แชร์ผ่าน

สร้างข้อมูลประจำตัว Azure Key Vault

หน้า ข้อมูลประจำตัว ใน Power Automate อนุญาตให้คุณสร้าง แก้ไข และแชร์ข้อมูลประจำตัวการลงชื่อเข้าใช้โดยใช้ Azure Key Vault และใช้ในโฟลว์เดสก์ท็อปหรือการเชื่อมต่อโฟลว์เดสก์ท็อป

นอกจากนี้คุณยังสามารถ สร้างข้อมูลประจำตัวด้วย CyberArk® (พรีวิว)

สำคัญ

  • ขณะนี้ คุณลักษณะใหม่นี้ยังไม่พร้อมใช้งานสำหรับระบบคลาวด์ของรัฐบาลสหรัฐฯ

ข้อกำหนดเบื้องต้น

ข้อมูลประจำตัวใช้ข้อมูลลับที่จัดเก็บไว้ใน Azure Key Vault หากต้องการสร้างข้อมูลประจำตัว ผู้ดูแลระบบของคุณต้องตั้งค่า Azure Key Vault ก่อน

พูดง่ายคือ ผู้ดูแลระบบต้องตรวจสอบให้แน่ใจ:

  1. ลงทะเบียนผู้ให้บริการทรัพยากรของ Microsoft Power Platform ในการสมัครใช้งาน Azure
  2. มี Azure Key Vault ที่มีข้อมูลลับที่จะใช้ในข้อมูลประจำตัว
  3. บริการหลัก Dataverse ได้รับอนุญาตให้ใช้ข้อมูลลับ
  4. ผู้ใช้ที่สร้างตัวแปรสภาพแวดล้อมมีสิทธิ์ที่เหมาะสมในทรัพยากร Azure Key Vault
  5. สภาพแวดล้อม Power Automate และการสมัครใช้งาน Azure ต้องอยู่ในผู้เช่ารายเดียวกัน

หากต้องการกำหนดค่า Azure Key Vault ให้ทำตามขั้นตอนที่อธิบายไว้ใน กำหนดค่า Azure Key Vault

การรับรองความถูกต้องด้วยใบรับรอง (พรีวิว)

การรับรองความถูกต้องด้วยใบรับรอง Microsoft Entra ID เป็นการรับรองความถูกต้องด้วยปัจจัยเดียวที่ช่วยให้คุณปฏิบัติตามข้อกำหนดการรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) แทนที่จะใช้การรับรองความถูกต้องด้วยรหัสผ่าน ให้ใช้การรับรองความถูกต้องด้วยใบรับรอง (CBA) ซึ่งจะยืนยันตัวตนของคุณตามใบรับรองดิจิทัล

หากต้องการใช้ CBA ให้ปฏิบัติตามขั้นตอนใน กำหนดค่าการรับรองความถูกต้องด้วยใบรับรอง มิฉะนั้น ให้เริ่มสร้างข้อมูลประจำตัว

สร้างข้อมูลประจำตัว

หากต้องการสร้างข้อมูลประจำตัวของคุณ:

  1. ไปยังหน้า ข้อมูลประจำตัว ถ้าคุณไม่เห็นหน้า ข้อมูลประจำตัว ให้ทำตามขั้นตอนเหล่านี้:

    1. เลือก เพิ่มเติม ในการนำทางด้านซ้าย จากนั้นเลือก ค้นหาทั้งหมด
    2. ใต้ ข้อมูล เลือก ข้อมูลประจำตัว คุณสามารถปักหมุดหน้าในการนำทางด้านซ้ายเพื่อให้เข้าถึงได้ง่ายขึ้น

  2. บนหน้า ข้อมูลประจำตัว ให้สร้างข้อมูลประจำตัวแรกของคุณโดยเลือก ข้อมูลประจำตัวใหม่

ภาพหน้าจอของการกำหนดชื่อของข้อมูลประจำตัว

กำหนดชื่อข้อมูลประจำตัว

ให้ข้อมูลต่อไปนี้เพื่อสร้างข้อมูลประจำตัวของคุณ:

