Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Начиная с июня 2025 г. любой поток, к которому предоставлен доступ пользователю, не являющемуся участником среды, становится недоступным для этого пользователя. Это важное изменение в Power Automate требует, чтобы пользователи были членами среды, чтобы получить доступ к потокам в этой среде. Это изменение повышает безопасность за счет соблюдения границ среды. Однако это влияет на организации, у которых потоки совместно используются в разных средах, например владелец потока добавляет кого-то за пределами среды в качестве совладельца или пользователя только для выполнения.
Чтобы соответствовать новой политике, администраторы Power Platform должны идентифицировать потоки, доступ к которым предоставляется пользователям за пределами их среды, и изменить параметры общего доступа к этим потокам. В этой статье представлен структурированный подход к решению этой задачи.
Эта статья поможет вам сделать следующее:
- Идентифицируйте потоки, доступ к которым предоставлен внешним пользователям (пользователям, не находящимся в среде потока).
- Настройте общий доступ и доступ для этих потоков, чтобы обеспечить непрерывность (например, добавьте соответствующих пользователей в среды и используйте доступ только для выполнения).
Эта статья позволяет администраторам Power Platform превентивно решать проблемы с общим доступом до вступления правила в силу в июне 2025 года. Это также может помочь создать систему управления для безопасного управления общим доступом к потокам в будущем. Чтобы проиллюстрировать ключевые моменты, в этой статье приведены реальные примеры и пошаговые инструкции.
Ознакомьтесь с рекомендациями по управлению общими потоками в разделе Предоставление общего доступа к облачному потоку.
Идентификация потоков, к которым предоставлен доступ пользователям за пределами их среды
Первый шаг — провести инвентаризацию всех облачных потоков и пользователей, которым предоставлен к ним доступ, в каждой среде, а затем определить, к каким потокам предоставлен доступ внешним пользователям — пользователям, которые не являются членами этой среды. Потоки Power Automate можно создавать двумя способами: как обычные потоки (не относящиеся к решению) или как потоки, поддерживающие решение (часть решения Dataverse). Оба находятся в среде, и оба нуждаются в проверке. В следующих разделах описываются методы определения потоков, к которым предоставлен внешний доступ.
Метод через Центр администрирования Power Platform — графический интерфейс пользователя (GUI)
Администраторы среды могут использовать центр администрирования Power Platform для визуального аудита.
В Центре администрирования Power Platform выберите Управление>Среды > (ваша среда) >Ресурсы>Потоки.
Отображается список всех потоков в среде вместе со столбцом Владельцы.
Для каждого потока проверяйте владельцев. Если у потока несколько владельцев (создатель и совладельцы), он является общим. Сравните этих владельцев с известными членами среды. Например, сравните группу безопасности или список пользователей для этой среды.
Помечать потоки там, где владелец или совладелец не является ожидаемым участником среды. Например, если среда отдела А должна содержать только пользователей из отдела А, но вы видите совладельца из отдела B, доступ к этому потоку предоставлен постороннему пользователю. Для просмотра сведений может потребоваться выбрать имя владельца или сопоставить его с каталогом пользователей среды.
Преимущества метода через центр администрирования Power Platform — графический интерфейс пользователя (GUI)
Центр администрирования Power Platform предоставляет удобный интерфейс и позволяет фильтровать и сортировать потоки по имени или владельцу. Вы можете быстро обнаружить очевидные несоответствия, если знаете, какие команды и пользователи относятся к среде.
Недостатки метода через центр администрирования Power Platform — графический интерфейс пользователя (GUI)
Этот метод выполняется вручную и плохо масштабируется для многих потоков. Вы должны индивидуально проверять владельцев, что может занять много времени для больших сред. Может возникнуть сложность перекрестной проверки членства в среде непосредственно из пользовательского интерфейса.
PowerShell скрипт — автоматизированный метод
Для систематического и воспроизводимого аудита Power Automate предлагает административные командлеты PowerShell для вывода списков потоков и их владельцев. Этот подход отлично подходит для массового анализа в больших средах или целых клиентах. Вы можете написать сценарий процесса, чтобы он выводил все потоки и выделял внешние совместные использования.
Например, этот сценарий использует Get-AdminFlow для получения всех потоков, а затем используется Get-AdminFlowOwnerRole для каждого потока для получения списка его владельцев и их ролей. В выходных данных перечисляется имя каждого потока и маркер Owner: [User], Role: [Owner/Co-owner]. Вы можете перенаправить этот вывод в файл или продолжить его обработку.
