Koplietojamu plūsmu pārvaldība ar lietotājiem ārpus vides

2025-06-16

Sākot ar 2025. gada jūniju, jebkura plūsma, kas tiek koplietota ar lietotāju, kurš nav vides dalībnieks, šim lietotājam kļūst nepieejama. Šīs svarīgās izmaiņas Power Automate prasa, lai lietotājiem būtu jābūt vides dalībniekiem, lai piekļūtu plūsmām šajā vidē. Šīs izmaiņas uzlabo drošību, nosakot vides robežas. Tomēr tas ietekmē organizācijas, kurām ir plūsmas koplietotas dažādās vidēs, piemēram, plūsmas īpašnieku, kas pievieno kādu ārpus vides kā līdzīpašnieku vai tikai palaišanas lietotāju.

Lai ievērotu jauno politiku, administratoriem ir jāidentificē plūsmas, kas koplietotas ar lietotājiem ārpus viņu vides, Power Platform un jāpielāgo šo plūsmu koplietošanas iestatījumi. Šajā rakstā ir sniegta strukturēta pieeja, lai to izdarītu.

Šis raksts palīdz veikt tālāk norādītās darbības.

Identificēt plūsmas, kas koplietotas ar ārējiem lietotājiem (lietotājiem, kas nav plūsmas vidē).
Pielāgojiet šo plūsmu koplietošanu un piekļuvi, lai nodrošinātu nepārtrauktību (piemēram, pievienojiet atbilstošus lietotājus videi un izmantojiet tikai izpildes piekļuvi).

Šis raksts ļauj Power Platform administratoriem preventīvi risināt koplietošanas problēmas pirms 2025. gada jūnija izpildes. Tas var arī palīdzēt izveidot pārvaldību, lai turpmāk droši pārvaldītu plūsmas koplietošanu. Lai ilustrētu galvenos punktus, šajā rakstā ir iekļauti reāli piemēri un soli pa solim.

Uzziniet labāko praksi koplietojamo plūsmu pārvaldībai sadaļā Mākoņplūsmas koplietojums.

Identificējiet plūsmas, kas koplietotas ar lietotājiem ārpus viņu vides

Pirmais solis ir inventarizēt visas mākoņa plūsmas un to koplietojamos lietotājus katrā vidē, pēc tam precīzi noteikt, kurām plūsmām ir koplietošanas ar nepiederošajiem lietotājiem — lietotājiem, kas nav šīs vides dalībnieki. Power Automate Plūsmas var izveidot divos veidos: kā parastas (bez risinājuma) plūsmas vai kā risinājumu apzinošas plūsmas (risinājuma daļa Dataverse ). Abi dzīvo vidē, un abas ir jāpārskata. Nākamajās sadaļās ir aprakstītas metodes, lai identificētu ārēji koplietojamas plūsmas.

Power Platform administrēšanas centrs — GUI metode

Vides administratori var izmantot administrēšanas centru Power Platform vizuālai auditai.

Administrēšanas Power Platform centrā atlasiet Pārvaldīt>vides > (jūsu vide) >Resursu>plūsmas.

A uzskaita visas plūsmas vidē, kā arī tiek parādīta kolonna Īpašnieki .
Katrai plūsmai pārbaudiet īpašniekus. Ja plūsmai ir vairāki īpašnieki (satura veidotājs un līdzīpašnieki), tā tiek kopīgota. Salīdziniet šos īpašniekus ar zināmajiem vides locekļiem. Piemēram, salīdziniet šīs vides drošības grupu vai lietotāju sarakstu.
Karodziņa plūsmas, kur īpašnieks vai līdzīpašnieks, kurš nav gaidāmais vides dalībnieks. Piemēram, ja A nodaļas vidē ir jābūt tikai lietotājiem no A nodaļas, bet redzat līdzīpašnieku no B nodaļas, šī plūsma tiek koplietota ar nepiederošo personu. Iespējams, jums būs jāatlasa īpašnieka vārds, lai skatītu detalizētu informāciju, vai savstarpēja atsauce ar vides lietotāju direktoriju.

Administrēšanas centra Power Platform plusi — GUI metode

Power Platform Administrēšanas centrs nodrošina lietotājam draudzīgu interfeisu un ļauj filtrēt un kārtot plūsmas pēc nosaukuma vai īpašnieka. Jūs varat ātri pamanīt acīmredzamas neatbilstības, ja zināt, kuras komandas un lietotāji pieder vidē.

