Poznámka
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete sa skúsiť prihlásiť alebo zmeniť adresáre.
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete skúsiť zmeniť adresáre.
Od júna 2025 sa akýkoľvek postup zdieľaný s používateľom, ktorý nie je členom prostredia, stane pre tohto používateľa neprístupným. Táto dôležitá zmena vyžaduje, aby používatelia boli členmi prostredia, aby mohli pristupovať k postupom v tomto prostredí. Power Automate Táto zmena zvyšuje bezpečnosť presadzovaním hraníc prostredia. Ovplyvňuje to však organizácie, ktoré majú postupy zdieľané v rôznych prostrediach, napríklad vlastník postupu pridá niekoho mimo prostredia ako spoluvlastníka alebo používateľa iba s prístupom k spusteniu.
Aby správcovia dodržali nové pravidlá, musia identifikovať postupy zdieľané s používateľmi mimo ich prostredia a upraviť nastavenia zdieľania týchto postupov. Power Platform Tento článok poskytuje štruktúrovaný prístup, ako to dosiahnuť.
Tento článok vám pomôže urobiť nasledovné:
- Identifikujte postupy zdieľané s externými používateľmi (používatelia mimo prostredia postupu).
- Upravte zdieľanie a prístup pre tieto postupy, aby ste zabezpečili kontinuitu (napríklad pridajte do prostredí príslušných používateľov a používajte prístup iba na spustenie).
Tento článok umožňuje správcom preventívne riešiť problémy so zdieľaním pred zavedením opatrení v júni 2025. Power Platform Môže to tiež pomôcť zaviesť riadenie pre bezpečné riadenie zdieľania tokov v budúcnosti. Pre ilustráciu kľúčových bodov tento článok obsahuje skutočné príklady a podrobné pokyny.
Získajte informácie o osvedčených postupoch na správu zdieľaných postupov v článku Zdieľanie cloudového postupu .
Identifikujte toky zdieľané s používateľmi mimo ich prostredia
Prvým krokom je inventarizácia všetkých cloudových tokov a ich zdieľaných používateľov v každom prostredí a následné určenie, ktoré toky sú zdieľané s externými používateľmi – používateľmi, ktorí nie sú členmi daného prostredia. Power Automate Toky je možné vytvoriť dvoma spôsobmi: ako normálne (neriešiace) toky alebo ako toky uvedomujúce si riešenie (súčasť riešenia). Dataverse Obaja sa nachádzajú v určitom prostredí a oba si vyžadujú kontrolu. Nasledujúce časti opisujú metódy na identifikáciu externe zdieľaných tokov.
Power Platform administračné centrum – metóda s grafickým rozhraním
Správcovia prostredia môžu použiť centrum spravovania na vizuálny audit. Power Platform
V Power Platform centre spravovania vyberte možnosť Spravovať>Prostredia > (vaše prostredie) >Zdroje>Postupy.
Zobrazí sa zoznam všetkých postupov v prostredí spolu so stĺpcom Vlastníci.
Pre každý tok skontrolujte vlastníkov. Ak má tok viacerých vlastníkov (tvorca plus spoluvlastníci), je zdieľaný. Porovnajte týchto vlastníkov so známymi členmi prostredia. Napríklad porovnajte bezpečnostnú skupinu alebo zoznam používateľov pre dané prostredie.
Toky príznakov, kde vlastník alebo spoluvlastník nie je očakávaným členom prostredia. Napríklad, ak by prostredie oddelenia A malo obsahovať iba používateľov z oddelenia A, ale vidíte spoluvlastníka z oddelenia B, tento tok sa zdieľa s externou osobou. Možno budete musieť vybrať meno vlastníka, aby ste si mohli zobraziť podrobnosti, alebo vykonať krížový odkaz na adresár používateľov vo vašom prostredí.
Výhody administračného centra – metóda s grafickým rozhraním Power Platform
Power Platform Centrum administrácie poskytuje užívateľsky prívetivé rozhranie a umožňuje filtrovanie a triedenie postupov podľa názvu alebo vlastníka. Ak viete, ktoré tímy a používatelia patria do prostredia, môžete rýchlo odhaliť zjavné nezrovnalosti.
