Märkus
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida sisse logida või kausta vahetada.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida kausta vahetada.
Alates 2025. aasta juunist muutub iga voog, mis on ühiskasutuses kasutajaga, kes pole keskkonna liige, sellele kasutajale kättesaamatuks. See oluline muudatus Power Automate nõuab, et kasutajad peavad olema keskkonna liikmed, et pääseda juurde selle keskkonna voogudele. See muudatus suurendab turvalisust, jõustades keskkonnapiirid. Kuid see mõjutab organisatsioone, mille vood on erinevates keskkondades ühiskasutuses, näiteks voo omanik, kes lisab kellegi väljaspool keskkonda kaasomaniku või ainult käitatava kasutajana.
Uue poliitika järgimiseks peavad administraatorid tuvastama vood, Power Platform mis on ühiskasutuses kasutajatega väljaspool nende keskkonda, ja kohandama nende voogude ühiskasutussätteid. See artikkel pakub selleks struktureeritud lähenemist.
See artikkel aitab teil teha järgmist.
- Tuvastage väliste kasutajatega ühiskasutusse antud vood (kasutajad, kes ei ole voo keskkonnas).
- Kohandage nende voogude ühiskasutust ja juurdepääsu, et tagada järjepidevus (nt lisage keskkondadesse õiged kasutajad ja kasutage ainult käivitusjuurdepääsu).
See artikkel võimaldab Power Platform administraatoritel ennetavalt lahendada ühiskasutusprobleemid enne 2025. aasta juuni jõustamist. Samuti võib see aidata luua juhtimist, et hallata voogude jagamist turvaliselt. Põhipunktide illustreerimiseks sisaldab see artikkel reaalseid näiteid ja samm-sammult juhiseid.
Ühisvoogude haldamise head tavad leiate teemast Pilvevoo ühiskasutus.
Väljaspool keskkonda asuvate kasutajatega ühiskasutusse antud voogude tuvastamine
Esimene samm on inventeerida kõik pilvevood ja nende jagatud kasutajad igas keskkonnas ning seejärel teha kindlaks, millistel voogudel on ühiskasutus autsaideritega – kasutajatega, kes pole selle keskkonna liikmed. Power Automate Voogusid saab luua kahel viisil: tavaliste (mittelahustavate) voogudena või lahenduseteadlike voogudena (lahenduse osana Dataverse ). Mõlemad elavad keskkonnas ja mõlemad vajavad ülevaatamist. Järgmistes jaotistes kirjeldatakse väliselt jagatud voogude tuvastamise meetodeid.
Power Platform halduskeskus – GUI meetod
Keskkonnaadministraatorid saavad visuaalseks auditiks kasutada halduskeskust Power Platform .
Valige halduskeskuses Power Platform Halda >keskkondi > (teie keskkonda) >Ressursivood>.
A loetleb kõik keskkonna vood koos kuvatava veeruga Omanikud .
Iga voo puhul kontrollige omanikke. Kui vool on mitu omanikku (looja ja kaasomanikud), antakse see ühiskasutusse. Võrrelge neid omanikke teadaolevate keskkonnaliikmetega. Näiteks võrrelge selle keskkonna turberühma või kasutajate loendit.
Lipuvood, kus omanik või kaasomanik, kes pole oodatud keskkonnaliige. Näiteks kui osakonna A keskkond peaks sisaldama ainult osakonna A kasutajaid, kuid näete osakonna B kaasomanikku, jagatakse seda voogu kõrvalseisjaga. Võimalik, et peate üksikasjade vaatamiseks valima omaniku nime või ristviitama oma keskkonna kasutajakataloogile.
Halduskeskuse plussid Power Platform – GUI-meetod
Power Platform Halduskeskus pakub kasutajasõbralikku liidest ning võimaldab voogusid nime või omaniku järgi filtreerida ja sortida. Saate kiiresti märgata ilmseid ebakõlasid, kui teate, millised meeskonnad ja kasutajad keskkonda kuuluvad.
