本节概述了与托管 RPA(机器人流程自动化)相关的最佳实践和常见问题。 介绍了托管计算机和托管计算机组配置、维护和管理、自定义虚拟机(VM)图像、访问和安全等方面的内容。
功能总结
| 特性 | 托管计算机 | 托管计算机组 |
|---|---|---|
| Description | 托管机器为开发人员提供了一个构建、测试和部署桌面流的简单设置,支持有人参与和无人参与模式,并具有通过机器组实现强大自动化的可扩展性。 | 托管计算机组通过动态配置虚拟机来处理需求高峰,优化资源分配,并通过基于实时需求在多个进程之间平衡机器人容量来降低成本,从而提供可扩展的无人参与自动化。 |
| 通过 Azure 计算库自定义虚拟机映像 | 受支持 | 受支持 |
| 通过 Azure 虚拟网络自定义 VNET | 受支持 | 受支持 |
| 设备联接类型 | • Microsoft Entra 连接 • Microsoft Entra 混合连接 |
• Microsoft Entra 连接 • Microsoft Entra 混合连接(预览) |
| 用户帐户 | • 工作或学校帐户 | • 工作或学校帐户 • 本地账户 |
| 设备管理 | • Intune • 基于 Active Directory(AD)的组策略(GPO),条件是使用 Microsoft Entra 混合型联接 • 条件访问政策 |
• 条件访问政策 |
实施清单
| 阶段 | 清单 | Description |
|---|---|---|
| 安装 | • 许可 • 虚拟机镜像要求 • 网络要求 • 设备加入要求 • 环境要求 |
• 许可:请参阅许可部分了解托管虚拟机的许可方式以及项目所需的虚拟机数量。 • 虚拟机镜像要求:如果您运行的是 Web 自动化,那么 Microsoft 提供的 vanilla 虚拟机镜像可能就足够了。 如果您需要特定的桌面应用程序作为桌面流自动化的一部分,那么您可以考虑使用自定义虚拟机映像或使用 Intune 等设备管理工具通过策略安装所需的桌面应用程序。 • 网络要求:如果需要访问内部资源,或希望使用 Azure 防火墙或网络安全组 (NSG) 管理托管虚拟机的入站和出站流量,则需要配置自定义网络连接。 • 设备加入要求:默认情况下,所有托管虚拟机都已 Microsoft Entra 加入。 如果自动化要求设备加入 Active Directory (AD) 域,则需要配置 Microsoft Entra 混合加入。 |
| 治理 | • 权限 • 设备管理 • 安全性 • 容量管理 |
请参阅管理部分 了解 IT 和卓越中心 (COE) 管理员如何管理托管虚拟机的使用。 |
| 维护 | • 更新 • 监控 |
请参阅维护和管理部分,了解 IT 和卓越中心 (COE) 管理员如何确保托管虚拟机跟上最新的安全补丁和桌面自动化要求,以及如何对其进行监控。 |
许可
托管 RPA 需要 Power Automate 托管流程 许可证(Power Automate 定价)( Power Automate 以前称为托管 RPA 加载项)。 每个 Power Automate 托管进程容量可以供应一台托管计算机,或者用作跨托管计算机组的共享容量。
例如,具有 20 Power Automate 托管进程容量的环境可以这样使用:
- 10 台托管计算机
- 三个主机组共享 10 个机器人。 请参阅负载平衡托管计算机组。
在 Power Automate 许可页面了解有关许可的更多信息。
治理
卓越中心 (COE) 管理员控制用户对 Power Automate 的托管 RPA 解决方案中特定资源的访问。 了解更多与托管 RPA 解决方案相关的基于安全角色的权限,该解决方案利用 Microsoft Dataverse 使用安全角色、团队和业务单元的强制执行,通过权限和行级访问控制来控制对表、字段和记录的访问。
IT 和 COE 管理员拥有管理托管虚拟机的必要工具:
| 工具 | Description | 支持的场景 |
|---|---|---|
| Microsoft Intune | 通过 Intune,您可以创建适用于这些设备的策略,确保它们符合组织的策略。 | • 托管计算机 |
| 基于 Active Directory(AD)的组策略(GPO),条件是使用 Microsoft Entra 混合型联接 | 混合加入的设备可以利用 GPO 进行配置和策略管理,从而允许管理员像应用任何其他已加入域的设备一样应用 GPO。 | • 托管计算机 |
| 条件访问政策 | Microsoft Entra ID(原 Azure AD)中的条件访问策略是一种根据特定条件执行访问要求的安全功能。 它的结构为“if-then”语句,其中赋值定义条件(谁、什么和在哪里),访问控制指定要执行的操作(例如,授予或阻止访问权限)。 | • 托管计算机 • 托管计算机组 |
COE 管理员还可以使用托管流程容量利用率控制面板来监控和管理环境中托管 RPA 解决方案的使用情况。
自定义 VM 映像
将自定义 VM 图像用于托管虚拟机,以创建一致且定制的环境。 自定义 VM 图像包括预配置的应用程序、安全设置以及性能优化,以支持自动化和合规性需求。
更新 VM 图像:由于托管计算机是持久虚拟机,建议在设置后定期修补和更新。 对于托管计算机组,您可以按照以下更新说明更新自定义虚拟机映像。 查看维护和管理指南,了解有关保持托管虚拟机最新的更多信息。
删除虚拟机映像:Power Automate 防止用户从 Power Automate 门户删除虚拟机映像,如果它们当前正被托管计算机或托管计算机组使用。 但是,仍然可以直接从 Azure Compute Gallery 中删除虚拟机映像,如果正在调配托管的虚拟机,这将失败。
自定义网络连接
自定义网络连接将托管的虚拟机连接到虚拟网络。 它可在托管计算机、Internet 和内部部署网络之间实现安全通信,从而提供对通信的完全控制。
备注
确保能够访问所需的服务终结点:
- Power Automate 服务端点
- 对于托管计算机,请参考 Windows 365 服务、Azure 虚拟桌面会话主机虚拟机、Microsoft Intune 服务和物理设备网络连接的具体要求。
维护和更新
妥善维护和更新托管虚拟机可确保顺利运行。 当使用 Microsoft 提供的默认虚拟机映像配置托管计算机或托管计算机组时,这些映像会按照 Windows 服务和交付安全修补程序发布计划每月自动更新一次。
更新托管虚拟机的选项
托管计算机。 使用 Intune 通过应用策略来管理设备,确保符合贵组织的要求。 例如,确保设备定期更新最新的安全补丁。
托管计算机组。 由于托管计算机组被视为无状态计算机组,因此会基于指定的 VM 图像设置它们。 当您使用自定义虚拟机映像时,请使用 Azure 虚拟机映像构建器等工具将映像构建流程与您现有的 DevOps 管道相集成。
杂项
关于托管 RPA 的其他信息:
- 用于 Microsoft Edge 的通用注册表自定义设置。 由于使用 Microsoft Edge 的基于 web 的自动化是一种常见的自动化场景,因此在启动行为、密码管理和弹出窗口处理等方面定义 Microsoft Edge 行为可能会很有用。 使用 Microsoft Edge 浏览器策略进行配置,可通过应用于自定义 VM 图像的注册表设置来强制进行配置。