Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Vanaf juni 2025 zijn stromen die worden gedeeld met een gebruiker die geen lid is van de omgeving, niet meer toegankelijk voor die gebruiker. Deze belangrijke wijziging voor Power Automate vereist dat gebruikers lid moeten zijn van een omgeving om toegang te krijgen tot stromen in die omgeving. Deze wijziging verbetert de beveiliging door het afdwingen van omgevingsgrenzen. Het heeft echter wel gevolgen voor organisaties met stromen die in verschillende omgevingen worden gedeeld, bijvoorbeeld wanneer een stroomeigenaar iemand buiten de omgeving toevoegt als mede-eigenaar of alleen-uitvoerende gebruiker.
Om te voldoen aan het nieuwe beleid moeten Power Platform-beheerders de stromen identificeren die met gebruikers buiten hun omgeving worden gedeeld en de instellingen voor delen van die stromen aanpassen. Dit artikel biedt een gestructureerde aanpak om dit te doen.
Dit artikel helpt u bij het volgende:
- Identificeer stromen die worden gedeeld met externe gebruikers (gebruikers die zich niet in de omgeving van de stroom bevinden).
- Pas het delen en de toegang voor deze stromen aan om continuïteit te garanderen (voeg bijvoorbeeld de juiste gebruikers toe aan omgevingen en gebruik alleen-uitvoertoegang).
Met dit artikel kunnen Power Platform-beheerders preventief problemen met delen aanpakken vóór de invoering van de handhaving in juni 2025. Het kan ook helpen bij het opzetten van governance om het delen van stromen in de toekomst veilig te beheren. Om de belangrijkste punten te illustreren, bevat dit artikel echte voorbeelden en stapsgewijze instructies.
Ontdek de best practices voor het beheren van gedeelde stromen in Een cloudstroom delen.
Identificeer stromen die worden gedeeld met gebruikers buiten hun omgeving
De eerste stap is het inventariseren van alle cloudstromen en hun gedeelde gebruikers in elke omgeving. Vervolgens moet worden vastgesteld welke stromen worden gedeeld met outsiders: gebruikers die geen lid zijn van die omgeving. Power Automate-stromen kunnen op twee manieren worden gecreëerd: als normale (niet-oplossings-) stromen en als oplossingsgerichte stromen (onderdeel van een Dataverse-oplossing). Beide bevinden zich in een bepaalde omgeving en beide hebben herziening nodig. In de volgende secties worden methoden beschreven om extern gedeelde stromen te identificeren.
Power Platform-beheercentrum - GUI-methode
Omgevingsbeheerders kunnen het Power Platform-beheercentrum gebruiken voor een visuele audit.
Selecteer in het Power Platform-beheercentrum de optie Beheren>Omgevingen > (uw omgeving) >Resources>Stromen.
Er wordt een lijst met alle stromen in de omgeving, samen met een kolom Eigenaren weergegeven.
Controleer voor elke stroom de eigenaren. Als een stroom meerdere eigenaren heeft (maker en mede-eigenaren), wordt deze gedeeld. Vergelijk deze eigenaren met de bekende leden van de omgeving. Vergelijk bijvoorbeeld de beveiligingsgroep of de gebruikerslijst voor die omgeving.
Stromen markeren waarbij een eigenaar of mede-eigenaar niet tot de verwachte omgeving behoort. Als de omgeving van afdeling A bijvoorbeeld alleen gebruikers van afdeling A mag bevatten, maar u ziet een mede-eigenaar van afdeling B, dan wordt die stroom gedeeld met een buitenstaander. Mogelijk moet u de naam van een eigenaar selecteren om details te bekijken of om een kruisverwijzing te maken met de gebruikersdirectory van uw omgeving.
Voordelen van het Power Platform-beheercentrum - GUI-methode
Power Platform-beheercentrum biedt een gebruiksvriendelijke interface en maakt het mogelijk om stromen te filteren en op naam of eigenaar te sorteren. U kunt duidelijke discrepanties snel opsporen als u weet welke teams en gebruikers tot de omgeving behoren.
