Поддръжка за управлявани от клиента ключове
Всички клиентски данни, съхранявани в Power Platform тях, са шифровани в покой с помощта на управлявани от Microsoft ключове (MMK) по подразбиране. С управляваните от клиента ключове (CMK) клиентите могат да носят свои собствени ключове за криптиране, за да защитят Power Automate данните. Тази възможност позволява на клиентите да имат допълнителен защитен слой за управление на своите Power Platform активи. С тази функция можете да завъртате или разменяте ключове за криптиране при поискване. Той също така предотвратява достъпа на Microsoft до вашите клиентски данни, ако решите да отмените ключовия достъп до услугите на Microsoft по всяко време.
С CMK вашите работни потоци и всички свързани данни в покой се съхраняват и изпълняват в специална инфраструктура, разделена от средата. Това включва вашите дефиниции на работния процес, както облачни, така и настолни потоци, както и хронология на изпълнението на работния поток с подробни входове и изходи.
Предварителни съображения, преди да защитите вашите потоци със CMK
Помислете за следните сценарии, когато прилагате корпоративните правила на CMK към вашата среда.
- Когато се прилага корпоративната политика на CMK, потоците в облака и техните данни с CMK се защитават автоматично. Някои потоци може да продължат да бъдат защитени от MMK. Администраторите могат да идентифицират тези потоци с помощта на команди на PowerShell.
- Създаването и актуализациите на потоци се блокират по време на миграцията. Историята на бяганията не се пренася напред. Можете да го заявите чрез билет за поддръжка до 30 дни след миграцията.
- В момента CMK не се използват за криптиране на не-връзкиOAuth . Тези небазираниMicrosoft Entra връзки продължават да бъдат криптирани в покой с помощта на MMK.
- За да активирате входящия и изходящия мрежов трафик от CMK защитена инфраструктура, актуализирайте конфигурацията на защитната стена, за да сте сигурни, че вашите потоци продължават да работят.
- Ако планирате да защитите повече от 25 среди във вашия клиент с помощта на CMK, създайте билет за поддръжка. Ограничението по подразбиране за CMK активирани Power Automate среди на клиент е 25. Този брой може да бъде удължен чрез ангажиране на екипа за поддръжка.
Прилагането на ключ за криптиране е жест, извършван от Power Platform администраторите и е невидим за потребителите. Потребителите могат да създават, запазват и изпълняват Power Automate работни потоци по същия начин, както ако MMK криптират данните.
Функцията CMK ви позволява да използвате единната корпоративна политика, създадена в средата, за да защитите Power Automate работните процеси. Научете повече за CMK и инструкциите стъпка по стъпка за активиране на CMK в Управление на вашия управляван от клиента ключ за шифроване.
Power Automate хоствана роботизирана автоматизация на процеси (RPA) (преглед)
Възможността за хоствана машинна група на Въведение в хостваното Power Automate RPA решение поддържа CMK. След като приложите CMK, трябва да осигурите отново съществуващи хоствани групи машини, като изберете Повторно осигуряване на група на страницата с подробности за групата машини. След като бъдат осигурени отново, дисковете на виртуалната машина за ботовете на хостваната машинна група се шифроват с CMK.
Бележка
CMK за хостваната машина в момента не е налична.
Актуализиране на конфигурацията на защитната стена
Power Automate ви позволява да изграждате потоци, които могат да извършват HTTP повиквания. След като приложите CMK, изходящите HTTP действия произхождат Power Automate от различен IP диапазон от преди. Ако защитната стена преди това е била конфигурирана да позволява HTTP действия на потока, вероятно конфигурацията трябва да бъде актуализирана, за да позволи новия IP диапазон.
- Ако използвате защитна стена на Azure, приложете етикета
PowerPlatformPlexна услугата директно към конфигурацията, за да се конфигурира правилният IP диапазон да се конфигурира автоматично. Научете повече в Етикети на услугата за виртуална мрежа. - Ако използвате друга защитна стена, потърсете и разрешете входящия трафик от IP диапазона за
PowerPlatformPlexпрепратка в изтеглянето на Azure IP диапазони и етикети на услуги – публичен облак.
Ако това не е налице, може да получите грешката, Http заявката е неуспешна, тъй като има грешка: "Не може да се осъществи връзка, защото целевата машина активно я е отказала."
Power Automate Предупредителни съобщения за приложението CMK
Ако определени потоци продължават да бъдат защитени от MMK след прилагането на CMK, предупрежденията се появяват в управлението на правилата и околната среда. Показва се съобщение "Power Automate потоците все още са защитени с управлявания ключ на Microsoft".
