Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As variáveis de ambiente permitem referenciar segredos armazenados no Azure Key Vault. Esses segredos são então disponibilizados para uso nos fluxos e nos conectores personalizados do Power Automate. Observe que os segredos não estão disponíveis para uso em outras personalizações ou de forma geral por meio da API.
Os segredos reais são armazenados no Azure Key Vault e a variável de ambiente faz referência ao local do segredo do cofre de chaves. O uso de segredos do Azure Key Vault com variáveis de ambiente exige a configuração do Azure Key Vault para que o Power Platform possa ler os segredos específicos que você deseja referenciar.
As variáveis de ambiente que fazem referência a segredos não estão atualmente disponíveis no seletor de conteúdo dinâmico para uso em fluxos do Power Automate.
Configurar o Azure Key Vault
Para usar segredos do Azure Key Vault com o Power Platform, a assinatura do Azure que tem o cofre deve ter o provedor de recursos PowerPlatform registrado e o usuário que cria a variável de ambiente deve ter as permissões apropriadas para o recurso do Azure Key Vault.
Importante
- Há alterações recentes na função de segurança usada para declarar permissões de acesso no Azure Key Vault. As instruções anteriores incluíam a atribuição da função Key Vault Reader. Se você configurou seu cofre de chaves anteriormente com a função Key Vault Reader, certifique-se de adicionar a função UKey Vault Secrets User para garantir que seus usuários tenham permissão suficiente do Microsoft Dataverse para recuperar os segredos.
- Reconhecemos que nosso serviço está usando as APIs de controle de acesso baseadas em funções do Azure para avaliar a atribuição de direito de acesso, mesmo que você ainda tenha seu Key Vault configurado para usar o modelo de permissão de política de acesso ao cofre. Para simplificar a configuração, recomendamos que você mude seu modelo de permissão de cofre para o controle de acesso baseado em função do Azure. Você pode fazer isso na guia Configuração de acesso.
Registre o provedor de recursos
Microsoft.PowerPlatformna sua assinatura do Azure. Siga estas etapas para verificar e configurar: Provedores e tipos de recursos
Crie um cofre do Azure Key Vault. Considere o uso de um cofre separado para cada ambiente do Power Platform a fim de minimizar a ameaça em caso de violação. Considere configurar seu Key Vault para usar o controle de acesso baseado em função do Azure para o modelo de permissão. Mais informações: Melhores práticas para uso do Azure Key Vault, Início Rápido – Criar um Azure Key Vault com o portal do Azure
Os usuários que criam ou usam variáveis de ambiente do tipo segredo devem ter permissão para recuperar o conteúdo do segredo. Para conceder a um novo usuário a capacidade de usar o segredo, selecione a área Controle de acesso (IAM), selecione Adicionar e selecione Adicionar atribuição de função no menu suspenso. Mais informações: Forneça acesso a chaves, certificados e segredos do Key Vault com um controle de acesso baseado em função do Azure
No assistente Adicionar atribuição de função, deixe o tipo de atribuição padrão como Funções de atribuição de trabalho e continue para a guia Função. Localize a função Key Vault Secrets User e selecione-a. Vá para a guia de membros, selecione o link Selecionar membros e localize o usuário no painel lateral. Quando tiver o usuário selecionado e exibido na seção de membros, vá para a guia revisar e atribuir e conclua o assistente.
O Azure Key Vault deve ter a função Key Vault Secrets User concedida à entidade de serviço Dataverse. Se não existir para este cofre, adicione uma nova política de acesso com o mesmo método usado anteriormente para a permissão do usuário final, usando apenas a identidade da aplicação Dataverse em vez do usuário. Se você tiver várias entidades de serviço Dataverse em seu locatário, recomendamos que selecione todas elas e salve a atribuição de função. Assim que a função for atribuída, revise cada item listado no Dataverse na lista de atribuições de função e selecione o nome Dataverse para visualizar os detalhes. Se a ID do Aplicativo não for 00000007-0000-0000-c000-000000000000**, selecione a identidade e escolha Remover para removê-la da lista.