Nadelen van het Power Platform-beheercentrum - GUI-methode
Deze methode is handmatig en is niet goed schaalbaar voor veel stromen. U moet eigenaren afzonderlijk verifiëren, wat tijdrovend kan zijn in grote omgevingen. Het kan lastig zijn om het lidmaatschap van de omgeving rechtstreeks vanuit de gebruikersinterface te controleren.
PowerShell script - geautomatiseerde methode
Voor een systematische en herhaalbare controle biedt Power Automate administratieve PowerShell-cmdlets om stromen en hun eigenaren weer te geven. Deze aanpak is krachtig voor bulkanalyses in grote omgevingen of hele tenants. U kunt een script schrijven om alle cloudstromen weer te geven en extern delen te markeren.
Dit script gebruikt bijvoorbeeld Get-AdminFlow om alle cloudstromen op te halen en vervolgens Get-AdminFlowOwnerRole om voor elke cloudstroom de eigenaren en hun rollen op te sommen. De uitvoer bevat elke cloudstroomnaam en een lijstpunt van Owner: [User], Role: [Owner/Co-owner]. U kunt deze uitvoer naar een bestand omleiden of verder verwerken.
Bepaal vervolgens het externe delen: vergelijk de user principal name (UPN) van elke eigenaar met de lijst gebruikers die lid zijn van de omgeving. Een externe share wordt aangegeven door elke eigenaar waarvan de UPN niet in de gebruikerslijst of beveiligingsgroep van de omgeving voorkomt. In de praktijk kunt u het volgende doen:
- Exporteer de lijst met stroomeigenaren uit het vorige script en de gebruikerslijst van de omgeving en gebruik vervolgens Excel of een script om de verschillen te vinden, of
- Verbeter het PowerShell-script om controles uit te voeren op gebruikers van de omgeving via
Get-AdminEnvironmentUser.
Voordelen van het script PowerShell: geautomatiseerde methode
Deze methode is geautomatiseerd en uitgebreid. Het kan honderden of duizenden stromen snel opsommen en is scriptbaar voor rapportage. U kunt het volgens een schema uitvoeren, bijvoorbeeld maandelijks, om nieuwe externe shares te detecteren.
Nadelen van het PowerShell-script - geautomatiseerde methode
Vereist kennis van PowerShell en beheerdersrechten. De ruwe uitvoer toont bovendien UPN's en object-ID's. U moet beoordelen welke zich buiten de omgeving bevinden en dat vergt enige analyse. Dit is echter eenvoudig als u het gebruikersdomein van uw omgeving kent of als u over een lijst met omgevingsleden beschikt.
Center of Excellence (CoE)-toolkit - dashboardmethode
Als uw organisatie de Power Platform Center of Excellence Starter Kit gebruikt, biedt deze Power BI-dashboards en -rapporten die statistieken over delen bevatten. De inventarisatie van stromen van het CoE kan stromen markeren die gasteigenaren hebben of eigenaren die buiten de normale beveiligingsgroep van de omgeving vallen. Het CoE-dashboard kan bijvoorbeeld een rapport bevatten over Stromen met meerdere eigenaren of Stromen die met gastgebruikers worden gedeeld. U kunt deze inzichten gebruiken om stromen met afwijkende deling te vinden.
Voordelen van de Center of Excellence (CoE) Toolkit: dashboardmethode
Gecentraliseerde, visuele rapportage die mogelijk al omgevingsgegevens samenvoegt. Geen extra scripts als CoE beschikbaar is. Het kan niet-conforme patronen automatisch markeren.
Nadelen van de Center of Excellence (CoE) Toolkit – dashboardmethode
Vereist dat de CoE Starter Kit wordt geïmplementeerd en up-to-date wordt gehouden. Gegevens zijn mogelijk niet realtime (meestal worden ze volgens een vastgesteld schema vernieuwd). Ook het instellen van aangepaste filters, zoals het identificeren van externe domeingebruikers, vereist mogelijk dat u de CoE-componenten aanpast.
