Huomautus
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Kesäkuusta 2025 alkaen työnkulku, joka on jaettu sellaisen käyttäjän kanssa, joka ei ole ympäristön jäsen, ei enää ole kyseisen käyttäjän käytettävissä. Tämä tärkeä muutos Power Automateen edellyttää, että käyttäjien on oltava ympäristön jäseniä, jotta he voivat käyttää työnkulkuja kyseisessä ympäristössä. Tämä muutos parantaa turvallisuutta valvomalla ympäristön rajoja. Se kuitenkin vaikuttaa organisaatioihin, joilla on jaettuja työnkulkuja eri ympäristöissä, kuten jos työnkulun omistaja lisää ympäristön ulkopuolisen käyttäjän yhteisomistajaksi tai Vain suoritus -käyttäjäksi.
Uuden käytännön noudattamiseksi Power Platform -järjestelmänvalvojien on tunnistettava työnkulut, jotka on jaettu ympäristön ulkopuolisten käyttäjien kanssa, ja muutettava kyseisten työnkulkujen jakamisasetuksia. Tässä artikkelissa esitetään jäsennelty lähestymistapa tähän.
Tämän artikkelin avulla voit tehdä seuraavaa:
- Tunnista ulkoisten käyttäjien (käyttäjien, jotka eivät ole työnkulun ympäristössä) kanssa jaetut työnkulut.
- Mukauta näiden työnkulkujen jakamista ja käyttöoikeuksia jatkuvuuden varmistamiseksi (lisää esimerkiksi ympäristöihin oikeita käyttäjiä ja käytä Vain suoritus -käyttöoikeuksia).
Tämän artikkelin avulla Power Platform -järjestelmänvalvojat voivat käsitellä jakamisongelmia ennakoivasti ennen kesäkuun 2025 voimaantuloa. Se voi myös auttaa luomaan hallinnon, jolla hallitaan työnkulun jakamista turvallisesti jatkossa. Keskeisten kohtien havainnollistamiseksi tämä artikkeli sisältää todellisia esimerkkejä ja vaiheittaisia ohjeita.
Tutustu jaettujen työnkulkujen hallinnan parhaisiin käytäntöihin: Pilvityönkulun jakaminen.
Ympäristön ulkopuolisten käyttäjien kanssa jaettujen työnkulkujen tunnistaminen
Ensimmäinen vaihe on inventoida kaikki pilvityönkulut ja niiden jaetut käyttäjät kussakin ympäristössä ja määrittää sitten, mitkä työnkulut on jaettu ulkopuolisille käyttäjille eli käyttäjille, jotka eivät ole kulloisenkin ympäristön jäseniä. Power Automate -työnkulkuja voidaan luoda kahdella tavalla: normaaleina eli muina kuin ratkaisutyönkulkuina tai ratkaisutietoisina työnkulkuina (kuuluvat Dataverse-ratkaisuun). Molemmat asuvat ympäristössä, ja molemmat tarvitsevat tarkistusta. Seuraavissa osissa kuvataan menetelmiä ulkoisesti jaettujen työnkulkujen tunnistamiseksi.
Power Platform -hallintakeskus – GUI-menetelmä
Ympäristön järjestelmänvalvojat voivat käyttää Power Platform -hallintakeskusta visuaaliseen auditointiin.
Valitse Power Platform -hallintakeskuksessaHallitse>Ympäristöt > (ympäristösi) >Resurssit>Työnkulut.
Näkyviin tulevat luettelo kaikista ympäristön työnkuluista sekä Omistajat-sarake.
Tarkista jokaisen virtauksen omistajat. Jos työnkululla on useita omistajia (luoja ja muut omistajat), se jaetaan. Vertaa näitä omistajia ympäristön tunnettuihin jäseniin. Vertaa esimerkiksi kyseisen ympäristön käyttöoikeusryhmää tai käyttäjäluetteloa.
