Підтримка щодо ключів, якими керують клієнти
Усі дані клієнта, що зберігаються в Power Platform за замовчуванням шифруються за допомогою ключів, керованих Microsoft (MMK). За допомогою керованих клієнтом ключів (CMK) клієнти можуть мати власні ключі шифрування для захисту Power Automate даних. Ця здатність дозволяє клієнтам мати додатковий захисний шар для керування своїми Power Platform активами. За допомогою цієї функції ви можете обертати або міняти ключі шифрування на вимогу. Це також запобігає доступу корпорації Майкрософт до даних ваших клієнтів, якщо ви в будь-який час вирішите скасувати доступ до ключа до служб Microsoft.
За допомогою CMK ваші робочі процеси та всі пов’язані з ними дані зберігаються та виконуються у виділеній інфраструктурі, розділеній середовищем. Це включає визначення ваших робочих процесів, як хмарних, так і настільних потоків, а також історію виконання робочих процесів із детальними вхідними та вихідними даними.
Застосовуючи корпоративну політику CMK до свого середовища, розгляньте наведені нижче сценарії.
- Коли застосовується корпоративна політика CMK, хмарні потоки та їхні дані за допомогою CMK автоматично захищаються. Деякі потоки можуть і надалі захищатися MMK. Адміністратори можуть ідентифікувати ці потоки за допомогою команд PowerShell.
- Під час міграції блокується створення та оновлення потоків. Історія виконання не переноситься. Ви можете подати запит через заявку в службу підтримки до 30 днів після міграції.
- Наразі CMK не використовуються для шифрування неOAuth з’єднань. Ці неMicrosoft Entra підключення продовжують шифруватися в стані спокою за допомогою MMK.
- Щоб увімкнути вхідний і вихідний мережевий трафік із захищеної інфраструктури CMK, оновіть конфігурацію брандмауера , щоб ваші потоки продовжували працювати.
- Якщо ви плануєте захистити понад 25 середовищ у своєму клієнті за допомогою CMK, створіть заявку на підтримку. Обмеження за замовчуванням Power Automate середовищ із увімкненим CMK на одного клієнта становить 25. Цей номер можна збільшити, залучивши службу підтримки.
Застосування ключа шифрування — це жест, який виконують Power Platform адміністратори та невидимий для користувачів. Користувачі можуть створювати, зберігати та виконувати Power Automate робочі процеси точно так само, якби MMK шифрували дані.
Функція CMK дає змогу використовувати єдину політику підприємства, створену в середовищі, для захисту Power Automate робочих процесів. Дізнайтеся більше про CMK і покрокові інструкції щодо ввімкнення CMK у розділі Керування ключем шифрування, керованим клієнтом.
Можливість групи розміщений комп’ютер рішення Introduction to the Power Automate hosted RPA підтримує CMK. Після застосування CMK потрібно повторно налаштувати наявні групи розміщений комп’ютер, вибравши Група повторної підготовки на сторінці деталей група комп’ютерів. Після повторної підготовки диски VM для розміщений комп’ютер групових ботів шифруються за допомогою CMK.
Примітка
CMK для можливості розміщений комп’ютер наразі недоступний.
Power Automate дозволяє створювати потоки, які можуть здійснювати HTTP-виклики. Після застосування CMK вихідні дії HTTP від Power Automate походять з іншого діапазону IP-адрес, ніж раніше. Якщо брандмауер раніше було налаштовано на дозвіл потокових дій HTTP, імовірно, конфігурацію потрібно оновити, щоб дозволити новий діапазон IP-адрес.
- Якщо ви використовуєте брандмауер Azure, застосуйте тег служби
PowerPlatformPlex
безпосередньо до конфігурації, щоб правильний діапазон IP-адрес налаштовувався автоматично. Дізнайтеся більше в тегах віртуальної мережі. - Якщо ви використовуєте інший брандмауер, знайдіть і ввімкніть вхідний трафік із діапазону IP-адрес для
PowerPlatformPlex
наведеного в завантаженні Діапазонів IP-адрес і тегів служби Azure - Громадська хмара.
Якщо цього немає, ви можете отримати повідомлення про помилку Http-запит не вдалось, оскільки є помилка: «Не вдалося встановити з’єднання, оскільки цільова машина активно відхилила його».
Якщо певні потоки продовжують захищатися MMK після додатка CMK, у вікні політик і керування середовищем з’являються попередження. Відображається повідомлення "Power Automate потоки все ще захищені керованим ключем Microsoft" .
Ви можете використовувати команди PowerShell для визначення таких потоків і захисту їх за допомогою CMK.
