カスタマー マネージド キーのサポート
Power Platform に保存されているすべての顧客データは、既定でマイクロソフトが管理するキー (MMKs) を使用して保存時に暗号化されます。 カスタマー マネージドキー (CMK) を使用すると、顧客は Power Automate データを保護するために独自の暗号化キーを持ち込むことができます。 この機能により、顧客は Power Platform 資産を管理するの特別な保護レイヤーを備えることができます。 この機能を使用すると、暗号化キーをオンデマンドでローテーションまたは入れ替えできます。 また、顧客がマイクロソフトのサービスへのキーアクセスをいつでも取り消すことを選択した場合、マイクロソフトは顧客データにアクセスすることもできなくなります。
CMK を使用すると、ワークフローとそれに関連するすべての保存データは、環境ごとに分割された専用のインフラに保存され、実行されます。 これには、ワークフロー定義、クラウド フローとデスクトップ フローの両方、詳細な入力と出力を含むワークフロー実行履歴が含まれます。
CMK でフローを保護する前に考慮すべき前提条件
CMK エンタープライズ ポリシーを環境に適用する場合は、次のシナリオを考慮してください。
- CMK エンタープライズ ポリシーを適用すると、クラウド フローと CMK を使用したデータが自動的に保護されます。 一部のフローは引き続き MMK によって保護される可能性があります。 管理者は、PowerShell コマンド を使用してこれらのフローを識別できます。
- 移行中はフローの作成と更新がブロックされます。 実行履歴は引き継がれません。 移行後 30 日以内には、サポート チケット を通じてリクエストできます。
- 現在、CMK は、非 OAuth 接続の暗号化には利用されていません。 これらの非 Microsoft Entra ベースの接続は、MMK を使用して保存時に引き続き暗号化されます。
- CMK で保護されたインフラストラクチャからの受信および送信ネットワーク トラフィックを有効にするには、あなたのファイアウォール構成を更新 して、フローが引き続き機能することを確認します。
- CMK を使用してテナント内の 25 を超える環境を保護する予定の場合は、サポート チケットを作成してください。 テナントあたりの CMK 有効 Power Automate 環境の既定上限は 25 です。 この数は、サポート チームに問い合わせることで延長できます。
暗号化キーの適用は Power Platform 管理者によって実行されるジェスチャであり、ユーザーには表示されません。 ユーザーは、MMK がデータを暗号化した場合とまったく同じように、Power Automate ワークフローを作成、保存、実行できます。
CML は、環境上で作成された単一のエンタープライズ ポリシーを活用して、Power Automate ワークフローのセキュリティを確保することができます。 CMK の詳細と、CMK を有効にする手順については、 カスタマー管理の暗号化キーの管理をご覧ください。
Power Automate ホストされた ロボティック プロセス オートメーション (RPA) (プレビュー)
Power Automate ホスト型 RPA の概要 ソリューションのホスト型コンピューター機能は、CMK をサポートします。 CMK を適用した後、コンピューター グループの詳細ページで グループの再プロビジョニング を選択して、既存のホスト型コンピューター グループを再プロビジョニングする必要があります。 再ビジョニングされると、ホスト型コンピューターグループのボットの VM ディスクは、CMK で暗号化されます。
ヒント
ホスト型コンピューター機能の CMK は現在利用できません。
ファイアウォール構成の更新
Power Automate HTTP 呼び出しを行うことができるフローを構築できます。 CMK を適用すると、Power Automate から発生する HTTP アクションは以前とは異なる IP 範囲から発生します。 ファイアウォールが以前にフロー HTTP アクションを許可するように構成されていた場合、新しい IP 範囲を許可するように構成を更新する必要がある可能性があります。
- Azure Firewall を使用している場合は、正しい IP 範囲が自動的に構成されるように、サービス タグ
PowerPlatformPlexを直接構成に適用する。 詳細については、 仮想ネットワーク サービス タグを参照してください。 - 別のファイアウォールを使用している場合は、Azure IP 範囲とサービス タグ - パブリック クラウド の ダウンロードで参照されている
PowerPlatformPlexIP 範囲を検索して、その IP 範囲からの受信トラフィックを有効にします。
これが行われていない場合、「 HTTP 要求が失敗しました。エラー: 'ターゲット マシンが積極的に拒否したため、接続できませんでした。'」というエラーが発生する可能性があります。
Power Automate CMK アプリケーションの警告メッセージ
CMK の適用後も特定のフローが MMK によって保護され続ける場合は、ポリシーおよび環境管理エクスペリエンスに警告が表示されます。 メッセージ 「Power Automate フローは引き続き Microsoft マネージド キーで保護されています」 が表示されます。
PowerShell コマンド を活用してこのようなフローを識別し、CMK で保護することができます。
MMK によって保護が続けられるフロー
エンタープライズ ポリシーを適用した後も、次のカテゴリのフローは引き続き MMK によって保護されます。 指示に従って、CMK でフローを保護するようにします。
| カテゴリー | CMKで保護するアプローチ |
|---|---|
