Freigeben über

Umgebungsvariablen für Azure Key Vault-Geheimnisse verwenden

Umgebungsvariablen lassen den Verweis auf im Azure Key Vault gespeicherte Geheimnisse zu. Diese Geheimnisse werden dann für die Verwendung in Power Automate-Flows und benutzerdefinierten Konnektoren zur Verfügung gestellt. Beachten Sie, dass die Geheimnisse nicht in anderen Anpassungen oder allgemein über die API verwendet werden können.

Die eigentlichen Geheimnisse werden nur in Azure Key Vault gespeichert und die Umgebungsvariable verweist auf den geheimen Speicherort des Schlüsseltresors. Die Verwendung von Azure Key Vault-Geheimnissen mit Umgebungsvariablen erfordert, dass Sie Azure Key Vault so konfigurieren, dass Power Platform die spezifischen Geheimnisse lesen kann, auf die Sie verweisen möchten.

Umgebungsvariablen, die auf Geheimnisse verweisen, sind derzeit nicht über die dynamische Inhaltsauswahl zur Verwendung in Power Automate Flows verfügbar.

Azure Key Vault konfigurieren

Um Azure Key Vault-Geheimnisse mit Power Platform zu verwenden, muss für das Azure Abonnement, das den Vault enthält, der Ressourcenanbieter PowerPlatform registriert sein und der Benutzer, der die Umgebungsvariable erstellt, muss über die entsprechenden Berechtigungen für die Azure Key Vault-Ressource verfügen.

Wichtig

  • Es gibt kürzlich Änderungen an der Sicherheitsrolle, die verwendet wird, um Zugriffsberechtigungen in Azure Key Vault durchzusetzen. Zu den vorherigen Anweisungen gehörte das Zuweisen der Key Vault-Rolle „Leser“. Wenn Sie Ihren Key Vault zuvor mit der Rolle Key Vault-Leser eingerichtet haben, stellen Sie sicher, dass Sie die Rolle Key Vault-Secrets-Benutzer hinzufügen, um sicherzustellen, dass Ihre Benutzer Microsoft Dataverse über ausreichende Berechtigungen zum Abrufen der Geheimnisse verfügen.
  • Uns ist bewusst, dass unser Dienst die rollenbasierten Zugriffssteuerungs-APIs von Azure verwendet, um die Sicherheitsrollezuweisung zu bewerten, selbst wenn Sie Ihren Key Vault noch für die Verwendung des Berechtigungsmodells der Vault-Zugriffsrichtlinien konfiguriert haben. Um Ihre Konfiguration zu vereinfachen, empfehlen wir Ihnen, Ihr Vault-Berechtigungsmodell auf die rollenbasierte Zugriffssteuerung von Azure umzustellen. Sie können auf die Registerkarte Zugriffs-Konfiguration zugreifen.

  1. Registrieren Sie den Microsoft.PowerPlatform-Ressourcenanbieter in Ihrem Azure-Abonnement. Befolgen Sie diese Schritte zum Überprüfen und Konfigurieren: Ressourcenanbieter und Ressourcentypen

    Registrieren Sie den Power Platform-Provider in Azure

  2. Erzeugen Sie einen Azure Key Vault-Datenspeicher. Ziehen Sie in Erwägung, für jede Power Platform-Umgebung einen eigenen Vault zu verwenden, um die Bedrohung im Falle eines Einbruchs zu minimieren. Erwägen Sie, Ihren Key Vault so zu konfigurieren, dass die rollenbasierte Zugriffssteuerung in Azure für das Berechtigungsmodell verwendet wird. Weitere Informationen: Bewährte Verfahren für die Verwendung von Azure Key Vault, Schnellstart – Erstellen eines Azure Key Vault mit dem Azure-Portal

  3. Benutzende, die Umgebungsvariablen des Typs Geheimnis erstellen oder verwenden, müssen über die Berechtigung verfügen, den geheimen Inhalt abzurufen. Um neuen Benutzenden die Fähigkeit zu gewähren, das Geheimnis zu verwenden, wählen Sie im Bereich Zugriffssteuerung (IAM)Hinzufügen und dann aus der Dropdownliste Rollenzuweisung hinzufügen aus. Weitere Informationen: Den Zugriff auf Key Vault-Schlüssel, -Zertifikate und -Geheimnisse mit einer rollenbasierten Zugriffssteuerung zu Azure bereitstellen

    Meinen Zugriff in Azure anzeigen

  4. Lassen Sie im Assistenten Rollenzuweisung hinzufügen den Standardzuweisungstyp bei Jobfunktionsrollen und fahren Sie mit der Registerkarte Rolle fort. Suchen Sie die Rolle „Key Vault Geheimnisbenutzer“ und wählen Sie sie aus. Gehen Sie zur Registerkarte „Mitglieder“, wählen Sie den Link Mitglieder auswählen und suchen Sie den Benutzenden im Seitenbereich. Wenn Sie den Benutzenden ausgewählt und im Mitgliederbereich angezeigt haben, fahren Sie mit der Registerkarte „Überprüfen und zuweisen“ fort und schließen Sie den Assistenten ab.

