Nata
Norint pasiekti šį puslapį, reikalingas leidimas. Galite pabandyti prisijungti arba pakeisti katalogus.
Norint pasiekti šį puslapį, reikalingas leidimas. Galite pabandyti pakeisti katalogus.
Nuo 2025 m. birželio bet koks srautas, bendrinamas su vartotoju, kuris nėra aplinkos narys, tam vartotojui tampa nepasiekiamas. Šis svarbus pakeitimas Power Automate reikalauja, kad vartotojai būtų aplinkos nariai, kad galėtų pasiekti srautus toje aplinkoje. Šis pakeitimas padidina saugumą, nes užtikrinamas aplinkos ribų nustatymas. Tačiau tai turi įtakos organizacijoms, kurių srautai bendrinami skirtingose aplinkose, pvz., srauto savininkas įtraukia ką nors už aplinkos ribų kaip bendrasavininkį arba tik vykdomą vartotoją.
Kad atitiktų naująją politiką, administratoriai turi nustatyti srautus, bendrinamus su naudotojais už jų aplinkos ribų, Power Platform ir koreguoti tų srautų bendrinimo nustatymus. Šiame straipsnyje pateikiamas struktūrinis požiūris į tai.
Šis straipsnis padeda atlikti šiuos veiksmus:
- Identifikuokite srautus, bendrinamus su išoriniais vartotojais (vartotojais, kurių nėra srauto aplinkoje).
- Koreguokite šių srautų bendrinimą ir prieigą, kad užtikrintumėte tęstinumą (pvz., įtraukite tinkamus vartotojus į aplinkas ir naudokite tik vykdomą prieigą).
Šis straipsnis leidžia Power Platform administratoriams iš anksto išspręsti bendrinimo problemas iki 2025 m. birželio mėn. Tai taip pat gali padėti nustatyti valdymą, kad ateityje būtų galima saugiai valdyti dalijimąsi srautais. Norėdami iliustruoti pagrindinius dalykus, šiame straipsnyje pateikiami realūs pavyzdžiai ir nuoseklios instrukcijos.
Sužinokite geriausią bendrinamų srautų valdymo praktiką skiltyje Debesies srauto bendrinimas.
Nustatykite srautus, bendrinamus su naudotojais už jų aplinkos ribų
Pirmas žingsnis yra inventorizuoti visus debesies srautus ir jų bendrinamus vartotojus kiekvienoje aplinkoje, tada tiksliai nustatyti, kurie srautai bendrinami su pašaliniais asmenimis – vartotojais, kurie nėra tos aplinkos nariai. Power Automate srautus galima sukurti dviem būdais: kaip įprastus (ne sprendimo) srautus arba kaip sprendimus suprantančius srautus (sprendimo dalis Dataverse ). Abu gyvena aplinkoje ir abu turi būti peržiūrėti. Tolesniuose skyriuose aprašomi metodai, kaip nustatyti bendrai naudojamus išorės srautus.
Power Platform administravimo centras – GUI metodas
Aplinkos administratoriai gali naudoti Power Platform administravimo centrą vaizdiniam auditui atlikti.
Administravimo Power Platform centre pasirinkite Valdyti>aplinkas > (jūsų aplinka) >Išteklių>srautai.
A išvardijami visi aplinkos srautai ir rodomas stulpelis Savininkai .
Kiekvienam srautui patikrinkite savininkus. Jei srautas turi kelis savininkus (kūrėją ir bendrasavininkius), jis bendrinamas. Palyginkite tuos savininkus su žinomais aplinkos nariais. Pavyzdžiui, palyginkite tos aplinkos saugos grupę arba vartotojų sąrašą.
Vėliavėlių srautai, kai savininkas arba bendrasavininkis, kuris nėra numatytas aplinkos narys, yra savininkas. Pavyzdžiui, jei A skyriaus aplinkoje turėtų būti tik vartotojai iš A depo, bet matote bendrasavininkį iš B depo, tas srautas bendrinamas su pašaliniu asmeniu. Jums gali tekti pasirinkti savininko vardą, kad galėtumėte peržiūrėti išsamią informaciją, arba pateikti kryžmines nuorodas į savo aplinkos vartotojo katalogą.
Power Platform Administravimo centro privalumai – GUI metodas
Power Platform Administravimo centras suteikia patogią vartotojo sąsają ir leidžia filtruoti bei rūšiuoti srautus pagal vardą arba savininką. Galite greitai pastebėti akivaizdžius neatitikimus, jei žinote, kurios komandos ir vartotojai priklauso aplinkai.