  • ชื่อข้อมูลประจำตัว: ป้อนชื่อสำหรับข้อมูลประจำตัว
  • คำอธิบาย: (เลือกได้)

เลือกที่เก็บข้อมูลประจำตัว

  1. หลังจากเลือก ถัดไป ให้เลือกตำแหน่งที่จะใช้ข้อมูลประจำตัว
  2. เลือก การเชื่อมต่อ, โฟลว์เดสก์ท็อป หรือ เครือข่าย เป็นตำแหน่งที่จะใช้ข้อมูลประจำตัว
  3. หากได้รับแจ้ง ให้เลือก Azure Key Vault เป็นชนิดของที่เก็บข้อมูลประจำตัว จากนั้นเลือก ถัดไป
ตำแหน่งที่ตั้งในการใช้ข้อมูลประจำตัว Description รองรับการรับรองความถูกต้อง Azure Key Vault
Connection ใช้ในการเชื่อมต่อโฟลว์เดสก์ท็อป ข้อมูลประจำตัวจะใช้เพื่อเข้าสู่ระบบเครื่องระหว่างรันไทม์ (การเรียกใช้แบบมีผู้เข้าร่วมและแบบอัตโนมัติ) • ชื่อผู้ใช้และรหัสผ่าน
• การรับรองความถูกต้องตามใบรับรอง
โฟลว์เดสก์ท็อป ในระบบอัตโนมัติของโฟลว์เดสก์ท็อปข้อมูลประจำตัวช่วยให้คุณสามารถเข้าสู่ระบบป้อนรหัสผ่านและดำเนินการที่คล้ายกันได้โดยไม่ต้องจัดเก็บข้อมูลที่ละเอียดอ่อนในสคริปต์ • ชื่อผู้ใช้และรหัสผ่าน
เครือข่าย ใช้เมื่อสร้าง การเชื่อมต่อเครือข่ายการเข้าร่วมแบบไฮบริด Microsoft Entra สำหรับกลุ่มเครื่องที่เป็นโฮสต์ • ชื่อผู้ใช้และรหัสผ่าน

เลือกค่าข้อมูลประจำตัว

ในขั้นตอนสุดท้ายของตัวช่วยสร้าง ให้เลือกค่าข้อมูลประจำตัว การรับรองความถูกต้องที่รองรับอาจมีสองประเภท ทั้งนี้ขึ้นอยู่กับตำแหน่งที่ตั้งที่จะใช้ข้อมูลประจำตัว:

  1. ชื่อผู้ใช้และรหัสผ่าน: ข้อมูลลับที่เก็บไว้ในชุดเก็บข้อมูลประจำตัวคือรหัสผ่าน
  2. การรับรองความถูกต้องด้วยใบรับรอง: ข้อมูลลับที่เก็บไว้ในชุดเก็บข้อมูลประจำตัวคือใบรับรอง
  • ชื่อผู้ใช้: หากต้องการเลือกชื่อผู้ใช้ คุณสามารถใช้ดรอปดาวน์ หากคุณไม่มีตัวแปรสภาพแวดล้อม ให้เลือก ใหม่:

    • ชื่อที่แสดง ป้อนชื่อสำหรับชื่อตัวแปรสภาพแวดล้อม

    • ชื่อ ชื่อเฉพาะจะถูกสร้างขึ้นโดยอัตโนมัติจาก ชื่อที่แสดง แต่คุณสามารถเปลี่ยนได้

    • ค่า เติมข้อมูลชื่อของผู้ใช้ สำหรับผู้ใช้ภายในเครื่อง ให้ระบุชื่อผู้ใช้ สำหรับผู้ใช้โดเมน ให้ระบุ <DOMAIN\username> หรือ <username@domain.com>

      ภาพหน้าจอของการกำหนดชื่อผู้ใช้ของข้อมูลประจำตัว

หมายเหตุ

ชื่อผู้ใช้ของข้อมูลประจำตัวเป็นตัวแปรสภาพแวดล้อมข้อความ คุณยังสามารถ สร้างตัวแปรข้อความจากหน้าโซลูชัน และเลือกเป็นชื่อผู้ใช้ได้