| ソリューションに含まれていない Power App v1 トリガー フロー | CMK を適用する 前に オプション 1 (推奨) V2 トリガーを使用するようにフローを更新します。 オプション 2 CMK 適用後、別名で保存 を使用して、別名で保存を使用してフローのコピーを作成します。 フローの新しいコピーを使用するには、 Power Apps の呼び出しを更新します。 |
| HTTP トリガー フローと Teams トリガー フロー | エンタープライズ ポリシーの適用後、別名で保存 を使用してフローのコピーを作成します。 新しいフローの URL を使用するように呼び出しシステムを更新します。 このカテゴリのフローは、CMK で保護されたインフラストラクチャで新しいフロー URL が作成されるため、自動的に保護されません。 顧客は呼び出しシステムで URL を活用している可能性があります。 |
| 自動的に移行できないフローの上位 | フローを移行できない場合は、ビジネスが中断しないように、依存フローも移行されません。 |
| 管理者としてフローを一覧表示 (v1) コネクタ アクションを使用するフロー | このレガシ アクションを参照するフローは、削除または更新して、 管理者としてフローを一覧表示 (V2) アクションを使用する必要があります。 |
PowerShell コマンド
管理者は、事前検証および事後検証の一環として PowerShell コマンドを活用できます。
CMK を使用して自動的に保護できないフローを取得する
次のコマンドを使用して、CMK Enterprise 適用後も MMK によって保護され続けるフローを識別できます。
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| 表示名 | FlowName | EnvironmentName |
|---|---|---|
| 請求書 HTTP の取得 | フロー-1 | 環境-1 |
| アプリからの請求書の支払い | フロー-2 | 環境-2 |
| アカウントの調整 | フロー-3 | 環境-3 |
特定の環境で CMK によって保護されていないフローを取得する
CMK エンタープライズ ポリシーの実行前と実行後にこのコマンドを活用して、環境内で MMK によって保護されているすべてのフローを識別できます。 また、このコマンドを利用して、特定の環境内のフローの CMK アプリケーションの進行状況を評価することもできます。
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| 表示名 | FlowName | EnvironmentName |
|---|---|---|
| 請求書 HTTP の取得 | フロー-4 | 環境-4 |
詳細は カスタマー マネージド暗号化キーを管理する を参照してください。
フローの詳細ページから実行履歴を取得する
フロー 詳細 ページの実行履歴リストには、CMK 適用後の新しい実行のみが表示されます。
入力/出力データを表示する場合は、実行履歴 (すべての実行 ビュー) を使用して、フロー実行履歴を CSV にエクスポートできます。 この履歴には、すべてのトリガー/アクションの入力と出力を含む新しいフロー実行と既存のフロー実行の両方が含まれ、レコードの制限は 100 件です。 この制限は、CSV エクスポートの既存の動作と一致しています。
サポートチケットによる実行履歴の取得
CMK 適用後の既存および新規のフロー実行のすべての実行の概要ビューを提供します。 このビューには、実行 ID、開始時刻、期間、失敗/成功などの概要情報が含まれます。 入出力データは含まれません。
CMK によって既に保護されている環境でフローを保護する
すでに CMK によって保護されている環境では、CMK を使用したフローの保護をサポートチケットでリクエストできます。
既知の制限
このセクションで説明するように、分析パイプラインを活用する機能や、Power Apps がトリガーする非ソリューション クラウド フローに対する制限があります。
分析パイプラインを活用する機能の制限
環境で顧客管理キーが有効になっている場合、Power Automate データはさまざまなシナリオでデータを分析パイプラインに送信できません。
- Power Platform 管理センターでのテナント全体のレポート
- Data Lake へのエクスポート
- クラウド フロー実行履歴 (オートメーション センター)
- Power Automate モバイル アプリ、通知ページ
- クラウド フロー活動ページ
- フロー障害メール
- フロー障害ダイジェストメール
Power Apps をトリガーとするソリューション以外のクラウド フローの制限
Power Apps トリガーを使用し、CMK で保護された環境で作成された非ソリューション クラウド フローは、アプリから参照できません。 Power Apps からフローを登録を試みるとエラーになります。 CMK で保護された環境のアプリからは、ソリューション クラウド フローのみ参照できます。 このような事態を避けるために、まずフローを Dataverse ソリューションに追加して を正常に参照できるようにする必要があります。 この状況を防ぐには、CMK で保護された環境で、Dataverse ソリューションにフローを自動的に作成 する環境設定を有効にする必要があります。 この設定により、新しいフローがソリューション クラウド フローになることが保証されます。
Copilot Skills トリガーフローの呼び出しの制限
埋め込み接続ではなく、呼び出し元の Copilot ユーザーの接続を適用して Copilot スキル トリガーを通じてクラウド フローが呼び出されるシナリオは、CMK で保護されたクラウド フローではサポートされていません。 Copilot のプラグインとしてフローを使用する方法については、Copilot for Microsoft 365 からフローを実行する で詳しく説明しています。