Белешка
Приступ овој страници захтева ауторизацију. Можете покушати да се пријавите или промените директоријуме.
Приступ овој страници захтева ауторизацију. Можете покушати да промените директоријуме.
Почевши од јуна 2025. године, сваки ток који се дели са корисником који није члан окружења постаје недоступан том кориснику. Ова важна промена захтева Power Automate да корисници морају бити чланови окружења за приступ токовима у том окружењу. Ова промена повећава безбедност спровођењем граница окружења. Међутим, то утиче на организације које имају токове који се деле у различитим окружењима, на пример, власник тока додаје некога изван окружења као сувласника или корисника само за трчање.
Да би се ускладили са новом политиком, Power Platform администратори морају да идентификују токове које деле са корисницима изван свог окружења и прилагоде поставке дељења тих токова. Овај чланак пружа структурирани приступ за то.
Овај чланак вам помаже да урадите следеће:
- Идентификујте токове који се деле са спољним корисницима (корисници који нису у окружењу тока).
- Подесите дељење и приступ за те токове како бисте осигурали континуитет (на пример, додајте одговарајуће кориснике у окружења и користите приступ само за покретање).
Овај чланак омогућава Power Platform администраторима да превентивно решавају проблеме дељења пре спровођења у јуну 2025. године. Такође може помоћи у успостављању управљања за сигурно управљање дељењем протока. Да би илустровао кључне тачке, овај чланак садржи стварне примере и упутства корак по корак.
Сазнајте најбоље праксе за управљање заједничким токовима у Поделите ток облака.
Идентификујте токове који се деле са корисницима изван њиховог окружења
Први корак је да се пописују сви токови облака и њихови заједнички корисници у сваком окружењу, а затим да се утврди који токови имају удела са аутсајдерима - корисницима који нису чланови тог окружења. Power Automate Токови се могу креирати на два начина: као нормални (не-решени) токови, или као токови свесни решења (део решења Dataverse ). Оба бораве у окружењу, и оба треба преглед. Следећи одељци описују методе за идентификацију екстерно заједничких токова.
Power Platform админ центар—ГУИ метод
Администратори окружења могу користити Power Platform админ центар за визуелну ревизију.
У Power Platform админ центру изаберите Управљање > окружењима > ( ваше окружење ) > Токови ресурса>.
А наводи све токове у окружењу, заједно са колоном Власници .
За сваки ток, прегледајте власнике. Ако ток има више власника (креатор плус сувласници), он се дели. Упоредите те власнике са познатим члановима животне средине. На пример, упоредите безбедносну групу или листу корисника за то окружење.
Застава тече где власник или сувласник који није очекивани члан окружења. На пример, ако окружење Одељења А треба да садржи само кориснике из Одељења А, али видите сувласника из Одељења Б, тај ток се дели са аутсајдером. Можда ћете морати да изаберете име власника да бисте видели детаље, или да упоредите са корисничким директоријумом вашег окружења.
Предности админ центра Power Platform —ГУИ метода
Power Platform Админ центар обезбеђује једноставан интерфејс и омогућава филтрирање и сортирање токова по имену или власнику. Можете брзо уочити очигледне неусклађености ако знате који тимови и корисници припадају окружењу.
Недостаци Power Platform админ центра—ГУИ метода
Овај метод је ручни и не скалира добро за многе токове. Морате појединачно потврдити власнике, што може бити дуготрајно за велика окружења. Можда ће бити тешко унакрсно проверити чланство у окружењу директно из корисничког интерфејса.
ПоверСхелл скрипта – аутоматизовани метод
За систематску и поновљиву ревизију,нуди Power Automate административне ПоверСхелл цмдлетс за листу токова и њихових власника. Овај приступ је моћан за масовну анализу у великим окружењима или читавим станарима. Можете скриптовати процес за излаз свих токова и истакнути екстерне дељења.