  5. Azure Key Vault muss die Rolle Key Vault Geheimnisbenutzer dem Dataverse-Dienstprinzipal zugewiesen haben. Wenn sie für diesen Tresor nicht vorhanden ist, fügen Sie eine neue Zugriffsrichtlinie mit der gleichen Methode hinzu, die Sie zuvor für die Endbenutzerberechtigung verwendet haben, und verwenden Sie nur die Dataverse Anwendungsidentität anstelle des Benutzenden. Wenn Sie mehrere Dataverse Dienstprinzipale in Ihrem Mandanten haben, empfehlen wir, dass Sie sie alle auswählen und die Rollenzuweisung speichern. Nachdem die Rolle zugewiesen wurde, überprüfen Sie jedes Dataverse Element, das in der Rollenzuweisungsliste aufgeführt ist, und wählen Sie den Dataverse Namen aus, um die Details anzuzeigen. Wenn die Anwendungs-ID nicht 00000007-0000-0000-c000-000000000000** lautet, wählen Sie die Identität und dann Entfernen aus, um sie aus der Liste zu entfernen.

  6. Wenn Sie Azure Key Vault-Firewall aktiviert haben, müssen Sie Power Platform IP-Adressen Zugriff auf Ihren Schlüsseltresor gewähren. Power Platform ist nicht in der Option „Nur vertrauenswürdige Dienste“ enthalten. Wechseln Sie zu Power Platform URLs und IP-Adressbereichen für die aktuellen IP-Adressen, die im Dienst verwendet werden.

  7. Wenn Sie es noch nicht getan haben, fügen Sie Ihrem neuen Vault ein Geheimnis hinzu. Weitere Informationen: Azure Quickstart - Festlegen und Abrufen eines Geheimnisses vom Key Vault über das Azure-Portal

Erstellen Sie eine neue Umgebungsvariable für das Key Vault Geheimnis

Sobald Azure Key Vault konfiguriert ist und Sie ein Geheimnis in Ihrem Vault registriert haben, können Sie es nun innerhalb von Power Apps über eine Umgebungsvariable referenzieren.

Anmerkung

  • Die Validierung des Zugriffs des Benutzers auf das Geheimnis wird im Hintergrund durchgeführt. Wenn Benutzende nicht mindestens über eine Leseberechtigung verfügen, wird dieser Überprüfungsfehler angezeigt: „Diese Variable wurde nicht richtig gespeichert. Der Benutzer ist nicht berechtigt, Geheimnisse aus 'Azure Key Vault-Pfad' zu lesen.
  • Derzeit ist Azure Key Vault der einzige Secret Store, der Umgebungsvariablen unterstützt.
  • Der Azure Key Vault muss sich derselben Umgebung wie Ihr Power Platform-Abonnement befinden.

  1. Melden Sie sich bei Power Apps an und öffnen Sie im Bereich Solutions die nicht verwaltete Lösung, die Sie für die Entwicklung verwenden.

  2. Wählen Sie Neu>Mehr>Umgebungsvariable.

  3. Geben Sie einen Darstellungsnamen und optional eine Beschreibung für die Umgebungsvariable ein.

  4. Wählen Sie als DatentypGeheim und als Secret StoreAzure Key Vault.

  5. Wählen Sie aus den folgenden Optionen:

    • Wählen Sie Neue Azure Key Vault Wertreferenz. Nachdem die Informationen im nächsten Schritt hinzugefügt und gespeichert wurden, wird ein Umgebungsvariablendatensatz Wert erstellt.
    • Erweitern Sie Standardwert anzeigen, um die Felder zum Erstellen eines Standardgeheimnisses für den Azure Key Vault anzuzeigen. Nachdem die Informationen im nächsten Schritt hinzugefügt und gespeichert wurden, wird die Abgrenzung des Standardwerts zum Datensatz der Umgebungsvariablen Definition hinzugefügt.