Nevýhody centra administrácie – metóda s grafickým rozhraním Power Platform
Táto metóda je manuálna a nie je vhodná na škálovanie pre mnoho postupov. Musíte jednotlivo overiť vlastníkov, čo môže byť vo veľkých prostrediach časovo náročné. Priama kontrola príslušnosti k prostrediu z používateľského rozhrania môže byť náročná.
Skript PowerShell – automatizovaná metóda
Pre systematický a opakovateľný audit ponúka Power Automate administratívne cmdlety PowerShellu na zobrazenie zoznamu postupov a ich vlastníkov. Tento prístup je účinný pre hromadnú analýzu vo veľkých prostrediach alebo pre celých nájomníkov. Proces môžete skriptovať tak, aby vypisoval všetky postupy a zvýrazňoval externé zdieľania.
Napríklad tento skript používa ` Get-AdminFlow na načítanie všetkých postupov a potom ` Get-AdminFlowOwnerRole pre každý postup vypíše jeho vlastníkov a ich roly. Výstup uvádza názov každého postupu a odrážku s tvarom Owner: [User], Role: [Owner/Co-owner]. Tento výstup môžete presmerovať do súboru alebo ho ďalej spracovať.
Ďalej určte externé zdieľané priečinky: Porovnajte hlavné meno používateľa (UPN) každého vlastníka so skupinou používateľov, ktorí sú členmi prostredia. Externé zdieľanie je označené akýmkoľvek vlastníkom, ktorého hlavné meno používateľa (UPN) sa nenachádza v zozname používateľov alebo bezpečnostnej skupine prostredia. V praxi by ste mohli:
- Exportujte zoznam vlastníkov postupov z predchádzajúceho skriptu a zoznamu používateľov prostredia a potom použite Excel alebo skript na vyhľadanie rozdielov, alebo
- Vylepšite skript PowerShell tak, aby vykonával krížovú kontrolu s používateľmi prostredia prostredníctvom
Get-AdminEnvironmentUser.
Výhody skriptu PowerShell – automatizovaná metóda
Táto metóda je automatizovaná a komplexná. Dokáže rýchlo vymenovať stovky alebo tisíce tokov a je skriptovateľný na vytváranie reportov. Môžete ho spúšťať podľa plánu, napríklad mesačne, aby ste zistili nové externé zdieľania.
Nevýhody skriptu PowerShell – automatizovaná metóda
Vyžaduje sa znalosť PowerShellu a administrátorské práva. Nespracovaný výstup tiež zobrazuje názvy UPN a ID objektov. Musíte interpretovať, ktoré z nich sú mimo prostredia, a vyžaduje si to určitú analýzu. Je to však jednoduché, ak poznáte používateľskú doménu vášho prostredia alebo máte zoznam členov prostredia.
Súprava nástrojov Centra excelentnosti (CoE) – metóda ovládacieho panela
Ak vaša organizácia používa Power Platform štartovaciu súpravu Centra excelentnosti, poskytuje Power BI prehľady a zostavy, ktoré zahŕňajú metriky zdieľania. Inventár tokov CoE dokáže zvýrazniť toky, ktoré majú hosťujúcich vlastníkov alebo vlastníkov mimo bežnej bezpečnostnej skupiny prostredia. Napríklad, dashboard CoE môže obsahovať prehľad o postupoch s viacerými vlastníkmi alebo postupoch zdieľaných s hosťujúcimi používateľmi . Tieto poznatky môžete využiť na nájdenie tokov s abnormálnym zdieľaním.
Výhody súpravy nástrojov Centra excelentnosti (CoE) – metóda ovládacieho panela
Centralizované vizuálne reportovanie, ktoré už môže agregovať údaje o prostredí. Žiadne ďalšie skriptovanie, ak je zavedený CoE. Dokáže automaticky označiť nekompatibilné vzory.
Nevýhody súboru nástrojov Centra excelentnosti (CoE) – metóda dashboardu
Vyžaduje sa nasadenie a aktualizácia štartovacej súpravy CoE. Dáta nemusia byť v reálnom čase (zvyčajne sa obnovujú podľa plánu). Nastavenie vlastných filtrov, ako je napríklad identifikácia externých používateľov domény, môže tiež vyžadovať úpravu komponentov CoE.
