Partilhar via


Suporte para chaves geridas pelo cliente

Por predefinição, todos os dados armazenados de clientes no Power Platform são encriptados inativamente através de chaves geridas pela Microsoft (MMK). Com as chaves geridas pelo cliente (CMK), os clientes podem trazer as suas próprias chaves de encriptação para proteger os dados do Power Automate. Esta capacidade permite que os clientes tenham uma camada de proteção extra para gerir os seus ativos do Power Platform. Com esta funcionalidade, pode girar ou trocar chaves de encriptação a pedido. Também impede o acesso da Microsoft aos dados dos seus clientes, se optar por revogar o acesso da chave aos serviços Microsoft em qualquer altura.

Com as CMK, os seus fluxos de trabalho e todos os dados inativos associados são armazenados e executados numa infraestrutura dedicada, particionada pelo ambiente. Isto inclui as definições de fluxo de trabalho, os fluxos de ambiente de trabalho e da cloud e o histórico de execução de fluxos de trabalho com entradas e saídas detalhadas.

Considerações sobre pré-requisitos antes de proteger os fluxos com CMK

Considere os seguintes cenários ao aplicar a política empresarial CMK ao seu ambiente.

  • Quando a política empresarial da CMK é aplicada, os fluxos de cloud e os seus dados com a CMK são protegidos automaticamente. Alguns fluxos podem continuar a ser protegidos por MMKs. Os administradores podem identificar esses fluxos usando os comandos PowerShell.
  • A criação e as atualizações dos fluxos são bloqueadas durante a migração. O histórico de execuções não é transferido. Pode solicitá-lo através de um pedido de suporte até 30 dias após a migração.
  • Atualmente, as CMKs não são utilizadas para encriptar ligações não OAuth. Estas ligações não baseadas no Microsoft Entra continuam a ser encriptadas em repouso usando MMKs.
  • Para ativar o tráfego de rede de entrada e saída da infraestrutura protegida por CMK, atualize a configuração da firewall para garantir que os fluxos continuam a funcionar.
  • Se planear proteger mais de 25 ambientes no seu inquilino com CMK, crie um pedido de suporte. O limite predefinido de ambientes do Power Automate ativados para CMK por inquilino é 25. Este número pode ser expandido contactando a equipa de suporte.

A aplicação de uma chave de encriptação é uma operação executada por administradores do Power Platform e é invisível para os utilizadores. Os utilizadores podem criar, guardar e executar fluxos de trabalho do Power Automate exatamente da mesma forma como se as MMKs encriptassem os dados.

A funcionalidade CMK permite-lhe tirar partido da política empresarial única criada no ambiente para proteger fluxos de trabalho do Power Automate. Saiba mais sobre a CMK e as instruções passo a passo para ativar as CMKs em Gerir a sua chave de encriptação gerida pelo cliente.

Automatização robótica de processos (RPA) alojada do Power Automate (pré-visualização)

A capacidade do grupo de computadores alojados da soluçãoIntrodução ao RPA alojado do Power Automate suporta CMKs. Depois de aplicar CMKs, tem de reaprovisionar todos os grupos de computadores alojados existentes, selecionando Reaprovisionar grupo na página de detalhes do grupo de computadores. Depois de reaprovisionados, os discos de VM para os bots do grupo de computadores alojados são encriptados com a CMK.

Nota

A CMK para a capacidade de computador alojado não está disponível neste momento.

Atualizar configuração da firewall

O Power Automate permite-lhe criar fluxos que podem fazer chamadas HTTP. Depois de aplicar a CMK, as ações HTTP de saída do Power Automate têm origem num intervalo de IP diferente do anterior. Se a firewall foi configurada anteriormente para permitir ações HTTP de fluxo, é provável que a configuração precise de ser atualizada para permitir o novo intervalo de IP.

Se não estiver em vigor, pode receber o erro, Falha no pedido de Http, pois há um erro: "Não foi possível realizar uma ligação porque o computador de destino ativamente recusou."

Mensagens de aviso da aplicação CMK do Power Automate

Se determinados fluxos continuarem a ser protegidos por MMKs após a aplicação CMK, os avisos surgirão nas experiências de Gestão de políticas e ambientes. Aparece a mensagem "Os fluxos do Power Automate ainda estão protegidos com a Microsoft Managed Key".

Captura de ecrã da mensagem de aviso no centro de administração do Power Platform.

Pode tirar partido dos comandos PowerShell para identificar esses fluxos e protegê-los com CMKs.

Proteger fluxos que continuam a ser protegidos por MMK

As seguintes categorias de fluxos continuam a ser protegidas pela MMK após a aplicação da política empresarial. Siga as instruções para proteger os fluxos por CMK.

Categoria Abordagem para proteger com CMK
Os fluxos do acionador Power App V1 que não estão numa solução Opção 1 (Recomendado)
Atualize o fluxo para usar o acionador V2 antes de aplicar a CMK.

