Dienst

Der UIFlowService ist ein Windows-Dienst, der mit Power Automate auf dem Desktop-Rechner installiert wird. Standardmäßig wird er automatisch gestartet und als neuer Benutzer NT-SERVICE\UIFlowService ausgeführt. Dieser Benutzer wird während der Installation erstellt.

Diagramm der direkten Desktop-Konnektivität.

Azure Relay ist ein Dienst, der Kommunikationskanäle ermöglicht, die vollständig durch ausgehende Anforderungen an den Dienst eingerichtet werden. Diese Funktionalität wird entweder durch den Aufbau einer WebSocket-Verbindung oder ggf. durch HTTP-Long-Polling erreicht.

Notiz

Die Azure Relay und Power Automate Clouddienste sind beides Cloudressourcen in Azure. Weitere Informationen zu Azure Relay finden Sie in Was ist Azure Relay.

Die ausgehenden Webanfragen, die vom UIFlowService auf dem Desktop-Computer an das Azure Relay gesendet werden, verwenden HTTPS, um Anforderungen an den FQDN *.servicebus.windows.net über Port 443 zu stellen.

Ziel-IP-Adressen für das Azure Relay finden Sie unter Azure IP-Bereiche und Dienst-Tags für die Public Cloud unter dem Namen ServiceBus. Ähnliche Dokumente sind für die anderen nationalen Azure-Clouds verfügbar. Auf dem Desktop-Computer müssen keine eingehenden Ports geöffnet sein.

Beaufsichtigte/unbeaufsichtigte Desktop-Konnektivität zum Cloud-Dienst über das lokale Datengateway

Notiz

Power Automate bietet jetzt direkte Konnektivität zur Cloud ohne die Verwendung von lokal-Datengateways. Weitere Informationen finden Sie in Direkte Konnektivität des beaufsichtigten/unbeaufsichtigten Desktops zum Cloud-Dienst.

Der UIFlowService ist ein Windows-Dienst, der mit Power Automate auf dem Desktop-Rechner installiert wird. Das lokale Datengateway Windows-Dienst ist eine separat installierte Komponente, die als Kommunikationsgateway zwischen UIFlowService und Azure Relay fungiert.

Desktop-Konnektivität mithilfe des lokalen Datengateway-Diagramms.

Standardmäßig wird der Datengateway-Dienst automatisch gestartet und als neuer Benutzer NT SERVICE\PBIEgwService ausgeführt. Dieser Benutzer wird während der Installation erstellt.

Azure Relay ist ein Dienst, der Kommunikationskanäle ermöglicht, die vollständig durch ausgehende Anforderungen an den Dienst eingerichtet werden. Diese Funktionalität wird entweder durch den Aufbau einer WebSocket-Verbindung oder ggf. durch HTTP-Long-Polling erreicht.

Notiz

Die Azure Relay und Power Automate Clouddienste sind beides Cloudressourcen in Azure. Weitere Informationen zu Azure Relay finden Sie in Was ist Azure Relay.

Die Details zu diesem Datenfluss sind in Kommunikationseinstellungen anpassen dokumentiert. Die Firewall-Anforderungen für die Ausführung sind genau die gleichen wie bei der Option für die direkte Verbindung, aber die ausgehenden Anforderungen werden von einem anderen Dienst und Benutzerkonto gestellt.

Sonstige ausgehenden Power Automate-Webanfragen

Power Automate macht zur Laufzeit einige zusätzliche ausgehende Webanfragen, die in Für die Laufzeit erforderliche Desktop-Flow-Dienste dokumentiert sind.

Die CRL-Endpunkte sind nur erforderlich, wenn Sie das lokale Datengateway verwenden. Sie verwenden HTTP über Port 80 und werden vom UIFlowService initiiert.