Power Platform Administravimo centro trūkumai – GUI metodas
Šis metodas yra rankinis ir netinka daugeliui srautų. Turite atskirai patikrinti savininkus, o tai gali užtrukti daug laiko didelėje aplinkoje. Gali būti sunku kryžmiškai patikrinti narystę aplinkoje tiesiogiai iš vartotojo sąsajos.
"PowerShell" scenarijus – automatizuotas metodas
Sistemingam ir pakartojamam auditui Power Automate siūlomos administracinės "PowerShell" cmdlet, skirtos srautams ir jų savininkams išvardyti. Šis metodas yra galingas atliekant masinę analizę didelėse aplinkose ar visuose nuomininkuose. Galite suplanuoti procesą, kad išvestumėte visus srautus ir paryškintumėte išorinius bendrinimus.
Pavyzdžiui, šis scenarijus naudojamas Get-AdminFlow visiems srautams nuskaityti, tada Get-AdminFlowOwnerRole kiekvienam srautui išvardyti jo savininkus ir jų vaidmenis. Išvestyje pateikiamas kiekvieno srauto pavadinimas ir ženklelis Owner: [User]. Role: [Owner/Co-owner] Galite peradresuoti šią išvestį į failą arba toliau ją apdoroti.
Tada nustatykite išorinius bendrinimus: palyginkite kiekvieno savininko pagrindinį vartotojo vardą (UPN) su vartotojų, kurie yra aplinkos nariai, rinkiniu. Išorinį bendrinimą nurodo bet kuris savininkas, kurio UPN nėra aplinkos vartotojų sąraše arba saugos grupėje. Praktiškai galite:
- Eksportuokite srauto savininkų sąrašą iš ankstesnio scenarijaus ir aplinkos vartotojų sąrašo, tada naudokite "Excel" arba scenarijų, kad rastumėte skirtumų, arba
- Patobulinkite "PowerShell" scenarijų, kad galėtumėte atlikti
Get-AdminEnvironmentUserkryžminę patikrą su aplinkos vartotojais.
"PowerShell" scenarijaus privalumai – automatizuotas metodas
Šis metodas yra automatizuotas ir išsamus. Jis gali greitai išvardyti šimtus ar tūkstančius srautų ir yra scenarijus ataskaitoms teikti. Galite paleisti jį pagal tvarkaraštį, pvz., Kas mėnesį, kad pastebėtumėte naujus išorinius bendrinimus.
"PowerShell" scenarijaus trūkumai – automatizuotas metodas
Reikia išmanyti "PowerShell" ir administratoriaus teises. Be to, neapdorota išvestis rodo UPN ir objektų ID. Turite interpretuoti, kurie iš jų yra už aplinkos ribų ir reikalauja tam tikros analizės. Tačiau tai paprasta, jei žinote savo aplinkos vartotojo domeną arba turite aplinkos narių sąrašą.
Kompetencijos centro (CoE) įrankių rinkinys – prietaisų skydelio metodas
Jei jūsų organizacija naudoja Power Platform kompetencijos centro darbo pradžios rinkinį, ji teikia Power BI ataskaitų sritis ir ataskaitas, kuriose yra bendrinimo metrika. KC srautų inventoriuje gali būti paryškinti srautai, kuriuose yra svečių savininkų arba savininkų, nepriklausančių įprastai aplinkos saugos grupei. Pavyzdžiui, KC ataskaitų srityje gali būti srautų su keliais savininkais ataskaita arba srautai, bendrinami su vartotojais svečiais. Galite pasinaudoti šiomis įžvalgomis, kad rastumėte srautus naudodami neįprastą bendrinimą.
Kompetencijos centro (CoE) įrankių rinkinio pranašumai – prietaisų skydelio metodas
Centralizuotos, vaizdinės ataskaitos, kurios jau gali kaupti aplinkos duomenis. Jokių papildomų scenarijų, jei CoE yra vietoje. Jis gali automatiškai pažymėti reikalavimų neatitinkančius šablonus.
Kompetencijos centro (CoE) įrankių rinkinio trūkumai – prietaisų skydelio metodas
Reikalauja, kad KC pradinis rinkinys būtų įdiegtas ir nuolat atnaujinamas. Duomenys gali būti teikiami ne realiuoju laiku (paprastai jie atnaujinami pagal tvarkaraštį). Be to, norint nustatyti pasirinktinius filtrus, pvz., identifikuoti išorinio domeno naudotojus, gali tekti pakoreguoti CoE komponentus.