  • รหัสผ่าน: หากต้องการเลือกรหัสผ่าน คุณสามารถใช้ดรอปดาวน์ หากคุณไม่มีตัวแปรสภาพแวดล้อมข้อมูลลับ ให้เลือก ใหม่:
    • ชื่อที่แสดง ป้อนชื่อสำหรับชื่อตัวแปรสภาพแวดล้อม
    • ชื่อ ชื่อเฉพาะจะถูกสร้างขึ้นโดยอัตโนมัติจาก ชื่อที่แสดง แต่คุณสามารถเปลี่ยนได้
    • รหัสการสมัครใช้งาน: รหัสการสมัครใช้งาน Azure ที่เชื่อมโยงกับ Key Vault
    • ชื่อกลุ่มทรัพยากร กลุ่มทรัพยากร Azure ที่มี Key Vault ที่มีข้อมูลลับอยู่
    • ชื่อ Azure Key Vault ชื่อของ Key Vault ที่มีข้อมูลลับ
    • ชื่อข้อมูลลับ ชื่อของข้อมูลลับที่อยู่ใน Azure Key Vault

ภาพหน้าจอของการกำหนดรหัสผ่านของข้อมูลประจำตัว

หมายเหตุ

ID การสมัครใช้งาน, ชื่อกลุ่มทรัพยากร, และชื่อ key vault สามารถพบได้บนหน้า ภาพรวม ของพอร์ทัล Azure ของ key vault ชื่อข้อมูลลับสามารถพบได้บนหน้า key vault ในพอร์ทัล Azure โดยการเลือก ข้อมูลลับ ภายใต้ การตั้งค่า การตรวจสอบความถูกต้องของการเข้าถึงของผู้ใช้สำหรับข้อมูลลับจะถูกดำเนินการในเบื้องหลัง หากผู้ใช้ไม่มีสิทธิ์ในการอ่านเป็นอย่างน้อย ข้อผิดพลาดในการตรวจสอบนี้จะปรากฏขึ้น "ตัวแปรนี้บันทึกไม่ถูกต้อง ผู้ใช้ไม่ได้รับอนุญาตให้อ่านข้อมูลลับจาก 'เส้นทาง Azure Key Vault'" รหัสผ่านใช้ ตัวแปรสภาพแวดล้อมที่เป็นข้อมูลลับ คุณยังสามารถ สร้างตัวแปรข้อมูลลับจากหน้าโซลูชัน และเลือกเป็นรหัสผ่านได้

สร้างการเชื่อมต่อโฟลว์เดสก์ท็อปโดยใช้ข้อมูลประจำตัว

ตอนนี้คุณสามารถใช้ข้อมูลประจำตัวของคุณใน การเชื่อมต่อโฟลว์เดสก์ท็อป

ใช้ข้อมูลประจำตัวในการดำเนินการโฟลว์เดสก์ท็อป (พรีวิว)

สำคัญ

  • คุณลักษณะพรีวิวไม่ได้มีไว้สำหรับการนำไปใช้งานจริง และอาจมีการจำกัดฟังก์ชันการทำงาน คุณลักษณะเหล่านี้สามารถใช้ได้ก่อนการเปิดตัวอย่างเป็นทางการ เพื่อให้ลูกค้าสามารถเข้าใช้งานได้ก่อนเวลาและให้ข้อคิดเห็น
  • สำหรับข้อมูลเพิ่มเติม ไปที่ เงื่อนไขของพรีวิว ของเรา
  • การดำเนินการนี้ยังไม่มีให้บริการในคลาวด์สาธารณะ

  1. ตรวจสอบให้แน่ใจว่าคุณมีเครื่องที่ลงทะเบียนไว้ ซึ่งโฟลว์เดสก์ท็อปของคุณทำงานอยู่ ข้อมูลประจำตัวจะถูกดึงมาจากเครื่องนี้

    หมายเหตุ

    เครื่องที่ลงทะเบียนเป็นสิ่งจำเป็นสำหรับข้อมูลประจำตัวเพื่อให้ทำงานได้อย่างถูกต้องในขณะรันไทม์ แม้สำหรับการเรียกใช้ที่มีผู้ใช้ดูแลที่เครื่องหรือการดีบัก

