Podpora kľúčov spravovaných zákazníkmi
Všetky údaje zákazníkov uložené v Power Platform sú v predvolenom nastavení šifrované pomocou kľúčov spravovaných spoločnosťou Microsoft (MMK). Vďaka kľúčom spravovaným zákazníkom (CMK) si zákazníci môžu priniesť svoje vlastné šifrovacie kľúče na ochranu Power Automate údajov. Táto schopnosť umožňuje zákazníkom získať ďalšiu ochrannú vrstvu na správu svojich Power Platform aktív. Pomocou tejto funkcie môžete na požiadanie otáčať alebo vymieňať šifrovacie kľúče. Taktiež bráni spoločnosti Microsoft v prístupe k vašim zákazníckym údajom, ak sa rozhodnete kedykoľvek odvolať kľúčový prístup k službám spoločnosti Microsoft.
S CMK sú vaše pracovné toky a všetky súvisiace údaje v stave pokoja uložené a spustené na vyhradenej infraštruktúre, ktorá je rozdelená podľa prostredia. To zahŕňa definície vašich pracovných tokov, cloudové aj desktopové toky a históriu vykonávania pracovného toku s podrobnými vstupmi a výstupmi.
Predpoklady pred ochranou vašich tokov pomocou CMK
Pri aplikácii podnikovej politiky CMK na vaše prostredie zvážte nasledujúce scenáre.
- Pri aplikácii podnikovej politiky CMK sú cloudové toky a ich dáta s CMK automaticky chránené. Niektoré toky môžu byť naďalej chránené MMK. Správcovia môžu tieto toky identifikovať pomocou príkazov PowerShell.
- Vytváranie a aktualizácie tokov sú počas migrácie zablokované. História spustenia sa neprenáša. Môžete oň požiadať prostredníctvom podporného lístka do 30 dní po migrácii.
- V súčasnosti nie sú CMK využívané na šifrovanie pripojení, ktoré nie súOAuth . Tieto pripojenia, ktoré nie sú založené na Microsoft Entra , sú naďalej v pokoji šifrované pomocou MMK.
- Ak chcete povoliť prichádzajúce a odchádzajúce sieťové prenosy z infraštruktúry chránenej CMK, aktualizujte konfiguráciu brány firewall , aby vaše toky naďalej fungovali.
- Ak plánujete chrániť viac ako 25 prostredí vo svojom nájomníkovi pomocou CMK, vytvorte lístok podpory. Predvolený limit povolených Power Automate prostredí CMK na nájomníka je 25. Tento počet je možné rozšíriť zapojením tímu podpory.
Použitie šifrovacieho kľúča je gesto, ktoré vykonávajú Power Platform správcovia a používatelia ho nevidia. Používatelia môžu vytvárať, ukladať a spúšťať Power Automate pracovné postupy presne rovnakým spôsobom, ako keby MMK šifrovali údaje.
Funkcia CMK vám umožňuje využiť jednotnú podnikovú politiku vytvorenú v prostredí na zabezpečenie Power Automate pracovných tokov. Prečítajte si viac o CMK a podrobné pokyny na aktiváciu CMK v Správa šifrovacieho kľúča spravovaného zákazníkom.
Power Automate hostovaná robotická automatizácia procesov (RPA) (ukážka)
Schopnosť skupiny hostovaných strojov Úvod do Power Automate riešenia Hosťované RPA podporuje CMK. Po použití CMK musíte znova poskytnúť existujúce skupiny hostovaných počítačov výberom možnosti Skupina opätovného zabezpečenia na stránke s podrobnosťami o skupine počítačov. Po opätovnom zabezpečení sú disky VM pre roboty skupiny hostovaných strojov zašifrované pomocou CMK.
Poznámka
CMK pre funkciu hostovaného počítača momentálne nie je k dispozícii.
Aktualizujte konfiguráciu brány firewall
Power Automate vám umožňuje vytvárať toky, ktoré môžu volať HTTP. Po použití CMK budú odchádzajúce akcie HTTP z Power Automate vychádzať z iného rozsahu adries IP ako predtým. Ak bola brána firewall predtým nakonfigurovaná tak, aby umožňovala akcie toku HTTP, je pravdepodobné, že konfiguráciu bude potrebné aktualizovať, aby umožnila nový rozsah IP adries.
- Ak používate Azure Firewall, použite servisnú značku
PowerPlatformPlexpriamo na konfiguráciu, aby sa automaticky nakonfiguroval správny rozsah IP. Ďalšie informácie nájdete v časti Značky služieb virtuálnej siete. - Ak používate inú bránu firewall, vyhľadajte a povoľte prichádzajúcu návštevnosť z rozsahu adries IP pre
PowerPlatformPlexodkaz na stiahnutie v dokumente Rozsahy IP a servisné značky Azure – verejný cloud.
Ak to nie je na mieste, môže sa vám zobraziť chyba Požiadavka HTTP zlyhala, pretože sa vyskytla chyba: 'Nedalo sa vytvoriť žiadne pripojenie, pretože cieľový počítač ho aktívne odmietol.'