Halduskeskuse miinused Power Platform – GUI meetod
See meetod on käsitsi ja ei skaleeri paljude voogude puhul hästi. Peate omanikud eraldi kinnitama, mis võib suurte keskkondade puhul olla aeganõudev. Keskkonna liikmelisuse ristkontrollimine otse kasutajaliidese kaudu võib olla keeruline.
PowerShelli skript – automatiseeritud meetod
Süstemaatiliseks ja korratavaks auditiks,pakub Power Automate administratiivseid PowerShelli cmdlet-käske voogude ja nende omanike loetlemiseks. See lähenemisviis on võimas suurte keskkondade või tervete rentnike hulgianalüüsiks. Saate protsessi skriptida kõigi voogude väljastamiseks ja väliste ühiskasutuste esiletõstmiseks.
Näiteks kasutab Get-AdminFlow see skript kõigi voogude toomiseks ja seejärel Get-AdminFlowOwnerRole iga voo jaoks selle omanike ja nende rollide loetlemiseks. Väljundis on loetletud iga voo nimi ja täpp, Owner: [User]Role: [Owner/Co-owner]. Saate selle väljundi faili ümber suunata või edasi töödelda.
Järgmisena määrake välised ühiskasutused: võrrelge iga omaniku kasutaja turvasubjektinime (UPN) keskkonna liikmetest kasutajate komplektiga. Välist ühiskasutust tähistab iga omanik, kelle UPN pole keskkonna kasutajaloendis ega turberühmas. Praktikas võite teha järgmist:
- Eksportige voo omanike loend eelmisest skriptist ja keskkonna kasutajate loendist, seejärel kasutage erinevuste leidmiseks Excelit või skripti või
- Täiustage PowerShelli skripti, et kontrollida keskkonna kasutajaid
Get-AdminEnvironmentUser.
PowerShelli skripti plussid – automatiseeritud meetod
See meetod on automatiseeritud ja kõikehõlmav. See suudab kiiresti loetleda sadu või tuhandeid vooge ja on aruandluse jaoks skriptitav. Saate seda käivitada ajakava alusel, näiteks kord kuus, et märgata uusi väliseid aktsiaid.
PowerShelli skripti miinused – automatiseeritud meetod
Nõuab PowerShelli ja administraatoriõiguste tundmist. Samuti kuvatakse töötlemata väljundis UPN-id ja objekti ID-d. Peate tõlgendama, millised neist on väljaspool keskkonda ja vajavad analüüsi. See on aga lihtne, kui teate oma keskkonna kasutajadomeeni või teil on keskkonnaliikmete loend.
Tippkeskuse (CoE) tööriistakomplekt – armatuurlaua meetod
Kui teie organisatsioon kasutab Power Platform tippkeskuse alustuskomplekti, pakub Power BI see armatuurlaudu ja aruandeid, mis sisaldavad ühiskasutusmõõdikuid. CoE voogude inventuur võib esile tõsta voogusid, millel on külalisomanikud või omanikud väljaspool keskkonna tavalist turberühma. Näiteks võib CoE armatuurlaual olla aruanne mitme omanikuga voogude või külaliskasutajatega jagatud voogude kohta . Saate neid ülevaateid kasutada ebanormaalse ühiskasutusega voogude leidmiseks.
Tippkeskuse (CoE) tööriistakomplekti plussid – armatuurlaua meetod
Tsentraliseeritud visuaalne aruandlus, mis võib juba keskkonnaandmeid koondada. Täiendavat skriptimist pole, kui CoE on paigas. See võib nõuetele mittevastavad mustrid automaatselt märgistada.
Tippkeskuse (CoE) tööriistakomplekti miinused – armatuurlaua meetod
Nõuab CoE stardikomplekti juurutamist ja ajakohasena hoidmist. Andmed ei pruugi olla reaalajas (tavaliselt värskendatakse neid ajakava järgi). Samuti võib kohandatud filtrite seadistamine, näiteks väliste domeenikasutajate tuvastamine, nõuda CoE komponentide kohandamist.