  2. ในตัวออกแบบโฟลว์เดสก์ท็อป ให้เลือกโมดูล ตัวแปรข้อมูลลับ Power Automate (พรีวิว) จากนั้นเลือก การดำเนินการ รับข้อมูลประจำตัว (พรีวิว)

  3. ระบุข้อมูลประจำตัวที่จะดึงข้อมูล คุณจะเห็นเฉพาะข้อมูลประจำตัวที่กำหนดว่าใช้งานได้ในโฟลว์เดสก์ท็อป ในพรีวิวสำหรับสาธารณะ รองรับเฉพาะข้อมูลประจำตัวที่ใช้ Azure Key Vault หรือ CyberArk เป็นชุดเก็บข้อมูลประจำตัวเท่านั้น

  4. กำหนดชื่อของตัวแปรที่คุณสร้าง ตัวแปรนี้ถูกทำเครื่องหมายว่า "ละเอียดอ่อน" และไม่สามารถเปลี่ยนแปลงได้ ซึ่งหมายความว่าค่าของตัวแปรนี้จะไม่ถูกเก็บไว้ในบันทึก

    หมายเหตุ

    ตัวแปรประเภทข้อมูลประจำตัวจะถูกบังคับใช้เสมอเพื่อให้มีความละเอียดอ่อน โดยไม่ขึ้นกับวิธีการสร้าง (การดำเนินการรับข้อมูลประจำตัว (พรีวิว) หรือการกำหนดตัวแปรข้อมูลประจำตัวใหม่ให้กับตัวแปรใหม่ ซึ่งสืบทอดตัวแปรชนิดเดียวกัน) ซึ่งใช้กับคุณสมบัติ 'รหัสผ่าน' ของตัวแปรข้อมูลประจำตัว

  5. หลังจากที่คุณเลือก บันทึก ให้ใช้ข้อมูลประจำตัวของคุณในการดำเนินการอื่น การดำเนินการ Power Automate ทั้งหมดสามารถใช้ข้อมูลประจำตัวได้

  6. ในฟิลด์การดำเนินการ เลือกตัวเลือกตัวแปร ในรายการตัวแปรโฟลว์ของคุณ ให้ค้นหาข้อมูลประจำตัวของคุณและขยาย คุณสามารถดูแอตทริบิวต์ ชื่อผู้ใช้ และ รหัสผ่าน เลือกรายการที่คุณต้องการใช้ในการดำเนินการนี้ (ดับเบิลคลิก)

  7. เรียกใช้โฟลว์ของคุณ

ดูว่ามีการใช้ข้อมูลลับที่ใด

จากหน้าโซลูชัน คุณสามารถดึงข้อมูลการขึ้นต่อกันทั้งหมดของตัวแปรสภาพแวดล้อมที่เป็นข้อมูลลับได้ ซึ่งช่วยให้คุณเข้าใจว่าข้อมูลลับ Azure Key Vault ของคุณถูกใช้ไปที่ใดก่อนที่จะทำการแก้ไข

  • เลือกหนึ่งตัวแปรสภาพแวดล้อม
  • เลือกตัวเลือก ขั้นสูง และเลือก แสดงการขึ้นต่อกัน
  • คุณสามารถดู:
    • ข้อมูลประจำตัวที่ใช้ตัวแปรสภาพแวดล้อมนี้
    • การเชื่อมต่อที่ใช้ตัวแปรสภาพแวดล้อมนี้

แบ่งปันข้อมูลประจำตัว

คุณสามารถแชร์ข้อมูลประจำตัวกับผู้ใช้คนอื่น ๆ ในองค์กรของคุณและให้สิทธิ์เฉพาะผู้ใช้เหล่านั้นในการเข้าถึงข้อมูลประจำตัวของคุณ

