Підтримка щодо ключів, якими керують клієнти
Усі дані клієнтів, що зберігаються в Power Platform сховищі, за замовчуванням шифруються за допомогою ключів, керованих Microsoft (MMK). За допомогою ключів, керованих клієнтами (CMK), клієнти можуть приносити власні ключі шифрування для захисту Power Automate даних. Ця здатність дозволяє клієнтам мати додатковий захисний шар для управління своїми Power Platform активами. За допомогою цієї функції ви можете обертати або міняти ключі шифрування на вимогу. Крім того, корпорація Майкрософт не зможе отримати доступ до даних ваших клієнтів, якщо ви вирішите в будь-який час відкликати доступ ключа до служб Microsoft.
За допомогою CMK ваші робочі процеси та всі пов'язані з ними дані зберігаються та виконуються на спеціальній інфраструктурі, розділеній середовищем. Це включає визначення ваших робочих процесів, як хмарних, так і настільних потоків, а також історію виконання робочих процесів із детальними входами та виходами.
Передумовні міркування перед захистом ваших потоків за допомогою CMK
Враховуйте наведені нижче сценарії під час застосування корпоративної політики CMK до свого середовища.
- При застосуванні корпоративної політики CMK хмарні потоки та їх дані за допомогою CMK захищаються автоматично. Деякі потоки можуть і надалі перебувати під захистом ММК. Адміністратори можуть ідентифікувати ці потоки за допомогою команд PowerShell.
- Створення та оновлення ланцюжків блокуються під час міграції. Історія пробігу не переноситься вперед. Ви можете запросити його через запит до служби підтримки протягом 30 днів після міграції.
- Наразі CMK не використовуються для шифрування даних, які не маютьOAuth з'єднань. Ці небазовіMicrosoft Entra з'єднання продовжують шифруватися в стані спокою за допомогою ММК.
- Щоб увімкнути вхідний і вихідний мережевий трафік із захищеної інфраструктури CMK, оновіть конфігурацію брандмауера, щоб переконатися, що ваші потоки продовжують працювати.
- Якщо ви плануєте захистити понад 25 середовищ у своєму клієнті за допомогою CMK, створіть запит до служби підтримки. Ліміт за замовчуванням середовищ із підтримкою Power Automate CMK на одного клієнта становить 25. Це число можна збільшити, залучивши команду підтримки.
Застосування ключа шифрування – це жест, який Power Platform виконують адміністратори та є невидимим для користувачів. Користувачі можуть створювати, зберігати і виконувати Power Automate бізнес-процеси точно так само, як якщо б ММК шифрували дані.
Функція CMK дає змогу використовувати єдину корпоративну політику, створену в середовищі, для захисту Power Automate робочих процесів. Дізнайтеся більше про CMK і покрокові інструкції з увімкнення CMK у статті Керування ключем шифрування, керованим клієнтами.
Power Automate розміщена роботизована автоматизація процесів (RPA) (попередній перегляд)
Можливість групи розміщених машин у розділі «Вступ до розміщеного Power Automate рішення RPA » підтримує CMK. Після застосування CMK потрібно повторно надати наявні розміщені групи машин, вибравши пункт Група повторного забезпечення на сторінці відомостей про групу машин. Після повторного ініціалізації диски віртуальних машин для ботів групи розміщених машин шифруються за допомогою CMK.
Нотатка
Підтримка CMK для розміщеного комп'ютера наразі недоступна.
Оновити конфігурацію брандмауера
Power Automate дозволяє будувати ланцюжки, які можуть здійснювати HTTP-дзвінки. Після застосування CMK вихідні дії HTTP надходять Power Automate з іншого IP-діапазону, ніж раніше. Якщо брандмауер раніше був налаштований на дозвіл дій HTTP потоку, ймовірно, конфігурацію потрібно оновити, щоб дозволити новий діапазон IP.
- Якщо ви використовуєте брандмауер Azure, застосуйте тег служби
PowerPlatformPlexбезпосередньо до конфігурації, щоб правильний діапазон IP-адрес було налаштовано автоматично. Дізнайтеся більше в статті Теги віртуальних мережевих служб. - Якщо ви використовуєте інший брандмауер, знайдіть і ввімкніть вхідний трафік із діапазону IP-адрес, на
PowerPlatformPlexякий ви посилаєтеся під час завантаження Azure IP Ranges і Service Tags - Public Cloud.
Якщо цього немає, ви можете отримати помилку « Запит HTTP не вдалося, оскільки є помилка: «Не вдалося встановити з'єднання, оскільки цільова машина активно відмовилася від нього».
Power Automate Попереджувальні повідомлення програми CMK
Якщо певні потоки продовжують захищатися ММК після застосування CMK, у політиці та управлінні навколишнім середовищем з'являються попередження. Потоки повідомлень Power Automate захищено за допомогою керованого ключа Microsoft.