Lebenszyklus der Sitzungsanmeldeinformationen

  1. Ein Desktop-Computer wird registriert, indem Sie sich beim lokal-Datengateway anmelden oder sich in Power Automate über die Direktverbindungsfunktion registrieren. Dieser Vorgang erzeugt einen öffentlichen und einen privaten Schlüssel, der für die sichere Kommunikation mit diesem Gerät verwendet wird.

  2. Die Registrierungsanfrage des Geräts wird von der Desktop-Anwendung an Power Automate Cloud-Services gesendet. Die Anfrage enthält den öffentlichen Schlüssel des neu generierten Geräts. Dieser Schlüssel wird zusammen mit der Registrierung des Geräts in der Cloud gespeichert.

  3. Wenn die Anfrage abgeschlossen ist, ist das Gerät erfolgreich registriert und erscheint im Power Automate Webportal als verwaltbare Ressource. Das Gerät kann jedoch erst dann von einem Flow verwendet werden, wenn eine Verbindung zu ihm hergestellt wurde.

  4. Um eine Power Automate-Verbindung im Webportal einzurichten, müssen Benutzer einen verfügbaren Computer auswählen und den Benutzernamen und die Kennwortanmeldeinformationen des Kontos angeben, das zum Ausführen des Desktop-Flows verwendet werden soll.

    Benutzer können jedes zuvor registrierte Gerät auswählen, einschließlich Geräte, die für ihn freigegeben wurden. Beim Speichern einer Verbindung werden die Anmeldeinformationen mit dem dem Gerät zugeordneten öffentlichen Schlüssel verschlüsselt und in dieser verschlüsselten Form gespeichert.

    Der Cloud-Dienst speichert die verschlüsselten Benutzeranmeldeinformationen für das Gerät. Die Anmeldeinformationen können jedoch nicht entschlüsselt werden, da der private Schlüssel nur auf dem Desktop-Gerät vorhanden ist. Der Benutzer kann diese Verbindung jederzeit löschen und die gespeicherten verschlüsselten Zugangsdaten werden ebenfalls gelöscht.

  5. Wenn ein Desktop-Flow aus der Cloud ausgeführt wird, verwendet er eine zuvor eingerichtete Verbindung, die in der Aktion Einen Flow ausführen, der mit Power Automate für Desktop erstellt wurde ausgewählt wurde.

  6. Wenn der Desktop-Flow-Job von der Cloud an den Desktop gesendet wird, enthält er die verschlüsselten Anmeldeinformationen, die in der Verbindung gespeichert sind. Diese Anmeldeinformationen werden dann auf dem Desktop mit dem geheimen privaten Schlüssel entschlüsselt und zum Anmelden als das angegebene Benutzerkonto verwendet.

Diagramm des Lebenszyklus der Sitzungsanmeldeinformationen.

Obwohl der logische Datenfluss von der Cloud zum Desktop erfolgt, wird die Verbindung vom Desktop zur Cloud hergestellt. Um über eine ausgehende Webanforderung eine Verbindung mit der Cloud herzustellen, wird Azure Relay verwendet.

Wenn ein Gateway-Cluster mit dem lokalen Datengateway erstellt wird, wird der private Schlüssel zum Entschlüsseln der Anmeldeinformationen auf allen Geräten im Cluster generiert. Der private Schlüssel wird unter Verwendung des Wiederherstellungsschlüssels generiert, der während der Geräteregistrierung angefordert wird. Der Wiederherstellungsschlüssel wird nie an die Cloud gesendet.

Wenn eine Gerätegruppe mit direkter Konnektivität erstellt wird, wird der private Schlüssel der Gruppe mit einem benutzerdefinierten Gruppenkennwort verschlüsselt. Anschließend wird es als Teil der Registrierungsgeräteanforderung zur Speicherung an die Cloud gesendet.

Der verschlüsselte private Schlüssel wird mit anderen Geräten geteilt, die der Gruppe beitreten. Da der Benutzer jedoch zuerst das Kennwort zum Entschlüsseln dieses privaten Schlüssels angeben muss, kann der Dienst keine gespeicherten Anmeldeinformationen in der Verbindung lesen.