Bagikan melalui


Dukungan untuk kunci yang dikelola pelanggan

Semua data pelanggan yang disimpan dienkripsi Power Platform saat tidak aktif menggunakan kunci yang dikelola Microsoft (MMK) secara default. Dengan kunci yang dikelola pelanggan (CMK), pelanggan dapat membawa kunci enkripsi mereka sendiri untuk melindungi Power Automate data. Kemampuan ini memungkinkan pelanggan untuk memiliki lapisan pelindung ekstra untuk mengelola aset mereka Power Platform . Dengan fitur ini, Anda dapat memutar atau menukar kunci enkripsi sesuai permintaan. Ini juga mencegah akses Microsoft ke data pelanggan Anda, jika Anda memilih untuk mencabut akses kunci ke layanan Microsoft kapan saja.

Dengan CMK, alur kerja Anda dan semua data tidak aktif terkait disimpan dan dijalankan pada infrastruktur khusus yang dipartisi oleh lingkungan. Ini termasuk definisi alur kerja Anda, alur cloud dan desktop, serta riwayat eksekusi alur kerja dengan input dan output terperinci.

Pertimbangan prasyarat sebelum melindungi alur Anda dengan CMK

Pertimbangkan skenario berikut saat menerapkan kebijakan perusahaan CMK ke lingkungan Anda.

  • Ketika kebijakan perusahaan CMK diterapkan, alur cloud dan datanya dengan CMK secara otomatis dilindungi. Beberapa alur mungkin terus dilindungi oleh MMK. Admin dapat mengidentifikasi alur ini menggunakan perintah PowerShell.
  • Pembuatan dan pembaruan alur diblokir selama migrasi. Riwayat lari tidak diteruskan. Anda dapat memintanya melalui tiket dukungan hingga 30 hari setelah migrasi.
  • Saat ini, CMK tidak dimanfaatkan untuk mengenkripsi non-koneksiOAuth . Koneksi non-berbasisMicrosoft Entra ini terus dienkripsi saat tidak aktif menggunakan MMK.
  • Untuk mengaktifkan lalu lintas jaringan masuk dan keluar dari infrastruktur yang dilindungi CMK, perbarui konfigurasi firewall Anda untuk memastikan alur Anda terus berfungsi.
  • Jika Anda berencana untuk melindungi lebih dari 25 lingkungan di penyewa Anda menggunakan CMK, buat tiket dukungan. Batas default lingkungan yang diaktifkan Power Automate CMK per penyewa adalah 25. Jumlah ini dapat diperpanjang dengan melibatkan tim Dukungan.

Menerapkan kunci enkripsi adalah gerakan yang dilakukan oleh Power Platform admin dan tidak terlihat oleh pengguna. Pengguna dapat membuat, menyimpan, dan menjalankan Power Automate alur kerja dengan cara yang persis sama seperti jika MMK mengenkripsi data.

Fitur CMK memungkinkan Anda memanfaatkan kebijakan perusahaan tunggal yang dibuat di lingkungan untuk mengamankan Power Automate alur kerja. Pelajari selengkapnya tentang CMK dan petunjuk langkah demi langkah untuk mengaktifkan CMK di Mengelola kunci enkripsi yang dikelola pelanggan Anda.

Power Automate otomatisasi proses secara robotik (RPA) yang dihosting (pratinjau)

Kemampuan grup komputer yang di-host dari Pengantar solusi RPA Power Automate yang dihosting mendukung CMK. Setelah menerapkan CMK, Anda harus memprovisi ulang grup komputer yang di-host yang ada dengan memilih Provisi ulang grup di halaman detail grup komputer. Setelah disediakan ulang, disk VM untuk bot grup komputer yang di-host dienkripsi dengan CMK.

Catatan

CMK untuk kemampuan grup komputer yang di-host saat ini tidak tersedia.

Memperbarui konfigurasi firewall

Power Automate memungkinkan Anda membangun alur yang dapat melakukan panggilan HTTP. Setelah Anda menerapkan CMK, tindakan HTTP keluar berasal Power Automate dari rentang IP yang berbeda dari sebelumnya. Jika firewall sebelumnya dikonfigurasi untuk mengizinkan tindakan HTTP alur, kemungkinan konfigurasi perlu diperbarui untuk memungkinkan rentang IP baru.

  • Jika Anda menggunakan Azure Firewall, terapkan tag PowerPlatformPlex layanan langsung ke konfigurasi untuk rentang IP yang benar untuk dikonfigurasi secara otomatis. Pelajari selengkapnya di Tag layanan jaringan virtual.
  • Jika Anda menggunakan firewall yang berbeda, cari dan aktifkan lalu lintas masuk dari rentang IP untuk direferensikan PowerPlatformPlex dalam unduhan Rentang IP Azure dan Tag Layanan - Cloud Publik.

Jika ini tidak ada, Anda mungkin mendapatkan kesalahan, permintaan Http gagal karena ada kesalahan: 'Tidak ada koneksi yang dapat dibuat karena mesin target secara aktif menolaknya.'

Power Automate Pesan peringatan aplikasi CMK

Jika alur tertentu terus dilindungi oleh MMK pasca aplikasi CMK, peringatan muncul dalam pengalaman Manajemen Kebijakan dan Lingkungan. Pesan "Power Automate alur masih dilindungi dengan Kunci Terkelola Microsoft" ditampilkan.

Cuplikan layar pesan peringatan di Power Platform pusat admin.

Anda dapat memanfaatkan perintah PowerShell untuk mengidentifikasi alur tersebut dan melindungi dengan CMK.