Administrēšanas centra Power Platform mīnusi — GUI metode

Šī metode ir manuāla un nav labi mērogoga daudzām plūsmām. Jums ir individuāli jāpārbauda īpašnieki, kas lielās vidēs var būt laikietilpīgs. Var būt grūti tieši pārbaudīt dalību vidē no lietotāja interfeisa.

PowerShell skripts — automatizēta metode

Sistemātiskai un atkārtojamai auditam Power Automate piedāvā administratīvos PowerShell cmdlet, lai uzskaitītu plūsmas un to īpašniekus. Šī pieeja ir jaudīga lielapjoma analīzei lielās vidēs vai veselos nomniekos. Varat skriptēt procesu, lai izvadītu visas plūsmas un izceltu ārējās koplietošanas.

Piemēram, šis skripts tiek izmantots Get-AdminFlow , lai izgūtu visas plūsmas, pēc tam Get-AdminFlowOwnerRole katrai plūsmai uzskaitītu tās īpašniekus un viņu lomas. Izvade uzskaita katru plūsmas nosaukumu un aizzīmi Owner: [User], Role: [Owner/Co-owner]. Šo izvadi var novirzīt uz failu vai turpināt to apstrādāt.

Pēc tam nosakiet ārējās koplietošanas: salīdziniet katra īpašnieka galvenā lietotāja vārdu (UPN) ar lietotāju kopu, kas ir vides dalībnieki. Ārējo koplietošanu norāda jebkurš īpašnieks, kura UPN nav vides lietotāju sarakstā vai drošības grupā. Praksē jūs varat:

Eksportējiet plūsmas īpašnieku sarakstu no iepriekšējā skripta un vides lietotāju saraksta, pēc tam izmantojiet Excel vai skriptu, lai atrastu atšķirības, vai
Uzlabojiet PowerShell skriptu, lai salīdzinātu ar vides lietotājiem Get-AdminEnvironmentUser.

PowerShell skripta plusi — automatizēta metode

Šī metode ir automatizēta un visaptveroša. Tas var ātri uzskaitīt simtiem vai tūkstošiem plūsmu, un tas ir skriptējams atskatu veidošanai. To var palaist pēc grafika, piemēram, katru mēnesi, lai pamanītu jaunas ārējās akcijas.

PowerShell skripta mīnusi — automatizēta metode

Nepieciešama iepazīšanās ar PowerShell un administratora privilēģijām. Arī neapstrādātā izvade parāda UPN un objektu ID. Jums ir jāinterpretē, kuri no tiem ir ārpus vides un prasa zināmu analīzi. Tomēr tas ir vienkārši, ja zināt savas vides lietotāja domēnu vai ir vides dalībnieku saraksts.

Izcilības centra (CoE) rīkkopa — informācijas paneļa metode

Ja jūsu organizācija izmanto izcilības centra Power Platform sākuma komplektu, tas nodrošina Power BI informācijas paneļus un atskaites, kas ietver koplietošanas metriku. CoE plūsmu inventarizācija var izcelt plūsmas, kuru viesīpašnieki vai īpašnieki ir ārpus vides parastās drošības grupas. Piemēram, CoE informācijas panelī var būt pārskats par plūsmām ar vairākiem īpašniekiem vai plūsmām, kas koplietotas ar vieslietotājiem. Varat izmantot šos ieskatus, lai atrastu plūsmas ar neparastu koplietošanu.

Izcilības centra (CoE) rīkkopas plusi — informācijas paneļa metode

Centralizētas, vizuālas atskaites, kas, iespējams, jau apkopo vides datus. Nav papildu skriptēšanas, ja CoE ir vietā. Tas var automātiski atzīmēt neatbilstošus modeļus.

Izcilības centra (CoE) rīkkopas mīnusi - informācijas paneļa metode

Nepieciešams, lai CoE sākuma komplekts tiktu izvietots un atjaunināts. Dati var nebūt reāllaikā (parasti tie tiek atsvaidzināti pēc grafika). Turklāt, lai iestatītu pielāgotus filtrus, piemēram, identificētu ārējos domēna lietotājus, var būt nepieciešams pielāgot CoE komponentus.

