Asistență pentru cheile gestionate de clienți
Toate datele clienților stocate în Power Platform sunt criptate în mod implicit folosind chei gestionate de Microsoft (MMK). Cu cheile gestionate de client (CMK), clienții își pot aduce propriile chei de criptare pentru a proteja Power Automate datele. Această abilitate permite clienților să aibă un strat de protecție suplimentar pentru a-și gestiona Power Platform activele. Cu această funcție, puteți roti sau schimba cheile de criptare la cerere. De asemenea, împiedică accesul Microsoft la datele clienților dvs., dacă alegeți să revocați oricând accesul cu cheie la serviciile Microsoft.
Cu CMK, fluxurile dvs. de lucru și toate datele asociate în repaus sunt stocate și executate pe o infrastructură dedicată, partiționată de mediu. Aceasta include definițiile fluxului de lucru, atât fluxurile cloud, cât și cele desktop și istoricul execuției fluxului de lucru cu intrări și ieșiri detaliate.
Considerații prealabile înainte de a vă proteja fluxurile cu CMK
Luați în considerare următoarele scenarii atunci când aplicați politica de întreprindere CMK în mediul dumneavoastră.
- Când se aplică politica de întreprindere CMK, fluxurile cloud și datele lor cu CMK sunt protejate automat. Unele fluxuri ar putea continua să fie protejate de MMK. Administratorii pot identifica aceste fluxuri folosind comenzile PowerShell.
- Crearea și actualizările fluxurilor sunt blocate în timpul migrării. Istoricul rulărilor nu este reportat. Puteți solicita acest lucru printr-un tichet de asistență până la 30 de zile după migrare.
- În prezent, CMK-urile nu sunt utilizate pentru a cripta conexiunile non-OAuth . Aceste conexiuni care nu sunt bazate pe Microsoft Entra continuă să fie criptate în repaus folosind MMK-uri.
- Pentru a activa traficul de rețea de intrare și de ieșire din infrastructura protejată CMK, actualizați configurația firewall-ului pentru a vă asigura că fluxurile continuă să funcționeze.
- Dacă intenționați să protejați mai mult de 25 de medii în chiriașul dvs. folosind CMK, creați un bilet de asistență. Limita implicită de medii Power Automate activate CMK per chiriaș este 25. Acest număr poate fi extins prin implicarea echipei de asistență.
Aplicarea unei chei de criptare este un gest efectuat de Power Platform administratori și este invizibil pentru utilizatori. Utilizatorii pot crea, salva și executa Power Automate fluxuri de lucru exact în același mod ca și când MMK-urile ar cripta datele.
Caracteristica CMK vă permite să utilizați politica de întreprindere unică creată în mediu pentru a securi Power Automate fluxurile de lucru. Aflați mai multe despre CMK și instrucțiunile pas cu pas pentru a activa CMK în Gestionați-vă cheia de criptare gestionată de client.
Power Automate automatizarea proceselor robotizate găzduite (RPA) (previzualizare)
Capacitatea de grup de mașini găzduite a Introducere în soluția Power Automate RPA găzduită acceptă CMK. După aplicarea CMK-urilor, trebuie să reprovisionați grupurile de mașini găzduite existente selectând Grup de reprovisionare pe pagina cu detaliile grupului de mașini. Odată reprovisionate, discurile VM pentru roboții grupului de mașini găzduite sunt criptate cu CMK.
Notă
CMK pentru capacitatea mașinii găzduite nu este disponibil momentan.
Actualizați configurația firewall
Power Automate vă permite să construiți fluxuri care pot efectua apeluri HTTP. După ce aplicați CMK, acțiunile HTTP de ieșire de la Power Automate provin dintr-un interval IP diferit de cel anterior. Dacă firewall-ul a fost configurat anterior pentru a permite fluxul de acțiuni HTTP, este probabil ca configurația să fie actualizată pentru a permite noul interval de IP.
- Dacă utilizați Azure Firewall, aplicați eticheta de serviciu
PowerPlatformPlexdirect la configurație pentru ca intervalul IP corect să fie configurat automat. Aflați mai multe în Etichete de servicii de rețea virtuală. - Dacă utilizați un alt firewall, căutați și activați traficul de intrare din intervalul IP pentru
PowerPlatformPlexreferit în descărcarea Intervalele IP și etichetele de serviciu Azure - Public Cloud.
Dacă aceasta nu este la locul său, este posibil să primiți eroarea, Solicitarea HTTP a eșuat, deoarece există o eroare: „Nu s-a putut realiza nicio conexiune, deoarece computerul țintă a refuzat-o în mod activ”.
Power Automate Mesaje de avertizare pentru aplicația CMK
Dacă anumite fluxuri continuă să fie protejate de MMK-uri după aplicarea CMK, avertismentele apar în experiențele de management al politicii și mediului. Se afișează un mesaj „Power Automate fluxurile sunt încă protejate cu cheia gestionată Microsoft” .