Затем определите внешние совместные использования: сравните имя участника-пользователя (UPN) каждого владельца с набором пользователей, которые являются членами среды. Внешнее совместное использование указывается любым владельцем, имя UPN которого отсутствует в списке пользователей или группе безопасности среды. На практике вы можете:
- Экспортируйте список владельцев потоков из предыдущего скрипта и списка пользователей среды, а затем используйте Excel или скрипт для поиска различий.
- Усовершенствуйте сценарий PowerShell для перекрестной проверки по пользователям среды через команду
Get-AdminEnvironmentUser.
Плюсы скрипта PowerShell — автоматизированный метод
Этот метод является автоматизированным и комплексным. Он может быстро перечислять сотни или тысячи потоков и поддерживает сценарии для создания отчетов. Вы можете запускать его по расписанию, например ежемесячно, чтобы выявлять новые внешние совместные доступы.
Недостатки метода с использованием скрипта PowerShell — автоматизированный
Требуется знание PowerShell и привилегии администратора. Кроме того, необработанные выходные данные показывают имена участников-пользователей (UPN) и идентификаторы объектов. Вам нужно интерпретировать, какие из них находятся за пределами среды и требуют некоторого анализа. Однако это не составит труда, если вы знаете домен пользователя вашей среды или у вас есть список участников среды.
Метод с использованием набора инструментов центра передовых технологий (CoE) — панель мониторинга
Если в вашей организации используется начальный комплект Центра передовых технологий Power Platform, он предоставляет панели мониторинга и отчеты Power BI, включающие метрики общего доступа. Инвентаризация потоков CoE позволяет выделить потоки, у которых есть гостевые владельцы или владельцы, не входящие в обычную группу безопасности среды. Например, на панели мониторинга CoE может быть отчет Потоки с несколькими владельцами или Потоки, доступ к которым предоставлен гостевым пользователям. Эти аналитические сведения можно использовать для поиска потоков с аномальным общим доступом.
Преимущества метода с использованием набора инструментов центра передовых технологий (CoE) — панель мониторинга
Централизованная визуальная отчетность, которая, возможно, уже агрегирует данные среды. Дополнительные сценарии не требуются при наличии центра CoE. Он может автоматически помечать несоответствующие шаблоны.
Недостатки метода с использованием набора инструментов центра передовых технологий (CoE) — панель мониторинга
Требуется развертывание и поддержание в актуальном состоянии начального комплекта центра передовых технологий CoE. Данные могут не поступать в режиме реального времени (обычно они обновляются по расписанию). Кроме того, для настройки пользовательских фильтров, таких как идентификация пользователей внешнего домена, может потребоваться настройка компонентов CoE.
Сравнение методов идентификации
| Способ | Инструмент/подход | Плюсы | Минусы |
|---|---|---|---|
| Центр администрирования (графический интерфейс пользователя) | Веб-интерфейс центра администрирования Power Platform: визуальная проверка потоков и владельцев. | Простой, удобный интерфейс. Немедленная аналитика для небольшого количества потоков. | Ручная проверка, не масштабируемая для больших сред. Нет встроенных перекрестных ссылок между владельцем и членством в среде. |
| Скрипт PowerShell | Командлеты PowerShell для администраторов (Get-AdminFlow, Get-AdminFlowOwnerRole). |
Автоматизированный массовый вывод потоков и владельцев. Можно планировать и экспортировать результаты в CSV или другие форматы. Высокая точность, если известен список пользователей среды. | Требуются знания PowerShell. Необходимо отдельно определить, какие владельцы являются внешними. Требуется скрипт или постобработка. |
| CoE Toolkit (панель мониторинга) | Панели мониторинга Power BI и потоки CoE. | Уже доступно, если установлен CoE. Может выделять необычное совместное использование, например внешних или гостевых владельцев, в централизованном отчете. | Требуется развертывание и обслуживание CoE. Существует задержка обновления данных (не в реальном времени). Может потребоваться настройка для точного определения конкретных внешних пользователей. |
Используя один из методов, описанных в предыдущей таблице, или их комбинацию, составьте список потоков, доступ к которым предоставлен внешним пользователям. Это затронутые потоки, на которые необходимо обратить внимание перед изменением политики. Во многих организациях это может быть управляемое подмножество потоков, например только несколько потоков между отделами или потоки, общие для гостевой учетной записи партнера. В других, особенно в клиентах с открытыми практиками совместного использования, может потребоваться обработать значительное количество потоков, поэтому чем раньше вы их выявите, тем лучше.
