Napomena
Pristup ovoj stranici zahteva autorizaciju. Možete pokušati da se prijavite ili da promenite direktorijume.
Pristup ovoj stranici zahteva autorizaciju. Možete pokušati da promenite direktorijume.
Počevši od juna 2025. godine, svaki tok koji se deli sa korisnikom koji nije član okruženja postaje nedostupan tom korisniku. Ova važna promena zahteva Power Automate da korisnici moraju biti članovi okruženja za pristup tokovima u tom okruženju. Ova promena povećava bezbednost sprovođenjem granica okruženja. Međutim, to utiče na organizacije koje imaju tokove koji se dele u različitim okruženjima, na primer, vlasnik toka dodaje nekoga izvan okruženja kao suvlasnika ili korisnika samo za trčanje.
Da bi se uskladili sa novom politikom, Power Platform administratori moraju da identifikuju tokove koje dele sa korisnicima izvan svog okruženja i prilagode postavke deljenja tih tokova. Ovaj članak pruža strukturirani pristup za to.
Ovaj članak vam pomaže da uradite sledeće:
- Identifikujte tokove koji se dele sa spoljnim korisnicima (korisnici koji nisu u okruženju toka).
- Podesite deljenje i pristup za te tokove kako biste osigurali kontinuitet (na primer, dodajte odgovarajuće korisnike u okruženja i koristite pristup samo za pokretanje).
Ovaj članak omogućava Power Platform administratorima da preventivno rešavaju probleme deljenja pre sprovođenja u junu 2025. godine. Takođe može pomoći u uspostavljanju upravljanja za sigurno upravljanje deljenjem protoka. Da bi ilustrovao ključne tačke, ovaj članak sadrži stvarne primere i uputstva korak po korak.
Saznajte najbolje prakse za upravljanje zajedničkim tokovima u Podelite tok oblaka.
Identifikujte tokove koji se dele sa korisnicima izvan njihovog okruženja
Prvi korak je da se popisuju svi tokovi oblaka i njihovi zajednički korisnici u svakom okruženju, a zatim da se utvrdi koji tokovi imaju udela sa autsajderima - korisnicima koji nisu članovi tog okruženja. Power Automate Tokovi se mogu kreirati na dva načina: kao normalni (ne-rešeni) tokovi, ili kao tokovi svesni rešenja (deo rešenja Dataverse ). Oba borave u okruženju, i oba treba pregled. Sledeći odeljci opisuju metode za identifikaciju eksterno zajedničkih tokova.
Power Platform admin centar—GUI metod
Administratori okruženja mogu koristiti Power Platform admin centar za vizuelnu reviziju.
U Power Platform admin centru izaberite Upravljanje>okruženjima > (vaše okruženje) > Tokovi resursa>.
A navodi sve tokove u okruženju, zajedno sa kolonom Vlasnici .
Za svaki tok, pregledajte vlasnike. Ako tok ima više vlasnika (kreator plus suvlasnici), on se deli. Uporedite te vlasnike sa poznatim članovima životne sredine. Na primer, uporedite bezbednosnu grupu ili listu korisnika za to okruženje.
Zastava teče gde vlasnik ili suvlasnik koji nije očekivani član okruženja. Na primer, ako okruženje Odeljenja A treba da sadrži samo korisnike iz Odeljenja A, ali vidite suvlasnika iz Odeljenja B, taj tok se deli sa autsajderom. Možda ćete morati da izaberete ime vlasnika da biste videli detalje, ili da uporedite sa korisničkim direktorijumom vašeg okruženja.
Prednosti admin centra Power Platform —GUI metoda
Power Platform Admin centar obezbeđuje jednostavan interfejs i omogućava filtriranje i sortiranje tokova po imenu ili vlasniku. Možete brzo uočiti očigledne neusklađenosti ako znate koji timovi i korisnici pripadaju okruženju.
Nedostaci Power Platform admin centra—GUI metoda
Ovaj metod je ručni i ne skalira dobro za mnoge tokove. Morate pojedinačno potvrditi vlasnike, što može biti dugotrajno za velika okruženja. Možda će biti teško unakrsno proveriti članstvo u okruženju direktno iz korisničkog interfejsa.
PoverShell skripta – automatizovani metod
Za sistematsku i ponovljivu reviziju,nudi Power Automate administrativne PoverShell cmdlets za listu tokova i njihovih vlasnika. Ovaj pristup je moćan za masovnu analizu u velikim okruženjima ili čitavim stanarima. Možete skriptovati proces za izlaz svih tokova i istaknuti eksterne deljenja.
Na primer, ova skripta koristi Get-AdminFlow za preuzimanje svih tokova, a zatim Get-AdminFlowOwnerRole za svaki tok da navede svoje vlasnike i njihove uloge. Izlaz navodi svako ime toka i metak, Owner: [User]Role: [Owner/Co-owner]. Možete preusmeriti ovaj izlaz na fajl ili ga dalje obrađivati.