  6. Geben Sie die folgenden Informationen ein:

    • Azure Abonnement ID: Die mit dem Key Vault verbundene Azure Abonnement ID.

    • Ressourcengruppenname: Die Azure-Ressourcengruppe, in der sich der Key Vault, der das Geheimnis enthält, befindet.

    • Azure Key Vault Name: Der Name des Key Vault, der das Geheimnis enthält.

    • Geheimnisname: Der Name des Geheimnisses, das sich im Azure Key Vault befindet.

      Trinkgeld

      Die ID des Abonnements, den Namen der Ressourcengruppe und den Namen des Key Vault finden Sie auf der Seite Übersicht des Azure Portals zum Key Vault. Den Namen des Geheimnisses finden Sie auf der Seite Key Vault im Azure-Portal, indem Sie Geheimnisse unter Einstellungen auswählen.

  7. Wählen Sie Save (Speichern).

Einen Power Automate-Flow erstellen, um die Umgebungsvariable secret zu testen

Ein einfaches Szenario zur Demonstration der Verwendung eines von Azure Key Vault erhaltenen Geheimnisses ist das Erstellen eines Power Automate-Flows, um das Geheimnis zur Authentifizierung gegenüber einem Webdienst zu verwenden.

Anmerkung

Der URI für den Webdienst in diesem Beispiel ist kein funktionierender Webdienst.

  1. Melden Sie sich bei Power Apps an, wählen Sie Lösungen und öffnen Sie dann die gewünschte nicht verwaltete Lösung. Wenn sich das Element nicht im linken Seitenbereich befindet, wählen Sie …Mehr und dann das gewünschte Element aus.

  2. Wählen Sie Neu>Automation>Cloud-Flow>Direkt.

  3. Geben Sie einen Namen für den Flow ein, wählen Sie Manuell einen Flow auslösen und wählen Sie dann Erstellen.

  4. Wählen Sie Neuer Schritt, markieren Sie den Konnektor Microsoft Dataverse und wählen Sie dann auf der Registerkarte AktionenDurchführen einer ungebundenen Aktion.

  5. Wählen Sie die Aktion RetrieveEnvironmentVariableSecretValue aus der Dropdown-Liste.

  6. Geben Sie den eindeutigen Namen der Umgebungsvariablen an (nicht den Anzeigenamen), den Sie im vorherigen Abschnitt hinzugefügt haben. Für dieses Beispiel wird new_TestSecret verwendet.

  7. Wählen Sie ...>Umbenennen, um die Aktion umzubenennen, damit sie in der nächsten Aktion leichter referenziert werden kann. In diesem Screenshot wurde sie umbenannt in GetSecret.

    Instant Flow Konfiguration zum Testen einer Umgebungsvariablen secret

  8. Wählen Sie ...>Einstellungen, um die Einstellungen der Aktion GetSecret anzuzeigen.

  9. Aktivieren Sie in den Einstellungen die Option Secure Outputs und wählen Sie dann Erledigt. Damit verhindern Sie, dass die Ausgabe der Aktion in der Ausführungshistorie des Flows angezeigt wird.

    Sichere Ausgaben für die Aktion festlegen

  10. Wählen Sie Neuer Schritt, suchen und wählen Sie den Konnektor HTTP.

  11. Wählen Sie die Methode als GET und geben Sie die URI für den Webdienst ein. In diesem Beispiel wird der fiktive Webdienst httpbin.org verwendet.

  12. Wählen Sie Erweiterte Optionen anzeigen, wählen Sie Authentifizierung als Basic und geben Sie dann den Benutzernamen ein.

  13. Markieren Sie das Feld Kennwort und wählen Sie dann auf der Registerkarte Dynamischer Inhalt unter dem obigen Namen des Flow-Schrittes (GetSecret in diesem Beispiel) RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, der dann als Ausdruck outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] oder body('GetSecretTest')['EnvironmentVariableSecretValue'] hinzugefügt wird.

    Erstellen Sie einen neuen Schritt unter Verwendung des HTTP Konnektors

  14. Wählen Sie ...>Einstellungen, um die Einstellungen der Aktion HTTP anzuzeigen.

  15. Aktivieren Sie in den Einstellungen die Optionen Secure Inputs und Secure Outputs, und wählen Sie dann Fertig. Das Aktivieren dieser Optionen verhindert, dass die Eingabe und Ausgaben der Aktion in der Ausführungshistorie des Flows angezeigt werden.

  16. Wählen Sie Speichern, um den Flow zu erstellen.

  17. Führen Sie den Flow manuell aus, um ihn zu testen.

    Anhand der Ausführungshistorie des Flows können die Ausgaben überprüft werden.