Identifikavimo metodų palyginimas
| Būdas | Įrankis / metodas | Privalumai | Trūkumai |
|---|---|---|---|
| Administravimo centras (GUI) | Power Platform Administravimo centro žiniatinklio sąsaja: vizualiai patikrinkite srautus ir savininkus. | Lengva, patogi sąsaja. Greita įžvalga apie nedidelį srautų skaičių. | Rankinis tikrinimas, kurio negalima keisti didelėms aplinkoms. Nėra įtaisytosios kryžminės nuorodos į savininko ir aplinkos narystę. |
| „PowerShell“ scenarijus | Administratoriaus "PowerShell" cmdlet (Get-AdminFlow, Get-AdminFlowOwnerRole). |
Automatizuota srautų ir savininkų tūrinė produkcija. Galima suplanuoti ir rezultatus eksportuoti į CSV ar kitus formatus. Didelis tikslumas, jei žinomas aplinkos vartotojų sąrašas. | Reikia "PowerShell" žinių. Turi atskirai nustatyti, kurie savininkai yra išoriniai. Reikia scenarijaus arba papildomo apdorojimo. |
| KC priemonių rinkinys (prietaisų skydelis) | Power BI prietaisų skydeliai ir KC srautai. | Jau galima, jei įdiegtas CoE. Gali paryškinti neįprastą bendrinimą, pvz., išorinių ar svečių savininkų, centralizuotoje ataskaitoje. | Reikia KC diegimo ir priežiūros. Yra duomenų atnaujinimo delsa (ne realiuoju laiku). Gali reikėti tinkinimo, kad būtų galima tiksliai nustatyti konkrečius išorinius vartotojus. |
Naudodami vieną iš ankstesnėje lentelėje pateiktų metodų arba jų derinį, sudarykite srautų, kuriuose yra išorinių bendrinamų vartotojų, sąrašą. Tai yra paveikti srautai, į kuriuos reikia atkreipti dėmesį prieš keičiant politiką. Daugelyje organizacijų tai gali būti valdomas srautų pogrupis, pvz., tik keli kelių skyrių srautai arba srautai, bendrinami su partnerio svečio paskyra. Kitose, ypač nuomininkuose, turinčiuose atvirą dalijimosi praktiką, gali būti daug srautų, kuriuos reikia tvarkyti, todėl kuo anksčiau juos identifikuosite, tuo geriau.
Koreguokite bendrinimą ir prieigą prie paveiktų srautų
Kai nustatysite srautus, kurie bendrinami su vartotojais už jų aplinkos ribų, kitas veiksmas yra ištaisyti kiekvieno srauto bendrinimo konfigūraciją. Tikslas yra užtikrinti, kad kiekvienas vartotojas, kuriam reikia prieigos prie srauto, būtų tinkamai įtrauktas į aplinką (arba srauto prieiga būtų kitaip pakeista). Padarykite tai taip, kad pradėjus taikyti naują vykdymo užtikrinimo priemonę niekas neprarastų funkcionalumo. Tolesniuose skyriuose aprašoma, kaip taikyti koregavimus.
Įvertinkite kiekvienos išorinės akcijos būtinumą
Aptarkite kiekvieno pažymėto srauto savininką arba atitinkamą verslo komandą, kodėl jis buvo bendrinamas išorėje. Šis kontekstas yra svarbus norint nuspręsti dėl pataisymo. Šiame sąraše aprašomi dažniausiai pasitaikantys scenarijai ir veiksmai.
- 1 scenarijus: naudotojas buvo pridėtas kaip bendrasavininkis tik tam, kad paleistų srautą arba matytų išvestis: daugeliu atvejų savininkai pridėjo išorinį naudotoją kaip savininką, kai viskas, ko tam asmeniui reikėjo, buvo suaktyvinti arba naudoti srautą (o ne jį redaguoti). Pavyzdžiui, savininkas gali pridėti pagalbos tarnybos agentą kaip srauto bendrasavininkį, kad galėtų jį suaktyvinti rankiniu būdu. Tokiais atvejais naudotojui greičiausiai nereikia visų savininko teisių.
- Veiksmas: pašalinkite juos iš savininkų sąrašo ir bendrinkite srautą su jais kaip tik vykdomą vartotoją (jei taikoma), įsitikinę, kad jie turi prieigą prie aplinkos. Tai suteikia reikiamą galimybę paleisti srautą nepadarant jų savininku. Sužinokite daugiau šio straipsnio skyriuje Būtinų vartotojų įtraukimas į aplinką .