На пример, ова скрипта користи Get-AdminFlow за преузимање свих токова, а затим Get-AdminFlowOwnerRole за сваки ток да наведе своје власнике и њихове улоге. Излаз наводи свако име тока и метак, Owner: [User]Role: [Owner/Co-owner]. Можете преусмерити овај излаз на фајл или га даље обрађивати.
Затим одредите спољне акције: Упоредите корисничко главно име (УПН) сваког власника са скупом корисника који су чланови окружења. Спољно учешће означава било који власник чији УПН није на листи корисника или безбедносној групи окружења. У пракси бисте могли:
- Извозите листу власника токова из претходне скрипте и листе корисника окружења, а затим користите Екцел или скрипту да бисте пронашли разлике, или
- Побољшајте ПоверСхелл скрипту за унакрсну проверу корисника
Get-AdminEnvironmentUserокружења.
Предности ПоверСхелл скрипте - аутоматизоване методе
Овај метод је аутоматизован и свеобухватан. Може брзо набројати стотине или хиљаде токова и може се скриптирати за извештавање. Можете га покренути по распореду као што је месечно, да бисте уочили нове спољне акције.
Недостаци ПоверСхелл скрипте - аутоматизована метода
Захтева познавање ПоверСхелл и администраторских привилегија. Такође, сирови излаз приказује УПН-ове и ИД-ове објеката. Морате да протумачите који су изван окружења и захтева неку анализу. Међутим, ово је једноставно ако знате кориснички домен вашег окружења или имате листу чланова окружења.
Центер оф Еxцелленце (ЦоЕ) Тоолкит—дасхбоард метход
Ако ваша организација користи Power Platform Центар изврсности Стартер Кит , он пружа Power BI контролне табле и извештаје који укључују метрику дељења. Инвентар токова ЦоЕ-а може истакнути токове који имају власнике гостију или власнике изван нормалне безбедносне групе окружења. На пример, контролна табла ЦоЕ може имати извештај о токовима са више власника или токовима који се деле са гостујућим корисницима. Можете искористити ове увиде да пронађете токове са ненормалним дељењем.
Прос оф Центер оф Еxцелленце (ЦоЕ) Тоолкит—дасхбоард метход
Централизовано , визуелно извештавање које можда већ прикупља податке о окружењу. Нема додатног скриптовања ако је ЦоЕ на месту. Може аутоматски означити неусаглашене обрасце.
Недостаци Центра изврсности (ЦоЕ) Тоолкит—метода контролне табле
Захтева да се ЦоЕ Стартер Кит распореди и ажурира. Подаци можда нису у реалном времену (обично се освежавају по распореду). Такође , постављање прилагођених филтера, као што је идентификација спољних корисника домена, може захтевати подешавање компоненти ЦоЕ.
Поређење метода идентификације
| Начин | Алат / приступ | Предности | Мане |
|---|---|---|---|
| Административни центар (ГУИ) | Power Platform Веб интерфејс админ центра: проверите токове и власнике визуелно. | Једноставан , разумљив интерфејс. Непосредан увид у мали број токова. | Ручна верификација, није скалабилна за велика окружења. Нема уграђене унакрсне референце власника у односу на чланство у окружењу. |
| PowerShell скрипта | Администратор ПоверСхелл цмдлетс ( Get-AdminFlow,). Get-AdminFlowOwnerRole |
Аутоматизовани масовни излаз токова и власника. Може се заказати и резултати извозе у ЦСВ или другим форматима. Висока тачност ако је позната листа корисника окружења. | Захтева ПоверСхелл знање. Мора одвојено идентификовати који су власници екстерни. Потребна скрипта или накнадна обрада. |
| ЦоЕ Тоолкит (контролна табла) | Power BI контролне табле и токови ЦоЕ-а. | Већ доступно ако је инсталиран ЦоЕ. Може да истакне необично дељење, као што су спољни или гостујући власници, у централизованом извештају. | Потребно је распоређивање и одржавање ЦоЕ-а. Постоји кашњење освежавања података (не у реалном времену). Можда ће бити потребно прилагођавање да бисте одредили одређене спољне кориснике. |
Користећи једну или комбинацију метода у претходној табели, саставите листу токова који имају спољне дељене кориснике. То су погођени токови којима је потребна пажња пре промене политике. У многим организацијама, ово може бити управљив подскуп токова, на пример, само неколико токова између одељења или токова који се деле са налогом госта партнера. У другима, посебно станарима са отвореним праксама дељења, могао би постојати значајан број токова за руковање, тако да што их раније идентификујете, то боље.