Vergelijking van identificatiemethoden
| Wijze | Gereedschap/Aanpak | Voordelen | Nadelen |
|---|---|---|---|
| Beheercentrum (GUI) | Webinterface van het Power Platform-beheercentrum: controleer visueel stromen en eigenaren. | Eenvoudige, gebruiksvriendelijke interface. Direct inzicht in kleine aantallen stromen. | Handmatige verificatie, niet schaalbaar voor grote omgevingen. Geen ingebouwde kruisverwijzing tussen eigenaar en omgevingslidmaatschap. |
| PowerShell-script | PowerShell-cmdlets van -beheerders (Get-AdminFlow, Get-AdminFlowOwnerRole). |
Geautomatiseerde bulkuitvoer van stromen en eigenaren. Kan worden gepland en de resultaten kunnen worden geëxporteerd naar CSV of andere formaten. Hoge nauwkeurigheid als de lijst met gebruikers in de omgeving bekend is. | Vereist kennis van PowerShell. Moet apart identificeren welke eigenaren extern zijn. heeft script- of nabewerking nodig. |
| CoE Toolkit (dashboard) | Power BI-dashboards en CoE-stromen. | Al beschikbaar indien CoE is geïnstalleerd. Kan ongebruikelijke vormen van delen, zoals externe of gasteigenaren, markeren in een centraal rapport. | Heeft CoE-implementatie en onderhoud nodig. Er is sprake van een vertraging bij het vernieuwen van de gegevens (niet in realtime). Mogelijk zijn aanpassingen nodig om specifieke externe gebruikers te identificeren. |
Gebruik een van de methoden uit de vorige tabel of een combinatie daarvan om een lijst samen te stellen met stromen die gebruikers hebben waarmee extern wordt gedeeld. Dit zijn de beïnvloede stromen die aandacht nodig hebben voordat het beleid wordt gewijzigd. In veel organisaties is dit mogelijk een beheersbare subset van stromen, bijvoorbeeld slechts een paar stromen tussen afdelingen of stromen die worden gedeeld met het gastaccount van een partner. In andere organisatie, met name tenatns die open deelpraktijken hebben, kan het zijn dat er een groot aantal stromen zijn die verwerkt moeten worden. Hoe eerder u deze in kaart brengt, hoe beter.
Delen en toegang aanpassen voor de betreffende stromen
Zodra u de stromen identificeert die worden gedeeld met gebruikers buiten hun omgeving, is de volgende stap het herstellen van de deelconfiguratie van elke stroom. Het doel is om ervoor te zorgen dat elke gebruiker die toegang tot een stroom nodig heeft, op de juiste manier aan de omgeving wordt toegevoegd (of dat de toegang tot de stroom op een andere manier wordt gewijzigd). Doe dit zodat niemand functionaliteit verliest wanneer de nieuwe handhaving van kracht wordt. In de volgende paragrafen wordt beschreven hoe u aanpassingen aanpakt.
De noodzaak van elke externe share evalueren
Bespreek voor elke gemarkeerde stroom met de eigenaar van de stroom of het relevante bedrijfsteam waarom deze extern is gedeeld. Deze context is belangrijk om de oplossing te bepalen. De volgende lijst beschrijft veelvoorkomende scenario's en acties.
- Scenario 1: gebruiker is toegevoegd als mede-eigenaar alleen om de stroom uit te voeren of om de uitvoer te bekijken: in veel gevallen hebben eigenaren een externe gebruiker toegevoegd als eigenaar, terwijl die persoon alleen de stroom hoefde te activeren of te gebruiken (niet te bewerken). De eigenaar kan bijvoorbeeld een helpdeskmedewerker toevoegen als mede-eigenaar van een stroom, zodat hij of zij deze handmatig kan activeren. In zulke gevallen heeft de gebruiker waarschijnlijk geen volledige eigenaarsrechten nodig.
- Actie: Verwijder ze uit de lijst Eigenaren en deel in plaats daarvan de stroom met hen als een alleen-uitvoeren-gebruiker (indien van toepassing), nadat u ervoor hebt gezorgd dat ze toegang hebben tot de omgeving. Dit biedt de benodigde capaciteit om de stroom uit te voeren zonder dat ze er eigenaar van worden. Meer informatie vindt u in het gedeelte Benodigde gebruikers toevoegen aan de omgeving in dit artikel.