Power Automate Varovné hlásenia aplikácie CMK
Ak budú určité toky naďalej chránené MMK po aplikácii CMK, v skúsenostiach riadenia politiky a životného prostredia sa objavia varovania. Zobrazí sa správa "Power Automate toky sú stále chránené kľúčom Microsoft Managed Key" .
Môžete využiť Príkazy PowerShell na identifikáciu takýchto tokov a ich ochranu pomocou CMK.
Chrániť toky, ktoré sú naďalej chránené MMK
Nasledujúce kategórie tokov sú naďalej chránené MMK po uplatnení podnikovej politiky. Postupujte podľa pokynov na ochranu tokov CMK.
| Kategória | Prístup k ochrane s CMK |
|---|---|
| Spúšťacie toky Power App v1, ktoré nie sú v riešení |
Možnosť 1 (odporúčané) Aktualizujte tok tak, aby používal spúšťač V2 pred aplikovaním CMK. Možnosť 2 Uverejnite aplikáciu CMK, použite vytvorenie kópie flowS. Ak chcete použiť novú kópiu toku, aktualizujte volanie Power Apps . |
| Toky spúšťačov HTTP a toky spúšťačov Teams |
Aplikácia podnikovej politiky, použite Uložiť ako na vytvorenie kópie toku. Aktualizujte volací systém, aby používal adresu URL nového toku. Táto kategória tokov nie je automaticky chránená, pretože v chránenej infraštruktúre CMK sa vytvorí nová adresa URL toku. Zákazníci môžu využívať adresu URL vo svojich vyvolávacích systémoch. |
| Rodičia tokov, ktoré nie je možné automaticky migrovať | Ak tok nie je možné migrovať, potom sa nemigrujú ani závislé toky, aby sa zabezpečilo, že nedôjde k prerušeniu podnikania. |
| Toky pomocou akcie konektora Zoznam tokov ako správcu (v1). | Toky odkazujúce na túto starú akciu by sa mali odstrániť alebo aktualizovať tak, aby používali akciu Vypísať toky ako správcu (V2) . |
Príkazy PowerShellu
Správcovia môžu využiť príkazy PowerShell ako súčasť overovania pred letom a po ňom.
Získajte toky, ktoré nie je možné automaticky chrániť pomocou CMK
Na identifikáciu tokov, ktoré sú naďalej chránené aplikáciou MMK post CMK Enterprise, môžete použiť nasledujúci príkaz.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | Názov toku | EnvironmentName |
|---|---|---|
| Získajte faktúru HTTP | prietok-1 | prostredie-1 |
| Zaplatiť faktúru z aplikácie | prietok-2 | prostredie-2 |
| Zosúladiť účet | prietok-3 | prostredie-3 |
Načítajte toky, ktoré nie sú chránené CMK v danom prostredí
Tento príkaz môžete využiť pred a po vykonaní politiky CMK Enterprise na identifikáciu všetkých tokov v prostredí, ktoré sú chránené MMK. Tento príkaz môžete využiť aj na vyhodnotenie priebehu aplikácie CMK pre toky v danom prostredí.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | Názov toku | EnvironmentName |
|---|---|---|
| Získajte faktúru HTTP | prietok-4 | prostredie-4 |
Ďalšie informácie nájdete v časti Správa šifrovacieho kľúča spravovaného zákazníkom.
Získajte históriu spustenia zo stránky Podrobnosti toku
Zoznam histórie behu na stránke podrobností Podrobnosti zobrazuje nové behy iba po aplikácii CMK.
Ak chcete zobraziť vstupné/výstupné údaje, môžete použiť históriu spustenia (zobrazenie Všetky spustenia ) na export histórie spustenia do CSV. Táto história obsahuje nové aj existujúce priebehy toku vrátane všetkých spúšťacích/akčných vstupov a výstupov s limitom 100 záznamov. Toto obmedzenie je v súlade s existujúcim správaním pre export CSV.
Získajte históriu behu prostredníctvom lístka podpory
Poskytujeme súhrnný pohľad na všetky behy z existujúcich aj nových behoch tokov po aplikácii CMK. Toto zobrazenie obsahuje súhrnné informácie, ako je ID spustenia, čas spustenia, trvanie a zlyhanie/úspech. Neobsahuje vstupné/výstupné údaje.
Chráňte toky v prostrediach, ktoré sú už chránené CMK
Pre prostredia, ktoré sú už chránené CMK, je možné požiadať o ochranu tokov pomocou CMK prostredníctvom podporného lístka.
Obmedzenie cloudových tokov, ktoré nie sú riešením, spustené Power Apps
Na cloudové toky, ktoré nie sú riešením, pomocou spúšťača Power Apps a sú vytvorené v prostrediach chránených CMK, nie je možné odkazovať z aplikácie. Pri pokuse o registráciu toku z Power Apps dôjde k chybe. Z aplikácie v prostrediach chránených CMK možno odkazovať iba na cloudové toky riešení. Aby ste predišli tejto situácii, toky by sa mali najprv pridať do Dataverse riešenia , aby sa na ne dalo úspešne odkazovať. Aby sa predišlo tejto situácii, v prostrediach chránených CMK by malo byť povolené nastavenie prostredia na automatické vytváranie tokov v Dataverse riešeniach . Toto nastavenie zaisťuje, že nové toky sú toky cloud riešenia.