Kliento valdomų raktų palaikymas
Pagal numatytuosius nustatymus visi klientų duomenys, saugomi Power Platform , ramybės būsenoje yra šifruojami naudojant „Microsoft“ valdomus raktus (MMK). Naudodami kliento valdomus raktus (CMK), klientai gali atsinešti savo šifravimo raktus, kad apsaugotų Power Automate duomenis. Ši galimybė suteikia klientams galimybę turėti papildomą apsauginį sluoksnį savo Power Platform turtui valdyti. Naudodami šią funkciją, pagal poreikį galite pasukti arba sukeisti šifravimo raktus. Tai taip pat neleidžia „Microsoft“ pasiekti jūsų klientų duomenų, jei pasirinksite bet kuriuo metu atšaukti pagrindinę prieigą prie „Microsoft“ paslaugų.
Naudojant CMK, jūsų darbo eigos ir visi susiję ramybės būsenos duomenys yra saugomi ir vykdomi tam skirtoje infrastruktūroje, suskaidytoje aplinkos. Tai apima jūsų darbo eigos apibrėžimus, tiek debesies, tiek darbalaukio srautus, ir darbo eigos vykdymo istoriją su išsamiomis įvestimis ir išvestimis.
Prieš saugant srautus naudojant CMK, būtina atsižvelgti į tai
Taikydami CMK įmonės politiką savo aplinkai, apsvarstykite šiuos scenarijus.
- Taikant CMK įmonės politiką debesų srautai ir jų duomenys su CMK yra apsaugoti automatiškai. Kai kurie srautai ir toliau gali būti apsaugoti MMK. Administratoriai gali identifikuoti šiuos srautus naudodami PowerShell komandas.
- Perkėlimo metu srautų kūrimas ir atnaujinimas blokuojamas. Vykdymo istorija neperkeliama. Užklausą galite pateikti naudodami palaikymo bilietą iki 30 dienų po perkėlimo.
- Šiuo metu CMK nenaudojami neOAuth ryšiams užšifruoti. Šie neMicrosoft Entra pagrįsti ryšiai ramybės būsenoje ir toliau šifruojami naudojant MMK.
- Kad įgalintumėte įeinantį ir išeinantį tinklo srautą iš CMK apsaugotos infrastruktūros, atnaujinkite ugniasienės konfigūraciją , kad srautai ir toliau veiktų.
- Jei planuojate apsaugoti daugiau nei 25 nuomininko aplinkas naudodami CMK, sukurkite palaikymo bilietą. Numatytasis CMK įgalintos Power Automate aplinkos vienam nuomininkui limitas yra 25. Šį skaičių galima pratęsti pasitelkus palaikymo komandą.
Šifravimo rakto taikymas yra gestas, kurį atlieka Power Platform administratoriai ir naudotojams nematomas. Vartotojai gali kurti, išsaugoti ir vykdyti Power Automate darbo eigas lygiai taip pat, lyg MMK šifruotų duomenis.
CMK funkcija leidžia panaudoti aplinkoje sukurtą vienos įmonės politiką, kad būtų apsaugotos Power Automate darbo eigos. Sužinokite daugiau apie CMK ir nuoseklias instrukcijas, kaip įgalinti CMK Tvarkykite klientų valdomą šifravimo raktą.
Power Automate Priglobtas robotų procesų automatizavimas (RPA) (peržiūra)
Įvadas į Power Automate Priglobto RPA sprendimo prieglobos mašinų grupės galimybė palaiko CMK. Pritaikę CMK, turite iš naujo sudaryti esamas priglobtų įrenginių grupes pasirinkdami Reprovision group mašinų grupės išsamios informacijos puslapyje. Pakartotinai priglobtų mašinų grupės robotų VM diskai užšifruojami naudojant CMK.
Pastaba.
CMK, skirta prieglobos įrenginio galimybėms, šiuo metu nepasiekiama.
Atnaujinkite ugniasienės konfigūraciją
Power Automate leidžia kurti srautus, kurie gali atlikti HTTP skambučius. Pritaikius CMK, siunčiami HTTP veiksmai iš Power Automate kyla iš kito IP diapazono nei anksčiau. Jei ugniasienė anksčiau buvo sukonfigūruota leisti srauto HTTP veiksmus, tikėtina, kad konfigūraciją reikia atnaujinti, kad būtų galima naudoti naują IP diapazoną.
- Jei naudojate „Azure Firewall“, taikykite paslaugos žymą
PowerPlatformPlextiesiogiai konfigūracijai, kad tinkamas IP diapazonas būtų sukonfigūruotas automatiškai. Sužinokite daugiau skiltyje Virtualios tinklo paslaugos žymos. - Jei naudojate kitą užkardą, suraskite ir įgalinkite gaunamą srautą iš IP diapazono
PowerPlatformPlex, nurodyto „Azure IP Ranges and Service Tags – Public Cloud“ atsisiuntime.
Jei tai ne vieta, galite gauti klaidą, Http užklausa nepavyko, nes įvyko klaida: „Nepavyko užmegzti ryšio, nes tikslinė mašina aktyviai jo atsisakė“.
Power Automate CMK programos įspėjamieji pranešimai
Jei tam tikrus srautus ir toliau saugo MMK po CMK paraiškos, įspėjimai atsiranda politikos ir aplinkos valdymo praktikoje. Rodomas pranešimas „Power Automate Srautai vis dar apsaugoti naudojant „Microsoft“ valdomą raktą“ .
