Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Od června 2025 se jakýkoli tok sdílený s uživatelem, který není členem prostředí, stane pro tohoto uživatele nepřístupným. Tato důležitá změna Power Automate vyžaduje, aby uživatelé byli členy prostředí, aby měli přístup k tokům v tomto prostředí. Tato změna zvyšuje zabezpečení tím, že vynucuje hranice prostředí. To však má vliv na organizace, které mají toky sdílené v různých prostředích, například vlastník toku, který přidá někoho mimo prostředí jako spoluvlastníka nebo uživatele pouze pro spuštění.
Aby správci Power Platform vyhověli novým zásadám, musí identifikovat toky sdílené s uživateli mimo své prostředí a upravit nastavení sdílení těchto toků. Tento článek poskytuje strukturovaný přístup, jak toho dosáhnout.
Tento článek vám pomůže s následujícími kroky:
- Identifikujte toky sdílené s externími uživateli (uživateli, kteří nejsou v prostředí toku).
- Upravte sdílení a přístup pro tyto toky, abyste zajistili kontinuitu (například přidejte správné uživatele do prostředí a používejte přístup jen pro spuštění).
Tento článek umožňuje správcům Power Platform preventivně řešit problémy se sdílením před vynucením v červnu 2025. Může také pomoct vytvořit zásady správného řízení pro bezpečnou správu sdílení toků do budoucna. Pro ilustraci klíčových bodů obsahuje tento článek skutečné příklady a pokyny krok za krokem.
Seznamte se s osvědčenými postupy pro správu sdílených toků v článku Sdílení cloudového toku.
Identifikace toků sdílených s uživateli mimo jejich prostředí
Prvním krokem je inventarizace všech cloudových toků a jejich sdílených uživatelů v jednotlivých prostředích a následné určení, které toky mají sdílení s externími uživateli – uživateli, kteří nejsou členy daného prostředí. Toky Power Automate je možné vytvořit dvěma způsoby: jako normální toky (bez řešení) nebo jako toky podporující řešení (součást řešení Dataverse). Oba se nacházejí v prostředí a oba potřebují kontrolu. Následující části popisují metody identifikace externě sdílených toků.
Centrum pro správu Power Platform – metoda GUI
Správci prostředí mohou k vizuálnímu auditu použít centrum pro správu Power Platform.
V centru pro správu Power Platform vyberte Spravovat>Prostředí > (vaše prostředí) >Prostředky>Toky.
A obsahuje seznam všech toků v prostředí spolu se sloupcem Vlastníci, který se zobrazuje.
U každého toku zkontrolujte vlastníky. Pokud má tok více vlastníků (tvůrce a spoluvlastníci), je sdílen. Porovnejte tyto vlastníky se známými členy prostředí. Porovnejte například skupinu zabezpečení nebo seznam uživatelů pro dané prostředí.
Označte toky, kde je vlastník nebo spoluvlastník, který není očekávaným členem prostředí. Pokud by například prostředí oddělení A mělo obsahovat pouze uživatele z oddělení A, ale vidíte spoluvlastníka z oddělení B, je tento tok sdílen s externí osobou. Možná budete muset vybrat jméno vlastníka, abyste mohli zobrazit informace, nebo zkontrolovat adresář uživatelů vašeho prostředí.
Výhody metody centra pro správu Power Platform – GUI
Centrum pro správu Power Platform poskytuje uživatelsky přívětivé rozhraní a umožňuje filtrování a řazení toků podle názvu nebo vlastníka. Pokud víte, které týmy a uživatelé patří do prostředí, můžete rychle odhalit zjevné neshody.
Nevýhody metody centra pro správu Power Platform – GUI
Tato metoda je ruční a neškáluje se dobře pro mnoho toků. Vlastníky musíte ověřit jednotlivě, což může být pro velká prostředí časově náročné. Může být obtížné křížově kontrolovat členství v prostředí přímo z uživatelského rozhraní.
PowerShell skript – automatizovaná metoda
Pro systematický a opakovatelný audit Power Automate nabízí rutiny pro správu PowerShell pro výpis toků a jejich vlastníků. Tento přístup je výkonný pro hromadnou analýzu napříč velkými prostředími nebo celými tenanty. Proces můžete skriptovat tak, aby vypisoval všechny toky a zvýrazňoval externí sdílení.
Tento skript například používá Get-AdminFlow k načtení všech toků a pak Get-AdminFlowOwnerRole pro každý tok zobrazí seznam jeho vlastníků a jejich rolí. Ve výstupu jsou uvedeny názvy jednotlivých toků a odrážka Owner: [User], Role: [Owner/Co-owner]. Tento výstup můžete přesměrovat do souboru nebo jej dále zpracovat.
