Nota
L'accés a aquesta pàgina requereix autorització. Podeu provar d'iniciar la sessió o de canviar els directoris.
L'accés a aquesta pàgina requereix autorització. Podeu provar de canviar els directoris.
A partir de juny de 2025, qualsevol flux compartit amb un usuari que no sigui membre de l'entorn serà inaccessible per a aquest usuari. Aquest canvi important requereix Power Automate que els usuaris siguin membres d'un entorn per accedir als fluxos d'aquest entorn. Aquest canvi millora la seguretat aplicant els límits de l'entorn. Tanmateix, afecta les organitzacions que tenen fluxos compartits en diferents entorns, per exemple, un propietari de flux que afegeix algú de fora de l'entorn com a copropietari o usuari només d'execució.
Per complir la nova política, Power Platform els administradors han d'identificar els fluxos compartits amb usuaris fora del seu entorn i ajustar la configuració de compartició d'aquests fluxos. Aquest article proporciona un enfocament estructurat per fer-ho.
Aquest article us ajuda a fer el següent:
- Identifiqueu els fluxos compartits amb usuaris externs (usuaris que no formen part de l'entorn del flux).
- Ajusteu l'ús compartit i l'accés per a aquests fluxos per garantir la continuïtat (per exemple, afegiu usuaris adequats als entorns i utilitzeu l'accés només d'execució).
Aquest article permet Power Platform als administradors abordar de manera preventiva els problemes d'ús compartit abans de l'aplicació del juny de 2025. També pot ajudar a establir una governança per gestionar l'ús compartit de fluxos de manera segura en el futur. Per il·lustrar els punts clau, aquest article inclou exemples reals i instruccions pas a pas.
Obteniu informació sobre les pràctiques recomanades per administrar fluxos compartits a Compartir un flux al núvol.
Identificar fluxos compartits amb usuaris fora del seu entorn
El primer pas és inventariar tots els fluxos del núvol i els seus usuaris compartits a cada entorn i, a continuació, identificar quins fluxos tenen accions compartides amb usuaris externs, usuaris que no són membres d'aquest entorn. Power Automate Els fluxos es poden crear de dues maneres: com a fluxos normals (no de solució) o com a fluxos conscients de la solució (part d'una Dataverse solució). Tots dos resideixen en un entorn i tots dos necessiten revisió. Les seccions següents descriuen mètodes per identificar fluxos compartits externament.
Power Platform Centre d'administració: mètode GUI
Els administradors de l'entorn poden utilitzar el centre d'administració Power Platform per a una auditoria visual.
Al Power Platform centre d'administració, seleccioneu Administra>entorns > (el vostre entorn) >Fluxos de> recursos.
A mostra tots els fluxos de l'entorn, juntament amb una columna Propietaris .
Per a cada flux, inspeccioneu els propietaris. Si un flux té diversos propietaris (creador i copropietaris), es comparteix. Compareu aquests propietaris amb els membres coneguts de l'entorn. Per exemple, compareu el grup de seguretat o la llista d'usuaris d'aquest entorn.
Marca els fluxos on un propietari o copropietari que no és un membre de l'entorn esperat. Per exemple, si l'entorn del departament A només ha de contenir usuaris del departament A, però veieu un copropietari del departament B, aquest flux es comparteix amb un extern. És possible que hàgiu de seleccionar el nom d'un propietari per veure'n els detalls o fer referències creuades amb el directori d'usuari del vostre entorn.
Avantatges del centre d'administració Power Platform : mètode GUI
Power Platform El centre d'administració proporciona una interfície fàcil d'utilitzar i permet filtrar i ordenar els fluxos per nom o propietari. Podeu detectar ràpidament desajustaments evidents si sabeu quins equips i usuaris pertanyen a l'entorn.
Contres del centre d'administració Power Platform : mètode GUI
Aquest mètode és manual i no s'escala bé per a molts fluxos. Heu de verificar individualment els propietaris, cosa que pot requerir molt de temps per a entorns grans. Pot ser difícil comprovar directament la pertinença a l'entorn des de la interfície d'usuari.
Script del PowerShell: mètode automatitzat
Per a una auditoria sistemàtica i repetible, Power Automate ofereix cmdlets administratius del PowerShell per llistar els fluxos i els seus propietaris. Aquest enfocament és potent per a l'anàlisi massiva en entorns grans o inquilins sencers. Podeu escriure el procés per generar tots els fluxos i ressaltar les comparticions externes.
