Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
A partir de xuño de 2025, calquera fluxo compartido cun usuario que non sexa membro do ambiente volverá ser inaccesible para ese usuario. Esta importante modificación para Power Automate esixir que os usuarios sexan membros dun entorno para acceder aos fluxos dese entorno. Esta modificación mellora a seguridade ao aplicar os límites do ambiente. Non obstante, afecta ás organizacións que teñen fluxos compartidos en diferentes entornos, por exemplo, un propietario de fluxo que engade a alguén fóra do entorno como copropietario ou usuario de só execución.
Para cumprir coa nova política, Power Platform os administradores deben identificar os fluxos compartidos con usuarios fóra do seu entorno e axustar a configuración de uso compartido deses fluxos. Este artigo ofrece unha estratexia estruturada para facelo.
Este artigo axúdache a facer o seguinte:
- Identificar os fluxos compartidos con usuarios externos (usuarios que non están no entorno do fluxo).
- Axusta o uso compartido e o acceso para eses fluxos para garantir a continuidade (por exemplo, engade os usuarios axeitados aos entornos e usa acceso de só execución).
Este artigo permite aos administradores abordar preventivamente os problemas de uso compartido antes da entrada en vigor de xuño de 2025. Power Platform Tamén pode axudar a establecer unha gobernanza para xestionar o fluxo compartido de forma segura no futuro. Para ilustrar os puntos clave, este artigo inclúe exemplos reais e instrucións paso a paso.
Aprende as mellores prácticas para xestionar fluxos compartidos en Compartir un fluxo na nube.
Identificar fluxos compartidos con usuarios fóra do seu entorno
O primeiro paso é inventariar todos os fluxos na nube e os seus usuarios compartidos en cada ambiente e, a seguir, identificar que fluxos teñen contido compartido con persoas externas, é dicir, usuarios que non son membros dese ambiente. Power Automate Os fluxos pódense crear de dúas maneiras: como fluxos normais (non solución) ou como fluxos conscientes da solución (parte dunha Dataverse solución). Ambos residen nun ambiente e ambos precisan unha revisión. As seguintes seccións describen métodos para identificar fluxos compartidos externamente.
Power Platform Centro de administración: método GUI
Os administradores do ambiente poden usar o Power Platform centro de administración para unha auditoría visual.
No Power Platform Centro de administración, selecciona Xestionar>Entornos > (o teu entorno) >Recursos>Fluxos.
Unha lista de todos os fluxos do ambiente, xunto cunha columna de Propietarios .
Para cada fluxo, inspeccione os propietarios. Se un fluxo ten varios propietarios (o creador máis os copropietarios), compártese. Compara eses propietarios cos membros coñecidos do ambiente. Por exemplo, compare o grupo de seguranza ou a lista de usuarios para ese ambiente.
A marca flúe cando un propietario ou copropietario que non é un membro do ambiente esperado. Por exemplo, se o entorno do Departamento A só debería conter usuarios do Departamento A, pero ves un copropietario do Departamento B, ese fluxo compártese cunha persoa externa. Pode que teñas que seleccionar o nome dun propietario para ver os detalles ou facer unha referencia cruzada co directorio de usuarios do teu entorno.
Vantaxes do centro de administración: método GUI Power Platform
Power Platform O centro de administración ofrece unha interface intuitiva e permite filtrar e ordenar fluxos por nome ou propietario. Podes detectar rapidamente discrepancias evidentes se sabes que equipos e usuarios pertencen ao ambiente.
Desvantaxes do centro de administración: método GUI Power Platform
Este método é manual e non se adapta ben a moitos fluxos. Debe verificar os propietarios individualmente, o que pode levar moito tempo en entornos grandes. Pode ser difícil comprobar a pertenza ao ambiente directamente desde a interface de usuario.
Script de PowerShell: método automatizado
Para unha auditoría sistemática e repetible, Power Automate ofrece cmdlets administrativos de PowerShell para listar os fluxos e os seus propietarios. Esta estratexia é potente para a análise masiva en entornos grandes ou en arrendatarios completos. Podes crear un script para o proceso que mostre todos os fluxos e destaque as comparticións externas.
Por exemplo, este script usa Get-AdminFlow para recuperar todos os fluxos e despois Get-AdminFlowOwnerRole para cada fluxo lista os seus propietarios e os seus roles. A saída enumera cada nome de fluxo e unha viñeta de Owner: [User], Role: [Owner/Co-owner]. Podes redirixir esta saída a un ficheiro ou procesala máis a fondo.