Identifitseerimismeetodite võrdlus
| Meetod | Tööriist/lähenemisviis | Plussid | Miinused |
|---|---|---|---|
| Halduskeskus (GUI) | Power Platform Halduskeskuse veebiliides: kontrollige voogusid ja omanikke visuaalselt. | Lihtne, kasutajasõbralik liides. Vahetu ülevaade väikese arvu voogude kohta. | Käsitsi kinnitamine, ei skaleeritav suurte keskkondade jaoks. Omaniku ja keskkonna liikmelisuse sisseehitatud ristviide puudub. |
| PowerShelli skript | Administraatori PowerShelli cmdlet-käsud (Get-AdminFlow, Get-AdminFlowOwnerRole). |
Voogude ja omanike automatiseeritud hulgiväljund. Saab ajastada ja tulemusi eksportida CSV-vormingusse või muusse vormingusse. Suur täpsus, kui keskkonna kasutajate nimekiri on teada. | Nõuab PowerShelli teadmisi. Peab eraldi tuvastama, millised omanikud on välised. Vajab skripti või järeltöötlust. |
| Tippkeskuse tööriistakomplekt (töölaud) | Power BI armatuurlauad ja tippkeskuste vood. | Juba saadaval, kui CoE on installitud. Saab tsentraliseeritud aruandes esile tõsta ebatavalist ühiskasutust, näiteks väliseid või külalisomanikke. | Vajab tippkeskuse juurutamist ja hooldust. Andmete värskendamisel on viivitus (mitte reaalajas). Võimalik, et vajate kohandamist, et tuvastada konkreetsed välised kasutajad. |
Kasutades ühte või mitut eelmises tabelis toodud meetodit, koostage loend voogudest, millel on välised ühiskasutajad. Need on mõjutatud vood, mis vajavad enne poliitika muutmist tähelepanu. Paljudes organisatsioonides võib see olla voogude hallatav alamhulk, näiteks ainult mõned osakondadevahelised vood või partneri külaliskontoga jagatud vood. Teistes, eriti avatud jagamistavadega üürnike puhul, võib käsitleda märkimisväärset arvu voogusid, nii et mida varem need tuvastate, seda parem.
Mõjutatud voogude ühiskasutuse ja juurdepääsu kohandamine
Kui olete tuvastanud vood, mida jagatakse kasutajatega väljaspool nende keskkonda, on järgmine samm iga voo ühiskasutuse konfiguratsiooni parandamine. Eesmärk on tagada, et iga kasutaja, kes vajab juurdepääsu voole, lisatakse keskkonda õigesti (või voo juurdepääsu muudetakse muul viisil). Tehke seda nii, et kui uus jõustamine käivitub, ei kaotaks keegi funktsionaalsust. Järgmistes jaotistes kirjeldatakse, kuidas korrigeerimistele läheneda.
Hinnake iga välise aktsia vajalikkust
Arutage iga lipuga märgitud voo puhul voo omaniku või asjakohase ärimeeskonnaga, miks seda väliselt jagati. See kontekst on paranduse otsustamiseks oluline. Järgmises loendis kirjeldatakse levinumaid stsenaariume ja toiminguid.
- 1. stsenaarium: kasutaja lisati kaasomanikuna lihtsalt voo käivitamiseks või väljundite vaatamiseks: paljudel juhtudel lisasid omanikud omanikuks välise kasutaja, kui tal oli vaja ainult voogu käivitada või kasutada (mitte redigeerida). Näiteks saab omanik lisada kasutajatoe agendi voo kaasomanikuks, et ta saaks selle käsitsi käivitada. Sellistel juhtudel ei vaja kasutaja tõenäoliselt täielikke omanikuõigusi.
- Toiming: eemaldage nad loendist Omanikud ja jagage voogu nendega ainult käitatava kasutajana (kui see on kohaldatav), kui olete taganud, et neil on juurdepääs keskkonnale. See annab vajaliku võimaluse voogu käivitada ilma neid omanikuks tegemata. Lisateavet leiate selle artikli jaotisest Vajalike kasutajate lisamine keskkonda .