Per exemple, aquest script s'utilitza Get-AdminFlow per recuperar tots els fluxos i, per Get-AdminFlowOwnerRole a cada flux, per enumerar els seus propietaris i les seves funcions. La sortida enumera el nom de cada flux i una vinyeta de Owner: [User], Role: [Owner/Co-owner]. Podeu redirigir aquesta sortida a un fitxer o processar-la més.
A continuació, determineu els recursos compartits externs: compareu el nom principal d'usuari (UPN) de cada propietari amb el conjunt d'usuaris que són membres de l'entorn. Qualsevol propietari l'UPN del qual no estigui a la llista d'usuaris o al grup de seguretat de l'entorn indica un recurs compartit . A la pràctica, podríeu:
- Exporteu la llista de propietaris de fluxos des de l'script anterior i la llista d'usuaris de l'entorn i, a continuació, utilitzeu l'Excel o un script per trobar diferències, o
- Milloreu l'script del PowerShell per comprovar amb els usuaris de l'entorn
Get-AdminEnvironmentUser.
Avantatges de l'script PowerShell: mètode automatitzat
Aquest mètode és automatitzat i complet. Pot enumerar centenars o milers de fluxos ràpidament i es pot programar per a informes. Podeu executar-lo en una programació com ara mensualment, per detectar noves accions externes.
Contres de l'script del PowerShell: mètode automatitzat
Requereix familiaritat amb PowerShell i privilegis d'administrador. A més, la sortida en brut mostra UPN i ID d'objecte. Cal interpretar quins estan fora de l'entorn i requereix una mica d'anàlisi. Tanmateix, això és senzill si coneixeu el domini d'usuari del vostre entorn o teniu una llista de membres de l'entorn.
Kit d'eines del Centre d'Excel·lència (CoE): mètode del tauler
Si la vostra organització utilitza el kit Power Platform d'inici del centre d'excel·lència, proporciona Power BI escriptoris digitals i informes que inclouen mètriques compartides. L'inventari de fluxos del CoE pot ressaltar fluxos que tenen propietaris convidats o propietaris fora del grup de seguretat normal de l'entorn. Per exemple, l'escriptori digital del CoE pot tenir un informe de fluxos amb diversos propietaris o fluxos compartits amb usuaris convidats. Podeu aprofitar aquestes estadístiques per trobar fluxos amb compartició anormal.
Avantatges del conjunt d'eines del Centre d'Excel·lència (CoE): mètode del tauler
Informes centralitzats i visuals que ja podrien estar agregant dades de l'entorn. No hi ha scripts addicionals si el CoE està al seu lloc. Pot marcar patrons no conformes automàticament.
Contres del conjunt d'eines del Centre d'Excel·lència (CoE): mètode del tauler
Requereix que el kit d'inici de CoE es desplegui i es mantingui actualitzat. És possible que les dades no siguin en temps real (normalment s'actualitzen segons una planificació). A més, la configuració de filtres personalitzats, com ara la identificació d'usuaris de domini externs, pot requerir ajustar els components del CoE.
Comparació de mètodes d'identificació
| Mètode | Eina/Enfocament | Pros | Contres |
|---|---|---|---|
| Centre d'administració (GUI) | Power Platform Interfície web del centre d'administració: comproveu els fluxos i els propietaris visualment. | Interfície fàcil i fàcil d'utilitzar. Informació immediata per a un nombre reduït de fluxos. | Verificació manual, no escalable per a entorns grans. No hi ha cap referència creuada integrada entre el propietari i la pertinença a l'entorn. |
| Script del PowerShell | Cmdlets del PowerShell d'administració (Get-AdminFlow, Get-AdminFlowOwnerRole). |
Sortida massiva automatitzada de fluxos i propietaris. Es pot programar i exportar els resultats a CSV o altres formats. Alta precisió si es coneix la llista d'usuaris de l'entorn. | Requereix coneixements de PowerShell. Ha d'identificar per separat quins propietaris són externs. Necessita script o postprocessament. |
| CoE Toolkit (tauler) | Power BI quadres de comandament i fluxos de CoE. | Ja disponible si el CoE està instal·lat. Pot ressaltar l'ús compartit inusual, com ara propietaris externs o convidats, en un informe centralitzat. | Necessita desplegament i manteniment del CoE. Hi ha un retard d'actualització de dades (no en temps real). Pot ser que necessiti personalització per identificar usuaris externs específics. |
Utilitzant un o una combinació dels mètodes de la taula anterior, compileu una llista de fluxos que tenen usuaris externs compartits. Aquests són els fluxos afectats que necessiten atenció abans del canvi de política. En moltes organitzacions, pot ser un subconjunt de fluxos gestionables, per exemple, només uns quants fluxos entre departaments o fluxos compartits amb el compte de convidat d'un soci. En altres, especialment els inquilins amb pràctiques de compartició oberta, pot haver-hi un nombre important de fluxos per gestionar, de manera que com més aviat els identifiqueu, millor.