- Scenario 2: Gebruiker werkt daadwerkelijk mee aan het opbouwen of onderhouden van de stroom: bijvoorbeeld, twee afdelingen ontwikkelen gezamenlijk een stroom, waarbij een gebruiker van afdeling B mede-eigenaar wordt van de stroom in de omgeving van afdeling A.
- Actie: Zorg dat de gebruiker op de juiste manier als eigenaar met de juiste rol in de omgeving wordt opgenomen, of overweeg de stroom naar een neutrale omgeving te verplaatsen als meerdere organisatie-eenheden er mede-eigenaar van moeten zijn. Op de korte termijn worden toegangsproblemen opgelost door de gebruiker toe te voegen aan de lijst met toegestane gebruikers van de omgeving en hem of haar een geschikte rol te geven (Omgevingsmaker als ze bewerkingsrechten nodig hebben).
- Scenario 3: De share is niet meer nodig: soms werden er tijdelijk gebruikers toegevoegd of verlieten ze het project.
- Actie: Verwijder de externe gebruiker uit de share van de stroom. Dit is de eenvoudigste oplossing, indien van toepassing. Als niemand buiten de omgeving de flow nodig heeft, deel deze dan niet meer met hen. De flow is dan conform en er blijven alleen interne eigenaren over.
- Scenario 4: Shares tussen meerdere tenants of met gastgebruikers: een stroom werd bijvoorbeeld gedeeld met een gastaccount (externe tenant). Na handhaving wordt dit geblokkeerd.
- Actie : Bepaal of die gast absoluut toegang nodig heeft. Als dat het geval is, is het een optie om die gast officieel toe te voegen als een Azure AD-gast in uw tenant en in de beveiligingsgroep van de omgeving. Daarmee zijn ze een lid van de omgeving. Dit is zelden het geval. U kunt er ook voor kiezen om het eigendom over te dragen aan een interne gebruiker die namens de gast kan handelen. U kunt ook een ander mechanisme gebruiken, zoals de stroom beschikbaar stellen via een beveiligde HTTP-trigger in plaats van rechtstreeks delen. Wij adviseren om directe gastshares te verwijderen, omdat er zelfs als deze als omgevingslid worden toegevoegd, problemen tussen tenants kunnen ontstaan.
Noodzakelijke gebruikers toevoegen aan de omgeving
Zorg ervoor dat elke gebruiker die toegang tot de flow moet blijven hebben, voortaan lid is van de omgeving. Dit betekent meestal:
Als de omgeving een beveiligingsgroep gebruikt : voeg het account van de gebruiker toe aan die Azure AD-beveiligingsgroep. Hiermee krijgen ze de standaardrol Basisgebruiker in de omgeving, tenzij anders geconfigureerd. De rol Basisgebruiker is doorgaans voldoende voor iemand die alleen stromen hoeft uit te voeren en geen stromen hoeft te maken of te bewerken. Controleer na het toevoegen of de gebruiker nu in de gebruikerslijst van de omgeving wordt weergegeven in het Power Platform-beheercentrum.
Als het de standaardomgeving van de tenant is, die open is voor alle gebruikers: De meeste gebruikers met een licentie bevinden zich er al in. Zorg ervoor dat de gebruiker een Power Automate-licentie heeft. De handhaving heeft vooral betrekking op niet-standaardomgevingen met beperkt lidmaatschap.
Omgevingsmaker versus Basic-gebruiker: Ken alleen omgevingsmaker toe als de persoon daadwerkelijk stromen in die omgeving moet bouwen en bewerken. In onze oplossingen geven we er de voorkeur aan om alleen de Basisgebruiker of een aangepaste minimale rol te geven, waarmee gedeelde stromen kunnen worden uitgevoerd. Voor run-only toegang is de Basisgebruiker voldoende. De gebruiker hoeft geen Maker te zijn. Het beperken van Maker-rollen is een best practice op het gebied van governance. Hierop wordt in de volgende sectie dieper ingegaan.
Pas de deelinstellingen van de stroom aan
Nu de gebruiker lid is van de omgeving, kunt u aanpassen hoe de stroom met hem of haar wordt gedeeld.