- Stsenaarium 2: Kasutaja teeb voo loomisel või hooldamisel tõeliselt koostööd: Näiteks kaks osakonda arendavad ühiselt voogu, nii et osakonna B kasutaja tehti osakonna A keskkonnas kaasomanikuks.
- Tegevus: kaasake see kasutaja keskkonda sobiva rolliga omanikuna või kaaluge voo teisaldamist neutraalsesse keskkonda, kui see peaks olema mitme organisatsiooniüksuse kaasomanik. Lühiajaliselt lahendab juurdepääsuprobleemid kasutaja lisamine keskkonna lubatud kasutajate nimekirja ja talle sobiva rolli andmine (Keskkonnategija, kui ta vajab redigeerimisõigusi).
- 3. stsenaarium: jagamist pole enam vaja: mõnikord lisati kasutajaid ajutiselt või nad lahkusid projektist.
- Toiming: eemaldage väline kasutaja voo ühiskasutusest. See on kõige lihtsam lahendus, kui see on asjakohane. Kui keegi väljaspool keskkonda ei vaja voogu, lõpetage selle jagamine nendega. Seejärel on voog nõuetele vastav ja alles jäävad ainult sisemised omanikud.
- 4. stsenaarium: rentnikevahelised või külaliskasutaja ühiskasutused: näiteks jagati voogu külalise (välise rentniku) kontoga. See blokeeritakse pärast jõustamist.
- Tegevus: tehke kindlaks, kas see külaline vajab kindlasti juurdepääsu. Kui jah, on üks võimalus lisada see külaline ametlikult külalisena Azure AD oma rentnikusse ja keskkonna turberühma. See teeb neist keskkonnaliikmed. See on haruldane. Teise võimalusena võite töötada selle nimel, et anda omandiõigus üle sisekasutajale, kes saab külalise nimel tegutseda, või kasutada mõnda muud mehhanismi, näiteks paljastada voog otsese ühiskasutuse asemel turvalise HTTP-päästiku kaudu. Soovitame eemaldada otsesed külalisühiskasutused, sest isegi kui need lisatakse keskkonna liikmena, võivad tekkida rentnikevahelised probleemid.
Lisage keskkonda vajalikud kasutajad
Iga kasutaja puhul, kellel peaks olema jätkuvalt juurdepääs voole, veenduge, et ta oleks edaspidi keskkonna liige. Tavaliselt tähendab see:
Kui keskkond kasutab turberühma: lisage kasutaja konto sellesse Azure AD turberühma. See annab neile keskkonnas põhikasutaja vaikerolli, kui pole teisiti konfigureeritud. Põhikasutaja rollist piisab tavaliselt kellelegi, kellel on vaja ainult voogusid käivitada, mitte luua ja redigeerida. Pärast lisamist veenduge, et kasutaja kuvatakse nüüd halduskeskuses Power Platform keskkonna kasutajate loendis.
Kui see on rentniku vaikekeskkond, mis on avatud kõigile kasutajatele: enamik litsentsitud kasutajaid on selles juba olemas. Veenduge, Power Automate et kasutajal oleks litsents. Jõustamine mõjutab peamiselt piiratud liikmesusega mittevaikekeskkondi.
Keskkonna koostaja versus tavakasutaja: ärge andke keskkonna tegijat, välja arvatud juhul, kui isikul on tõesti vaja selles keskkonnas voogusid luua ja redigeerida. Oma parandustes eelistame anda ainult põhikasutajale või kohandatud minimaalsele rollile, mis võimaldab käivitada jagatud vooge. Ainult töötamise juurdepääsuks piisab põhikasutajast – kasutaja ei pea olema tegija. Tegija rollide piiramine on juhtimise hea tava, mida käsitletakse lähemalt järgmises jaotises.
Voo ühiskasutussätete kohandamine
Kui kasutaja on nüüd keskkonna liige, kohandage voogu temaga jagamise viisi.
