Читати англійською

Поділитися через


Підтримка щодо ключів, якими керують клієнти

Усі дані клієнта, що зберігаються в Power Platform за замовчуванням шифруються за допомогою ключів, керованих Microsoft (MMK). За допомогою керованих клієнтом ключів (CMK) клієнти можуть мати власні ключі шифрування для захисту Power Automate даних. Ця здатність дозволяє клієнтам мати додатковий захисний шар для керування своїми Power Platform активами. За допомогою цієї функції ви можете обертати або міняти ключі шифрування на вимогу. Це також запобігає доступу корпорації Майкрософт до даних ваших клієнтів, якщо ви в будь-який час вирішите скасувати доступ до ключа до служб Microsoft.

За допомогою CMK ваші робочі процеси та всі пов’язані з ними дані зберігаються та виконуються у виділеній інфраструктурі, розділеній середовищем. Це включає визначення ваших робочих процесів, як хмарних, так і настільних потоків, а також історію виконання робочих процесів із детальними вхідними та вихідними даними.

Попередні міркування перед захистом ваших потоків за допомогою CMK

Застосовуючи корпоративну політику CMK до свого середовища, розгляньте наведені нижче сценарії.

  • Коли застосовується корпоративна політика CMK, хмарні потоки та їхні дані за допомогою CMK автоматично захищаються. Деякі потоки можуть і надалі захищатися MMK. Адміністратори можуть ідентифікувати ці потоки за допомогою команд PowerShell.
  • Під час міграції блокується створення та оновлення потоків. Історія виконання не переноситься. Ви можете подати запит через заявку в службу підтримки до 30 днів після міграції.
  • Наразі CMK не використовуються для шифрування неOAuth з’єднань. Ці неMicrosoft Entra підключення продовжують шифруватися в стані спокою за допомогою MMK.
  • Щоб увімкнути вхідний і вихідний мережевий трафік із захищеної інфраструктури CMK, оновіть конфігурацію брандмауера , щоб ваші потоки продовжували працювати.
  • Якщо ви плануєте захистити понад 25 середовищ у своєму клієнті за допомогою CMK, створіть заявку на підтримку. Обмеження за замовчуванням Power Automate середовищ із увімкненим CMK на одного клієнта становить 25. Цей номер можна збільшити, залучивши службу підтримки.

Застосування ключа шифрування — це жест, який виконують Power Platform адміністратори та невидимий для користувачів. Користувачі можуть створювати, зберігати та виконувати Power Automate робочі процеси точно так само, якби MMK шифрували дані.

Функція CMK дає змогу використовувати єдину політику підприємства, створену в середовищі, для захисту Power Automate робочих процесів. Дізнайтеся більше про CMK і покрокові інструкції щодо ввімкнення CMK у розділі Керування ключем шифрування, керованим клієнтом.

Power Automate розміщено роботизована автоматизація процесів (RPA) (підготовча версія)

Можливість групи розміщений комп’ютер рішення Introduction to the Power Automate hosted RPA підтримує CMK. Після застосування CMK потрібно повторно налаштувати наявні групи розміщений комп’ютер, вибравши Група повторної підготовки на сторінці деталей група комп’ютерів. Після повторної підготовки диски VM для розміщений комп’ютер групових ботів шифруються за допомогою CMK.

Примітка

CMK для можливості розміщений комп’ютер наразі недоступний.

Оновіть конфігурацію брандмауера

Power Automate дозволяє створювати потоки, які можуть здійснювати HTTP-виклики. Після застосування CMK вихідні дії HTTP від Power Automate походять з іншого діапазону IP-адрес, ніж раніше. Якщо брандмауер раніше було налаштовано на дозвіл потокових дій HTTP, імовірно, конфігурацію потрібно оновити, щоб дозволити новий діапазон IP-адрес.

  • Якщо ви використовуєте брандмауер Azure, застосуйте тег служби PowerPlatformPlex безпосередньо до конфігурації, щоб правильний діапазон IP-адрес налаштовувався автоматично. Дізнайтеся більше в тегах віртуальної мережі.
  • Якщо ви використовуєте інший брандмауер, знайдіть і ввімкніть вхідний трафік із діапазону IP-адрес для PowerPlatformPlex наведеного в завантаженні Діапазонів IP-адрес і тегів служби Azure - Громадська хмара.

Якщо цього немає, ви можете отримати повідомлення про помилку Http-запит не вдалось, оскільки є помилка: «Не вдалося встановити з’єднання, оскільки цільова машина активно відхилила його».

Power Automate Попередження програми CMK

Якщо певні потоки продовжують захищатися MMK після додатка CMK, у вікні політик і керування середовищем з’являються попередження. Відображається повідомлення "Power Automate потоки все ще захищені керованим ключем Microsoft" .

Знімок екрана попередження в Power Platform центрі адміністрування.

Ви можете використовувати команди PowerShell для визначення таких потоків і захисту їх за допомогою CMK.