Dále určete externí sdílení: Porovnejte hlavní název uživatele (UPN) každého vlastníka se sadou uživatelů, kteří jsou členy prostředí. Externí sdílení je označeno každým vlastníkem, jehož hlavní název uživatele (UPN) není v seznamu uživatelů nebo skupině zabezpečení prostředí. V praxi můžete:
- Exportujte seznam vlastníků toku z předchozího skriptu a seznam uživatelů prostředí, pak pomocí Excelu nebo skriptu vyhledejte rozdíly, nebo
- Vylepšete skript PowerShell tak, aby křížově kontroloval uživatelům prostředí prostřednictvím
Get-AdminEnvironmentUser.
Výhody skriptu PowerShell – automatizovaná metoda
Tato metoda je automatizovaná a komplexní. Dokáže rychle vytvořit výčet stovek nebo tisíců toků a je skriptovatelný pro vytváření sestav. Můžete ho spustit podle plánu, například měsíčně, abyste zjistili nová externí sdílení.
Nevýhody skriptu PowerShell – automatizovaná metoda
Vyžaduje znalost PowerShell a oprávnění správce. Nezpracovaný výstup také zobrazuje hlavní názvy uživatelů (UPN) a ID objektů. Musíte interpretovat, které z nich jsou mimo prostředí, a vyžadují určitou analýzu. To je však jednoduché, pokud znáte uživatelskou doménu vašeho prostředí nebo máte seznam členů prostředí.
Sada nástrojů Center of Excellence (CoE) – metoda řídicího panelu
Pokud vaše organizace používá startovací sadu Power PlatformCenter of Excellence, poskytuje řídicí panely a sestavy Power BI, které obsahují metriky sdílení. Inventář toků CoE může zvýraznit toky, které mají vlastníky hostů nebo vlastníky mimo běžnou skupinu zabezpečení prostředí. Řídicí panel CoE může například obsahovat sestavu toků s více vlastníky nebo toky sdílené s uživateli typu host. Tyto přehledy můžete využít k nalezení toků s neobvyklým sdílením.
Výhody sady nástrojů Center of Excellence (CoE) – metoda řídicího panelu
Centralizované vizuální vytváření sestav, které již může agregovat data prostředí. Žádné další skriptování, pokud je na místě CoE. Může automaticky označit nevyhovující vzory.
Nevýhody sady nástrojů Center of Excellence (CoE) – metoda řídicího panelu
Vyžaduje, aby byla startovací sada CoE nasazena a udržována v aktuálním stavu. Data nemusí být v reálném čase (obvykle se aktualizují podle plánu). Také nastavení vlastních filtrů, jako je identifikace externích uživatelů domény, může vyžadovat úpravu komponent CoE.
Porovnání identifikačních metod
| metoda | Nástroj/přístup | Výhody | Nevýhody |
|---|---|---|---|
| Centrum pro správu (GUI) | Webové rozhraní centra pro správu Power Platform: vizuální kontrola toků a vlastníků. | Snadné a uživatelsky přívětivé rozhraní. Okamžitý přehled pro malý počet toků. | Ruční ověření, nelze škálovat pro velká prostředí. Žádný předdefinovaný křížový odkaz vlastníka versus členství v prostředí. |
| Skript PowerShellu | Rutiny správy PowerShell (Get-AdminFlow, Get-AdminFlowOwnerRole). |
Automatizovaný hromadný výstup toků a vlastníků. Lze naplánovat a výsledky exportovat do CSV nebo jiných formátů. Vysoká přesnost, pokud je znám seznam uživatelů prostředí. | Vyžaduje znalosti PowerShell. Musí samostatně identifikovat, kteří vlastníci jsou externí. Vyžaduje skript nebo následné zpracování. |
| Sada nástrojů CoE (řídicí panel) | Řídicí panely Power BI a toky CoE. | Již k dispozici, pokud je nainstalován CoE. Může upozornit na neobvyklé sdílení, jako jsou externí vlastníci nebo vlastníci hostů, v centralizované sestavě. | Vyžaduje nasazení a údržba CoE. Dochází ke zpoždění aktualizace dat (ne v reálném čase). Možná budete potřebovat přizpůsobení, abyste mohli určit konkrétní externí uživatele. |
Pomocí jedné metody nebo kombinace metod v předchozí tabulce sestavte seznam toků, které mají externí sdílené uživatele. Jedná se o ovlivněné toky, které vyžadují pozornost před změnou zásad. V mnoha organizacích se může jednat o spravovatelnou podmnožinu toků, například pouze několik toků mezi odděleními nebo toků sdílených s účtem hosta partnera. V jiných, zejména u tenantů s postupy otevřeného sdílení, může existovat značný počet toků, které je potřeba zpracovat, takže čím dříve je identifikujete, tím lépe.