Merkitse työnkulut, joissa omistaja tai yhteisomistaja ei ole odotetun ympäristön jäsen. Jos esimerkiksi osaston A ympäristössä pitäisi olla vain osaston A käyttäjiä, mutta näet osastoon B kuuluvan yhteisomistajan, työnkulku on jaettu ulkopuolisen kanssa. Sinun voi olla tarpeen valita omistajan nimi nähdäksesi hänen tietonsa tai tehtävä vertailu oman ympäristösi käyttäjähakemistoon.
Power Platform -hallintakeskuksen edut – GUI-menetelmä
Power Platform -hallintakeskuksessa on käyttäjäystävällinen käyttöliittymä, joka mahdollistaa työnkulkujen suodattamisen ja lajittelun nimen tai omistajan mukaan. Voit nopeasti havaita ilmeiset ristiriidat, jos tiedät, mitkä tiimit ja käyttäjät kuuluvat ympäristöön.
Power Platform -hallintakeskuksen heikkoudet – GUI-menetelmä
Tämä menetelmä on manuaalinen eikä skaalaudu hyvin monille työnkuluille. Omistajat on vahvistettava erikseen, mikä voi viedä aikaa suurissa ympäristöissä. Ympäristön jäsenyyden ristiintarkistaminen suoraan käyttöliittymästä voi olla vaikeaa.
PowerShell komentosarja – automaattinen menetelmä
Järjestelmällistä ja toistettavissa olevaa auditointia varten Power Automate tarjoaa hallinnollisia PowerShell cmdletejä työnkulkujen ja niiden omistajien luettelointia varten. Tämä lähestymistapa on tehokas suurten ympäristöjen tai kokonaisten vuokraajien joukkoanalyyseissä. Voit skriptata prosessin tulostamaan kaikki työnkulut ja korostamaan ulkoiset jaot.
Tämä komentosarja esimerkiksi noutaa kaikki työnkulut komennolla Get-AdminFlow ja luetteloi sitten kunkin työnkulun omistajat ja heidän roolinsa komennolla Get-AdminFlowOwnerRole. Tuloksena on luettelo kaikkien työnkulkujen nimistä sekä luettelomerkit Owner: [User] ja Role: [Owner/Co-owner]. Voit ohjata tämän tulosteen tiedostoon tai käsitellä sitä edelleen.
Määritä seuraavaksi ulkoiset jaot: Vertaa kunkin omistajan täydellistä käyttäjätunnusta (UPN) ympäristön jäseninä oleviin käyttäjiin. Ulkoisen jaon tunnistaa omistajasta, jonka täydellinen käyttäjätunnus ei löydy ympäristön käyttäjäluettelosta eikä käyttöoikeusryhmästä. Käytännössä voit:
- Vie työnkulun omistajien luettelo edellisestä komentosarjasta ja ympäristön käyttäjäluettelosta ja etsi sitten eroja Excelin tai komentosarjan avulla.
- Paranna PowerShell-komentosarjaa suorittamaan vertailu ympäristön käyttäjiin komennolla
Get-AdminEnvironmentUser.
PowerShell-skriptin plussat – automatisoitu menetelmä
Tämä menetelmä on automatisoitu ja kattava. Se voi luetteloida satoja tai tuhansia työnkulkuja nopeasti, ja se on kirjoitettavissa raportointia varten. Voit suorittaa sen aikataululla, kuten kuukausittain, löytääksesi uusia ulkoisia jakoja.
PowerShell-komentosarjan heikot puolet – automaattinen menetelmä
Edellyttää PowerShellin tuntemusta ja järjestelmänvalvojan oikeuksia. Raakatulos näyttää myös täydelliset käyttäjätunnukset ja objektitunnukset. Sinun on tulkittava, mitkä ovat ympäristön ulkopuolella ja vaativat jonkin verran analyysiä. Tämä on kuitenkin yksinkertaista, jos tiedät ympäristösi käyttäjän toimialueen tai sinulla on luettelo ympäristön jäsenistä.