Захистіть потоки, які продовжує захищати MMK

Наступні категорії потоків продовжують захищатися MMK після застосування корпоративної політики. Дотримуйтесь інструкцій, щоб захистити потоки за допомогою CMK.

Категорія Підхід до захисту з CMK
Power App v1 запускає потоки, які не входять до складу рішення Варіант 1 (рекомендовано)
Оновіть потік, щоб використовувати тригер V2 перед застосуванням CMK.

Варіант 2
Опублікуйте програму CMK, використовуйте Зберегти як для створення копії потоку. Оновити виклик Power Apps для використання нової копії потоку.
Потоки запуску HTTP та потоки запуску Teams Опублікуйте програму корпоративної політики, використовуйте Зберегти як , щоб створити копію потоку. Оновіть систему викликів, щоб використовувати URL-адресу нового потоку.

Ця категорія потоків не захищена автоматично, оскільки нова URL-адреса потоку створюється в захищеній інфраструктурі CMK. Клієнти можуть використовувати URL-адресу у своїх системах виклику.
Батьківські елементи потоків, які не можна автоматично перенести Якщо потік не можна перенести, то залежні потоки також не переносяться, щоб гарантувати відсутність збоїв у роботі.

Команди PowerShell

Адміністратори можуть використовувати команди PowerShell як частину перевірки перед і після перевірки.

Отримувати потоки, які не можна автоматично захистити за допомогою CMK

Ви можете використовувати наступну команду, щоб визначити потоки, які продовжують захищатися програмою MMK після CMK Enterprise.

> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey

DisplayName Ім’я потоку EnvironmentName
Отримати рахунок-фактуру HTTP Потік-1 Довкілля-1
Оплатіть рахунок із програми Потік-2 довкілля-2
Звірити обліковий запис Потік-3 довкілля-3

Отримувати потоки, не захищені CMK у певному середовищі

Ви можете використовувати цю команду до та після виконання корпоративної політики CMK, щоб ідентифікувати всі потоки в середовищі, захищені MMK. Крім того, ви можете використовувати цю команду для оцінки прогресу програми CMK для потоків у певному середовищі.

> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>

DisplayName Ім’я потоку EnvironmentName
Отримати рахунок-фактуру HTTP Потік-4 довкілля-4

Докладніше в розділі Керування ключем шифрування, керованим клієнтом.

Отримайте історію виконання на сторінці подробиць потоку

Список історії виконання на сторінці потоку Подробиці відображає нові запуску лише програми після CMK.

Якщо ви хочете переглянути вхідні/вихідні дані, ви можете скористатися журналом циклів (перегляд All Runs ), щоб експортувати журнал потоку циклів у CSV. Ця історія містить як нові, так і наявні запуски потоку, включаючи всі входи та виходи тригерів/дій, з обмеженням у 100 записів. Це обмеження відповідає існуючій поведінці для експорту CSV.

Отримайте історію пробігів за запитом у службу підтримки

Ми надаємо підсумкове подання для всіх прогонів із наявних і нових прогонів потоку після застосування CMK. Цей перегляд містить підсумкову інформацію, таку як ідентифікатор запуску, час початку, тривалість і помилка/успіх. Він не містить вхідних/вихідних даних.

Відомі обмеження

Обмеження включають обмеження для функцій, які використовують конвеєр аналітики, і для хмарних потоків, які не є рішенням, ініційованих Power Apps, як описано в цьому розділі.

Обмеження функцій, які застосовують конвеєр аналітики

Якщо середовище ввімкнено для ключів, керованих клієнтом, тоді Power Automate дані не можна надсилати в конвеєр аналітики для ряду сценаріїв:

Обмеження хмарних потоків, які не є рішенням, ініційованих Power Apps

Хмарні потоки без рішення, які використовують тригер Power Apps і створені в середовищах, захищених CMK, не можуть посилатися з програми. Під час спроби зареєструвати потік із Power Apps виникає помилка. У середовищах, захищених CMK, із програми можна посилатися лише на хмарні потоки рішень. Щоб уникнути цієї ситуації, потоки слід спочатку додати до Dataverse рішення , щоб на них можна було успішно посилатися. Щоб запобігти цій ситуації, налаштування середовища для автоматичного створення потоків у Dataverse рішеннях має бути ввімкнено в середовищах, захищених CMK. Цей параметр гарантує, що нові потоки є хмарними потоками рішень.

Обмеження виклику потоків запуску навичок Copilot

Сценарії, коли хмарний цикл викликається через тригер навичок Copilot із застосуванням викликаного з’єднання користувача Copilot на відміну від вбудованого з’єднання, не підтримуються для захищених хмарних потоків CMK. Дізнайтеся більше про використання потоків як плагінів із Copilot у розділі Запуск потоків із Copilot для Microsoft 365.

Керуйте своїм ключем шифрування, яким керує клієнт