Suport tècnic per a les claus administrades pel client
Totes les dades dels clients emmagatzemades a Power Platform es xifren en repòs mitjançant claus gestionades per Microsoft (MMK) de manera predeterminada. Amb les claus gestionades pel client (CMK), els clients poden portar les seves pròpies claus d'encriptació per protegir Power Automate les dades. Aquesta capacitat permet als clients tenir una capa protectora addicional per gestionar els seus Power Platform actius. Amb aquesta funció, podeu girar o intercanviar claus de xifratge a petició. També impedeix l'accés de Microsoft a les dades dels vostres clients, si decidiu revocar l'accés clau als serveis de Microsoft en qualsevol moment.
Amb els CMK, els vostres fluxos de treball i totes les dades en repòs associades s'emmagatzemen i s'executen en una infraestructura dedicada particionada per l'entorn. Això inclou les definicions del vostre flux de treball, tant de núvol com d'escriptori, i l'historial d'execució del flux de treball amb entrades i sortides detallades.
Consideracions sobre requisits previs abans de protegir els vostres fluxos amb CMK
Tingueu en compte els escenaris següents quan apliqueu la política empresarial de CMK al vostre entorn.
- Quan s'aplica la política empresarial de CMK, els fluxos al núvol i les seves dades amb CMK es protegeixen automàticament. Alguns fluxos poden continuar protegint les MMK. Els administradors poden identificar aquests fluxos mitjançant ordres de PowerShell.
- La creació i les actualitzacions de fluxos es bloquegen durant la migració. L'historial d'execució no es porta endavant. Pots sol·licitar-ho mitjançant un tiquet d'assistència fins a 30 dies després de la migració.
- Actualment, els CMK no s'aprofiten per xifrar connexions que no siguinOAuth . Aquestes connexions no basades en Microsoft Entra es continuen xifrant en repòs mitjançant MMK.
- Per habilitar el trànsit de xarxa entrant i sortint des de la infraestructura protegida per CMK, actualitzeu la configuració del vostre tallafoc per assegurar-vos que els vostres fluxos continuïn funcionant.
- Si teniu previst protegir més de 25 entorns del vostre inquilí mitjançant CMK, creeu un bitllet d'assistència. El límit predeterminat d'entorns Power Automate habilitats per CMK per inquilí és 25. Aquest número es pot ampliar mitjançant la participació de l'equip d'assistència.
Aplicar una clau d'encriptació és un gest que fan els Power Platform administradors i és invisible per als usuaris. Els usuaris poden crear, desar i executar Power Automate fluxos de treball exactament de la mateixa manera que si els MMK encriptessin les dades.
La funció CMK us permet aprofitar la política d'empresa única creada a l'entorn per assegurar els fluxos de treball Power Automate . Obteniu més informació sobre CMK i les instruccions pas a pas per activar les CMK a Gestioneu la vostra clau d'encriptació gestionada pel client.
Power Automate Automatització de processos robòtics allotjats (RPA) (visualització prèvia)
La capacitat del grup de màquines allotjades de la Introducció a la solució Power Automate RPA allotjada admet CMK. Després d'aplicar les CMK, heu de tornar a subministrar els grups de màquines allotjades existents seleccionant Grup de reprovisionament a la pàgina de detalls del grup de màquines. Un cop s'hagi tornat a aprovisionar, els discs de VM per als robots del grup de màquines allotjades es xifren amb el CMK.
Nota
El CMK per a la capacitat de la màquina allotjada no està disponible actualment.
Actualitza la configuració del tallafoc
Power Automate us permet crear fluxos que poden fer trucades HTTP. Després d'aplicar CMK, les accions HTTP de sortida de Power Automate s'originen d'un interval d'IP diferent de l'anterior. Si el tallafoc es va configurar prèviament per permetre accions HTTP de flux, és probable que la configuració s'hagi d'actualitzar per permetre el nou interval d'IP.
- Si utilitzeu Azure Firewall, apliqueu l'etiqueta de servei
PowerPlatformPlexdirectament a la configuració perquè l'interval d'IP correcte es configure automàticament. Més informació a Etiquetes de servei de xarxa virtual. - Si utilitzeu un tallafoc diferent, cerqueu i activeu el trànsit d'entrada de l'interval d'IP per
PowerPlatformPlexal qual es fa referència a la baixada de Intervals d'IP d'Azure i etiquetes de servei - núvol públic.
Si això no està al seu lloc, és possible que obtingueu l'error, La sol·licitud HTTP ha fallat perquè hi ha un error: "No s'ha pogut fer cap connexió perquè la màquina de destinació la va rebutjar activament".
Power Automate Missatges d'avís de l'aplicació CMK
Si determinats fluxos continuen protegint els MMK després de l'aplicació de CMK, apareixeran advertències a les experiències de gestió de polítiques i medi ambient. Es mostra un missatge "Power Automate els fluxos encara estan protegits amb la clau gestionada de Microsoft" .