Identifikācijas metožu salīdzinājums

Metode	Rīks/pieeja	Plusi	Mīnusi
Administrēšanas centrs (GUI)	Power Platform Administrēšanas centra tīmekļa interfeiss: vizuāli pārbaudiet plūsmas un īpašniekus.	Vienkāršs, lietotājam draudzīgs interfeiss. Tūlītējs ieskats nelielam plūsmu skaitam.	Manuāla verifikācija, nav mērogojama lielām vidēm. Nav iebūvētas savstarpējās atsauces starp īpašnieku un dalību vidē.
PowerShell skripts	Admin PowerShell cmdlet (`Get-AdminFlow`, `Get-AdminFlowOwnerRole`).	Automatizēta plūsmu un īpašnieku lielapjoma izvade. Var plānot un rezultātus eksportēt CSV vai citos formātos. Augsta precizitāte, ja vides lietotāju saraksts ir zināms.	Nepieciešamas PowerShell zināšanas. Atsevišķi jāidentificē, kuri īpašnieki ir ārēji. Nepieciešama skripts vai pēcapstrāde.
CoE rīkkopa (informācijas panelis)	Power BI informācijas paneļi un CoE plūsmas.	Jau pieejams, ja CoE ir instalēts. Centralizētā pārskatā var izcelt neparastu kopīgošanu, piemēram, ārējos vai viesu īpašniekus.	Nepieciešama CoE izvietošana un uzturēšana. Ir datu atsvaidzināšanas kavēšanās (nevis reāllaikā). Iespējams, ir nepieciešama pielāgošana, lai precīzi noteiktu konkrētus ārējos lietotājus.

Izmantojot vienu vai iepriekšējā tabulā norādīto metožu kombināciju, apkopojiet to plūsmu sarakstu, kurām ir ārēji koplietojamie lietotāji. Tās ir ietekmētās plūsmas, kurām jāpievērš uzmanība pirms politikas maiņas. Daudzās organizācijās tā var būt pārvaldāma plūsmu apakškopa, piemēram, tikai dažas starpnodaļu plūsmas vai plūsmas, kas koplietotas ar partnera viesa kontu. Citos, īpaši īrniekos ar atvērtu koplietošanas praksi, var būt ievērojams skaits plūsmu, kas jāapstrādā, tāpēc, jo agrāk tās identificējat, jo labāk.

Kad esat identificējis plūsmas, kas tiek koplietotas ar lietotājiem ārpus viņu vides, nākamais solis ir koriģēt katras plūsmas koplietošanas konfigurāciju. Mērķis ir nodrošināt, ka katrs lietotājs, kuram nepieciešama piekļuve plūsmai, tiek pareizi pievienots videi (vai arī plūsmas piekļuve tiek citādi modificēta). Dariet to tā, lai, sākot jauno izpildi, neviens nezaudētu funkcionalitāti. Nākamajās sadaļās ir aprakstīts, kā rīkoties korekcijām.

Katrai karodziņa plūsmai apspriediet ar plūsmas īpašnieku vai attiecīgo biznesa komandu, kāpēc tā tika kopīgota ārēji. Šis konteksts ir svarīgs, lai izlemtu labojumu. Šajā sarakstā ir aprakstīti bieži sastopamie scenāriji un darbības.

