Suporte a chaves gerenciadas pelo cliente
Todos os dados do cliente armazenados no Power Platform são criptografados em repouso usando MMKs (chaves gerenciadas pela Microsoft), por padrão. Com CMKs (chaves gerenciadas pelo cliente), os clientes podem usar suas próprias chaves de criptografia para proteger dados do Power Automate. Essa capacidade permite que os clientes tenham uma camada protetora extra para gerenciar seus ativos do Power Platform. Com esse recurso, você pode alternar ou trocar as chaves de criptografia sob demanda. Ele também impedirá o acesso da Microsoft aos dados do cliente, se você optar por revogar o acesso à chave aos serviços da Microsoft a qualquer momento.
Com as CMKs, seus fluxos de trabalho e todos os dados em repouso associados são armazenados e executados em uma infraestrutura dedicada, particionada pelo ambiente. Isso inclui suas definições de fluxo de trabalho, fluxos da nuvem e da área de trabalho e histórico de execução do fluxo de trabalho com entradas e saídas detalhadas.
Considerações de pré-requisito antes de proteger seus fluxos com a CMK
Leve em consideração os seguintes cenários ao aplicar a política corporativa da CMK ao seu ambiente.
- Quando a política corporativa da CMK é aplicada, os fluxos de nuvem e seus dados com a CMK são protegidos automaticamente. Alguns fluxos podem continuar a ser protegidos por MMKs. Os administradores podem identificar esses fluxos usando os comandos do PowerShell.
- A criação e as atualizações de fluxos são bloqueadas durante a migração. O histórico de execuções não evolui. Você pode solicitá-lo por meio de um tíquete de suporte até 30 dias após a migração.
- Atualmente, as CMKs não são aproveitadas para criptografar conexões não OAuth. Essas conexões que não do Microsoft Entra continuam sendo criptografadas quando inativas usando MMKs.
- Para habilitar o tráfego de rede de entrada e saída da infraestrutura protegida pela CMK, atualize a configuração do firewall para garantir que os fluxos continuem funcionando.
- Se você planeja proteger mais de 25 ambientes em seu locatário usando o CMK, crie um tíquete de suporte. O limite padrão de ambientes do Power Automate habilitado para CMK por locatário é 25. Esse número pode ser ampliado com a participação da Equipe de suporte.
A aplicação de uma chave de criptografia é uma ação realizada pelos administradores do Power Platform e é invisível para os usuários. Os usuários podem criar, salvar e executar fluxos de trabalho do Power Automate exatamente da mesma maneira como se as MMKs criptografassem os dados.
O recurso CMK permite que você aproveite a política empresarial única criada no ambiente para proteger os fluxos de trabalho do Power Automate. Saiba mais sobre a CMK e as instruções passo a passo para habilitar CMKs em Gerenciar sua chave de criptografia gerenciada pelo cliente.
RPA (Automação robótica de processos) do Power Automate (versão preliminar)
O recurso do grupo de computadores hospedados da solução Introdução à RPA hospedada do Power Automate oferece suporte CMKs. Depois de aplicar CMKs, você deve reprovisionar todos os grupos de computadores hospedados existentes, selecionando Reprovisionar grupo na página de detalhes do grupo de computadores. Depois de reprovisionados, os discos de VM para os bots do grupo de computadores hospedados são criptografados com a CMK.
Observação
A CMK para o recurso de computador hospedado não está disponível no momento.
Atualizar configuração do firewall
O Power Automate permite criar fluxos que podem fazer chamadas HTTP. Depois de aplicar a CMK, as ações HTTP de saída do Power Automate se originam de um intervalo de IP diferente do anterior. Se o firewall foi configurado anteriormente para permitir ações de HTTP de fluxo, é provável que a configuração precise ser atualizada para permitir o novo intervalo de IP.
- Se você estiver usando o Azure Firewall, aplique a marca de serviço
PowerPlatformPlexdiretamente à configuração para que o intervalo de IP correto seja configurado automaticamente. Saiba mais em Marcas de serviço de rede virtual. - Se você estiver usando um firewall diferente, procure e habilite o tráfego de entrada do intervalo de IP para
PowerPlatformPlexreferência no download de Intervalos de IP do Azure e marcas de serviço – Nuvem Pública.
Se isso não estiver em vigor, você pode receber o erro, A solicitação Http falhou, pois há um erro: 'Nenhuma conexão pôde ser feita porque o computador de destino a recusou ativamente.'
Mensagens de aviso do aplicativo CMK do Power Automate
Se determinados fluxos continuarem a ser protegidos por MMKs após o aplicativo CMK, avisos aparecerão nas experiências de Gerenciamento de Política e Ambiente. Uma mensagem "Os fluxos do Power Automate ainda estão protegidos pela Chave Gerenciada da Microsoft" é exibida.
Você pode aproveitar os comandos do PowerShell para identificar esses fluxos e protegê-los com CMKs.