Úprava sdílení a přístupu pro ovlivněné toky
Jakmile identifikujete toky, které jsou sdíleny s uživateli mimo jejich prostředí, dalším krokem je náprava konfigurace sdílení jednotlivých toků. Cílem je zajistit, aby každý uživatel, který potřebuje přístup k toku, byl správně přidán do prostředí (nebo aby byl přístup k toku jinak upraven). Udělejte to tak, aby při spuštění nové zásady nikdo nepřišel o funkčnost. Následující části popisují, jak přistupovat k úpravám.
Vyhodnoťte nezbytnost každého externího sdílení
U každého toku označeného příznakem prodiskutujte s vlastníkem toku nebo příslušným obchodním týmem, proč byl sdílen externě. Tento kontext je důležitý pro rozhodnutí o opravě. Následující seznam popisuje běžné scénáře a opatření.
- Scénář 1: Uživatel byl přidán jako spoluvlastník jenom proto, aby spustil tok nebo viděl výstupy: V mnoha případech vlastníci přidali externího uživatele jako vlastníka, když vše, co tato osoba potřebovala, bylo spustit nebo použít tok (ne ho upravit). Vlastník může například přidat agenta helpdesku jako spoluvlastníka toku, aby ho mohl ručně spustit. V takových případech uživatel pravděpodobně nepotřebuje úplná práva vlastníka.
- Akce: Odeberte je ze seznamu vlastníků a místo toho s nimi sdílejte tok jako uživatel jen pro spuštění (pokud je k dispozici) poté, co se ujistíte, že mají přístup k prostředí. To poskytuje potřebnou možnost spustit tok, aniž by se z nich stal vlastník. Další informace najdete v části Přidání potřebných uživatelů do prostředí v tomto článku.
- Scénář 2: Uživatel skutečně spolupracuje při vytváření nebo údržbě toku: Například dvě oddělení společně vyvíjejí tok, takže uživatel z oddělení B se stal spoluvlastníkem v prostředí oddělení A.
- Akce: Správně zapojte tohoto uživatele do prostředí jako vlastníka s příslušnou rolí nebo zvažte přesun toku do neutrálního prostředí, pokud by ho mělo spoluvlastnit více organizačních jednotek. V krátkodobém horizontu se problémy s přístupem vyřeší přidáním uživatele do seznamu povolených uživatelů prostředí a přidělením příslušné role (Tvůrce prostředí, pokud potřebuje práva k úpravám).
- Scénář 3: Sdílení už není potřeba: Někdy byli uživatelé dočasně přidáni nebo opustili projekt.
- Akce: Odeberte externího uživatele ze sdílení toku. Toto je nejjednodušší oprava, pokud je to možné. Pokud tok nikdo mimo prostředí nepotřebuje, zrušte jeho sdílení s ním. Tok je pak v souladu s předpisy a zůstanou pouze interní vlastníci.
- Scénář 4: Sdílení uživatelů mezi tenanty nebo hosty: Například tok byl sdílen s účtem hosta (externího tenanta). To je po vynucení zablokováno.
- Akce: Určete, jestli daný host nutně potřebuje přístup. Pokud ano, jednou z možností je oficiálně přidat tohoto hosta jako hosta Azure AD ve vašem tenantovi a do bezpečnostní skupiny prostředí. To z nich dělá člena prostředí. To je vzácné. Případně můžete pracovat na převodu vlastnictví na interního uživatele, který může jednat jménem hosta, nebo použít jiný mechanismus, jako je zpřístupnění toku prostřednictvím zabezpečeného triggeru HTTP místo přímého sdílení. Doporučujeme odebrat přímé sdílení hostů, protože i v případě, že je přidán jako člen prostředí, může dojít k problémům mezi tenanty.
Přidání potřebných uživatelů do prostředí
U každého uživatele, který by měl mít i nadále přístup k toku, se ujistěte, že je do budoucna členem prostředí. To obvykle znamená:
Pokud prostředí používá skupinu zabezpečení: Přidejte účet uživatele do této skupiny zabezpečení Azure AD. Tím se jim udělí výchozí role základního uživatele v prostředí, pokud není nakonfigurováno jinak. Role základního uživatele je obvykle dostačující pro někoho, kdo potřebuje jenom spouštět toky, a ne je vytvářet a upravovat. Po přidání ověřte, že se uživatel nyní zobrazuje v seznamu Uživatelé prostředí v Centru pro správu Power Platform.