1. scenārijs: lietotājs tika pievienots kā līdzīpašnieks, lai palaistu plūsmu vai skatītu izvades: daudzos gadījumos īpašnieki pievienoja ārēju lietotāju kā īpašnieku, kad viss, kas šai personai bija nepieciešams, bija aktivizēt vai izmantot plūsmu (nevis rediģēt to). Piemēram, īpašnieks var pievienot palīdzības dienesta aģentu kā plūsmas līdzīpašnieku, lai to varētu manuāli aktivizēt. Šādos gadījumos lietotājam, visticamāk, nav nepieciešamas pilnas īpašnieka tiesības.
Darbība: noņemiet viņus no īpašnieku saraksta un kopīgojiet plūsmu ar viņiem kā tikai palaišanas lietotāju (ja piemērojams) pēc tam, kad nodrošinājaties, ka viņiem ir piekļuve videi. Tas nodrošina nepieciešamo spēju vadīt plūsmu, nepadarot tos par īpašnieku. Papildinformāciju skatiet šī raksta sadaļā Nepieciešamo lietotāju pievienošana videi .
2. scenārijs: lietotājs patiesi sadarbojas, veidojot vai uzturot plūsmu: piemēram, divas nodaļas kopīgi izstrādā plūsmu, tāpēc lietotājs no B nodaļas tika padarīts par līdzīpašnieku A nodaļas vidē.
Darbība: Iekļaujiet šo lietotāju vidē kā īpašnieku pareizi ar atbilstošu lomu vai apsveriet plūsmas pārvietošanu uz neitrālu vidi, ja vairākām organizācijas vienībām vajadzētu būt tās līdzīpašniekiem. Īstermiņā, pievienojot lietotāju vides atļauto lietotāju sarakstam un piešķirot viņam atbilstošu lomu (Vides veidotājs, ja nepieciešamas rediģēšanas tiesības), tiek atrisinātas piekļuves problēmas.
3. scenārijs: koplietošana vairs nav nepieciešama: dažreiz lietotāji tika pievienoti īslaicīgi vai pametuši projektu.
Darbība: noņemiet ārējo lietotāju no plūsmas koplietošanas. Tas ir vienkāršākais risinājums, ja piemērojams. Ja nevienam ārpus vides nav nepieciešama plūsma, atceliet to ar viņiem. Plūsma ir atbilstoša, un paliek tikai iekšējie īpašnieki.
4. scenārijs: starpnomnieku vai viesu lietotāju koplietošanas: piemēram, plūsma tika koplietota ar viesa (ārējā nomnieka) kontu. Tas tiek bloķēts pēc izpildes.
Darbība: nosakiet, vai viesim ir absolūti nepieciešama piekļuve. Ja jā, viena no iespējām ir oficiāli pievienot šo viesi kā Azure AD viesi savā nomniekā un vides drošības grupā. Tas padara viņus par vides locekļiem. Tas ir reti. Alternatīvi, strādājiet, lai nodotu īpašumtiesības iekšējam lietotājam, kurš var rīkoties viesa vārdā, vai izmantot citu mehānismu, piemēram, atklāt plūsmu, izmantojot drošu HTTP trigeri, nevis tiešu kopīgošanu. Ieteicams noņemt tiešās viesu koplietošanas, jo pat tad, ja tas tiek pievienots kā vides dalībnieks, var rasties starpnomnieku problēmas.

Nepieciešamo lietotāju pievienošana videi

Katram lietotājam, kuram arī turpmāk vajadzētu piekļūt plūsmai, pārliecinieties, vai viņš ir vides dalībnieks. Tas parasti nozīmē:

Ja vide izmanto drošības grupu: pievienojiet lietotāja kontu šai Azure AD drošības grupai. Tas piešķir viņiem noklusējuma pamata lietotāja lomu vidē, ja vien nav konfigurēts citādi. Pamata lietotāja loma parasti ir pietiekama personai, kuram ir jāpalaiž tikai plūsmas, nevis jāizveido un jārediģē. Pēc pievienošanas pārliecinieties, vai lietotājs tagad tiek parādīts vides lietotāju sarakstā Power Platform administrēšanas centrā.
Ja tā ir nomnieka noklusējuma vide, kas ir atvērta visiem lietotājiem: lielākā daļa licencēto lietotāju tajā jau ir. Pārliecinieties, vai lietotājam ir licence Power Automate . Izpilde galvenokārt ietekmē vides, kas nav noklusējuma vides, ar ierobežotu dalību.
Vides veidotājs salīdzinājumā ar pamata lietotāju: nepiešķiriet vides veidotāju, ja vien personai patiešām nav jāveido un jārediģē plūsmas šajā vidē. Mūsu labojumos mēs dodam priekšroku tikai pamata lietotājam vai pielāgotai minimālai lomai, kas ļauj palaist koplietojamas plūsmas. Lai piekļūtu tikai palaišanai, pietiek ar pamata lietotāju — lietotājam nav jābūt veidotājam. Veidotāja lomu ierobežošana ir pārvaldības paraugprakse, kas sīkāk aplūkota nākamajā sadaļā.

Tā kā lietotājs tagad ir vides dalībnieks, pielāgojiet, kā plūsma tiek koplietota ar viņiem.

