Dukungan untuk kunci yang dikelola pelanggan
Semua data pelanggan yang disimpan di Power Platform dienkripsi menggunakan kunci yang dikelola Microsoft (MMK) secara default. Dengan kunci yang dikelola pelanggan (CMK), pelanggan dapat membawa kunci enkripsi mereka sendiri untuk melindungi Power Automate data. Kemampuan ini memungkinkan nasabah memiliki lapisan perlindungan ekstra untuk mengelola Power Platform aset mereka. Dengan fitur ini, Anda dapat memutar atau menukar kunci enkripsi sesuai permintaan. Ini juga mencegah akses Microsoft ke data pelanggan Anda, jika Anda memilih untuk mencabut akses utama ke layanan Microsoft kapan saja.
Dengan CMK, alur kerja Anda dan semua data tak aktif terkait disimpan dan dijalankan pada infrastruktur khusus yang dipartisi oleh lingkungan. Ini termasuk definisi alur kerja Anda, alur cloud dan desktop, dan riwayat eksekusi alur kerja dengan masukan dan keluaran terperinci.
Pertimbangan prasyarat sebelum melindungi aliran Anda dengan CMK
Pertimbangkan skenario berikut saat menerapkan kebijakan perusahaan CMK ke lingkungan Anda.
- Ketika kebijakan perusahaan CMK diterapkan, aliran cloud dan datanya dengan CMK secara otomatis dilindungi. Beberapa aliran mungkin terus dilindungi oleh MMK. Admin dapat mengidentifikasi alur ini menggunakan perintah PowerShell.
- Pembuatan dan pembaruan alur diblokir selama migrasi. Riwayat lari tidak terbawa ke masa mendatang. Anda dapat memintanya melalui tiket dukungan hingga 30 hari setelah migrasi.
- Saat ini, CMK tidak dimanfaatkan untuk mengenkripsi non-OAuth koneksi. Koneksi non-Microsoft Entra berbasis ini terus dienkripsi saat tidak digunakan menggunakan MMK.
- Untuk mengaktifkan lalu lintas jaringan masuk dan keluar dari infrastruktur yang dilindungi CMK, perbarui konfigurasi firewall Anda untuk memastikan alur Anda terus berfungsi.
- Jika Anda berencana untuk melindungi lebih dari 25 lingkungan di penyewa Anda menggunakan CMK, buat tiket dukungan. Batas default lingkungan yang mengaktifkan CMK per penyewa adalah 25. Power Automate Jumlah ini dapat diperluas dengan melibatkan tim Dukungan.
Menerapkan kunci enkripsi adalah tindakan yang dilakukan oleh Power Platform admin dan tidak terlihat oleh pengguna. Pengguna dapat membuat, menyimpan, dan menjalankan Power Automate alur kerja persis dengan cara yang sama seolah-olah MMK mengenkripsi data.
Fitur CMK memungkinkan Anda memanfaatkan kebijakan perusahaan tunggal yang dibuat di lingkungan untuk mengamankan Power Automate alur kerja. Pelajari selengkapnya tentang CMK dan petunjuk langkah demi langkah untuk mengaktifkan CMK di Kelola kunci enkripsi yang dikelola pelanggan.
Power Automate otomatisasi proses robotik (RPA) yang dihosting (pratinjau)
Kemampuan grup mesin yang dihosting dari solusi Pendahuluan tentang Power Automate RPA yang dihosting mendukung CMK. Setelah menerapkan CMK, Anda harus menyediakan ulang grup mesin yang dihosting yang ada dengan memilih Sediakan ulang grup di halaman detail grup mesin. Setelah disediakan ulang, disk VM untuk bot grup mesin yang dihosting dienkripsi dengan CMK.
Catatan
CMK untuk kemampuan mesin yang dihosting saat ini tidak tersedia.
Perbarui konfigurasi firewall
Power Automate memungkinkan Anda membangun alur yang dapat membuat panggilan HTTP. Setelah Anda menerapkan CMK, tindakan HTTP keluar dari Power Automate berasal dari rentang IP yang berbeda dari sebelumnya. Jika firewall sebelumnya dikonfigurasikan untuk mengizinkan tindakan HTTP mengalir, kemungkinan konfigurasinya perlu diperbarui untuk mengakomodasi rentang IP baru.
- Jika Anda menggunakan Azure Firewall, terapkan tag layanan
PowerPlatformPlexlangsung ke konfigurasi agar rentang IP yang benar dapat dikonfigurasi secara otomatis. Pelajari selengkapnya di Tag layanan jaringan virtual. - Jika Anda menggunakan firewall yang berbeda, cari dan aktifkan lalu lintas masuk dari rentang IP untuk
PowerPlatformPlexreferensi dalam unduhan Rentang IP Azure dan Tag Layanan - Cloud Publik.
Jika ini tidak dilakukan, Anda mungkin mendapatkan kesalahan, Permintaan http gagal karena ada kesalahan: 'Tidak ada koneksi yang dapat dibuat karena mesin target secara aktif menolaknya.'
Power Automate Pesan peringatan aplikasi CMK
Jika aliran tertentu terus dilindungi oleh MMK pasca penerapan CMK, peringatan akan muncul dalam pengalaman Manajemen Kebijakan dan Lingkungan. Pesan "Power Automate aliran masih dilindungi dengan Kunci Terkelola Microsoft" ditampilkan.