Podeu aprofitar les ordres de PowerShell per identificar aquests fluxos i protegir-los amb CMK.
Protegiu els fluxos que continuen protegits per MMK
Les següents categories de fluxes continuen protegides per MMK després d'aplicar la política Enterprise. Seguiu les instruccions per protegir els fluxos de CMK.
| Categoria | Enfocament per protegir amb CMK |
|---|---|
| Fluxos d'activador del Power App v1 que no es troben en una solució |
Opció 1 (recomanada) Actualitzeu el flux per utilitzar el trigger V2 abans d'aplicar CMK. Opció 2 Publica l'aplicació CMK, utilitzeu Desa com a per crear una còpia del flux. Actualitzeu la trucada Power Apps per utilitzar la còpia nova del flux. |
| Fluxos d'activador HTTP i fluxos d'activador del Teams |
Després de l'aplicació de la política d'empresa, utilitzeu Desa com a per crear una còpia del flux. Actualitzeu el sistema de trucades per utilitzar l'adreça URL del flux nou. Aquesta categoria de fluxos no es protegeix automàticament, ja que es crea una nova adreça URL de flux a la infraestructura protegida per CMK. És possible que els clients estiguin aprofitant l'URL en els seus sistemes d'invocació. |
| Elements principals dels fluxos que no es poden migrar automàticament | Si no es pot migrar un flux, els fluxos dependents tampoc es migren per garantir que no hi hagi interrupcions empresarials. |
| Fluxos que utilitzen l'acció del connector Llista de fluxos com a administrador (v1) | Els fluxos que fan referència a aquesta acció heretada s'han de suprimir o actualitzar per utilitzar l'acció Llista de fluxos com a administrador (V2). |
Ordres del PowerShell
Els administradors poden aprofitar les ordres del PowerShell com a part de les validacions prèvies i posteriors al vol.
Recuperar fluxos que no es poden protegir automàticament mitjançant CMK
Podeu utilitzar l'ordre següent per identificar els fluxos que continuen protegits per l'aplicació MMK després de l'aplicació CMK Enterprise.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | Nom del flux | EnvironmentName |
|---|---|---|
| Obtén HTTP de la factura | flux-1 | medi ambient-1 |
| Pagar factura des de l'aplicació | flux-2 | medi ambient-2 |
| Conciliar compte | flux-3 | medi ambient-3 |
Recuperar fluxos no protegits per CMK en un entorn determinat
Podeu aprofitar aquesta ordre abans i després d'executar la política CMK Enterprise per identificar tots els fluxos de l'entorn protegits per MMK. A més, podeu aprofitar aquesta ordre per avaluar el progrés de l'aplicació CMK per als fluxos en un entorn determinat.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | Nom del flux | EnvironmentName |
|---|---|---|
| Obtén HTTP de la factura | flux-4 | medi ambient-4 |
Obteniu més informació a Administrar la clau de xifratge gestionada pel client.
Obtenir l'historial d'execucions de la pàgina Detalls del flux
La llista de l'historial d'execucions de la pàgina Detalls del flux mostra les noves execucions només després de l'aplicació CMK.
Si voleu visualitzar les dades d'entrada/sortida, podeu utilitzar l'historial d'execució (visualització Totes les execucions ) per exportar l'historial d'execució del flux a CSV. Aquest historial conté execucions de flux noves i existents, incloses totes les entrades i sortides de trigger/acció, amb un límit de 100 registres. Aquesta limitació està en línia amb el comportament existent per a l'exportació CSV.
Obtenir l'historial d'execucions per bitllet de suport
Proporcionem una visualització resumida per a totes les execucions de fluxos existents i noves després de l'aplicació CMK. Aquesta visualització conté informació resumida, com ara l'identificador d'execució, l'hora d'inici, la durada i l'error o els èxits. No conté dades d'entrada/sortida.
Protegir els fluxos en entorns que ja estan protegits per CMK
Per als entorns que ja estan protegits per CMK, la protecció dels fluxos mitjançant CMK es pot sol·licitar mitjançant un bitllet de suport.
Limitació dels fluxos de núvol que no són de solució activats per Power Apps
Els fluxos de núvol que no són de solució que utilitzen el Power Apps trigger i es creen en entorns protegits per CMK no es poden fer referència des d'una aplicació. Es produeix un error en intentar registrar el flux de Power Apps. Només es pot fer referència als fluxos de núvol de la solució des d'una aplicació en entorns protegits per CMK. Per evitar aquesta situació, primer s'han d'afegir fluxos a una Dataverse solució perquè es pugui referenciar correctament. Per evitar aquesta situació, la configuració de l'entorn per crear fluxos automàticament a Dataverse les solucions s'ha d'habilitar en entorns protegits per CMK. Aquesta configuració garanteix que els fluxos nous siguin fluxos de núvol de solució.