Подесите дељење и приступ за погођене токове
Када идентификујете токове који се деле са корисницима изван њиховог окружења, следећи корак је да се поправи конфигурација дељења сваког тока. Циљ је да се осигура да сваки корисник коме је потребан приступ току буде правилно додан у окружење (или је приступ тока на други начин модификован). Урадите то тако да када нова примена почне, нико не губи функционалност. Следећи одељци описују како приступити прилагођавањима.
Процијените неопходност сваког вањског удјела
За сваки означени ток, разговарајте са власником тока или релевантним пословним тимом зашто је подељен споља. Овај контекст је важан за одлучивање о поправци. Следећа листа описује уобичајене сценарије и акције.
- Сценарио 1: Корисник је додат као сувласник само да покрене ток или види излазе : У многим случајевима, власници су додали спољног корисника као власника када је све што је тој особи потребно било да покрене или користи ток (не да га уређује). На пример, власник може додати агента за помоћ као сувласника тока како би га могли ручно покренути. У таквим случајевима, кориснику вероватно нису потребна пуна власничка права.
- Акција : Уклоните их са листе власника и уместо тога поделите ток са њима као корисником само за покретање (ако је применљиво), након што осигурате да имају приступ окружењу. Ово обезбеђује потребну способност за покретање протока без да их учини власником. Сазнајте више у одељку Додајте потребне кориснике у окружење у овом чланку.
- Сценарио КСНУМКС: Корисник заиста сарађује у изградњи или одржавању протока : На пример, два одељења заједнички развијају ток, тако да је корисник из Депт Б постао сувласник у окружењу Депт А.
- Акција : Укључите тог корисника у окружење као власника правилно са одговарајућом улогом, или размислите о премештању тока у неутрално окружење ако више организационих јединица треба да буде сувласник. Краткорочно , додавање корисника на листу дозвољених корисника окружења и давање одговарајуће улоге (Енвиронмент Макер ако им је потребна права за уређивање) решава проблеме са приступом.
- Сценарио 3: Удео више није потребан : Понекад су корисници додани привремено или су напустили пројекат.
- Акција : Уклоните спољног корисника из удела тока. Ово је најједноставније решење када је применљиво. Ако никоме изван околине није потребан проток, поништите га са њима. Проток је тада усаглашен, а остају само унутрашњи власници.
- Сценарио КСНУМКС: Унакрсне корисничке акције или гостујуће кориснике: На пример, ток је подељен са налогом госта (спољног станара). Ово је блокирано након спровођења.
- Акција : Утврдите да ли је том госту апсолутно потребан приступ. Ако је одговор да, једна од опција је да званично додате тог госта као госта Azure AD у вашем станару и у безбедносну групу окружења. То их чини чланом животне средине. Ово је ретко. Алтернативно , радите на преносу власништва на интерног корисника који може да делује у име госта или користите другачији механизам, као што је откривање протока кроз сигуран ХТТП окидач, а не директно дељење. Препоручујемо уклањање директних гостујућих акција, јер чак и ако се додају као чланови окружења, могу се појавити проблеми са унакрсним станарима.
Додајте неопходне кориснике у окружење
За сваког корисника који би требало да настави да има приступ току, уверите се да је члан окружења у будућности. То обично значи:
Ако окружење користи безбедносну групу : Додајте кориснички налог у ту Azure AD безбедносну групу. Ово им даје подразумевану основну корисничку улогу у окружењу, осим ако није другачије конфигурисано. Основна корисничка улога је обично довољна за некога ко само треба да покрене токове, а не да креира и уређује. Након додавања, проверите да ли се корисник сада појављује на листи корисника окружења у Power Platform админ центру.