Opção 2
Após a aplicação de CMK, use Guardar como para criar uma cópia do fluxo. Atualize a chamada do Power Apps para usar a nova cópia do fluxo.
Fluxos do acionador HTTP e fluxos do acionador Teams Após a aplicação da política empresarial, use Guardar como para criar uma cópia do fluxo. Atualize o sistema de chamadas para usar o URL do novo fluxo.

Esta categoria de fluxos não é protegida automaticamente, uma vez que é criado um novo URL de fluxo na infraestrutura protegida por CMK. Os clientes podem estar a usar o URL nos seus sistemas de invocação.
Fluxos principais que não podem ser migrados automaticamente Se um fluxo não puder ser migrado, os fluxos dependentes também não serão migrados para garantir que não haja interrupção nos negócios.
Fluxos que utilizam a ação de conector Listar fluxos como Admin (v1) Os fluxos que referenciam esta ação legada devem ser eliminados ou atualizados para utilizar a ação Listar Fluxos como Admin (V2).

Comandos do PowerShell

Os administradores podem usar os comandos PowerShell como parte das validações antes e após disponibilizar como piloto.

Obter fluxos que não podem ser protegidos automaticamente usando CMK

Pode usar o comando a seguir para identificar fluxos que continuam a ser protegidos pela aplicação empresarial MMK após CMK.

> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey

DisplayName FlowName EnvironmentName
Obter HTTP de faturas flow-1 environment-1
Pagar fatura a partir da aplicação flow-2 environment-2
Reconciliar Conta flow-3 environment-3

Obter fluxos não protegidos pela CMK num determinado ambiente

Pode usar este comando antes e depois de executar a política empresarial CMK para identificar todos os fluxos no ambiente protegidos pelo MMK. Além disso, pode usar este comando para avaliar o progresso da aplicação CMK para fluxos num determinado ambiente.

> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>

DisplayName FlowName EnvironmentName
Obter HTTP de faturas flow-4 environment-4

Saiba mais em Gerir a sua chave de encriptação gerida pelo cliente.

Obter histórico de execuções a partir da página Detalhes do fluxo

A lista do histórico de execuções na página Detalhes do fluxo apresenta as novas execuções apenas após a aplicação CMK.

Se quiser visualizar dados de entrada/saída, pode usar o histórico de execuções (vista Todas as Execuções) para exportar o histórico de execuções de fluxo para CSV. Este histórico contém execuções de fluxo novas e existentes, incluindo todas as entradas e saídas do acionador/ação, com um limite de 100 registos. Esta limitação está de acordo com o comportamento existente para a exportação CSV.

Obter histórico de execuções por pedido de suporte

Fornecemos uma visão resumida de todas as execuções de fluxos existentes e novas execuções após a aplicação CMK. Esta vista contém informações de resumo, tais como ID de execução, hora de início, duração e falhas/êxitos. Não contém dados de entrada/saída.

Proteger fluxos em ambientes que já estão protegidos pela CMK

Para ambientes que já estão protegidos pela CMK, a proteção de fluxos que usa CMK pode ser pedida por um Pedido de Suporte.

Limitações conhecidas

As limitações incluem limitações para funcionalidades que usam o pipeline de análise e para fluxos de nuvem que não são de solução acionados por Power Apps, conforme descrito nesta secção.

Limitações nas funcionalidades que aplicam o pipeline de análise

Quando um ambiente está ativado para chaves geridas pelo utilizador, os dados do Power Automate não podem ser enviados para o pipeline de análise para um intervalo de cenários:

Limitação de fluxos de cloud não solução acionados por Power Apps

Os fluxos de cloud não solução que utilizam o acionador Power Apps e são criados em ambientes protegidos por CMK não podem ser referenciados a partir de uma aplicação. Ocorre um erro ao tentar registar o fluxo do Power Apps. Apenas os fluxos de cloud da solução podem ser referenciados a partir de uma aplicação em ambientes protegidos por CMK. Para evitar esta situação, os fluxos devem primeiro ser adicionados a uma solução Dataverse para que possam ser referenciados com êxito. Para evitar essa situação, a definição de ambiente para criar fluxos automaticamente em soluções Dataverse deve ser ativada em ambientes protegidos por CMK. Esta definição garante que os novos fluxos sejam fluxos de cloud de solução.

Limitação da invocação de fluxos de acionamento de capacidades do Copilot

Os cenários em que um fluxo de cloud é invocado através do acionador de Capacidades do Copilot, aplicando a ligação do utilizador do Copilot que está a invocar em vez de uma ligação incorporada, não são suportados para fluxos de cloud protegidos por CMK. Saiba mais sobre como utilizar fluxos como plug-ins do Copilot em Executar fluxos do Copilot para Microsoft 365.

Gerir a sua chave de encriptação gerida pelo cliente