Наступні категорії потоків продовжують захищатися MMK після застосування корпоративної політики. Дотримуйтесь інструкцій, щоб захистити потоки за допомогою CMK.
Категорія | Підхід до захисту з CMK |
---|---|
Power App v1 запускає потоки, які не входять до складу рішення | Варіант 1 (рекомендовано) Оновіть потік, щоб використовувати тригер V2 перед застосуванням CMK. Варіант 2 Опублікуйте програму CMK, використовуйте Зберегти як для створення копії потоку. Оновити виклик Power Apps для використання нової копії потоку. |
Потоки запуску HTTP та потоки запуску Teams | Опублікуйте програму корпоративної політики, використовуйте Зберегти як , щоб створити копію потоку. Оновіть систему викликів, щоб використовувати URL-адресу нового потоку. Ця категорія потоків не захищена автоматично, оскільки нова URL-адреса потоку створюється в захищеній інфраструктурі CMK. Клієнти можуть використовувати URL-адресу у своїх системах виклику. |
Батьківські елементи потоків, які не можна автоматично перенести | Якщо потік не можна перенести, то залежні потоки також не переносяться, щоб гарантувати відсутність збоїв у роботі. |
Адміністратори можуть використовувати команди PowerShell як частину перевірки перед і після перевірки.
Ви можете використовувати наступну команду, щоб визначити потоки, які продовжують захищатися програмою MMK після CMK Enterprise.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
DisplayName | Ім’я потоку | EnvironmentName |
---|---|---|
Отримати рахунок-фактуру HTTP | Потік-1 | Довкілля-1 |
Оплатіть рахунок із програми | Потік-2 | довкілля-2 |
Звірити обліковий запис | Потік-3 | довкілля-3 |
Ви можете використовувати цю команду до та після виконання корпоративної політики CMK, щоб ідентифікувати всі потоки в середовищі, захищені MMK. Крім того, ви можете використовувати цю команду для оцінки прогресу програми CMK для потоків у певному середовищі.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
DisplayName | Ім’я потоку | EnvironmentName |
---|---|---|
Отримати рахунок-фактуру HTTP | Потік-4 | довкілля-4 |
Докладніше в розділі Керування ключем шифрування, керованим клієнтом.
Список історії виконання на сторінці потоку Подробиці відображає нові запуску лише програми після CMK.
Якщо ви хочете переглянути вхідні/вихідні дані, ви можете скористатися журналом циклів (перегляд All Runs ), щоб експортувати журнал потоку циклів у CSV. Ця історія містить як нові, так і наявні запуски потоку, включаючи всі входи та виходи тригерів/дій, з обмеженням у 100 записів. Це обмеження відповідає існуючій поведінці для експорту CSV.
Ми надаємо підсумкове подання для всіх прогонів із наявних і нових прогонів потоку після застосування CMK. Цей перегляд містить підсумкову інформацію, таку як ідентифікатор запуску, час початку, тривалість і помилка/успіх. Він не містить вхідних/вихідних даних.
Обмеження включають обмеження для функцій, які використовують конвеєр аналітики, і для хмарних потоків, які не є рішенням, ініційованих Power Apps, як описано в цьому розділі.
Якщо середовище ввімкнено для ключів, керованих клієнтом, тоді Power Automate дані не можна надсилати в конвеєр аналітики для ряду сценаріїв:
- Звітування для всього орендаря в Power Platform центрі адміністрування
- Дані Експорт до озера даних
- хмарний цикл історія виконання (для центр автоматизації)
- Power Automate мобільний додаток, сторінка сповіщень
- Сторінка активності хмарний цикл
- Збій потоку електронної пошти
- Помилка потоку дайджесту електронної пошти
Хмарні потоки без рішення, які використовують тригер Power Apps і створені в середовищах, захищених CMK, не можуть посилатися з програми. Під час спроби зареєструвати потік із Power Apps виникає помилка. У середовищах, захищених CMK, із програми можна посилатися лише на хмарні потоки рішень. Щоб уникнути цієї ситуації, потоки слід спочатку додати до Dataverse рішення , щоб на них можна було успішно посилатися. Щоб запобігти цій ситуації, налаштування середовища для автоматичного створення потоків у Dataverse рішеннях має бути ввімкнено в середовищах, захищених CMK. Цей параметр гарантує, що нові потоки є хмарними потоками рішень.
Сценарії, коли хмарний цикл викликається через тригер навичок Copilot із застосуванням викликаного з’єднання користувача Copilot на відміну від вбудованого з’єднання, не підтримуються для захищених хмарних потоків CMK. Дізнайтеся більше про використання потоків як плагінів із Copilot у розділі Запуск потоків із Copilot для Microsoft 365.