Se você ativou o Firewall do Azure Key Vault, será necessário permitir o acesso de endereços IP do Power Platform ao seu cofre de chaves. O Power Platform não está incluído na opção "Somente Serviços Confiáveis". Vá para URLs e intervalos de endereços do Power Platform para os endereços IP atuais usados no serviço.
Se ainda não o fez, adicione um segredo ao seu novo cofre. Mais informações: Início Rápido do Azure - Definir e recuperar um segredo do Key Vault usando o portal do Azure
Criar uma nova variável de ambiente para o segredo do Key Vault
Depois que o Azure Key Vault estiver configurado e você tiver um segredo registrado no seu cofre, será possível referenciá-lo no Power Apps usando uma variável de ambiente.
Observação
- A validação de acesso do usuário para o segredo é executada em segundo plano. Se o usuário não tiver, pelo menos, permissão de leitura, este erro de validação será exibido: "Esta variável não foi salva corretamente. O usuário não está autorizado a ler segredos do caminho do 'Azure Key Vault'.
- Atualmente, o Azure Key Vault é o único repositório de segredos com suporte para variáveis de ambiente.
- O Azure Key Vault deve estar no mesmo locatário que sua assinatura do Power Platform.
Entre no Power Apps, e na área Soluções, abra a solução não gerenciada que você está usando para desenvolvimento.
Selecione Novo>Mais>Variável de ambiente.
Insira um Nome de exibição e, opcionalmente, uma Descrição para a variável de ambiente.
Selecione o Tipo de Dados como Segredo e Repositório de Segredos como Azure Key Vault.
Escolha entre as seguintes opções:
- Selecione Nova referência de valor do Azure Key Vault. Depois que as informações forem adicionadas na próxima etapa e salvas, o registro valor de uma variável de ambiente será criado.
- Expanda Mostrar valor padrão para exibir os campos a fim de criar um Segredo Padrão do Azure Key Vault. Depois que as informações forem adicionadas na próxima etapa e salvas, a demarcação do valor padrão será adicionada ao registro definição da variável de ambiente.
Insira as seguintes informações:
ID da Assinatura do Azure: a ID da assinatura do Azure associada ao cofre de chaves.
Nome do Grupo de Recursos: o grupo de recursos do Azure onde está localizado o cofre de chaves que contém o segredo.
Nome do Azure Key Vault: o nome do cofre de chaves que contém o segredo.
Nome do Segredo: o nome do segredo localizado no Azure Key Vault.
Dica
A ID da assinatura, o nome do grupo de recursos e o nome do cofre de chaves podem ser encontrados na página Visão geral do cofre de chaves no portal do Azure. O nome do segredo pode ser encontrado na página do cofre de chaves no portal do Azure selecionando Segredos em Configurações.
Selecione Salvar.
Criar um fluxo do Power Automate para testar o segredo da variável de ambiente
Um cenário simples para demonstrar como usar um segredo obtido do Azure Key Vault é criar um fluxo do Power Automate para usar o segredo na autenticação em um serviço Web.
Observação
O URI do serviço Web neste exemplo não é um serviço Web funcional.
Entre no Power Apps, selecione Soluções e abra a solução não gerenciada desejada. Se o item não estiver no painel lateral, selecione …Mais e selecione o item desejado.
Selecione Novo>Automação>Fluxo da nuvem>Instantâneo.
Insira um nome para o fluxo, selecione Disparar um fluxo manualmente e, em seguida, selecione Criar.
Selecione Nova etapa, selecione o conector Microsoft Dataverse e, em seguida, na guia Ações, selecione Executar uma ação não associada.
Selecione a ação denominada RetrieveEnvironmentVariableSecretValue na lista suspensa.
Forneça o nome exclusivo da variável de ambiente (não o nome de exibição) adicionado na seção anterior, para este exemplo, new_TestSecret é usado.