Ако је то подразумевано окружење клијента, које је отворено за све кориснике : Већина лиценцираних корисника је већ у њему. Уверите се да корисник има лиценцу Power Automate . Спровођење углавном утиче на не-подразумевана окружења са ограниченим чланством.
Енвиронмент Макер у односу на основног корисника : Немојте одобрити Енвиронмент Макер осим ако особа заиста не треба да гради и уређује токове у том окружењу. У нашим исправкама више волимо да дамо само основног корисника или прилагођену минималну улогу, која омогућава покретање заједничких токова. За приступ само за покретање, основни корисник је довољан - корисник не мора да буде Макер. Ограничавање улога произвођача је најбоља пракса управљања, о којој се више говори у следећем одељку.
Подесите поставке дељења тока
Са корисником који је сада члан окружења, прилагодите начин на који се ток дели са њима.
Ако корисник треба само да покрене ток : Користите само дељење покретања. У Power Automate, отворите поставке дељења тока. Уклоните корисника са листе власника и у одељку Покрени само кориснике, додајте његово име. За ручно покренуте токове као што су токови дугмета и тренутни токови, или токови који се покрећу са везама које се могу делити, ово осигурава да особа може покренути проток без да буде власник. Они не могу да уређују или приказују унутрашњост тока и могу га само покренути. Резултат је да корисник остаје изван листе власника, тако да нема конфликта окружења, али може да користи функционалност тока како је предвиђено.
Пример : Боб у маркетингу био је сувласник тока Салес'Леад процесора само да би га повремено покренуо. Ми уклонити Боба као сувласника смф додати Боба као рун само корисника. Боб се такође додаје у продајно окружење као основни корисник. Сада Боб може да изабере дугме тока или прими његову везу да га покрене, али он више није спољни власник - он је овлашћени основни корисник тог окружења.
Ако су кориснику потребне пуне дозволе власника (коауторство): Након што их додате у окружење, уверите се да остану наведени као власник у току. Технички, можете их уклонити и поново додати да бисте освежили дозволе. Али када су у окружењу, удео је легитиман. Такође можете размислити о премештању тока у решење ако га два власника из различитих области одржавају дугорочно. Токови решења су лакши за транспорт у наменско окружење ако је потребно. У сваком случају, двапут проверите да ли се појављују под Власници и њихова улога је Може да мења (власник) у детаљима тока.
Уклоните све сувишне или неовлашћене акције : Током овог процеса, искористите прилику да очистите. Ако је неко додат за сваки случај, али никада не користи ток, уклоните га. Принцип најмање привилегије помаже у смањењу надзора. Уверите се да је листа власника сваког тока ограничена на оне којима је заиста потребан приступ дизајну и уређивању.
Комуницирајте промене погођеним корисницима
Ако уклањате нечији приступ или мењате начин на који се позивају на ток, обавестите их. Из перспективе корисника, покретање протока кроз приступ само за покретање може бити мало другачије. Они могу добити везу за дељење или видети проток у тимским токовима, а не у мојим токовима. Објасните да "У складу са новим Power Automate политикама, ажурирали смо метод дељења за Флов Кс. Можете наставити да га покрећете методом И, али се више не приказује под вашим директним власништвом. " Ово спречава конфузију.
Проверите статус после подешавања
Након што направите измене, користите ПоверСхелл или Power Platform админ центар да бисте проверили да нема токова са спољним власницима. На пример, поново покрените идентификациону скрипту и потврдите да више не означава те токове. Решите сваку означену инстанцу уклањањем или одговарајућим чланством у окружењу.
Извођењем ових прилагођавања, осигуравате да када Мицрософт окрене прекидач, ти токови настављају да раде за предвиђене кориснике. Уместо грешке која каже you do not have access to this flow, корисник остаје овлашћен јер је сада члан окружења у одговарајућем својству. У суштини, усклађујете своје праксе дељења са моделом управљања платформом.