Kui kasutajal on vaja ainult voogu käivitada: kasutage ainult käivitatud ühiskasutust. Avage Power Automate voo ühiskasutuse sätted. Eemaldage kasutaja loendist Omanikud ja lisage jaotisse Käivita ainult kasutajad tema nimi. Käsitsi käivitatud voogude puhul, nagu nupuvood ja kiirvood või jagatavate linkidega käivitatud vood, tagab see, et inimene saab voo käivitada ilma omanikuta. Nad ei saa voo sisemisi osi redigeerida ega kuvada ning saavad seda ainult käivitada. Tulemuseks on see, et kasutaja jääb omanike loendist väljapoole, nii et keskkonnakonflikti ei teki, kuid saab voo funktsioone kasutada ettenähtud viisil.
Näide:Bob turunduses oli Sales'Lead Processor voo kaasomanik lihtsalt selleks, et seda perioodiliselt käivitada. Eemaldame Bobi kaasomanikuna ja lisame Bobi ainult käitatava kasutajana. Bob lisatakse ka müügikeskkonda põhikasutajana. Nüüd saab Bob valida voo nupu või saada selle käivitamiseks lingi, kuid ta pole enam väline omanik – ta on selle keskkonna volitatud põhikasutaja.
Kui kasutajal on vaja täielikke omanikuõigusi (kaasautorlus): pärast keskkonna lisamist veenduge, et ta jääks voos omanikuna loetletuks. Tehniliselt võite need õiguste värskendamiseks eemaldada ja uuesti lisada. Kuid kui nad on keskkonnas, on jagamine seaduslik. Samuti võiksite kaaluda voo üleviimist lahendusse, kui kaks omanikku erinevatest piirkondadest säilitavad selle pikaajaliselt. Lahendusevoogusid on vajadusel lihtsam spetsiaalsesse keskkonda transportida. Igal juhul kontrollige veel kord, et need kuvatakse jaotises Omanikud ja nende roll on voo üksikasjades Saab redigeerida (omanik).
Eemaldage kõik üleliigsed või volitamata jagamised: selle protsessi ajal kasutage võimalust puhastada. Kui keegi lisati igaks juhuks, kuid ei kasuta seda voogu kunagi, eemaldage ta. Vähimate privileegide põhimõte aitab vähendada järelevalvet. Veenduge, et iga voo omanike loend oleks piiratud nendega, kes tõesti vajavad kujundus- ja redigeerimisõigust.
Muudatustest teavitamine mõjutatud kasutajatele
Kui eemaldate kellegi juurdepääsu või muudate voo käivitamise viisi, andke talle sellest teada. Kasutaja vaatenurgast võib voo käivitamine ainult käivitusjuurdepääsu kaudu olla veidi erinev. Nad võivad saada jagamislingi või näha voogu meeskonnavoogudes, mitte jaotises Minu vood. Selgitage, et "Uute Power Automate eeskirjade järgimiseks värskendasime Flow X-i jagamismeetodit. Võite jätkata selle käivitamist meetodiga Y, kuid see ei kajastu enam teie otseses omandis." See hoiab ära segaduse.
Korrigeerimisjärgse oleku kontrollimine
Pärast muudatuste tegemist kasutage PowerShelli või Power Platform halduskeskust, et kontrollida veel kord, et välistele omanikele ei jääks ühtegi voogu. Näiteks käivitage identifitseerimisskript uuesti ja veenduge, et see ei märgista enam neid vooge. Lahendage iga lipuga märgitud eksemplar kas eemaldamise või õige keskkonna liikmelisuse teel.
Nende kohanduste tegemisega tagate, et kui Microsoft lülitit pöörab, jätkavad need vood kavandatud kasutajate jaoks töötamist. Tõrketeate you do not have access to this flow asemel jääb kasutaja õigustatuks, kuna ta on nüüd sobivas mahus keskkonnaliige. Põhimõtteliselt viite oma jagamistavad vastavusse platvormi juhtimismudeliga.