  1. ลงชื่อเข้าใช้ Power Automate แล้วไปที่ ข้อมูลประจำตัว
  2. เลือกข้อมูลประจำตัวของคุณจากรายการข้อมูลประจำตัว
  3. ในแถบคำสั่ง ให้เลือก แชร์
  4. เลือก เพิ่มบุคคล จากนั้นป้อนชื่อของบุคคลในองค์กรของคุณที่คุณต้องการแชร์ข้อมูลประจำตัวด้วย แล้วเลือกบทบาทที่คุณต้องการยินยอมไปยังผู้ใช้นี้:
    • เจ้าของร่วม (สามารถแก้ไขได้) ระดับการเข้าถึงนี้ให้สิทธิ์แบบเต็มแก่ข้อมูลประจำตัวนั้น เจ้าของร่วมสามารถใช้ข้อมูลประจำตัว ใช้งานร่วมกับผู้อื่น แก้ไขรายละเอียดและลบ
    • ผู้ใช้ (สามารถดูเท่านั้น) ระดับการเข้าถึงนี้ให้สิทธิ์เพื่อใช้แก่ข้อมูลประจำตัวนั้นเท่านั้น ไม่มีสิทธิ์แก้ไข แชร์ หรือลบด้วยการเข้าถึงนี้
    • ผู้ใช้ (สามารถดูและแชร์ได้) ระดับการเข้าถึงนี้เหมือนกับตัวเลือกดูอย่างเดียว แต่ให้สิทธิ์ในการแชร์
  5. เลือก บันทึก

หมายเหตุ

ด้วยการแชร์ข้อมูลประจำตัวของคุณ ตัวแปรสภาพแวดล้อมทั้งหมดที่ใช้ในข้อมูลประจำตัวจะถูกแชร์ด้วย การลบสิทธิ์ในข้อมูลประจำตัวจะไม่ลบสิทธิ์ในตัวแปรสภาพแวดล้อม

ลบข้อมูลประจำตัว

  1. ลงชื่อเข้าใช้ Power Automate แล้วไปที่ ข้อมูลประจำตัว
  2. จากรายการ เลือกข้อมูลประจำตัวที่คุณต้องการลบ และเลือก ลบเครื่อง บนแถบคำสั่ง

หมายเหตุ

การลบข้อมูลประจำตัวจะไม่ลบตัวแปรสภาพแวดล้อมที่เกี่ยวข้อง

ส่งออกการเชื่อมต่อโฟลว์เดสก์ท็อปโดยใช้ข้อมูลประจำตัว

หมายเหตุ

คุณควรอ่านบทความเกี่ยวกับ ALM สำหรับโฟลว์เดสก์ท็อป ก่อน

คุณสามารถส่งออกโฟลว์ระบบคลาวด์ด้วยการเชื่อมต่อโฟลว์เดสก์ท็อปโดยใช้ข้อมูลประจำตัว คุณควรนำเข้าโซลูชันที่มีข้อมูลประจำตัวและตัวแปรสภาพแวดล้อมที่เกี่ยวข้องก่อน จากนั้นจึงนำเข้าโซลูชันที่มีโฟลว์ระบบคลาวด์และโฟลว์เดสก์ท็อป

ข้อจำกัด

  • ปัจจุบัน คุณลักษณะนี้ใช้ได้เฉพาะกับการเชื่อมต่อโฟลว์ระบบคลาวด์
  • คุณไม่สามารถแก้ไขชื่อผู้ใช้และข้อมูลลับที่เลือกในข้อมูลประจำตัวที่มีอยู่ได้ หากคุณต้องการเปลี่ยนค่าของชื่อผู้ใช้และรหัสผ่าน คุณต้องอัปเดตตัวแปรสภาพแวดล้อมหรือข้อมูลลับ Azure Key Vault
  • หากสภาพแวดล้อมของคุณใช้ข้อมูลประจำตัวที่มีการจัดการเพื่อ เข้าถึง Azure Data Lake ของคุณ ข้อมูลประจำตัวนั้นจะถูกใช้เพื่อเข้าถึง Azure Key Vault ของคุณด้วย นโยบายองค์กรเพียงนโยบายเดียวเท่านั้นที่สามารถเชื่อมต่อกับสภาพแวดล้อม Dataverse พร้อมกันได้ ตรวจสอบให้แน่ใจว่าข้อมูลประจำตัวที่มีการจัดการมีสิทธิ์ที่เหมาะสมสำหรับทรัพยากร Azure Key Vault