Center of Excellence (CoE) Toolkit – koontinäytön menetelmä
Jos organisaatiosi käyttää Power Platformin osaamiskeskuksen aloituspakettia, se tuo Power BI -koontinäyttöjä ja raportteja, jotka sisältävät jakamiseen liittyviä mittareita. CoE:n työnkulkujen luettelossa voidaan korostaa työnkulkuja, joiden vierasomistajat tai omistajat ovat ympäristön normaalin käyttöoikeusryhmän ulkopuolella. CoE-koontinäyttö saattaa esimerkiksi sisältää raportin Työnkulut, joilla on useita omistajia tai Vieraskäyttäjien kanssa jaetut työnkulut. Näiden merkityksellisten tietojen avulla voit etsiä työnkulkuja, joissa on epänormaalia jakamista.
Osaamiskeskuksen (CoE) työkalusarjan edut – koontinäyttömenetelmä
Keskitetty, visuaalinen raportointi, joka saattaa jo koostaa ympäristötietoja. Ei ylimääräisiä komentosarjoja, jos CoE on käytössä. Se voi merkitä vaatimustenvastaiset mallit automaattisesti.
Miinukset Center of Excellence (CoE) Toolkit – hallintapaneelimenetelmä
Edellyttää, että CoE-aloituspaketti otetaan käyttöön ja pidetään ajan tasalla. Tiedot eivät ehkä ole reaaliaikaisia (yleensä ne päivitetään aikataulun mukaan). Lisäksi mukautettujen suodattimien määrittäminen, kuten ulkoisen toimialueen käyttäjien tunnistaminen, saattaa edellyttää CoE-komponenttien säätämistä.
Tunnistusmenetelmien vertailu
| Metodi | Työkalu/lähestymistapa | Edut | Haitat |
|---|---|---|---|
| Hallintakeskus (GUI) | Power Platform -hallintakeskuksen verkkokäyttöliittymä: tarkasta työnkulut ja omistajat visuaalisesti. | Helppo, käyttäjäystävällinen käyttöliittymä. Välitön näkemys pienistä virtamääristä. | Manuaalinen vahvistus, ei skaalattavissa suuriin ympäristöihin. Ei sisäänrakennettua ristiviittausta omistajan ja ympäristön jäsenyyden välillä. |
| PowerShell-komentosarja | Järjestelmänvalvojan PowerShell cmdletit (Get-AdminFlow, Get-AdminFlowOwnerRole). |
Virtojen ja omistajien automaattinen joukkotulostus. Voidaan ajoittaa ja tulokset viedä CSV-tiedostoon tai muuhun muotoon. Suuri tarkkuus, jos ympäristön käyttäjäluettelo tunnetaan. | Vaatii PowerShell-tietoutta. On erikseen tunnistettava, mitkä omistajat ovat ulkoisia. Tarvitsee skriptin tai jälkikäsittelyn. |
| CoE-työkalupaketti (koontinäyttö) | Power BI:n koontinäytöt ja CoE-työnkulut. | Jo käytettävissä, jos CoE on asennettu. Voi korostaa epätavallisia jakoja, kuten ulkoisia tai vierasomistajia, keskitetyssä raportissa. | Edellyttää CoE:n käyttöönottoa ja ylläpitoa. Tietojen päivityksessä on viivettä (ei reaaliaikaista). Saattaa edellyttää mukauttamista tiettyjen ulkoisten käyttäjien tunnistamiseksi. |
Laadi jonkin edellisen taulukon menetelmän tai niiden yhdistelmän avulla luettelo työnkuluista, joita on jaettu ulkoisille käyttäjille. Nämä ovat vaikutusalueen työnkulut, jotka edellyttävät toimenpiteitä ennen käytännön muuttamista. Monissa organisaatioissa tämä voi olla hallittavissa oleva työnkulkujen alijoukko, kuten vain muutama osastojen välinen työnkulku tai kumppanin vierastilin kanssa jaettu työnkulku. Toisissa organisaatioissa ja erityisesti vuokraajissa, joissa on avoimia jakokäytäntöjä, käsiteltävänä voi olla merkittävä määrä työnkulkuja, jolloin niiden aikaisesta tunnistamisesta on etua.