Proteger fluxos que continuam sendo protegidos por MMK
As seguintes categorias de fluxos continuam sendo protegidas pelo MMK após a aplicação da política Enterprise. Siga as instruções para proteger os fluxos pela CMK.
| Category | Abordagem para proteção com CMK |
|---|---|
| O Power App v1 dispara fluxos que não estão em uma solução | Opção 1 (Recomendado) Atualizar o fluxo para usar o gatilho V2 antes de aplicar a CMK. Opção 2 Após aplicativo CMK, use Salvar como para criar uma cópia do fluxo. Atualize a chamada do Power Apps para usar a nova cópia do fluxo. |
| Fluxos de gatilho HTTP e fluxos de gatilho do Teams | Após o aplicativo de política empresarial, use Salvar como para criar uma cópia do fluxo. Atualize o sistema de chamadas para usar a URL do novo fluxo. Essa categoria de fluxos não é protegida automaticamente, pois uma nova URL de fluxo é criada na infraestrutura protegida pela CMK. Os clientes podem estar aproveitando a URL em seus sistemas de chamada. |
| Pais de fluxos que não podem ser migrados automaticamente | Se um fluxo não puder ser migrado, os fluxos dependentes também não serão migrados para garantir que não haja interrupção dos negócios. |
Comandos do PowerShell
Os administradores podem aproveitar os comandos do PowerShell como parte das validações pré e pós versão.
Recuperar fluxos que não podem ser protegidos automaticamente usando a CMK
Você pode usar o comando a seguir para identificar fluxos que continuam a ser protegidos pelo aplicativo MMK pós CMK Enterprise.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Obter Fatura HTTP | fluxo-1 | ambiente-1 |
| Pagar fatura pelo aplicativo | fluxo-2 | ambiente-2 |
| Reconciliar Conta | fluxo-3 | ambiente-3 |
Recuperar fluxos não protegidos pela CMK em um determinado ambiente
Você pode aproveitar esse comando antes e depois de executar a política CMK Enterprise para identificar todos os fluxos no ambiente protegidos pelo MMK. Além disso, você pode aproveitar esse comando para avaliar o progresso do aplicativo CMK para fluxos em um determinado ambiente.
> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>
| DisplayName | FlowName | EnvironmentName |
|---|---|---|
| Obter Fatura HTTP | fluxo-4 | ambiente-4 |
Saiba mais em Gerenciar a chave de criptografia gerenciada pelo cliente.
Obter histórico de execuções na página Detalhes do fluxo
A lista do histórico de execuções na página Detalhes do fluxo exibe novas execuções somente do aplicativo pós-CMK.
Se quiser exibir dados de entrada/saída, você poderá usar o histórico de execuções (modo de exibição Todas as Execuções) para exportar o histórico de execuções do fluxo para o CSV. Esse histórico contém execuções de fluxo novas e existentes, incluindo todas as entradas e saídas de gatilho/ação, com um limite de 100 registros. Essa limitação está alinhada com o comportamento existente para a exportação CSV.
Obter histórico de execuções por tíquete de suporte
Fornecemos uma exibição resumida para todas as execuções de fluxo existentes e novas após o aplicativo CMK. Essa exibição contém informações resumidas, como ID de execução, hora de início, duração e falha/êxitos. Não contém dados de entrada/saída.
Limitações conhecidas
As limitações incluem limitações para recursos que usam o pipeline de análise e para fluxos de nuvem que não são de solução acionados pelo Power Apps, conforme descrito nesta seção.
Limitações nos recursos que aplicam o pipeline de análise
Quando um ambiente é habilitado para chaves gerenciadas pelo cliente, os dados do Power Automate não podem ser enviados ao pipeline de análise para um intervalo de cenários:
- Relatórios em todo o locatário no centro de administração do Power Platform
- Exportação de dados para o Data Lake
- Histórico de execuções do fluxo da nuvem (para centro de automação)
- Aplicativo móvel Power Automate, página de notificações
- Página de atividade de fluxo da nuvem
- Email com falha de fluxo
- E-mail de resumo de falha de fluxo
Limitação nos fluxos da nuvem que não são da solução acionados pelo Power Apps
Os fluxos da nuvem que não são da solução que usam o gatilho do Power Apps e são criados em ambientes protegidos por CMK não podem ser referenciados em um aplicativo. Erro ao tentar registrar o fluxo do Power Apps. Somente os fluxos da nuvem da solução podem ser referenciados a partir de um aplicativo em ambientes protegidos por CMK. Para evitar essa situação, os fluxos devem primeiro ser adicionados a uma solução do Dataverse para que possam ser referenciados com êxito. Para evitar essa situação, a configuração do ambiente para criar fluxos automaticamente em soluções do Dataverse deve ser habilitada em ambientes protegidos por CMK. Essa configuração garante que novos fluxos sejam fluxos da nuvem da solução.
Limitação de invocar os fluxos do gatilho de Habilidades do Copilot
Os cenários em que um fluxo da nuvem é invocado por meio do gatilho Habilidades do Copilot, aplicando a conexão do usuário do Copilot invocador, em vez de uma conexão incorporada, não são compatíveis com fluxos da nuvem protegidos por CMK. Saiba mais sobre como usar fluxos como plug-ins do Copilot em Executar fluxos do Copilot para Microsoft 365.