Pokud se jedná o výchozí prostředí tenanta, které je otevřené všem uživatelům: Většina licencovaných uživatelů už v něm je. Zajistěte, že uživatel má licenci Power Automate. Vynucení se týká hlavně jiných než výchozích prostředí s omezeným členstvím.
Tvůrce prostředí versus základní uživatel: Neudělujte roli Tvůrce prostředí, pokud daná osoba skutečně nepotřebuje vytvářet a upravovat toky v tomto prostředí. V našich opravách dáváme přednost tomu, abychom přidělili pouze základního uživatele nebo vlastní minimální roli, která umožňuje spouštění sdílených toků. Pro přístup pouze pro spuštění postačuje základní uživatel – uživatel nemusí být tvůrcem. Omezení rolí tvůrce je osvědčeným postupem zásad správného řízení, který je podrobněji popsán v následující části.
Úprava nastavení sdílení toku
Vzhledem k tomu, že uživatel je nyní členem prostředí, upravte, jak je s ním tok sdílen.
Pokud uživatel potřebuje jenom spustit tok: Použijte sdílení jen pro spuštění. V aplikaci Power Automate otevřete nastavení sdílení toku. Odeberte uživatele ze seznamu Vlastníci a v části Spustit pouze uživateli přidejte jeho jméno. U ručně spouštěných toků, jako jsou toky aktivované pomocí tlačítka a okamžité toky, nebo toků aktivovaných sdílenými odkazy, je zajištěno, že osoba může tok spustit, aniž by byla vlastníkem. Nemůžou upravovat ani zobrazovat vnitřní části toku a můžou ho jenom spustit. Výsledkem je, že uživatel zůstane mimo seznam vlastníků, takže nedojde ke konfliktu prostředí, ale může používat funkce toku tak, jak bylo zamýšleno.
Příklad: Bob v marketingu byl spoluvlastníkem cloudového toku zpracovatele potenciálních zákazníků prodeje, aby ho mohl pravidelně spouštět. Odebereme Boba jako spoluvlastníka a přidáme Boba jako uživatele pouze pro spuštění. Bob je také přidán do prostředí Sales jako základní uživatel. Bob teď může vybrat tlačítko toku nebo obdržet odkaz na jeho spuštění, ale už není externím vlastníkem – je autorizovaným základním uživatelem daného prostředí.
Pokud uživatel potřebuje úplná oprávnění vlastníka (spoluvytváření): Po přidání do prostředí se ujistěte, že zůstane uveden jako vlastník toku. Technicky vzato je můžete odebrat a znovu přidat, abyste aktualizovali oprávnění. Ale jakmile jsou v prostředí, sdílení je legitimní. Můžete také zvážit přesunutí toku do řešení, pokud ho dlouhodobě udržují dva vlastníci z různých oblastí. Toky řešení se v případě potřeby snadněji přenášejí do vyhrazeného prostředí. V každém případě zkontrolujte, jestli se v údajích toku zobrazují v části Vlastníci a jejich role je Může upravovat (vlastník).
Odstraňte všechna nadbytečná nebo neautorizovaná sdílení: Během tohoto procesu využijte příležitosti k vyčištění. Pokud byl někdo přidán pro každý případ, ale tok nikdy nepoužívá, odeberte ho. Princip nejnižších oprávnění pomáhá omezit riziko. Ujistěte se, že seznam vlastníků každého toku je omezený na ty, kteří skutečně potřebují přístup k návrhu a úpravám.
Informujte dotčené uživatele o změnách
Pokud někomu odebíráte přístup nebo měníte způsob, jakým tok spouští, dejte mu vědět. Z pohledu uživatele se spuštění toku prostřednictvím přístupu jen pro spuštění může mírně lišit. Může se stát, že dostanou odkaz na sdílení nebo uvidí tok v týmových tocích, nikoli v části Moje toky. Vysvětlete, že „abychom vyhověli novým zásadám Power Automate, aktualizovali jsme metodu sdílení pro tok X. Můžete ho dál spouštět pomocí metody Y, ale už se nezobrazuje pod vaším přímým vlastnictvím.“ Tím se zabrání záměně.
Ověření stavu po úpravě
Po provedení změn pomocí PowerShellu nebo centra pro správu Power Platform zkontrolujte, že u externích vlastníků nezůstávají žádné toky. Například znovu spusťte identifikační skript a ověřte, že už tyto toky neoznačí. Vyřešte každou označenou instanci odebráním nebo správným členstvím v prostředí.
Provedením těchto úprav zajistíte, že když Microsoft přepne přepínač, tyto toky budou dál běžet pro zamýšlené uživatele. Místo chyby, která říká you do not have access to this flow, zůstane uživatel autorizovaný, protože je teď členem prostředí v příslušné funkci. V podstatě sladíte své postupy sdílení s modelem správy platformy.