A continuación, determine os recursos compartidos externos: compare o nome principal de usuario (UPN) de cada propietario co conxunto de usuarios que son membros do ambiente. Un recurso compartido externo indícase por calquera propietario cuxo UPN non estea na lista de usuarios ou grupo de seguranza do ambiente. Na práctica, poderías:
- Exportar a lista de propietarios do fluxo do script anterior e a lista de usuarios do ambiente e, a seguir, usar Excel ou un script para atopar diferenzas, ou
- Mellora o script de PowerShell para realizar comprobacións cruzadas cos usuarios do entorno mediante
Get-AdminEnvironmentUser.
Vantaxes do script de PowerShell: método automatizado
Este método é automatizado e completo. Pode enumerar centos ou miles de fluxos rapidamente e ten capacidade para crear scripts para a elaboración de informes. Podes executalo segundo unha programación, como mensualmente, para detectar novas comparticións externas.
Contras do script de PowerShell: método automatizado
Require coñecementos de PowerShell e privilexios de administrador. Ademais, a saída bruta mostra os UPN e os ID de obxectos. Necesitas interpretar cales están fóra do ambiente e require algunha análise. Non obstante, isto é sinxelo se coñeces o dominio de usuario do teu entorno ou tes unha lista de membros do entorno.
Kit de ferramentas do Centro de Excelencia (CoE): método do cadro de mando
Se a súa organización emprega o Power Platform Kit de inicio do Centro de Excelencia, este ofrece Power BI paneis de control e informes que inclúen métricas para compartir. O inventario de fluxos do CoE pode destacar fluxos que teñen propietarios invitados ou propietarios fóra do grupo de seguranza normal do ambiente. Por exemplo, o panel do Centro de excelencia pode ter un informe de *fluxos con varios propietarios* ou *fluxos compartidos con usuarios convidados* . Podes aproveitar esta información para atopar fluxos con uso compartido anormal.
Vantaxes do kit de ferramentas do Centro de Excelencia (CoE): método do cadro de mando
Informes visuais centralizados que poderían estar a agregar datos ambientais. Sen scripts adicionais se o CoE está no seu lugar. Pode sinalizar automaticamente os patróns non conformes.
Desvantaxes do kit de ferramentas do Centro de Excelencia (CoE): método do cadro de mando
Require que o kit de inicio do CoE sexa despregado e mantido actualizado. Os datos poden non ser en tempo real (normalmente actualízanse segundo unha programación). Ademais, a configuración de filtros personalizados, como a identificación de usuarios de dominios externos, pode requirir axustes nos compoñentes do CoE.
Comparación de métodos de identificación
| Método | Ferramenta/Enfoque | Pros | Contras |
|---|---|---|---|
| Centro de administración (GUI) | Power Platform Interface web do centro de administración: comproba visualmente os fluxos e os propietarios. | Interface sinxela e amigable para o usuario. Información inmediata para pequenos números de fluxos. | Verificación manual, non escalable para entornos grandes. Sen referencia cruzada integrada entre a pertenza ao propietario e a ao ambiente. |
| Script de PowerShell | Cmdlets de PowerShell de administrador (Get-AdminFlow, Get-AdminFlowOwnerRole). |
Saída masiva automatizada de fluxos e propietarios. Pódese programar e os resultados exportarse a CSV ou outros formatos. Alta precisión se se coñece a lista de usuarios do ambiente. | Require coñecementos de PowerShell. Debe identificar por separado que propietarios son externos. Necesita script ou posprocesamento. |
| Kit de ferramentas do CoE (panel de control) | Power BI cadros de mando e fluxos do Centro de Excelencia. | Xa dispoñible se o CoE está instalado. Pode destacar usos compartidos pouco habituais, como propietarios externos ou invitados, nun informe centralizado. | Necesita despregamento e mantemento do CoE. Hai un atraso na actualización dos datos (non en tempo real). Pode ser necesario personalizar para identificar usuarios externos específicos. |
Usando un ou unha combinación dos métodos da táboa anterior, compila unha lista de fluxos que teñan usuarios compartidos externos. Estes son os fluxos afectados que requiren atención antes do cambio de política. En moitas organizacións, isto pode ser un subconxunto de fluxos manexable, por exemplo, só uns poucos fluxos entre departamentos ou fluxos compartidos coa conta de convidado dun socio. Noutros casos, especialmente nos arrendatarios con prácticas de uso compartido aberto, podería haber un número significativo de fluxos que xestionar, polo que canto antes os identifiques, mellor.