- 2 scenarijus: vartotojas iš tikrųjų bendradarbiauja kurdamas arba prižiūrėdamas srautą: pavyzdžiui, du skyriai kartu kuria srautą, todėl vartotojas iš B departamento buvo paskirtas bendrasavininku A departamento aplinkoje.
- Veiksmas: įtraukite tą naudotoją į aplinką kaip savininką, tinkamai atliekantį atitinkamą vaidmenį, arba apsvarstykite galimybę perkelti srautą į neutralią aplinką, jei keli organizacijos vienetai turėtų būti jo bendrasavininkiai. Trumpuoju laikotarpiu, įtraukus vartotoją į aplinkos leidžiamų vartotojų sąrašą ir suteikus jam tinkamą vaidmenį (aplinkos kūrėjas, jei jam reikia redagavimo teisių), išsprendžiamos prieigos problemos.
- 3 scenarijus: bendrinimas nebereikalingas: kartais vartotojai buvo laikinai pridėti arba išėjo iš projekto.
- Veiksmas: pašalinkite išorinį naudotoją iš srauto dalies. Tai paprasčiausias pataisymas, kai taikoma. Jei niekam už aplinkos ribų nereikia srauto, nesidalykite juo su jais. Tada srautas atitinka reikalavimus ir lieka tik vidiniai savininkai.
- 4 scenarijus: kelių nuomotojų arba svečių vartotojų bendrinimai: pavyzdžiui, srautas buvo bendrinamas su svečio (išorinio nuomotojo) paskyra. Tai užblokuojama po vykdymo užtikrinimo.
- Veiksmas: nustatykite, ar tam svečiui būtinai reikia prieigos. Jei taip, viena iš galimybių yra oficialiai įtraukti tą svečią kaip svečią Azure AD savo nuomotojuje ir į aplinkos saugos grupę. Tai daro juos aplinkos nariais. Tai retai. Arba stenkitės perduoti nuosavybės teisę vidiniam vartotojui, kuris gali veikti svečio vardu, arba naudoti kitą mechanizmą, pvz., atskleisti srautą per saugų HTTP paleidiklį, o ne tiesiogiai bendrinti. Rekomenduojame pašalinti tiesioginių svečių bendrinimus, nes net jei jie bus įtraukti kaip aplinkos nariai, gali kilti problemų keliuose nuomotojuose.
Pridėkite reikiamus vartotojus prie aplinkos
Įsitikinkite, kad kiekvienas vartotojas, kuris ir toliau turėtų turėti prieigą prie srauto, yra aplinkos narys. Tai paprastai reiškia:
Jei aplinka naudoja saugos grupę: įtraukite vartotojo abonementą į tą Azure AD saugos grupę. Tai suteikia jiems numatytąjį pagrindinio vartotojo vaidmenį aplinkoje, nebent sukonfigūruota kitaip. Pagrindinio vartotojo vaidmens paprastai pakanka tam, kuriam reikia tik vykdyti srautus, o ne kurti ir redaguoti. Pridėję patikrinkite, ar vartotojas dabar rodomas aplinkos vartotojų sąraše Power Platform administravimo centre.
Jei tai nuomotojo numatytoji aplinka, kuri yra atvira visiems vartotojams: dauguma licencijuotų vartotojų jau yra joje. Įsitikinkite, kad vartotojas turi Power Automate licenciją. Vykdymas daugiausia veikia nenumatytąsias aplinkas su ribota naryste.
Aplinkos kūrėjas, palyginti su pagrindiniu vartotoju: nesuteikite aplinkos kūrėjo, nebent asmeniui tikrai reikia kurti ir redaguoti srautus toje aplinkoje. Pataisymuose pirmenybę teikiame tik pagrindiniam vartotojui arba pasirinktiniam minimaliam vaidmeniui, kuris leidžia vykdyti bendrinamus srautus. Norint turėti tik vykdomą prieigą, pakanka pagrindinio vartotojo – vartotojui nereikia būti kūrėju. Kūrėjo vaidmenų ribojimas yra geriausia valdymo praktika, kuri išsamiau aptariama kitame skyriuje.
Srauto bendrinimo nustatymų koregavimas
Kai vartotojas dabar yra aplinkos narys, sureguliuokite, kaip srautas bendrinamas su juo.