Можете да използвате команди на PowerShell, за да идентифицирате такива потоци и да ги защитите с CMK.
Защита на потоците, които продължават да бъдат защитени от ММК
Следните категории потоци продължават да бъдат защитени от MMK след прилагане на корпоративната политика. Следвайте инструкциите, за да защитите потоците чрез CMK.
| Категория | Подход за защита с CMK |
|---|---|
| Power App v1 задейства потоци, които не са в решение |
Опция 1 (Препоръчителна) Актуализирайте потока, за да използвате V2 тригер , преди да приложите CMK. Опция 2 Публикуване на CMK приложение, използвайте Запазване като , за да създадете копие на потока. Актуализиране на извикването Power Apps , за да използвате новото копие на потока. |
| Потоци за задействане на HTTP и потоци за задействане на Teams |
Публикуване на приложение за корпоративни правила, използвайте Запиши като , за да създадете копие на потока. Актуализирайте системата за повикване, за да използвате URL адреса на новия поток. Тази категория потоци не се защитава автоматично, тъй като в защитената инфраструктура на CMK се създава нов URL адрес на потока. Клиентите може да използват URL адреса в своите системи за извикване. |
| Родители на потоци, които не могат да бъдат автоматично мигрирани | Ако потокът не може да бъде мигриран, тогава зависимите потоци също не се мигрират, за да се гарантира, че няма прекъсване на бизнеса. |
| Потоци с помощта на действието на конектора Списък с потоци като администратор (v1) | Потоците, препращащи към това наследено действие, трябва да бъдат изтрити или актуализирани, за да се използва действието Списъчни потоци като администратор (V2 ). |
Команди на PowerShell
Администраторите могат да използват командите на PowerShell като част от проверките преди и след полет.
Извличане на потоци, които не могат да бъдат автоматично защитени с помощта на CMK
Можете да използвате следната команда, за да идентифицирате потоци, които продължават да бъдат защитени от MMK post CMK Enterprise приложението.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | Име на потока | EnvironmentName |
|---|---|---|
| Вземете HTTP фактура | Поток-1 | околна среда-1 |
| Плащане на фактура от приложението | Поток-2 | Околна среда-2 |
| Съгласуване на акаунта | Поток-3 | Околна среда-3 |
Извличане на потоци, които не са защитени от CMK в дадена среда
Можете да използвате тази команда преди и след изпълнение на правилата на CMK Enterprise, за да идентифицирате всички потоци в средата, които са защитени от MMK. Освен това можете да използвате тази команда, за да оцените напредъка на приложението на CMK за потоци в дадена среда.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | Име на потока | EnvironmentName |
|---|---|---|
| Вземете HTTP фактура | Поток-4 | Околна среда-4 |
Научете повече в Управление на вашия управляван от клиента ключ за шифроване.
Получаване на хронология на изпълнението от страницата с подробности за потока
Списъкът с хронология на изпълнението на страницата с подробности за потока показва нови изпълнения само след CMK приложение.
Ако искате да видите входни/изходни данни, можете да използвате хронологията на изпълнението (изглед "Всички изпълнения "), за да експортирате хронологията на изпълнението на потока в CSV. Тази история съдържа както нови, така и съществуващи изпълнения на потока, включително всички входове и изходи на задействане/действие, с ограничение от 100 записа. Това ограничение е в съответствие със съществуващото поведение за експортиране на CSV файл.
Получаване на история на изпълнението чрез билет за поддръжка
Предоставяме обобщен изглед за всички изпълнения както от съществуващи, така и от нови изпълнения на потока след CMK приложението. Този изглед съдържа обобщена информация, като например ИД на изпълнение, начален час, продължителност и неуспех/успехи. Не съдържа входни/изходни данни.
Защита на потоците в среди, които вече са защитени от CMK
За среди, които вече са защитени от CMK, защитата на потоци с помощта на CMK може да бъде заявена чрез билет за поддръжка.
Ограничение на потоците в облака, които не са свързани с решение, задействани от Power Apps
Потоците в облака, които не са свързани с решение, използващи задействането Power Apps и са създадени в защитени с CMK среди, не могат да бъдат препратени от приложение. Възниква грешка при опит за регистриране на потока от Power Apps. Само облачните потоци на решения могат да бъдат препратени от приложение в среда, защитена от CMK. За да се избегне тази ситуация, потоците първо трябва да бъдат добавени Dataverse в решение , за да могат да бъдат успешно препратени. За да се предотврати тази ситуация, настройката на средата за автоматично създаване на потоци в Dataverse решения трябва да бъде активирана в CMK-защитени среди. Тази настройка гарантира, че новите потоци са облачни потоци на решения.