Vaikutusalueen työnkulkujen jakamisen ja käyttöoikeuksien muuttaminen
Kun olet tunnistanut työnkulut, jotka on jaettu käyttäjien ympäristön ulkopuolelle, seuraava vaihe on korjata kunkin työnkulun jakamismääritykset. Tavoitteena on varmistaa, että jokainen työnkulun käyttöoikeutta tarvitseva käyttäjä lisätään ympäristöön oikein (tai että työnkulun käyttöoikeutta muokataan muulla tavoin). Tee tämä niin, että kun uusi täytäntöönpano alkaa, kukaan ei menetä toimintoja. Seuraavissa osissa kuvataan, miten muutoksia lähestytään.
Kunkin ulkopuolelle jaon tarpeellisuuden arviointi
Keskustele kunkin merkityn työnkulun omistajan tai asiaankuuluvan liiketoimintatiimin kanssa siitä, miksi se jaettiin ulkoisesti. Tämä konteksti on tärkeä korjauksen päättämisen kannalta. Seuraavassa luettelossa kuvataan yleisiä skenaarioita ja toimintoja.
- Skenaario 1: Käyttäjä on lisätty yhteisomistajaksi vain työnkulun suorittamista tai tulosten tarkastelemista varten: Monissa tapauksissa omistajat ovat lisänneet ulkopuolisen käyttäjän omistajaksi, kun kyseisellä käyttäjällä on ollut vain tarve käynnistää työnkulu tai käyttää (eikä muokata) sitä. Omistaja voi esimerkiksi lisätä tukipalvelun edustajan työnkulun yhteisomistajaksi, jotta hän voi käynnistää sen manuaalisesti. Tällaisissa tapauksissa käyttäjä ei todennäköisesti tarvitse täysiä omistajan oikeuksia.
- Toiminto: Poista heidät Omistajat-luettelosta ja jaa työnkulku heidän kanssaan vain Vain suoritus -muodossa (jos tarkoituksenmukaista), kun olet varmistanut, että heillä on ympäristön käyttöoikeus. Tämä tarjoaa tarvittavat ominaisuudet työnkulun suorittamiseen tekemättä heistä omistajia. Lisätietoja on tämän artikkelin osassa Tarvittavien käyttäjien lisääminen ympäristöön.
- Skenaario 2: Käyttäjä todella osallistuu työnkulun luomiseen tai ylläpitämiseen: Esimerkiksi kaksi osastoa saattaa kehittää työnkulun yhdessä, joten osaston B käyttäjästä tehdään osaston A ympäristön yhteisomistaja.
- Toiminto: Lisää kyseinen käyttäjä ympäristöön omistajana, jolla on asianmukainen rooli, tai harkitse työnkulun siirtämistä neutraaliin ympäristöön, jos useat organisaatioyksiköt omistavat sen yhdessä. Lyhyellä aikavälillä käyttäjän lisääminen ympäristön sallittujen käyttäjien luetteloon ja asianmukaisen roolin antaminen hänelle (ympäristön tekijä, jos hän tarvitsee muokkausoikeudet) ratkaisee käyttöoikeusongelmat.
- Skenaario 3: Jakoa ei enää tarvita: Joskus käyttäjiä on lisätty väliaikaisesti tai he ovat poistuneet projektista.
- Toiminto: Poista ulkopuolinen käyttäjä työnkulun jaosta. Tämä on yksinkertaisin korjaus tarvittaessa. Jos kukaan ympäristön ulkopuolella ei tarvitse työnkulkua, poista sen jakaminen heidän kanssaan. Työnkulku on tällöin vaatimusten mukainen, ja vain sisäiset omistajat jäävät.