Porovnanie metód identifikácie
| Method | Nástroj/prístup | Klady | Nevýhody |
|---|---|---|---|
| Administračné centrum (GUI) | Power Platform Webové rozhranie administračného centra: vizuálna kontrola postupov a vlastníkov. | Jednoduché a užívateľsky prívetivé rozhranie. Okamžitý prehľad o malom počte tokov. | Manuálne overenie, nie je škálovateľné pre rozsiahle prostredia. Žiadny vstavaný krížový odkaz na vlastníka a členstvo v prostredí. |
| Skript prostredia PowerShell | Správcovské rutiny cmdlet PowerShell (Get-AdminFlow, Get-AdminFlowOwnerRole). |
Automatizovaný hromadný výstup tokov a vlastníkov. Možno naplánovať a výsledky exportovať do CSV alebo iných formátov. Vysoká presnosť, ak je známy zoznam používateľov prostredia. | Vyžaduje znalosť PowerShellu. Musí sa samostatne identifikovať, ktorí vlastníci sú externí. Vyžaduje skript alebo následné spracovanie. |
| Súprava nástrojov CoE (prehľad) | Power BI dashboardy a postupy CoE. | Už k dispozícii, ak je nainštalovaný CoE. V centralizovanej správe je možné zvýrazniť nezvyčajné zdieľanie, napríklad externých alebo hosťujúcich vlastníkov. | Vyžaduje nasadenie a údržbu CoE. Dochádza k oneskoreniu pri aktualizácii údajov (nie v reálnom čase). Môže byť potrebné prispôsobenie na presné určenie konkrétnych externých používateľov. |
Pomocou jednej alebo kombinácie metód v predchádzajúcej tabuľke zostavte zoznam postupov, ktoré majú externých zdieľaných používateľov. Toto sú dotknuté toky, ktorým je potrebné venovať pozornosť pred zmenou politiky. V mnohých organizáciách to môže byť spravovateľná podmnožina postupov, napríklad len niekoľko postupov medzi oddeleniami alebo postupov zdieľaných s hosťovským účtom partnera. V iných prípadoch, najmä u nájomníkov s otvorenými praktikami zdieľania, môže byť potrebné spracovať značný počet tokov, takže čím skôr ich identifikujete, tým lepšie.
Úprava zdieľania a prístupu pre dotknuté postupy
Keď identifikujete postupy, ktoré sú zdieľané s používateľmi mimo ich prostredia, ďalším krokom je náprava konfigurácie zdieľania každého postupu. Cieľom je zabezpečiť, aby bol každý používateľ, ktorý potrebuje prístup k toku, správne pridaný do prostredia (alebo aby bol prístup toku inak upravený). Urobte to tak, aby po nadobudnutí účinnosti nového presadzovania nikto nestratil funkčnosť. Nasledujúce časti opisujú, ako pristupovať k úpravám.
Zhodnoťte nevyhnutnosť každého externého podielu
Pre každý označený postup preberte s vlastníkom postupu alebo príslušným obchodným tímom, prečo bol zdieľaný externe. Tento kontext je dôležitý pre rozhodnutie o oprave. Nasledujúci zoznam popisuje bežné scenáre a akcie.
- Scenár 1: Používateľ bol pridaný ako spoluvlastník len na spustenie postupu alebo zobrazenie výstupov: V mnohých prípadoch vlastníci pridali externého používateľa ako vlastníka, keď táto osoba potrebovala iba spustiť alebo použiť postup (nie ho upraviť). Napríklad vlastník môže pridať agenta technickej podpory ako spoluvlastníka postupu, aby ho mohol manuálne spustiť. V takýchto prípadoch používateľ pravdepodobne nepotrebuje plné vlastnícke práva.
- Akcia: Odstráňte ich zo zoznamu Vlastníci a namiesto toho s nimi zdieľajte tok ako s používateľom s prístupom iba na spustenie (ak je to relevantné) po overení, či majú prístup k prostrediu. To poskytuje potrebnú schopnosť spustiť tok bez toho, aby sa z nich stal vlastník. Viac informácií nájdete v časti Pridanie potrebných používateľov do prostredia v tomto článku. ...