Anda dapat memanfaatkan perintah PowerShell untuk mengidentifikasi aliran tersebut dan melindunginya dengan CMK.
Lindungi aliran yang terus dilindungi oleh MMK
Kategori aliran berikut terus dilindungi oleh MMK setelah menerapkan kebijakan Perusahaan. Ikuti petunjuk untuk melindungi aliran oleh CMK.
| Kategori | Pendekatan untuk melindungi dengan CMK |
|---|---|
| Alur pemicu Power App v1 yang tidak ada dalam solusi |
Opsi 1 (Direkomendasikan) Perbarui alur untuk menggunakan pemicu V2 sebelum menerapkan CMK. Opsi 2 Pasca aplikasi CMK, gunakan Simpan sebagai untuk membuat salinan alur. Perbarui pemanggilan Power Apps untuk menggunakan salinan alur yang baru. |
| Alur pemicu HTTP dan alur pemicu Teams |
Setelah menerapkan kebijakan perusahaan, gunakan Simpan sebagai untuk membuat salinan alur. Perbarui sistem pemanggilan untuk menggunakan URL alur baru. Kategori alur ini tidak dilindungi secara otomatis, karena URL alur baru dibuat dalam infrastruktur yang dilindungi CMK. Pelanggan mungkin memanfaatkan URL dalam sistem pemanggilan mereka. |
| Induk aliran yang tidak dapat dimigrasikan secara otomatis | Jika suatu aliran tidak dapat dimigrasikan, maka aliran dependen juga tidak dimigrasikan untuk memastikan tidak ada gangguan bisnis. |
| Alur menggunakan tindakan konektor Daftar alur sebagai Admin (v1) | Alur yang merujuk pada tindakan lama ini harus dihapus atau diperbarui untuk menggunakan tindakan Daftar Alur sebagai Admin (V2) . |
Perintah PowerShell
Admin dapat memanfaatkan perintah PowerShell sebagai bagian dari validasi pra-penerbangan dan pasca-penerbangan.
Ambil aliran yang tidak dapat dilindungi secara otomatis menggunakan CMK
Anda dapat menggunakan perintah berikut untuk mengidentifikasi alur yang terus dilindungi oleh MMK pasca aplikasi CMK Enterprise.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | Nama Aliran | EnvironmentName |
|---|---|---|
| Dapatkan Faktur HTTP | aliran-1 | lingkungan-1 |
| Bayar Faktur dari Aplikasi | aliran-2 | lingkungan-2 |
| Rekonsiliasi Akun | aliran-3 | lingkungan-3 |
Ambil aliran yang tidak dilindungi oleh CMK di lingkungan tertentu
Anda dapat memanfaatkan perintah ini sebelum dan sesudah menjalankan kebijakan CMK Enterprise untuk mengidentifikasi semua alur di lingkungan yang dilindungi oleh MMK. Anda juga dapat memanfaatkan perintah ini untuk menilai kemajuan aplikasi CMK untuk alur di lingkungan tertentu.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | Nama Aliran | EnvironmentName |
|---|---|---|
| Dapatkan Faktur HTTP | aliran-4 | lingkungan-4 |
Pelajari selengkapnya di Kelola kunci enkripsi yang dikelola pelanggan Anda.
Dapatkan riwayat proses dari halaman Detail aliran
Daftar riwayat proses pada halaman Detail alur menampilkan proses baru hanya setelah penerapan CMK.
Jika Anda ingin melihat data input/output, Anda dapat menggunakan riwayat proses (tampilan Semua Proses ) untuk mengekspor riwayat proses alur ke CSV. Riwayat ini berisi aliran yang baru dan yang sudah ada, termasuk semua masukan/keluaran pemicu/tindakan, dengan batas 100 rekaman. Batasan ini sejalan dengan perilaku yang ada untuk ekspor CSV.
Dapatkan riwayat lari melalui tiket dukungan
Kami menyediakan tampilan ringkasan untuk semua proses, baik proses yang sudah ada maupun yang baru, pasca penerapan CMK. Tampilan ini berisi informasi ringkasan seperti ID proses, waktu mulai, durasi, dan gagal/berhasil. Tidak berisi data masukan/keluaran.
Lindungi aliran di lingkungan yang sudah dilindungi oleh CMK
Untuk lingkungan yang sudah dilindungi oleh CMK, perlindungan aliran menggunakan CMK dapat diminta melalui Tiket Dukungan.
Batasan pada aliran awan non-solusi yang dipicu oleh Power Apps
Alur awan non-solusi yang menggunakan Power Apps pemicu dan dibuat dalam lingkungan yang dilindungi CMK tidak dapat direferensikan dari aplikasi. Terjadi kesalahan saat mencoba mendaftarkan aliran dari Power Apps. Hanya aliran awan solusi yang dapat direferensikan dari aplikasi di lingkungan yang dilindungi CMK. Untuk menghindari situasi ini, alur harus terlebih dahulu ditambahkan ke dalam suatu Dataverse solusi sehingga dapat direferensikan dengan sukses. Untuk mencegah situasi ini, pengaturan lingkungan untuk secara otomatis membuat alur dalam Dataverse solusi harus diaktifkan di lingkungan yang dilindungi CMK. Pengaturan ini memastikan aliran baru adalah aliran awan solusi.