- Skenaario 4: Jaot vuokraajien välillä tai jaot vieraskäyttäjille: Työnkulku on esimerkiksi jaettu (ulkoisen vuokraajan) vierastilin kanssa. Tämä estetään täytäntöönpanon jälkeen.
- Toiminto: Selvitä, tarvitseeko vieras ehdottomasti käyttöoikeudet. Jos tarvitsee, yksi mahdollisuus on lisätä kyseinen vieras virallisesti Azure AD -vieraaksi vuokraajassa sekä ympäristön käyttöoikeusryhmään. Tämä tekee heistä ympäristön jäseniä. Tämä on harvinaista. Pyri vaihtoehtoisesti siirtämään omistajuus sisäiselle käyttäjälle, joka voi toimia vieraan puolesta, tai käytä eri mekanismia, kuten työnkulun paljastamista suojatun HTTP-käynnistimen kautta suoraan jakamisen sijaan. Suosittelemme suorien vierasjakojen poistamista, koska vaikka vieras lisättäisiin ympäristön jäseneksi, vuokraajien välillä saattaa ilmetä ongelmia.
Tarvittavien käyttäjien lisääminen ympäristöön
Varmista jokaiselle käyttäjälle, jonka pitäisi edelleen käyttää työnkulkua, että hän on jatkossa ympäristön jäsen. Tämä tarkoittaa yleensä:
Jos ympäristössä käytetään käyttöoikeusryhmää: Lisää käyttäjän tili kulloiseenkin Azure AD -käyttöoikeusryhmään. Tämä antaa heille oletusarvoisen peruskäyttäjän roolin ympäristössä, ellei toisin ole määritetty. Peruskäyttäjän rooli riittää yleensä henkilölle, jonka tarvitsee vain suorittaa työnkulkuja eikä luoda ja muokata. Varmista lisäämisen jälkeen, että käyttäjä näkyy ympäristön Käyttäjät-luettelossa Power Platform -hallintakeskuksessa.
Jos kyseessä on vuokraajan kaikille käyttäjille avoin oletusympäristö: Useimmat käyttäjät, joilla on käyttöoikeudet, ovat jo ympäristössä. Varmista, että käyttäjällä on Power Automate -käyttöoikeus. Täytäntöönpano vaikuttaa pääasiassa ei-oletusarvoisiin ympäristöihin, joissa jäsenyys on rajoitettu.
Ympäristön tekijä vai Peruskäyttäjä: Älä myönnä Ympäristön tekijä -roolia, ellei käyttäjän todella tarvitse luoda ja muokata työnkulkuja kyseisessä ympäristössä. Korjauksissamme annamme mieluummin vain peruskäyttäjälle tai mukautetun vähimmäisroolin, joka mahdollistaa jaettujen työnkulkujen suorittamisen. Vain suoritusta varten riittää peruskäyttäjä – käyttäjän ei tarvitse olla tekijä. Tekijän roolien rajoittaminen on hallinnon paras käytäntö, jota käsitellään tarkemmin seuraavassa osassa.
Työnkulun jakamisasetusten muuttaminen
Kun käyttäjä on nyt ympäristön jäsen, muuta tapaa, jolla työnkulku jaetaan hänen kanssaan.
Jos käyttäjän tarvitsee vain suorittaa työnkulku: Käytä Vain suoritus -jakamista. Avaa työnkulun jakoasetukset Power Automatessa. Poista käyttäjä Omistajat-luettelosta ja lisää hänen nimensä Vain suoritus -käyttäjien osaan. Manuaalisesti käynnistetyissä työnkuluissa, kuten painiketyönkuluissa ja pikatyönkuluissa sekä jaettavilla linkeillä käynnistetyissä työnkuluissa, tämä varmistaa, että henkilö voi käynnistää työnkulun olematta omistaja. He eivät voi muokata tai näyttää työnkulun sisäisiä ominaisuuksia ja voivat vain suorittaa sen. Näin käyttäjä pysyy omistajaluettelon ulkopuolella, joten ympäristöristiriitoja ei ole, mutta hän voi käyttää työnkulun toimintoja tarkoitetulla tavalla.