- Scenár 2: Používateľ skutočne spolupracuje na vytváraní alebo údržbe postupu: Napríklad dve oddelenia spoločne vyvíjajú postup, takže používateľ z oddelenia B sa stal spoluvlastníkom v prostredí oddelenia A.
- Akcia: Zapojte daného používateľa do prostredia ako vlastníka s príslušnou rolou alebo zvážte presunutie toku do neutrálneho prostredia, ak by ho malo vlastniť viacero organizačných jednotiek. Z krátkodobého hľadiska sa problémy s prístupom vyriešia pridaním používateľa do zoznamu povolených používateľov prostredia a priradením príslušnej role (Tvorca prostredia, ak potrebuje práva na úpravy).
- Scenár 3: Zdieľanie už nie je potrebné: Niekedy boli používatelia pridaní dočasne alebo projekt opustili.
- Akcia: Odstráňte externého používateľa zo zdieľaného priečinka postupu. Toto je najjednoduchšia oprava, keď je to možné. Ak nikto mimo prostredia tok nepotrebuje, prestaňte sa s ním oň deliť. Tok je potom v súlade s predpismi a zostávajú iba interní vlastníci.
- Scenár 4: Zdieľanie medzi nájomníkmi alebo hosťujúcimi používateľmi Napríklad, postup bol zdieľaný s hosťovským (externým nájomníckym) účtom. Toto je po vynútení zablokované.
- Akcia Zistite, či daný hosť absolútne potrebuje prístup. Ak áno, jednou z možností je oficiálne pridať daného hosťa ako Azure AD hosťa vo vašom nájomníkovi a do bezpečnostnej skupiny prostredia. Vďaka tomu sa stávajú súčasťou životného prostredia. Toto je zriedkavé. Prípadne sa snažte o prevod vlastníctva na interného používateľa, ktorý môže konať v mene hosťa, alebo použite iný mechanizmus, ako napríklad sprístupnenie toku prostredníctvom zabezpečeného HTTP spúšťača namiesto priameho zdieľania. Odporúčame odstrániť priame zdieľania hostí, pretože aj po pridaní ako člena prostredia môžu vzniknúť problémy medzi nájomníkmi.
Pridajte do prostredia potrebných používateľov
Pre každého používateľa, ktorý by mal mať naďalej prístup k postupu, sa uistite, že je aj naďalej členom prostredia. To zvyčajne znamená:
Ak prostredie používa bezpečnostnú skupinu Pridajte používateľský účet k tomu Azure AD bezpečnostná skupina. Toto im udeľuje predvolenú rolu Základný používateľ v prostredí, pokiaľ nie je nakonfigurované inak. Rola Základný používateľ zvyčajne postačuje pre niekoho, kto potrebuje iba spúšťať postupy a nie ich vytvárať a upravovať. Po pridaní overte, či sa používateľ teraz zobrazuje v zozname používateľov prostredia v Power Platform administratívne centrum.
Ak ide o predvolené prostredie nájomníka, ktoré je otvorené pre všetkých používateľov: Väčšina licencovaných používateľov sa v ňom už nachádza. Uistite sa, že používateľ má licenciu. Power Automate Vynucovanie sa týka najmä prostredí bez predvoleného nastavenia s obmedzeným členstvom.
Tvorca prostredia verzus základný používateľ: Neudeľujte Tvorcovi prostredia, pokiaľ daná osoba skutočne nepotrebuje vytvárať a upravovať postupy v danom prostredí. V našich opravách uprednostňujeme priradenie iba základného používateľa alebo vlastnej minimálnej roly, ktorá umožňuje spúšťanie zdieľaných postupov. Pre prístup iba na spustenie postačuje Základný používateľ – používateľ nemusí byť tvorcom. Obmedzenie rolí tvorcov je osvedčený postup riadenia, o ktorom sa podrobnejšie hovorí v nasledujúcej časti.
Úprava nastavení zdieľania postupu
Keď je používateľ teraz členom prostredia, upravte spôsob zdieľania postupu s ním.