Selecione ...>Renomear para renomear a ação de modo que ela possa ser referenciada mais facilmente na próxima ação. Nesta captura de tela, é renomeado como GetSecret.
Selecione ...>Configurações para exibir as configurações da ação GetSecret.
Habilite a opção Saídas Seguras nas configurações e, em seguida, selecione Concluído. Isso é para evitar que a saída da ação seja exposta no histórico de execuções do fluxo.
Selecione Nova etapa, pesquise e selecione o conector HTTP.
Selecione o Método como GET e insira o URI para o serviço Web. Neste exemplo, o serviço Web fictício httpbin.org é usado.
Selecione Mostrar opções avançadas, defina a Autenticação como Básica e, em seguida, insira o Nome de usuário.
Selecione o campo Senha e, em seguida, na guia Conteúdo dinâmico sob o nome da etapa do fluxo acima (GetSecret neste exemplo), selecione RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, que é então adicionado como uma expressão
outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue']oubody('GetSecretTest')['EnvironmentVariableSecretValue'].
Selecione ...>Configurações para exibir as configurações da ação HTTP.
Habilite as opções Entradas Seguras e Saídas Seguras nas configurações e, em seguida, selecioneConcluído. A habilitação dessas opções evita que a entrada e as saídas da ação sejam expostas no histórico de execuções do fluxo.
Selecione Salvar para criar o fluxo.
Execute o fluxo manualmente para testá-lo.
Usando o histórico de execuções do fluxo, as saídas podem ser verificadas.
Use segredos da variável de ambiente no Microsoft Copilot Studio
Os segredos das variáveis de ambiente no Microsoft Copilot Studio funcionam de maneira um pouco diferente. Você precisa executar as etapas nas seções em Configurar o Azure Key Vault e Criar uma nova variável de ambiente para o segredo do Azure Key Vault para usar segredos com variáveis de ambiente.
Fornecer acesso do Copilot Studio ao Azure Key Vault
Siga as etapas a seguir:
Voltar para seu Azure Key Vault.
O Copilot Studio precisa acessar o cofre de chaves. Para conceder ao Copilot Studio a capacidade de usar o segredo, selecione Controle de acesso (IAM) na navegação à esquerda, selecione Adicionar e, em seguida, selecione Adicionar atribuição de função.
Selecione a função Usuário de Segredos do Key Vault, e selecione Avançar.
Selecione Selecionar Membros, pesquise o Microsoft Copilot Studio Service, selecione-o e, em seguida, escolha Selecionar.
Selecione Revisar + atribuir na parte inferior direita da tela. Revise as informações e selecione Revisar + atribuir novamente se tudo estiver correto.
Adicionar uma marca para permitir que um copiloto acesse o segredo de acesso no Azure Key Vault
Ao concluir as etapas anteriores nesta seção, o Copilot Studio agora tem acesso ao Azure Key Vault, mas você ainda não pode usá-lo. Para concluir a tarefa, siga estas etapas:
Acesse Microsoft Copilot Studio e abra o agente que você deseja usar para o segredo de acesso da variável de ambiente ou crie um novo.
Abra um tópico do agente ou crie um novo.
Selecione o ícone + para adicionar um nó e selecione Enviar uma mensagem.
Selecione a opção Inserir variável {x} no nó Enviar uma mensagem.
Selecione a guia Ambiente. Selecione o segredo da variável de ambiente que você criou na etapa Criar uma nova variável de ambiente para o segredo do Key Vault.
Selecione Salvar para salvar seu tópico.
No painel de teste, teste seu tópico usando uma das frases de início do tópico em que você acabou de adicionar o nó Enviar uma mensagem com o segredo da variável de ambiente. Você deve encontrar um erro semelhante a este:
Isso significa que você precisa voltar ao Azure Key Vault e editar o segredo. Deixe o Copilot Studio em aberto, porque você volta aqui mais tarde.