Настройка совместного использования и доступа для затронутых потоков
После определения потоков, доступ к которым предоставляется пользователям за пределами их среды, следующим шагом является исправление конфигурации общего доступа для каждого потока. Цель состоит в том, чтобы гарантировать, что каждый пользователь, которому требуется доступ к потоку, правильно добавлен в среду (или доступ к потоку изменен иным образом). Сделайте это для того, чтобы, когда вступит в силу новая политика, никто не потерял функциональность. В следующих разделах описывается, как внести корректировки.
Оцените необходимость каждого внешнего доступа
Для каждого помеченного потока обсудите с его владельцем или соответствующей бизнес-группой, почему к нему был предоставлен общий доступ. Этот контекст важен для принятия решения об исправлении. В следующем списке описаны распространенные сценарии и действия.
- Сценарий 1. Пользователь был добавлен в качестве совладельца только для выполнения потока или просмотра выходных данных: во многих случаях владельцы добавляли внешнего пользователя в качестве владельца, когда все, что ему было нужно, — это выполнять или использовать поток (а не изменять его). Например, владелец может добавить агента службы поддержки в качестве совладельца потока, чтобы он мог вручную запустить его. В таких случаях пользователю, скорее всего, не нужны полные права владельца.
- Действие: удалите их из списка Владельцы и вместо этого предоставьте им доступ к потоку в качестве пользователя с правами только на выполнение (если применимо), предварительно убедившись, что у них есть доступ к среде. Это обеспечивает необходимую возможность запуска потока, не делая его владельцем. Дополнительные сведения см. в разделе Добавление необходимых пользователей в среду в этой статьи.
- Сценарий 2. Пользователь действительно участвует в создании или обслуживании потока: например, два отдела совместно разрабатывают поток, поэтому пользователь из отдела B становится совладельцем в среде отдела A.
- Действие: правильно зарегистрируйте этого пользователя в среде в качестве владельца с соответствующей ролью или рассмотрите возможность перемещения потока в нейтральную среду, если несколько подразделений организации должны совместно владеть этим потоком. В краткосрочной перспективе добавление пользователя в список разрешенных пользователей среды и предоставление ему соответствующей роли (Environment Maker, если ему нужны права на редактирование) решает проблемы с доступом.
- Сценарий 3. Совместное использование больше не нужно: иногда пользователи временно добавлялись или покидают проект.
- Действие: удалите внешнего пользователя из совместного доступа к потоку. Это самое простое решение, когда это применимо. Если поток никому за пределами среды не нужен, отмените предоставление доступа к нему для них. После этого поток становится совместимым, и остаются только внутренние владельцы.
- Сценарий 4. Общий доступ между клиентами или для гостевых пользователей: например, доступ к потоку был предоставлен гостевой учетной записи (внешнему клиенту). После принудительного применения эта функция блокируется.
- Действие: определите, действительно ли гостю абсолютно необходим доступ. Если да, один из вариантов — официально добавить этого гостя в качестве гостя Azure AD в клиент и в группу безопасности среды. Это делает их членами среды. Это редкий случай. В качестве альтернативы можно перейти к передаче права собственности внутреннему пользователю, который может действовать от имени гостя, или использовать другой механизм, например, открывать доступ к потоку через безопасный триггер HTTP, а не через прямое предоставление доступа. Мы рекомендуем удалять прямые гостевые доступы, так как даже при добавлении в качестве члена среды могут возникнуть проблемы между клиентами.
Добавление необходимых пользователей в среду
Для каждого пользователя, который должен по-прежнему иметь доступ к потоку, убедитесь, что он является членом среды. Обычно это означает:
Если в среде используется группа безопасности: добавьте учетную запись пользователя в эту группу безопасности Azure AD. При этом им будет предоставлена роль обычного пользователя по умолчанию в среде, если не настроено иное. Роли обычного пользователя обычно достаточно для тех, кому нужно только запускать потоки, а не создавать и редактировать. После добавления убедитесь, что пользователь теперь отображается в списке пользователей среды в центре администрирования Power Platform.