Ajustar l'ús compartit i l'accés als fluxos afectats
Un cop identificats els fluxos compartits amb usuaris fora del seu entorn, el següent pas és corregir la configuració compartida de cada flux. L'objectiu és garantir que tots els usuaris que necessitin accés a un flux s'afegeixin correctament a l'entorn (o que l'accés del flux es modifiqui). Feu-ho de manera que quan entri en vigor la nova aplicació, ningú perdi la funcionalitat. Les seccions següents descriuen com abordar els ajustos.
Avaluar la necessitat de cada acció externa
Per a cada flux marcat, discutiu amb el propietari del flux o l'equip empresarial rellevant per què s'ha compartit externament. Aquest context és important per decidir la solució. La llista següent descriu escenaris i accions habituals.
- Escenari 1: l'usuari s'ha afegit com a copropietari només per executar el flux o veure les sortides: en molts casos, els propietaris han afegit un usuari extern com a propietari quan tot el que necessitava era activar o utilitzar el flux (no editar-lo). Per exemple, el propietari pot afegir un agent del servei d'assistència com a copropietari d'un flux per activar-lo manualment. En aquests casos, és probable que l'usuari no necessiti drets de propietari complets.
- Acció: suprimiu-los de la llista Propietaris i, en lloc d'això, compartiu el flux amb ells com a usuari només d'execució (si escau), després d'assegurar-vos que tenen accés a l'entorn. Això proporciona la capacitat necessària per executar el flux sense convertir-los en propietaris. Obteniu més informació a la secció Afegeix els usuaris necessaris a l'entorn d'aquest article.
- Escenari 2: L'usuari col·labora realment en la creació o el manteniment del flux: per exemple, dos departaments desenvolupen conjuntament un flux, de manera que un usuari del departament B es va convertir en copropietari a l'entorn del departament A.
- Acció: Incorporeu aquest usuari a l'entorn com a propietari correctament amb el rol adequat o considereu moure el flux a un entorn neutral si diverses unitats de l'organització n'han de ser copropietaris. A curt termini, afegir l'usuari a la llista d'usuaris permesos de l'entorn i donar-li un paper adequat (creador d'entorns si necessita drets d'edició) resol els problemes d'accés.
- Escenari 3: la compartició ja no és necessària: de vegades els usuaris s'han afegit temporalment o han abandonat el projecte.
- Acció: suprimiu l'usuari extern del recurs compartit del flux. Aquesta és la solució més senzilla quan s'escau. Si ningú fora de l'entorn necessita el flux, no comparteix-lo amb ells. El flux és compatible i només queden propietaris interns.
- Escenari 4: recursos compartits entre inquilins o usuaris convidats: per exemple, un flux s'ha compartit amb un compte convidat (inquilí extern). Això es bloqueja després de l'aplicació.
- Acció: determina si aquest convidat necessita accés absolutament. En cas afirmatiu, una opció és afegir oficialment aquest convidat com Azure AD a convidat al vostre inquilí i al grup de seguretat de l'entorn. Això els converteix en un membre del medi ambient. Això és rar. Alternativament, treballeu per transferir la propietat a un usuari intern que pugui actuar en nom del convidat o utilitzeu un mecanisme diferent, com ara exposar el flux a través d'un activador HTTP segur en lloc de compartir directament. Us recomanem que suprimiu els recursos compartits de convidats directes perquè, fins i tot si s'afegeixen com a membre de l'entorn, poden sorgir problemes entre inquilins.
Afegir els usuaris necessaris a l'entorn
Per a cada usuari que hagi de continuar tenint accés al flux, assegureu-vos que sigui membre de l'entorn en el futur. Això sol significar:
Si l'entorn utilitza un grup de seguretat: afegiu el compte de l'usuari a aquest Azure AD grup de seguretat. Això els atorga la funció d'usuari bàsic per defecte a l'entorn tret que es configuri el contrari. La funció d'usuari bàsic sol ser suficient per a algú que només necessita executar fluxos i no crear ni editar. Després d'afegir, verifiqueu que l'usuari ara apareix a la llista d'usuaris de l'entorn al Power Platform centre d'administració.