Als de gebruiker alleen de stroom hoeft uit te voeren: gebruik 'Alleen uitvoeren'-delen. Open de Share-instellingen van de stroom in Power Automate. Verwijder de gebruiker uit de lijst Eigenaren en voeg diens naam toe in het gedeelte Alleen uitvoeren-gebruikers. Voor handmatig geactiveerde stromen, zoals knopstromen en directe stromen, of stromen die met deelbare links worden geactiveerd, zorgt dit ervoor dat de persoon de stroom kan activeren zonder er eigenaar van te zijn. Ze kunnen de interne werking van de flow niet bewerken of weergeven, maar alleen uitvoeren. Het resultaat is dat de gebruiker buiten de eigenarenlijst blijft en er dus geen omgevingsconflict ontstaat. De gebruiker kan de functionaliteit van de stroom wel gebruiken zoals bedoeld.
Voorbeeld: Bob van Marketing was mede-eigenaar van de stroom Lead Processor van Sales, alleen om deze periodiek op gang te brengen. We verwijderen Bob als mede-eigenaar en voegen Bob toe als een alleen-uitvoeren-gebruiker. Bob is ook toegevoegd aan de Sales-omgeving als Basisgebruiker. Bob kan nu de knop van de stroom selecteren of de koppeling ontvangen om de stroom uit te voeren, maar hij geen externe eigenaar meer, hij is een geautoriseerde Basic-gebruiker van die omgeving.
Als de gebruiker volledige Eigenaarsrechten nodig heeft (cocreatie): Zorg ervoor dat de gebruiker, nadat u deze aan de omgeving hebt toegevoegd, als Eigenaar in de stroom vermeld blijft staan. Technisch gezien kunt u ze verwijderen en opnieuw toevoegen om de machtigingen te vernieuwen. Maar zodra deze zich in de omgeving bevindt, is de share legitiem. U kunt ook overwegen om de stroom naar een oplossing te verplaatsen als twee eigenaren uit verschillende gebieden deze langdurig onderhouden. Oplossingsstromen kunnen indien nodig eenvoudiger naar een specifieke omgeving worden getransporteerd. Controleer in ieder geval of ze onder Eigenaren staan en of hun rol Kan bewerken (eigenaar) in de details van de stroom staat.
Verwijder alle overbodige of ongeautoriseerde shares: maak tijdens dit proces van de gelegenheid gebruik om op te ruimen. Als iemand voor de zekerheid is toegevoegd, maar de flow nooit gebruikt, verwijder diegene dan. Het principe van minimale bevoegdheden helpt toezicht te beperken. Zorg ervoor dat de lijst met eigenaren van elke stroiom beperkt blijft tot degenen die echt toegang tot ontwerpen en bewerken nodig hebben.
Wijzigingen doorgeven aan gebruikers waarop dit van toepassing is
Als u iemands toegang verwijdert of de manier wijzigt waarop iemand een stroom aanroept, laat het diegene dan weten. Vanuit het perspectief van de gebruiker kan het uitvoeren van een flow via run-only-toegang iets anders zijn. Het kan zijn dat ze een koppeling krijgen om te delen of de stroom zien in teamstromen in plaats van in Mijn stromen. Leg uit dat ′Om te voldoen aan het nieuwe Power Automate-beleid, we de deelmethode voor Stroom X hebben bijgewerkt. U kunt deze blijven uitvoeren met methode Y, maar deze wordt niet meer weergegeven onder uw directe eigendom.′ Dit voorkomt verwarring.
Controleer de status na aanpassing
Nadat u de wijzigingen hebt aangebracht, controleert u via PowerShell of het Power Platform-beheercentrum of er geen stromen meer bij externe eigenaren zijn. Voer bijvoorbeeld het identificatiescript opnieuw uit en controleer of deze stromen niet langer worden gemarkeerd. Los elk gemarkeerd exemplaar op door het te verwijderen of door het juiste omgevingslidmaatschap toe te passen.
Door deze aanpassingen door te voeren, zorgt u ervoor dat wanneer Microsoft de schakelaar omzet, deze stromen actief blijven voor de beoogde gebruikers. In plaats van de foutmelding you do not have access to this flow. blijft de gebruiker geautoriseerd, omdat deze nu een omgevingslid is met de juiste capaciteit. Eigenlijk stemt u uw deelpraktijken af op het bestuursmodel van het platform.