Galite panaudoti PowerShell komandas , kad nustatytumėte tokius srautus ir apsaugotumėte juos naudodami CMK.
Apsaugokite srautus, kuriuos ir toliau saugo MMK
Pritaikius įmonės politiką, MMK toliau saugo šias srautų kategorijas. Vadovaukitės instrukcijomis, kad apsaugotumėte CMK srautus.
| Kategorija. | Apsaugos metodas naudojant CMK |
|---|---|
| „Power App v1“ suaktyvina srautus, kurių nėra sprendime |
1 parinktis (rekomenduojama) Atnaujinkite srautą, kad būtų naudojamas V2 aktyviklis prieš taikant CMK. 2 parinktis Paskelbkite CMK paraišką, naudokite kaip kopiją iš aa9>. srautas. Atnaujinkite skambinimą Power Apps , kad galėtumėte naudoti naują srauto kopiją. |
| HTTP aktyviklio srautai ir Teams aktyviklio srautai |
Paskelbkite įmonės politikos programą, naudokite Išsaugoti kaip , kad sukurtumėte srauto kopiją. Atnaujinkite skambinimo sistemą, kad būtų naudojamas naujo srauto URL. Ši srautų kategorija nėra automatiškai apsaugota, nes CMK apsaugotoje infrastruktūroje sukuriamas naujas srauto URL. Klientai gali naudoti URL savo iškvietimo sistemose. |
| Srauto, kurių negalima automatiškai perkelti, tėvai | Jei srauto negalima perkelti, priklausomi srautai taip pat neperkeliami, siekiant užtikrinti, kad nebūtų trikdžių verslui. |
| Srautai naudojant srautų sąrašą kaip administratoriaus (v1) jungties veiksmą | Srautai, nurodantys šį seną veiksmą, turėtų būti ištrinti arba atnaujinti, kad būtų naudojamas veiksmas Srauto kaip administratoriaus sąrašas (V2) . |
„PowerShell“ komandos
Administratoriai gali panaudoti „PowerShell“ komandas atlikdami patikrinimus prieš skrydį ir po skrydžio.
Gauti srautus, kurių negalima automatiškai apsaugoti naudojant CMK
Galite naudoti šią komandą norėdami nustatyti srautus, kuriuos toliau saugo MMK po CMK Enterprise programos.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Gaukite HTTP sąskaitą faktūrą | srautas-1 | aplinka-1 |
| Apmokėkite sąskaitą faktūrą iš programos | srautas-2 | aplinka-2 |
| Suderinti sąskaitą | srautas-3 | aplinka-3 |
Gauti srautus, kurių CMK neapsaugo tam tikroje aplinkoje
Galite panaudoti šią komandą prieš ir po CMK Enterprise politikos vykdymo, kad nustatytumėte visus srautus aplinkoje, kuriuos saugo MMK. Taip pat galite pasinaudoti šia komanda, kad įvertintumėte CMK taikymo eigą srautams tam tikroje aplinkoje.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Gaukite HTTP sąskaitą faktūrą | srautas-4 | aplinka-4 |
Sužinokite daugiau skiltyje Tvarkykite klientų valdomą šifravimo raktą.
Gaukite vykdymo istoriją iš srauto informacijos puslapio
Vykdymo istorijos sąraše srauto Išsamios informacijos puslapyje rodomi nauji paleidimai tik po CMK programos.
Jei norite peržiūrėti įvesties / išvesties duomenis, galite naudoti vykdymo istoriją (Visų vykdymų rodinys ), kad eksportuotumėte srauto vykdymo istoriją į CSV. Šioje istorijoje yra tiek naujų, tiek esamų srautų eigos, įskaitant visus aktyviklio / veiksmo įvestis ir išvestis, o įrašų skaičius neviršija 100. Šis apribojimas atitinka esamą CSV eksportavimo elgseną.
Gaukite bėgimo istoriją naudodami palaikymo bilietą
Pateikiame visų paleidimų iš esamų ir naujų srautų po CMK taikymo suvestinės rodinį. Šiame rodinyje pateikiama suvestinė informacija, pvz., vykdymo ID, pradžios laikas, trukmė ir nesėkmė / sėkmė. Jame nėra įvesties / išvesties duomenų.
Apsaugokite srautus aplinkoje, kuri jau yra apsaugota CMK
Aplinkose, kurios jau yra apsaugotos CMK, srautų apsaugos naudojant CMK galima paprašyti pagal paramos bilietą.
Debesų srautų, nesusijusių su tirpalu, apribojimas, kurį sukelia Power Apps
Ne sprendimų debesų srautai, naudojant Power Apps paleidiklį ir sukurti CMK apsaugotoje aplinkoje, negali būti nuorodos iš programos. Bandant užregistruoti srautą iš Power Apps atsiranda klaida. Iš programos CMK apsaugotoje aplinkoje galima nurodyti tik sprendimų debesų srautus. Siekiant išvengti šios situacijos, srautas pirmiausia turėtų būti įtrauktas į Dataverse sprendimą , kad būtų galima sėkmingai juos nurodyti. Siekiant išvengti šios situacijos, aplinkos nustatymas automatiškai kurti srautus Dataverse sprendimuose turėtų būti įgalintas CMK apsaugotose aplinkose. Šis nustatymas užtikrina, kad nauji srautai yra sprendimų debesų srautai.