Melindungi alur yang terus dilindungi oleh MMK

Kategori alur berikut terus dilindungi oleh MMK setelah menerapkan kebijakan Enterprise. Ikuti petunjuk untuk melindungi alur dengan CMK.

Kategori Pendekatan untuk melindungi dengan CMK
Alur pemicu Power App v1 yang tidak ada dalam solusi Opsi 1 (Disarankan)Perbarui
alur untuk menggunakan pemicu V2 sebelum menerapkan CMK.

Opsi 2
Posting aplikasi CMK, gunakan Simpan sebagai untuk membuat salinan alur. Perbarui panggilan Power Apps untuk menggunakan salinan baru alur.
Alur pemicu HTTP dan alur pemicu Teams Pasca aplikasi kebijakan perusahaan, gunakan Simpan sebagai untuk membuat salinan alur. Perbarui sistem panggilan untuk menggunakan URL alur baru.

Kategori alur ini tidak dilindungi secara otomatis, karena URL alur baru dibuat di infrastruktur yang dilindungi CMK. Pelanggan mungkin memanfaatkan URL dalam sistem pemanggilan mereka.
Induk alur yang tidak dapat dimigrasikan secara otomatis Jika alur tidak dapat dimigrasikan, maka alur dependen juga tidak dimigrasikan untuk memastikan tidak ada gangguan bisnis.

Perintah PowerShell

Admin dapat memanfaatkan perintah PowerShell sebagai bagian dari validasi pra-penerbangan dan pasca-penerbangan.

Mengambil alur yang tidak dapat dilindungi secara otomatis menggunakan CMK

Anda dapat menggunakan perintah berikut untuk mengidentifikasi alur yang terus dilindungi oleh MMK pasca aplikasi CMK Enterprise.

> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey

DisplayName Nama Aliran EnvironmentName
Dapatkan HTTP Faktur aliran-1 lingkungan-1
Bayar Faktur dari Aplikasi aliran-2 lingkungan-2
Rekonsiliasi Akun aliran-3 lingkungan-3

Mengambil alur yang tidak dilindungi oleh CMK di lingkungan tertentu

Anda dapat memanfaatkan perintah ini sebelum dan sesudah menjalankan kebijakan CMK Enterprise untuk mengidentifikasi semua alur di lingkungan yang dilindungi oleh MMK. Selain itu, Anda dapat memanfaatkan perintah ini untuk menilai kemajuan aplikasi CMK untuk alur di lingkungan tertentu.

> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>

DisplayName Nama Aliran EnvironmentName
Dapatkan HTTP Faktur aliran-4 lingkungan-4

Pelajari lebih lanjut di Mengelola kunci enkripsi yang dikelola pelanggan.

Mendapatkan riwayat eksekusi dari halaman Detail alur

Daftar riwayat eksekusi pada halaman Detail alur menampilkan eksekusi baru hanya aplikasi pasca-CMK.

Jika Anda ingin melihat data input/output, Anda dapat menggunakan riwayat eksekusi (tampilan Semua Eksekusi ) untuk mengekspor riwayat eksekusi alur ke CSV. Riwayat ini berisi eksekusi alur baru dan yang sudah ada termasuk semua input dan output pemicu/tindakan, dengan batas 100 catatan. Batasan ini sejalan dengan perilaku yang ada untuk ekspor CSV.

Mendapatkan riwayat eksekusi berdasarkan tiket dukungan

Kami menyediakan tampilan ringkasan untuk semua eksekusi dari eksekusi alur yang ada dan baru pasca aplikasi CMK. Tampilan ini berisi informasi ringkasan seperti id eksekusi, waktu mulai, durasi, dan gagal/keberhasilan. Itu tidak berisi data input/output.

Pembatasan yang diketahui

Batasan termasuk batasan untuk fitur yang menggunakan alur analitik dan untuk alur cloud non-solusi yang dipicu oleh Power Apps, seperti yang dijelaskan di bagian ini.

Batasan fitur yang menerapkan alur analitik

Ketika lingkungan diaktifkan untuk kunci yang dikelola pelanggan, maka Power Automate data tidak dapat dikirim ke alur analitik untuk berbagai skenario:

Batasan alur cloud non-solusi yang dipicu oleh Power Apps

Alur cloud non-solusi yang menggunakan Power Apps pemicu dan dibuat di lingkungan yang dilindungi CMK tidak dapat direferensikan dari aplikasi. Terjadi kesalahan saat mencoba mendaftarkan alur dari Power Apps. Hanya alur cloud solusi yang dapat direferensikan dari aplikasi di lingkungan yang dilindungi CMK. Untuk menghindari situasi ini, alur harus ditambahkan terlebih dahulu ke dalam Dataverse solusi sehingga dapat berhasil direferensikan. Untuk mencegah situasi ini, pengaturan lingkungan untuk secara otomatis membuat alur dalam Dataverse solusi harus diaktifkan di lingkungan yang dilindungi CMK. Pengaturan ini memastikan alur baru adalah alur cloud solusi.

Batasan memanggil alur pemicu keterampilan Copilot

Skenario di mana alur cloud dipanggil melalui pemicu keterampilan Copilot yang menerapkan koneksi pengguna Copilot yang memanggil sebagai lawan dari koneksi tersemat tidak didukung untuk alur cloud yang dilindungi CMK. Pelajari selengkapnya tentang menggunakan alur sebagai plugin dari Copilot di Jalankan alur dari Copilot untuk Microsoft 365.

Mengelola kunci enkripsi yang dikelola pelanggan