Axustar o uso compartido e o acceso para os fluxos afectados
Unha vez que identifiques os fluxos que se comparten con usuarios fóra do seu entorno, o seguinte paso é corrixir a configuración de uso compartido de cada fluxo. O obxectivo é garantir que todos os usuarios que precisen acceso a un fluxo sexan engadidos correctamente ao ambiente (ou que o acceso ao fluxo sexa modificado doutro xeito). Fai isto para que, cando entre en vigor a nova normativa, ninguén perda a funcionalidade. As seguintes seccións describen como abordar os axustes.
Avaliar a necesidade de cada acción externa
Para cada fluxo sinalado, debate co propietario do fluxo ou co equipo empresarial relevante por que se compartiu externamente. Este contexto é importante para decidir a solución. A seguinte lista describe escenarios e accións comúns.
- Escenario 1: Engadiuse o usuario como copropietario só para executar o fluxo ou ver as saídas: En moitos casos, os propietarios engadiron un usuario externo como propietario cando todo o que esa persoa necesitaba era activar ou usar o fluxo (non editalo). Por exemplo, o propietario pode engadir un axente do servizo de asistencia como copropietario dun fluxo para que poida activalo manualmente. Nestes casos, é probable que o usuario non precise ter todos os dereitos de propietario.
- Acción: Elimíneos da lista Propietarios e, no seu lugar, comparta o fluxo con eles como un usuario só de execución (se corresponde), despois de asegurarse de que teñan acceso ao ambiente. Isto proporciona a capacidade necesaria para executar o fluxo sen convertelos en propietarios. Obtén máis información na sección Engadir os usuarios necesarios ao ambiente deste artigo.
- Escenario 2: O usuario colabora realmente na creación ou mantemento do fluxo: Por exemplo, dous departamentos desenvolven conxuntamente un fluxo, polo que un usuario do Departamento B converteuse en copropietario no entorno do Departamento A.
- Acción: Incorporar ese usuario no ambiente como propietario correctamente co rol axeitado ou considerar a posibilidade de mover o fluxo a un ambiente neutral se varias unidades organizativas deben ser copropietarias del. A curto prazo, engadir o usuario á lista de usuarios permitidos do ambiente e darlle un rol axeitado (Creador de ambientes se precisa dereitos de edición) resolve os problemas de acceso.
- Escenario 3: O recurso compartido xa non é necesario: Ás veces engadíronse usuarios temporalmente ou abandonaron o proxecto.
- Acción: Eliminar o usuario externo do recurso compartido do fluxo. Esta é a solución máis sinxela cando sexa aplicable. Se ninguén fóra do contorno precisa o fluxo, deixa de compartilo con esa persoa. O fluxo é entón conforme e só quedan os propietarios internos.
- Escenario 4: Uso compartido entre arrendatarios ou usuarios convidados Por exemplo, compartiuse un fluxo cunha conta de convidado (arrendatario externo). Isto está bloqueado despois da aplicación.
- Acción : Determina se ese convidado precisa acceso de xeito absoluto. En caso afirmativo, unha opción é engadir oficialmente ese convidado como Azure AD convidado no teu arrendatario e no grupo de seguranza do ambiente. Isto convérteos nun membro do medio ambiente. Isto é raro. Como alternativa, traballa para transferir a propiedade a un usuario interno que poida actuar en nome do convidado ou usa un mecanismo diferente, como expoñer o fluxo a través dun disparador HTTP seguro en lugar de compartilo directamente. Recomendamos eliminar as comparticións directas de invitados porque, mesmo se se engaden como membro do ambiente, poden xurdir problemas entre arrendatarios.
Engadir os usuarios necesarios ao ambiente
Para cada usuario que deba seguir tendo acceso ao fluxo, asegúrate de que sexa membro do ambiente a partir de agora. Isto normalmente significa:
Se o ambiente usa un grupo de seguranza Engadir a conta do usuario a iso Azure AD grupo de seguridade. Isto outórgalles o rol de usuario básico predeterminado no ambiente a menos que se configure o contrario. O rol de Usuario básico adoita ser suficiente para alguén que só precisa executar fluxos e non crear nin editar. Despois de engadilo, verifique que o usuario aparece agora na lista de usuarios do entorno en Power Platform centro de administración.