Ak používateľ potrebuje iba spustiť postup: Použite zdieľanie iba na spúšťanie. V časti Power Automate otvorte nastavenia zdieľania postupu. Odstráňte používateľa zo zoznamu Vlastníci a v sekcii Spúšťať iba používateľov pridajte jeho meno. V prípade manuálne spúšťaných postupov, ako sú postupy s tlačidlami a okamžité postupy, alebo postupy spúšťané pomocou zdieľateľných odkazov, sa zabezpečí, že daná osoba môže postup spustiť bez toho, aby bola jeho vlastníkom. Nemôžu upravovať ani zobrazovať vnútorné prvky postupu, môžu ho iba spustiť. Výsledkom je, že používateľ zostáva mimo zoznamu vlastníkov, takže nedochádza ku konfliktu prostredia, ale môže používať funkcie postupu podľa plánu.
Príklad: Bob z marketingu bol spoluvlastníkom procesu spracovania potenciálnych zákazníkov v predaji, len aby ho pravidelne spúšťal. Odstránime Boba ako spoluvlastníka (smf) a pridáme Boba ako používateľa s prístupom iba na spúšťanie. Bob je tiež pridaný do prostredia predaja ako základný používateľ. Bob teraz môže vybrať tlačidlo postupu alebo prijať jeho odkaz na jeho spustenie, ale už nie je externým vlastníkom – je autorizovaným základným používateľom daného prostredia.
Ak používateľ potrebuje úplné povolenia vlastníka (spoluautorstvo): Po pridaní do prostredia sa uistite, že zostane uvedený ako vlastník v postupe. Technicky ich môžete odstrániť a znova pridať, aby ste obnovili povolenia. Ale akonáhle sú v prostredí, zdieľanie je legitímne. Môžete tiež zvážiť presunutie toku do riešenia, ak ho dlhodobo udržiavajú dvaja vlastníci z rôznych oblastí. Toky riešení sa v prípade potreby ľahšie prenášajú do vyhradeného prostredia. V každom prípade skontrolujte, či sa zobrazujú v časti Vlastníci a či majú v podrobnostiach postupu rolu Môže upravovať (vlastník).
Odstráňte všetky nadbytočné alebo neoprávnené zdieľania: Počas tohto procesu využite príležitosť na vyčistenie. Ak bol niekto pridaný len pre istotu, ale nikdy nepoužíva tok, odstráňte ho. Princíp najmenších privilégií pomáha zmierniť dohľad. Uistite sa, že zoznam vlastníkov každého postupu je obmedzený na tých, ktorí skutočne potrebujú prístup k návrhu a úpravám.
Oznámiť zmeny dotknutým používateľom
Ak niekomu odoberáte prístup alebo meníte spôsob, akým vyvoláva postup, dajte mu o tom vedieť. Z pohľadu používateľa môže byť spustenie postupu prostredníctvom prístupu iba na spustenie mierne odlišné. Môžu získať odkaz na zdieľanie alebo vidieť postup v časti Tímové postupy namiesto Moje postupy. Vysvetlite, že „Aby sme dodržali nové zásady, aktualizovali sme metódu zdieľania pre Flow X. Môžete ho naďalej spúšťať s metódou Y, ale už sa nezobrazuje pod vaším priamym vlastníctvom.“ Tým sa zabráni nedorozumeniu. Power Automate
Overiť stav po úprave
Po vykonaní zmien pomocou prostredia PowerShell alebo centra spravovania skontrolujte, či u externých vlastníkov nezostali žiadne postupy. Power Platform Napríklad znova spustite identifikačný skript a potvrďte, že už tieto postupy neoznačuje. Každú označenú inštanciu vyriešte buď odstránením, alebo priradením k správnemu prostrediu.
Vykonaním týchto úprav zabezpečíte, že keď spoločnosť Microsoft prepne prepínač, tieto postupy budú naďalej fungovať pre určených používateľov. Namiesto chyby s textom you do not have access to this flow zostáva používateľ autorizovaný, pretože je teraz členom prostredia v príslušnej kapacite. V podstate zosúlaďujete svoje postupy zdieľania s modelom riadenia platformy.