Esimerkki: Markkinointitiimin Bob oli myyntitiimin Liidinkäsittelijä-työnkulun yhteisomistaja vain käynnistääkseen sen ajoittain. Poistamme Bobin yhteisomistajista ja lisäämme Bobin Vain suoritus -käyttäjäksi. Bob lisätään myös myyntiympäristöön Peruskäyttäjä-roolilla. Nyt Bob voi valita työnkulun painikkeen tai vastaanottaa sen linkin suorittamista varten, mutta hän ei ole enää ulkopuolinen omistaja – hän on kyseisen ympäristön valtuutettu Peruskäyttäjä.
Jos käyttäjä tarvitsee täydet omistajan käyttöoikeudet (yhteismuokkaaminen): Kun olet lisännyt hänet ympäristöön, varmista, että hän pysyy työnkulun Omistajat-luettelossa. Teknisesti voit poistaa ne ja lisätä ne uudelleen päivittääksesi käyttöoikeudet. Kun käyttäjä on ympäristössä, jako on pätevä. Voit myös harkita työnkulun siirtämistä ratkaisuun, jos kaksi omistajaa eri alueilta ylläpitää sitä pitkällä aikavälillä. Ratkaisuvirrat on tarvittaessa helpompi siirtää erilliseen ympäristöön. Tarkasta joka tapauksessa työnkulun tiedoista vielä, että hän on Omistajat-luettelossa ja että hänen roolinsa on Voi muokata (omistaja).
Poista ylimääräiset tai luvattomat jaot: Käytä tämän prosessin yhteydessä tilaisuutta luoda järjestystä. Jos joku on lisätty varmuuden vuoksi, mutta hän ei koskaan käytä työnkulkua, poista hänet. Vähimpien oikeuksien periaate auttaa vähentämään valvontaa. Varmista, että kunkin työnkulun Omistajat-luettelo rajoittuu niihin käyttäjiin, jotka todella tarvitsevat suunnittelu- ja muokkausoikeuksia.
Ilmoita muutoksista asianomaisille käyttäjille
Jos olet poistamassa jonkun käyttöoikeutta tai muuttamassa tapaa, jolla hän käynnistää työnkulun, kerro siitä hänelle. Käyttäjän näkökulmasta työnkulun suorittaminen vain suoritettavan käyttöoikeuden kautta voi olla hieman erilaista. He saattavat saada jakamislinkin tai nähdä työnkulun tiimin työnkuluissa omien työnkulkujen sijaan. Selitä, että "Uusien Power Automate -käytäntöjen noudattamiseksi päivitimme työnkulun X jakamismenetelmän. Voit jatkaa sen suorittamista menetelmällä Y, mutta se ei enää näy suorassa omistuksessasi." Tämä ehkäisee sekaannuksia.
Oikaisun jälkeisen tilan tarkistaminen
Kun olet tehnyt muutokset, tarkasta PowerShellin tai Power Platform -hallintakeskuksen avulla vielä, ettei jäljellä ole työnkulkuja, joilla on ulkopuolisia omistajia. Suorita esimerkiksi tunnistuskomentosarja uudelleen ja varmista, ettei se enää merkitse kyseisiä työnkulkuja. Ratkaise kukin merkitty esiintymä joko poistamalla tai asianmukaisella ympäristön jäsenyydellä.
Tekemällä nämä säädöt varmistat, että kun Microsoft kääntää valitsinta, työnkulkujen suorittaminen jatkuu aiotuille käyttäjille. Virheen you do not have access to this flow sijaan käyttäjä pysyy valtuutettuna, koska hän on nyt ympäristön jäsen asianmukaisessa ominaisuudessa. Pohjimmiltaan yhdenmukaistat jakamiskäytäntösi alustan hallintomallin kanssa.