Se é o ambiente predeterminado do arrendatario, que está aberto a todos os usuarios: A maioría dos usuarios con licenza xa están nel. Asegúrate de que o usuario teña unha Power Automate licenza. A aplicación afecta principalmente a entornos non predeterminados con membros restrinxidos.
Creador de ambientes fronte a usuario básico: Non se lle concede o Creador de ambientes a menos que a persoa realmente precise crear e editar fluxos nese ambiente. Nas nosas correccións, preferimos dar só o Usuario Básico ou un rol mínimo personalizado, o que permite executar fluxos compartidos. Para o acceso de só execución, o Usuario básico é suficiente; non é necesario que o usuario sexa un Creador. Limitar os roles de Creador é unha práctica recomendada de gobernanza, que se trata con máis detalle na seguinte sección.
Axusta a configuración de uso compartido do fluxo
Co usuario agora como membro do ambiente, axusta como se comparte o fluxo con el.
Se o usuario só precisa executar o fluxo: use a opción de compartir só en execución. En Power Automate, abre a configuración de Compartir do fluxo. Elimina o usuario da lista Propietarios e, na sección Executar só usuarios, engade o seu nome. Para fluxos activados manualmente, como fluxos de botón e fluxos instantáneos, ou fluxos activados con ligazóns compartibles, isto garante que a persoa poida activar o fluxo sen ser o propietario. Non poden editar nin mostrar o funcionamento interno do fluxo e só poden executalo. O resultado é que o usuario permanece fóra da lista de propietarios, polo que non hai conflitos de ambiente, pero pode usar a funcionalidade do fluxo segundo o previsto.
Exemplo: Bob, de Márketing, era copropietario do fluxo de procesador de clientes potenciais de Vendas, só para poñelo en marcha periodicamente. Eliminamos a Bob como copropietario e engadimos a Bob como usuario só de execución. Bob tamén se engade ao ambiente de vendas como usuario básico. Agora Bob pode seleccionar o botón do fluxo ou recibir a súa ligazón para executalo, pero xa non é un propietario externo, senón un usuario básico autorizado dese ambiente.
Se o usuario precisa permisos completos de propietario (coautoría): despois de engadilo ao ambiente, asegúrate de que permaneza listado como propietario no fluxo. Tecnicamente, podes eliminalos e engadilos de novo para actualizar os permisos. Pero unha vez que están no ambiente, a compartición é lexítima. Tamén podes considerar trasladar o fluxo a unha solución se dous propietarios de diferentes zonas o manteñen a longo prazo. Os fluxos de solucións son máis fáciles de transportar a un ambiente dedicado se é necesario. En calquera caso, comproba dúas veces que aparecen en Propietarios e que o seu rol é Pode editar (propietario) nos detalles do fluxo.
Elimina calquera recurso compartido redundante ou non autorizado: Durante este proceso, aproveita para limpar. Se alguén foi engadido por se acaso, pero nunca usa o fluxo, elimínao. O principio do mínimo privilexio axuda a reducir a supervisión. Asegúrate de que a lista de propietarios de cada fluxo estea limitada a aqueles que realmente precisan acceso de deseño e edición.
Comunicar os cambios aos usuarios afectados
Se vas eliminar o acceso de alguén ou modificar a forma en que invoca un fluxo, avísallo. Desde a perspectiva do usuario, executar un fluxo a través do acceso de só execución pode ser lixeiramente diferente. Poderían obter unha ligazón para compartir ou ver o fluxo en Fluxos de equipo en lugar de en Os meus fluxos. Explica que «Para cumprir coas novas políticas, actualizamos o método de uso compartido para o fluxo X. Podes seguir executándoo co método Y, pero xa non aparecerá baixo a túa propiedade directa». Isto evita confusións. Power Automate
Verificar o estado posterior ao axuste
Despois de facer cambios, usa PowerShell ou o Centro de administración para comprobar dúas veces que non quedan fluxos con propietarios externos. Power Platform Por exemplo, executa o script de identificación de novo e confirma que xa non sinala eses fluxos. Resolve cada instancia sinalizada eliminándoa ou a adhesión axeitada ao ambiente.
Ao realizar estes axustes, garantes que, cando Microsoft active o interruptor, eses fluxos sigan executándose para os usuarios previstos. En lugar dun erro que diga you do not have access to this flow, o usuario segue autorizado porque agora é un membro do ambiente cunha capacidade axeitada. Esencialmente, estás a aliñar as túas prácticas de uso compartido co modelo de gobernanza da plataforma.