Acesse o Azure Key Vault. No painel de navegação à esquerda, selecione Segredos em Objetos. Selecione o segredo que você deseja disponibilizar no Copilot Studio selecionando o nome.
Selecione a versão do segredo.
Selecione 0 tags ao lado de Marcas. Adicione um Nome da Marca e um Valor da Marca. A mensagem de erro no Copilot Studio deve fornecer os valores exatos dessas duas propriedades. Em Nome da Marca, você precisa adicionar AllowedBots e em Valor da Marca, você precisa adicionar o valor que foi exibido na mensagem de erro. Esse valor é formatado como
{envId}/{schemaName}. Se houver vários copilotos que precisam ser permitidos, separe os valores com uma vírgula. Ao concluir, selecione OK.Selecione Aplicar para aplicar a marca ao segredo.
Volte para o Copilot Studio. Selecione Atualizar no painel Testar seu copiloto.
No painel de teste, teste seu tópico novamente usando uma das frases iniciais do tópico.
O valor do seu segredo deve ser mostrado no painel de teste.
Adicione uma marca para permitir que todos os copilotos em um ambiente acessem o segredo no Azure Key Vault
Como alternativa, você pode permitir que todos os copilotos em um ambiente acessem o segredo no Azure Key Vault. Para concluir a tarefa, siga estas etapas:
- Acesse o Azure Key Vault. No painel de navegação à esquerda, selecione Segredos em Objetos. Selecione o segredo que você deseja disponibilizar no Copilot Studio selecionando o nome.
- Selecione a versão do segredo.
- Selecione 0 tags ao lado de Marcas. Adicione um Nome da Marca e um Valor da Marca. Em Nome da Marca, adicione AllowedEnvironments e, em Valor da Marca, adicione a ID do ambiente que você deseja permitir. Ao concluir, selecione OK
- Selecione Aplicar para aplicar a marca ao segredo.
Limitação
As variáveis de ambiente que fazem referência aos segredos do Azure Key Vault estão atualmente limitadas para uso com fluxos do Power Automate, agentes do Copilot Studio e conectores personalizados.
Integrar o link privado do Cofre de Chaves Azure com variáveis de ambiente
O uso de segredos do Azure Key Vault com variáveis de ambiente exige a configuração do Azure Key Vault para que o Power Platform possa ler os segredos específicos que você deseja referenciar. Esse recurso permite suporte a variáveis de ambiente com segredos do Cofre de Chaves Azure conectando-se por meio de um link privado, aumentando a segurança e fornecendo uma integração mais robusta.
Configure o suporte à Rede Virtual Azure para o Power Platform integrar variáveis de ambiente com segredos do Azure Key Vault sem expô-las à Internet pública. Para obter instruções detalhadas, vá para configurar a rede virtual.
Verifique se a assinatura Azure do Key Vault e da Rede Virtual do Power Platform está no mesmo locatário, pois não há suporte para a integração entre locatários.
Certifique-se de que o usuário que cria as variáveis de ambiente tenha permissões apropriadas para o recurso Key Vault Azure. Para obter mais detalhes, vá para Configurar o Key Vault Azure
Crie um cofre de chaves e estabeleça uma conexão de link privado. As etapas para criar o cofre de chaves devem incluir as seguintes ações:
- Desative o acesso público.
- Criar um ponto de extremidade privado
- Selecione a rede virtual e a sub-rede onde você deseja que esse ponto de extremidade privado seja criado. Certifique-se de conectar a Rede Virtual (rede virtual) delegada ao Power Platform.
- Valide a conectividade do link privado.
Para obter etapas detalhadas, acesse Configurar suporte da Rede Virtual para o Power Platform.
Crie segredos de variáveis de ambiente vinculando ao Azure Key Vault.
Consultar também
Usar variáveis de ambiente de fonte de dados em aplicativos de tela
Usar variáveis de ambiente em fluxos da nuvem de solução do Power Automate
Visão geral de variáveis de ambiente.