Si és l'entorn per defecte de l'inquilí, que està obert a tots els usuaris: la majoria dels usuaris amb llicència ja hi són. Assegureu-vos que l'usuari tingui una Power Automate llicència. L'aplicació afecta principalment entorns no predeterminats amb membres restringits.
Creador d'entorns versus usuari bàsic: no concediu el creador d'entorns tret que la persona realment necessiti crear i editar fluxos en aquest entorn. A les nostres correccions, preferim donar només l'usuari bàsic o una funció mínima personalitzada, que permet executar fluxos compartits. Per a l'accés només d'execució, n'hi ha prou amb l'usuari bàsic: l'usuari no ha de ser un creador. Limitar els rols de Maker és una pràctica recomanada de governança, que es discuteix més a la secció següent.
Ajustar la configuració de compartició del flux
Amb l'usuari ara com a membre de l'entorn, ajusteu com es comparteix el flux amb ells.
Si l'usuari només necessita executar el flux: utilitzeu l'ús compartit només d'execució. A, Power Automate obriu la configuració de Compartir del flux. Suprimiu l'usuari de la llista Propietaris i, a la secció Executa només usuaris, afegiu-ne el nom. Per als fluxos activats manualment, com ara fluxos de botons i fluxos instantanis, o fluxos activats amb enllaços compartibles, això garanteix que la persona pugui activar el flux sense ser propietari. No poden editar ni mostrar els elements interns del flux i només poden executar-lo. El resultat és que l'usuari roman fora de la llista de propietaris, de manera que no hi ha cap conflicte d'entorn, però pot utilitzar la funcionalitat del flux tal com es pretén.
Exemple: Bob a Màrqueting era copropietari del flux de processador de clients potencials de Sales' només per iniciar-lo periòdicament. Eliminem Bob com a copropietari smf afegim Bob com a usuari només d'execució. Bob també s'afegeix a l'entorn de vendes com a usuari bàsic. Ara Bob pot seleccionar el botó del flux o rebre el seu enllaç per executar-lo, però ja no és un propietari extern: és un usuari bàsic autoritzat d'aquest entorn.
Si l'usuari necessita permisos de propietari complets (coautoria): després d'afegir-los a l'entorn, assegureu-vos que continuïn apareixent com a propietaris al flux. Tècnicament, podeu suprimir-los i tornar-los a afegir per actualitzar els permisos. Però un cop estan en l'entorn, la part és legítima. També podeu considerar moure el flux a una solució si dos propietaris de diferents àrees el mantenen a llarg termini. Els fluxos de solucions són més fàcils de transportar a un entorn dedicat si cal. En qualsevol cas, comproveu que apareguin a Propietaris i que la seva funció sigui Es pot editar (propietari) als detalls del flux.
Suprimir els recursos compartits redundants o no autoritzats: durant aquest procés, aprofita per netejar. Si algú s'ha afegit per si de cas, però mai utilitza el flux, elimineu-lo. El principi de privilegi mínim ajuda a reduir la supervisió. Assegureu-vos que la llista de propietaris de cada flux estigui limitada a aquells que realment necessiten accés al disseny i a l'edició.
Comunicar els canvis als usuaris afectats
Si suprimiu l'accés d'algú o modifiqueu la manera com invoca un flux, feu-ho saber. Des de la perspectiva de l'usuari, l'execució d'un flux a través de l'accés només d'execució pot ser lleugerament diferent. És possible que obtinguin un enllaç compartit o vegin el flux a Fluxos d'equip en lloc de Els meus fluxos. Expliqueu que "Per complir amb les noves Power Automate polítiques, hem actualitzat el mètode d'ús compartit per al flux X. Podeu continuar executant-lo amb el mètode Y, però ja no es mostra sota la vostra propietat directa". Això evita confusions.
Verificar l'estat posterior a l'ajust
Després de fer canvis, utilitzeu PowerShell o Power Platform el Centre d'administració per comprovar que no quedin fluxos amb propietaris externs. Per exemple, torneu a executar l'script d'identificació i confirmeu que ja no marca aquests fluxos. Resoleu cada instància marcada mitjançant l'eliminació o la pertinença adequada a l'entorn.
En realitzar aquests ajustos, us assegureu que quan Microsoft canviï l'interruptor, aquests fluxos continuïn executant-se per als usuaris previstos. En lloc d'un error que diu, you do not have access to this flow l'usuari roman autoritzat perquè ara és un membre de l'entorn en una capacitat adequada. Essencialment, esteu alineant les vostres pràctiques compartides amb el model de governança de la plataforma.