Если это среда клиента по умолчанию, которая открыта для всех пользователей: большинство лицензированных пользователей уже находятся в ней. Убедитесь, что у пользователя имеется лицензия Power Automate. Применение в основном затрагивает среды, отличные от стандартных, с ограниченным членством.
Создатель среди и обычный пользователь: не предоставляйте роль создателя среды, если пользователю на самом деле не нужно создавать и редактировать потоки в этой среде. В наших исправлениях мы предпочитаем давать только базовому пользователю или пользовательскую минимальную роль, которая позволяет запускать общие потоки. Для доступа только для запуска достаточно базового пользователя — пользователю не обязательно быть создателем. Ограничение ролей создателей — это рекомендация по управлению, которая более подробно рассматривается в следующем разделе.
Настройка параметров общего доступа к потоку
Теперь, когда пользователь стал участником среды, настройте способ предоставления ему общего доступа к потоку.
Если пользователю нужно только выполнять поток: используйте общий доступ только для выполнения. В Power Automate откройте настройки общего доступа к потоку. Удалите пользователя из списка Владельцы и в разделе «Пользователи только с правом выполнения» добавьте его имя. Для потоков, запускаемых вручную, таких как потоки с кнопками и мгновенные потоки, а также потоки, запускаемые с помощью ссылок, которыми можно поделиться, это гарантирует, что пользователь сможет запустить поток, не будучи владельцем. Они не могут изменять или отображать внутренние компоненты потока и могут только запускать его. В результате пользователь остается за пределами списка владельцев, поэтому конфликта со средой не возникает, но может использовать функциональные возможности потока по назначению.
Пример: Боб в отделе маркетинга был совладельцем потока Обработка интересов в отделе продаж только для того, чтобы периодически запускать его. Мы удаляем Боба как совладельца и добавляем Боба как пользователя только с правами на выполнение. Боб также добавляется в среду Sales в качестве обычного пользователя. Теперь Боб может нажать кнопку потока или получить ссылку на него для его запуска, но он больше не является внешним владельцем — он является авторизованным базовым пользователем этой среды.
Если пользователю требуются полные разрешения владельца (совместное редактирование): после добавления пользователя в среду убедитесь, что он остается в потоке в качестве владельца. С технической точки зрения вы можете удалить и снова добавить их для обновления разрешений. Но как только они попадают в среду, доступ становится законным. Вы также можете рассмотреть возможность перемещения потока в решение, если два владельца из разных областей поддерживают его в долгосрочной перспективе. При необходимости потоки решений проще перенести в выделенную среду. В любом случае внимательно убедитесь, что они отображаются в разделе Владельцы и имеют роль «Может редактировать (владелец)» в сведениях о потоке.
Удалите все избыточные или несанкционированные общие доступы: во время этого процесса воспользуйтесь возможностью очистки. Если кто-то был добавлен на всякий случай, но никогда не использует поток, удалите его. Принцип наименьших привилегий помогает уменьшить надзор. Убедитесь, что список Владельцы каждого потока ограничен теми, кому действительно нужен доступ к дизайну и редактированию.
Сообщение затронутым пользователям об изменениях
Если вы лишаете кого-либо доступа или изменяете способ вызова потока, сообщите ему об этом. С точки зрения пользователя выполнение потока с доступом только для выполнения может немного отличаться. Они могут получить ссылку на общий доступ или увидеть поток в командных потоках, а не в разделе "Мои потоки". Объясните, что «Чтобы соответствовать новым политикам Power Automate, мы обновили метод предоставления общего доступа для потока X. Вы можете продолжать запускать его с помощью метода Y, но он больше не отображается под вашим прямым владением». Это предотвратит путаницу.
Проверка состояния после корректировки
После внесения изменений используйте PowerShell или центр администрирования Power Platform, чтобы убедиться, что не осталось потоков с у внешними владельцами. Например, снова запустите сценарий идентификации и убедитесь, что он больше не помечает эти потоки. Разрешите каждый помеченный экземпляр либо удалением, либо надлежащим членством в среде.
Выполняя эти настройки, вы гарантируете, что когда Microsoft внесет изменения, эти потоки продолжат выполняться для нужных пользователей. Вместо сообщения об ошибке you do not have access to this flow пользователь остается авторизованным, так как теперь он является членом среды в соответствующем качестве. По сути, вы согласовываете свои методы обмена информацией с моделью управления платформы.