Puteți utiliza comenzile PowerShell pentru a identifica astfel de fluxuri și pentru a le proteja cu CMK.
Protejați fluxurile care continuă să fie protejate de MMK
Următoarele categorii de fluxuri continuă să fie protejate de MMK după aplicarea politicii Enterprise. Urmați instrucțiunile pentru a proteja fluxurile de către CMK.
| Categorie | Abordare pentru a proteja cu CMK |
|---|---|
| Power App v1 declanșează fluxuri care nu se află într-o soluție |
Opțiunea 1 (recomandat) Actualizați fluxul pentru a utiliza declanșatorul V2 înainte de aplicarea CMK. Opțiunea 2 Postați aplicația CMK, utilizați Salvați ca> o copie a fluxului. Actualizați apelarea Power Apps pentru a utiliza noua copie a fluxului. |
| Fluxuri de declanșare HTTP și fluxuri de declanșare Teams |
Postați aplicația de politică de întreprindere, utilizați Salvare ca pentru a crea o copie a fluxului. Actualizați sistemul de apelare pentru a utiliza adresa URL a noului flux. Această categorie de fluxuri nu este protejată automat, deoarece o nouă adresă URL a fluxului este creată în infrastructura protejată CMK. Clienții ar putea folosi adresa URL în sistemele lor de invocare. |
| Părinții fluxurilor care nu pot fi migrate automat | Dacă un flux nu poate fi migrat, atunci fluxurile dependente nu sunt, de asemenea, migrate pentru a se asigura că nu există nicio întrerupere a afacerii. |
| Fluxuri folosind Listă fluxuri ca acțiune de conector Admin (v1). | Fluxurile care fac referire la această acțiune moștenită trebuie fie șterse, fie actualizate pentru a utiliza acțiunea List Flows as Admin (V2) . |
Comenzi PowerShell
Administratorii pot folosi comenzile PowerShell ca parte a validărilor pre-flight și post-flight.
Preluați fluxurile care nu pot fi protejate automat folosind CMK
Puteți utiliza următoarea comandă pentru a identifica fluxurile care continuă să fie protejate de aplicația MMK post CMK Enterprise.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Obțineți factura HTTP | flux-1 | mediu-1 |
| Plătiți factura din aplicație | flux-2 | mediu-2 |
| Reconciliază contul | flux-3 | mediu-3 |
Preluați fluxuri neprotejate de CMK într-un mediu dat
Puteți utiliza această comandă înainte și după executarea politicii CMK Enterprise pentru a identifica toate fluxurile din mediu care sunt protejate de MMK. De asemenea, puteți utiliza această comandă pentru a evalua progresul aplicației CMK pentru fluxuri într-un mediu dat.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Obțineți factura HTTP | flux-4 | mediu-4 |
Aflați mai multe în Gestionați cheia de criptare gestionată de client.
Obțineți istoricul rulărilor din pagina Detalii flux
Lista cu istoricul rulărilor din pagina flux Detalii afișează rulări noi numai după aplicația CMK.
Dacă doriți să vizualizați datele de intrare/ieșire, puteți utiliza istoricul rulărilor (vizualizarea Toate rulările ) pentru a exporta istoricul rulării fluxului în CSV. Acest istoric conține atât fluxuri noi, cât și existente, inclusiv toate intrările și ieșirile de declanșare/acțiune, cu o limită de 100 de înregistrări. Această limitare este în conformitate cu comportamentul existent pentru exportul CSV.
Obțineți istoricul rulărilor prin bilet de asistență
Oferim o vizualizare rezumată pentru toate rulările atât din fluxurile existente, cât și din cele noi, după aplicația CMK. Această vizualizare conține informații rezumative, cum ar fi ID-ul de rulare, ora de începere, durata și eșecul/succesul. Nu conține date de intrare/ieșire.
Protejați fluxurile în medii care sunt deja protejate de CMK
Pentru mediile care sunt deja protejate de CMK, protejarea fluxurilor folosind CMK poate fi solicitată printr-un Tichet de asistență.
Limitarea fluxurilor de cloud non-soluție declanșate de Power Apps
Fluxurile cloud care nu sunt soluționate folosind declanșatorul Power Apps și sunt create în medii protejate prin CMK nu pot fi referite dintr-o aplicație. Apare o eroare la încercarea de a înregistra fluxul de la Power Apps. Numai fluxurile de soluții cloud pot fi referite dintr-o aplicație în medii protejate de CMK. Pentru a evita această situație, fluxurile ar trebui mai întâi adăugate într-o Dataverse soluție pentru a putea fi referite cu succes. Pentru a preveni această situație, setarea de mediu pentru a crearea automată a fluxurilor în Dataverse soluții ar trebui să fie activată în mediile protejate de CMK. Această setare asigură că noile fluxuri sunt fluxuri de soluție cloud.