Ja lietotājam ir nepieciešams tikai palaist plūsmu: izmantojiet tikai izpildes koplietošanu. Iekšpusē Power Automate atveriet plūsmas koplietošanas iestatījumus. Noņemiet lietotāju no saraksta Īpašnieki un sadaļā Palaist tikai lietotājus pievienojiet viņa vārdu. Manuāli aktivizētām plūsmām, piemēram, pogu plūsmām un tūlītējām plūsmām, vai plūsmām, kas aktivizētas ar koplietojamām saitēm, tiek nodrošināts, ka persona var aktivizēt plūsmu, nebūdama īpašnieks. Viņi nevar rediģēt vai parādīt plūsmas iekšējos elementus un var tikai to palaist. Rezultāts ir tāds, ka lietotājs paliek ārpus īpašnieku saraksta, tāpēc nav vides konflikta, bet var izmantot plūsmas funkcionalitāti, kā paredzēts.

Piemērs: Bobs mārketingā bija Sales'Lead Processor plūsmas līdzīpašnieks, lai to periodiski sāktu. Mēs noņemam Bobu kā līdzīpašnieku, smf, pievienojam Bobu kā tikai palaišanas lietotāju. Bobs tiek pievienots arī pārdošanas videi kā pamata lietotājs. Tagad Bobs var atlasīt plūsmas pogu vai saņemt tās saiti, lai to palaistu, bet viņš vairs nav ārējs īpašnieks - viņš ir autorizēts šīs vides pamata lietotājs.
Ja lietotājam ir nepieciešamas pilnas īpašnieka atļaujas (koprediģēšana): pēc to pievienošanas videi pārliecinieties, ka viņš plūsmā paliek norādīts kā īpašnieks. Tehniski varat tos noņemt un atkārtoti pievienot, lai atsvaidzinātu atļaujas. Bet, kad viņi atrodas vidē, daļa ir likumīga. Jūs varat arī apsvērt plūsmas pārvietošanu uz risinājumu, ja divi īpašnieki no dažādām jomām to uztur ilgtermiņā. Risinājumu plūsmas ir vieglāk transportēt uz īpašu vidi, ja nepieciešams. Jebkurā gadījumā vēlreiz pārbaudiet, vai tie tiek rādīti sadaļā Īpašnieki , un viņu loma plūsmas detalizētajā ziņā ir Var rediģēt (īpašnieks).
Noņemiet visas liekās vai nesankcionētās koplietošanas: šī procesa laikā izmantojiet iespēju tīrīt. Ja kāds tika pievienots tikai gadījumam, bet nekad neizmanto plūsmu, noņemiet viņu. Vismazākās privilēģijas princips palīdz samazināt uzraudzību. Pārliecinieties, ka katras plūsmas īpašnieku saraksts ir pieejams tikai tiem, kuriem patiešām nepieciešama piekļuve noformēšanai un rediģēšanai.

Izmaiņu paziņošana ietekmētajiem lietotājiem

Ja noņemat kādas personas piekļuvi vai maināt plūsmas izsaukuma veidu, informējiet viņus. No lietotāja viedokļa plūsmas palaišana, izmantojot tikai izpildes piekļuvi, var nedaudz atšķirties. Viņi var iegūt koplietošanas saiti vai redzēt plūsmu sadaļā Team Flows, nevis Manas plūsmas. Paskaidrojiet, ka "Lai atbilstu jaunajām Power Automate politikām, mēs atjauninājām Flow X koplietošanas metodi. Jūs varat turpināt to palaist ar Y metodi, bet tas vairs neparādās jūsu tiešajā īpašumā. Tas novērš neskaidrības.

Pēckorekcijas statusa pārbaude

Pēc izmaiņu veikšanas izmantojiet PowerShell vai Power Platform administrēšanas centru, lai vēlreiz pārbaudītu, vai ārējiem īpašniekiem nepaliek plūsmas. Piemēram, vēlreiz palaidiet identifikācijas skriptu un pārliecinieties, ka tas vairs neatzīmē šīs plūsmas. Atrisināt katru karodziņa instanci, noņemot vai pareizi piedaloties vidē.

Veicot šīs korekcijas, jūs nodrošināsiet, ka, pārslēdzot slēdzi, šīs plūsmas turpina darboties paredzētajiem lietotājiem. Tā vietā, lai kļūdas teiktu you do not have access to this flow, lietotājs paliek autorizēts, jo tagad viņš ir vides dalībnieks atbilstošā statusā. Būtībā jūs saskaņojat savu koplietošanas praksi ar platformas pārvaldības modeli.

Kopīgot, izmantojot