Jei vartotojui reikia tik paleisti srautą: naudokite tik vykdomą bendrinimą. Į Power Automate, atidarykite srauto bendrinimo nustatymus. Pašalinkite vartotoją iš savininkų sąrašo ir skiltyje Vykdyti tik vartotojus pridėkite jo vardą. Rankiniu būdu suaktyvintiems srautams, pvz., mygtukų srautams ir momentiniams srautams, arba srautams, suaktyvintiems naudojant bendrinamas nuorodas, tai užtikrina, kad asmuo gali suaktyvinti srautą nebūdamas savininku. Jie negali redaguoti ar rodyti srauto vidinių dalių ir gali tik jį paleisti. Dėl to vartotojas lieka už savininkų sąrašo ribų, todėl nėra aplinkos konflikto, bet gali naudoti srauto funkcijas taip, kaip numatyta.
Pavyzdys: Bobas rinkodaroje buvo "Sales'Lead Processor " srauto bendrasavininkis, kad tik periodiškai jį paleistų. Mes pašaliname Bobą kaip bendrasavininkį smf pridėti Bobą kaip tik veikiantį vartotoją. Bobas taip pat įtraukiamas į pardavimo aplinką kaip pagrindinis vartotojas. Dabar Bobas gali pasirinkti srauto mygtuką arba gauti jo nuorodą, kad jį paleistų, bet jis nebėra išorinis savininkas – jis yra įgaliotasis pagrindinis tos aplinkos vartotojas.
Jei naudotojui reikia visų savininko teisių (redagavimas vienu metu): įtraukę jį į aplinką, įsitikinkite, kad jis lieka nurodytas kaip srauto savininkas. Techniškai galite juos pašalinti ir iš naujo pridėti, kad atnaujintumėte leidimus. Bet kai jie yra aplinkoje, akcija yra teisėta. Taip pat galite apsvarstyti galimybę perkelti srautą į sprendimą, jei du savininkai iš skirtingų sričių jį išlaiko ilgą laiką. Esant poreikiui, sprendimų srautus lengviau transportuoti į tam skirtą aplinką. Bet kokiu atveju dar kartą patikrinkite, ar jie rodomi skiltyje Savininkai , o jų vaidmuo yra Gali redaguoti (savininkas) srauto informacijoje.
Pašalinkite visas nereikalingas ar neteisėtas akcijas: Šio proceso metu pasinaudokite proga išvalyti. Jei kas nors buvo pridėtas tik tuo atveju, bet niekada nenaudoja srauto, pašalinkite jį. Mažiausių privilegijų principas padeda sumažinti priežiūrą. Įsitikinkite, kad kiekvieno srauto savininkų sąrašas yra skirtas tik tiems, kuriems tikrai reikia dizaino ir redagavimo prieigos.
Pranešimas apie pakeitimus paveiktiems vartotojams
Jei pašalinate kieno nors prieigą arba keičiate srauto iškvietimo būdą, praneškite jam. Žvelgiant iš vartotojo perspektyvos, srauto vykdymas naudojant tik vykdymo prieigą gali šiek tiek skirtis. Jie gali gauti bendrinimo nuorodą arba matyti srautą komandos srautuose, o ne mano srautuose. Paaiškinkite, kad "Siekdami laikytis naujos Power Automate politikos, atnaujinome "Flow X" bendrinimo metodą. Galite ir toliau jį paleisti naudodami Y metodą, bet jis neberodomas jūsų tiesioginėje nuosavybėje." Tai apsaugo nuo painiavos.
Būsenos po koregavimo tikrinimas
Atlikę keitimus, naudokite "PowerShell" arba Power Platform administravimo centrą, kad dar kartą patikrintumėte, ar pas išorinius savininkus neliko srautų. Pavyzdžiui, dar kartą paleiskite identifikavimo scenarijų ir patvirtinkite, kad jis nebežymės tų srautų. Išspręskite kiekvieną pažymėtą egzempliorių pašalindami arba tinkamai tapdami aplinkoje.
Atlikdami šiuos koregavimus užtikrinate, kad "Microsoft" perjungus jungiklį, šie srautai ir toliau bus vykdomi numatytiems vartotojams. Vietoj klaidos pasakymo you do not have access to this flow vartotojas lieka įgaliotas, nes dabar jis yra atitinkamo pajėgumo aplinkos narys. Iš esmės jūs suderinate savo bendrinimo praktiką su platformos valdymo modeliu.