อัปเดตข้อมูลลับ (การหมุนเวียนรหัสผ่าน) - เลิกใช้แล้ว

หมายเหตุ

ขณะนี้ส่วนนี้มีการเลิกใช้แล้วสำหรับการเชื่อมต่อโฟลว์เดสก์ท็อป การเชื่อมต่อโฟลว์เดสก์ท็อปที่ใช้ข้อมูลประจำตัวกำลังดึงข้อมูลลับระหว่างการดำเนินการโฟลว์ ไม่จำเป็นต้องสร้างโฟลว์แบบกำหนดเองนี้เพื่ออัปเดตการเชื่อมต่ออีกต่อไป การเชื่อมต่อที่ใช้ข้อมูลประจำตัวที่สร้างขึ้นก่อนเดือนเมษายน 2024 ควรได้รับการอัปเดตเพื่อให้ได้รับประโยชน์จากการอัปเดตอัตโนมัติ

ข้อกำหนดเบื้องต้นสำหรับการอัปเดตข้อมูลลับ (การหมุนเวียนรหัสผ่าน)

หมายเหตุ

ส่วนนี้ต้องการสิทธิ์เฉพาะ เช่น ผู้ดูแลระบบขององค์กร มิฉะนั้นเฉพาะการเชื่อมต่อโฟลว์เดสก์ท็อปของคุณเท่านั้นที่จะได้รับการอัปเดต

สร้างโฟลว์ระบบคลาวด์โดยใช้ทริกเกอร์ Event Grid

เมื่อคุณแก้ไขข้อมูลลับใน Azure Key Vault คุณต้องแน่ใจว่าข้อมูลประจำตัวและการเชื่อมต่อที่ใช้ข้อมูลลับเหล่านี้เป็นข้อมูลล่าสุดอยู่เสมอ เพื่อหลีกเลี่ยงไม่ให้ระบบอัตโนมัติเสียหาย ใน Power Automate คุณต้องสร้างโฟลว์ระบบคลาวด์ที่อัปเดตข้อมูลประจำตัวเมื่อมีการเปลี่ยนแปลงข้อมูลลับใน Azure Key Vault

โฟลว์ระบบคลาวด์นี้ประกอบด้วยทริกเกอร์หนึ่งรายการและการดำเนินการหนึ่งรายการ:

  1. ทริกเกอร์: เมื่อมีเหตุการณ์ทรัพยากรเกิดขึ้น (Event Grid)
    • ชนิดทรัพยากร: Microsoft.KeyVault.vaults
    • ชื่อทรัพยากร: ระบุชื่อของ Key Vault
    • การสมัครใช้งาน: ระบุชื่อของการสมัครใช้งาน
    • ชนิดเหตุการณ์: Microsoft.KeyVault.SecretNewVersionCreated
  2. การดำเนินการ: ดำเนินการที่ไม่ถูกผูกไว้ (Dataverse)
    • ชื่อการดำเนินการ: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: หัวข้อ
    • ชื่อข้อมูลลับ: ชื่อเรื่อง

ภาพหน้าจอของการดำเนินการ Dataverse

หากคุณใช้ Key Vault หนึ่งอันสำหรับข้อมูลลับทั้งหมดของคุณ คุณจำเป็นต้องมีโฟลว์ระบบคลาวด์เพียงอันเดียว หากคุณมี Key Vault หลายรายการ คุณจะต้องทำซ้ำโฟลว์ระบบคลาวด์และอัปเดตชื่อทรัพยากร

เพื่อให้แน่ใจว่าโฟลว์ระบบคลาวด์ของคุณทำงานอย่างถูกต้องกับ Azure Key Vault:

  1. ไปที่ Key Vault ของคุณ
  2. เลือก เหตุการณ์
  3. ใน การสมัครใช้งานเหตุการณ์ ให้ตรวจสอบว่าคุณเห็น Webhook ของ LogicApps หรือไม่

ภาพหน้าจอของการสมัครใช้งานเหตุการณ์ใน Azure Key Vault