    Flow-Ausgabe

Umgebungsvariablen-Geheimnisse in Microsoft Copilot Studio

Geheimnisse von Umgebungsvariablen in Microsoft Copilot Studio funktionieren etwas anders. Sie müssen die Schritte in den Abschnitten unter Konfigurieren von Azure Key Vault und Erstellen einer neuen Umgebungsvariablen für das Key Vault-Geheimnis ausführen, um Geheimnisse mit Umgebungsvariablen zu verwenden.

Copilot Studio Azure Key Vault-Zugriff gewähren

Führen Sie diese Schritte aus:

  1. Kehren Sie zu Ihrem Azure Key Vault zurück.

  2. Copilot Studio benötigt Zugriff auf den Schlüsseltresor. Um Copilot Studio die Möglichkeit zu gewähren, das Geheimnis zu verwenden, wählen Sie im linken Navigationsbereich Zugriffssteuerung (IAM), dann Hinzufügen, und dann Rollenzuweisung hinzufügen aus.

    Meinen Zugriff in Azure anzeigen

  3. Wählen Sie die Rolle Key Vault-Geheimnisse Benutzer aus und dann Weiter.

  4. Wählen Sie "Mitglieder auswählen", suchen Sie nach Microsoft Copilot Studio Service, wählen Sie ihn aus, und wählen Sie dann "Auswählen" aus.

  5. Wählen Sie unten rechts auf dem Bildschirm Überprüfen und zuweisen aus. Überprüfen Sie die Informationen, und wählen Sie erneut Überprüfen + zuweisen aus , wenn alles korrekt ist.

Fügen Sie ein Tag hinzu, um einem Copilot den Zugriff auf das Geheimnis in Azure Key Vault zu ermöglichen

Nachdem Sie die vorherigen Schritte in diesem Abschnitt ausgeführt haben, hat Copilot Studio jetzt Zugriff auf den Azure Key Vault, aber Sie können ihn noch nicht verwenden. Um die Aufgabe abzuschließen, folgen Sie diesen Schritten:

  1. Gehen Sie zu Microsoft Copilot Studio und öffnen Sie den Agent, den Sie für den geheimen Schlüssel der Umgebungsvariablen verwenden möchten, oder erstellen Sie einen neuen.

  2. Öffnen Sie ein Agentthema oder erstellen Sie ein Neues.

  3. Wählen Sie das +-Symbol, um einen Knoten hinzuzufügen und wählen Sie dann eine Nachricht senden aus.

  4. Wählen Sie die Option Variable {x} einfügen im Knoten Eine Nachricht senden.

  5. Wählen Sie die Registerkarte Umgebung aus. Wählen Sie die Umgebungsvariable aus, die Sie im Schritt Neue Umgebungsvariable für das Key Vault-Schlüssel-Geheimnis erstellt haben.

  6. Klicken Sie auf Speichern, um Ihr Thema zu speichern.

  7. Testen Sie im Testbereich Ihr Thema, indem Sie eine der Startphrasen des Themas verwenden, in dem Sie gerade den Nachricht senden Knoten mit dem Umgebungsvariablen-Geheimnis hinzugefügt haben. Es sollte ein Fehler auftreten, der wie folgt aussieht:

    Fehlermeldung: Bot darf Umgebungsvariable nicht verwenden. Um den Bot zur Liste der zugelassenen Bots hinzuzufügen, fügen Sie das Tag AllowedBots mit Wert hinzu.

    Dies bedeutet, dass Sie zu Azure Key Vault zurückkehren und das Geheimnis bearbeiten müssen. Lassen Sie Copilot Studio offen, denn Sie kommen später wieder hierher.

  8. Gehen sie zum Azure Key Vault. Wählen Sie im linken Navigationsbereich unter ObjekteGeheinmis aus. Wählen Sie das Geheimnis aus, das Sie in Copilot Studio verfügbar machen möchten, indem Sie den Namen auswählen.

  9. Wählen Sie die Version des Geheimnisses aus.

  10. Wählen Sie neben Tags0 Tags aus. Fügen Sie einen Tag-Namen und einen Tag-Wert hinzu. Die Fehlermeldung in Copilot Studio sollte Ihnen die genauen Werte dieser beiden Eigenschaften geben. Unter Tag-Name müssen Sie AllowedBots hinzufügen und unter Tag-Wert müssen Sie den Wert hinzufügen, der in der Fehlermeldung angezeigt wurde. Dieser Wert wird formatiert als {envId}/{schemaName}. Wenn mehrere Copilots zulässig sein müssen, trennen Sie die Werte durch ein Komma. Wählen Sie dann OK.