Ви можете використовувати команди PowerShell, щоб ідентифікувати такі потоки та захистити їх за допомогою CMK.
Захистити потоки, які продовжують перебувати під захистом ММК
Наступні категорії потоків продовжують перебувати під захистом ММК після застосування політики Enterprise. Дотримуйтесь інструкцій щодо захисту потоків CMK.
| Категорія | Підхід до захисту за допомогою CMK |
|---|---|
| Power App v1 запускає потоки, які не відповідають рішенню |
Варіант 1 (рекомендований) Оновіть потік, щоб використовувати тригер V2, перш ніж застосовувати CMK. Варіант 2 Після програми CMK, використовуйте Зберегти як , щоб створити копію потоку. Оновіть виклики Power Apps , щоб використовувати нову копію ланцюжка. |
| Тригерні потоки HTTP і тригерні потоки Teams |
Після застосування корпоративної політики за допомогою кнопки Зберегти як , щоб створити копію потоку. Оновіть систему викликів, щоб вона використовувала URL-адресу нового ланцюжка. Ця категорія ланцюжків не захищена автоматично, оскільки нова URL-адреса потоку створюється в захищеній інфраструктурі CMK. Клієнти можуть використовувати URL-адресу у своїх системах виклику. |
| Батьки ланцюжків, які не можна перенести автоматично | Якщо потік не можна перенести, то залежні потоки також не переносяться, щоб гарантувати відсутність збоїв у бізнесі. |
| Потоки, що використовують дію з’єднувача List flows as Admin (v1) | Потоки, що посилаються на цю застарілу дію, слід видалити або оновити, щоб використовувати дію «Потоки списку як адміністратор» (V2 ). |
Команди PowerShell
Адміністратори можуть використовувати команди PowerShell під час перевірки перед друком і після польоту.
Отримання потоків, які не можуть бути автоматично захищені за допомогою CMK
Ви можете використовувати наступну команду для виявлення потоків, які продовжують захищатися додатком MMK post CMK Enterprise.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | Ім’я потоку | EnvironmentName |
|---|---|---|
| Отримати рахунок-фактуру HTTP | Потік-1 | Довкілля-1 |
| Оплатіть рахунок-фактуру з додатку | Потік-2 | довкілля-2 |
| Звірити обліковий запис | Потік-3 | довкілля-3 |
Отримання потоків, не захищених CMK у заданому середовищі
Ви можете використовувати цю команду до і після виконання політики CMK Enterprise для виявлення всіх потоків в середовищі, які захищені MMK. Крім того, ви можете використовувати цю команду для оцінки прогресу застосування CMK для потоків у заданому середовищі.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | Ім’я потоку | EnvironmentName |
|---|---|---|
| Отримати рахунок-фактуру HTTP | Потік-4 | довкілля-4 |
Дізнайтеся більше в статті Керування ключем шифрування, керованим клієнтами.
Отримуйте історію виконання на сторінці Деталі ланцюжка
У списку історії виконання на сторінці «Деталі ланцюжка» відображаються нові запуски лише після CMK програми.
Якщо ви хочете переглянути вхідні/вихідні дані, ви можете використовувати історію пробігів (подання «Усі пробіжки ») для експорту історії пробігів потоку в CSV. Ця історія містить як нові, так і існуючі прогони потоку, включаючи всі входи та виходи тригера/дії, з обмеженням у 100 записів. Це обмеження узгоджується з існуючою поведінкою для експорту CSV.
Отримати історію пробігів за запитом у службу підтримки
Ми надаємо зведений вигляд для всіх прогонів як існуючих, так і нових прогонів потоку після програми CMK. Це подання містить зведені відомості, такі як ідентифікатор запуску, час початку, тривалість та помилки/успіхи. Він не містить вхідних/вихідних даних.
Захист потоків у середовищах, які вже захищені CMK
Для середовищ, які вже захищені CMK, захист потоків за допомогою CMK можна запросити за допомогою запиту на підтримку.
Обмеження на хмарні потоки, не пов’язані з рішенням, спровоковане Power Apps
Хмарні потоки, не пов’язані з рішенням, Power Apps які використовують тригер і створені в середовищах, захищених CMK, не можуть бути посилатися з програми. Помилка виникає при спробі зареєструвати потік від. Power Apps Лише хмарні потоки рішень можна посилатися з програми в середовищах, захищених CMK. Щоб уникнути такої ситуації, потоки спочатку слід додати в розчин Dataverse , щоб на них можна було успішно посилатися. Щоб запобігти такій ситуації, налаштування середовища для автоматичного створення потоків у Dataverse рішеннях має бути включено в середовищах, захищених CMK. Цей параметр гарантує, що нові потоки є хмарними потоками рішення.