  11. Wählen Sie Übernehmen aus, um das Tag auf das Geheimnis anzuwenden.

  12. Kehren Sie zu Copilot Studio zurück. Wähen Sie im Bereich Copilot testenAktualisieren aus.

  13. Testen Sie das Thema im Testbereich erneut, indem Sie eine der Startphrasen des Themas verwenden.

Der Wert Ihres Geheimnisses sollte im Testfenster angezeigt werden.

Fügen Sie ein Tag hinzu, um allen Copiloten in einer Umgebung Zugriff auf das Geheimnis in Azure Key Vault zu gewähren

Alternativ können Sie allen Copiloten in einer Umgebung Zugriff auf das Geheimnis in Azure Key Vault gewähren. Um die Aufgabe abzuschließen, folgen Sie diesen Schritten:

  1. Gehen sie zum Azure Key Vault. Wählen Sie im linken Navigationsbereich unter ObjekteGeheinmis aus. Wählen Sie das Geheimnis aus, das Sie in Copilot Studio verfügbar machen möchten, indem Sie den Namen auswählen.
  2. Wählen Sie die Version des Geheimnisses aus.
  3. Wählen Sie neben Tags0 Tags aus. Fügen Sie einen Tag-Namen und einen Tag-Wert hinzu. Fügen Sie unter TagnameAllowedEnvironments hinzu, und fügen Sie unter Tag-Wert die Umgebungs-ID der Umgebung hinzu, die Sie zulassen möchten. Wählen Sie dann OK
  4. Wählen Sie Übernehmen aus, um das Tag auf das Geheimnis anzuwenden.

Einschränkung

Umgebungsvariablen, die auf Azure Key Vault-Geheimnisse verweisen, sind derzeit auf die Verwendung mit Power Automate Flows, Copilot Studio Agenten und benutzerdefinierten Konnektoren beschränkt.

Die Verwendung von Azure Key Vault-Geheimnissen mit Umgebungsvariablen erfordert, dass Sie Azure Key Vault so konfigurieren, dass Power Platform die spezifischen Geheimnisse lesen kann, auf die Sie verweisen möchten. Diese Funktion ermöglicht die Unterstützung von Umgebungsvariablen mit Azure Key Vault-Geheimnissen, die über eine private Verbindung verbunden werden, wodurch die Sicherheit erhöht und eine robustere Integration bereitgestellt wird.

  1. Richten Sie die Azure Virtual Networt-Unterstützung für Power Platform ein, um Umgebungsvariablen in Azure Key Vault-Geheimnisse zu integrieren, ohne sie dem öffentlichen Internet zur Verfügung zu stellen. Ausführliche Anweisungen finden Sie unter Einrichten des virtuellen Netzwerks.

  2. Stellen Sie sicher, dass sich das Azure Abonnement für Key Vault und Power Platform Virtual Network im selben Mandanten befindet, da die mandantenübergreifende Integration nicht unterstützt wird.

  3. Stellen Sie sicher, dass der Benutzer, der die Umgebungsvariablen erstellt, über die entsprechenden Berechtigungen für die Azure Key Vault-Ressource verfügt. Weitere Informationen finden Sie unter Konfigurieren des Azure Key Vault

  4. Erstellen Sie einen Key Vault und stellen Sie eine private Verbindung her. Die Schritte zum Erstellen des Key Vaults sollten die folgenden Aktionen umfassen:

    • Deaktivieren Sie den öffentlichen Zugriff.
    • Erstellen sie einen privaten Endpunkt.
    • Wählen Sie das virtuelle Netzwerk und Subnetz aus, in dem dieser private Endpunkt erstellt werden soll. Stellen Sie sicher, dass Sie das Virtual Network (virtuelles Netzwerk) verbinden, das an Power Platform delegiert wurde.
    • Überprüfen Sie die Private Link-Konnektivität.

    Die ausführlichen Schritte finden Sie unter Einrichten des virtuellen Netzwerks für Power Platform.

  5. Erstellen Sie Umgebungsvariablen-Geheimnisse, indem Sie eine Verknüpfung zum Azure Key Vault herstellen.

Siehe auch

Datenquellen-Umgebungsvariablen in Canvas-Apps verwenden
Umgebungsvariablen in Power Automate-Lösungs-Cloud-Flows verwenden
Überblick über Umgebungsvariablen.

  • Last updated on