Zatim odredite spoljne akcije: Uporedite korisničko glavno ime (UPN) svakog vlasnika sa skupom korisnika koji su članovi okruženja. Spoljno učešće označava bilo koji vlasnik čiji UPN nije na listi korisnika ili bezbednosnoj grupi okruženja. U praksi biste mogli:
- Izvozite listu vlasnika tokova iz prethodne skripte i liste korisnika okruženja, a zatim koristite Ekcel ili skriptu da biste pronašli razlike, ili
- Poboljšajte PoverShell skriptu za unakrsnu proveru korisnika
Get-AdminEnvironmentUserokruženja.
Prednosti PoverShell skripte - automatizovane metode
Ovaj metod je automatizovan i sveobuhvatan. Može brzo nabrojati stotine ili hiljade tokova i može se skriptirati za izveštavanje. Možete ga pokrenuti po rasporedu kao što je mesečno, da biste uočili nove spoljne akcije.
Nedostaci PoverShell skripte - automatizovana metoda
Zahteva poznavanje PoverShell i administratorskih privilegija. Takođe, sirovi izlaz prikazuje UPN-ove i ID-ove objekata. Morate da protumačite koji su izvan okruženja i zahteva neku analizu. Međutim, ovo je jednostavno ako znate korisnički domen vašeg okruženja ili imate listu članova okruženja.
Center of Excellence (CoE) Toolkit—dashboard method
Ako vaša organizacija koristi Power Platform Centar izvrsnosti Starter Kit, on pruža Power BI kontrolne table i izveštaje koji uključuju metriku deljenja. Inventar tokova CoE-a može istaknuti tokove koji imaju vlasnike gostiju ili vlasnike izvan normalne bezbednosne grupe okruženja. Na primer, kontrolna tabla CoE može imati izveštaj o tokovima sa više vlasnika ili tokovima koji se dele sa gostujućim korisnicima. Možete iskoristiti ove uvide da pronađete tokove sa nenormalnim deljenjem.
Pros of Center of Excellence (CoE) Toolkit—dashboard method
Centralizovano, vizuelno izveštavanje koje možda već prikuplja podatke o okruženju. Nema dodatnog skriptovanja ako je CoE na mestu. Može automatski označiti neusaglašene obrasce.
Nedostaci Centra izvrsnosti (CoE) Toolkit—metoda kontrolne table
Zahteva da se CoE Starter Kit rasporedi i ažurira. Podaci možda nisu u realnom vremenu (obično se osvežavaju po rasporedu). Takođe, postavljanje prilagođenih filtera, kao što je identifikacija spoljnih korisnika domena, može zahtevati podešavanje komponenti CoE.
Poređenje metoda identifikacije
| Način | Alat / pristup | Prednosti | Mane |
|---|---|---|---|
| Administrativni centar (GUI) | Power Platform Veb interfejs admin centra: proverite tokove i vlasnike vizuelno. | Jednostavan, razumljiv interfejs. Neposredan uvid u mali broj tokova. | Ručna verifikacija, nije skalabilna za velika okruženja. Nema ugrađene unakrsne reference vlasnika u odnosu na članstvo u okruženju. |
| PowerShell skripta | Administrator PoverShell cmdlets (Get-AdminFlow,). Get-AdminFlowOwnerRole |
Automatizovani masovni izlaz tokova i vlasnika. Može se zakazati i rezultati izvoze u CSV ili drugim formatima. Visoka tačnost ako je poznata lista korisnika okruženja. | Zahteva PoverShell znanje. Mora odvojeno identifikovati koji su vlasnici eksterni. Potrebna skripta ili naknadna obrada. |
| CoE Toolkit (kontrolna tabla) | Power BI kontrolne table i tokovi CoE-a. | Već dostupno ako je instaliran CoE. Može da istakne neobično deljenje, kao što su spoljni ili gostujući vlasnici, u centralizovanom izveštaju. | Potrebno je raspoređivanje i održavanje CoE-a. Postoji kašnjenje osvežavanja podataka (ne u realnom vremenu). Možda će biti potrebno prilagođavanje da biste odredili određene spoljne korisnike. |
Koristeći jednu ili kombinaciju metoda u prethodnoj tabeli, sastavite listu tokova koji imaju spoljne deljene korisnike. To su pogođeni tokovi kojima je potrebna pažnja pre promene politike. U mnogim organizacijama, ovo može biti upravljiv podskup tokova, na primer, samo nekoliko tokova između odeljenja ili tokova koji se dele sa nalogom gosta partnera. U drugima, posebno stanarima sa otvorenim praksama deljenja, mogao bi postojati značajan broj tokova za rukovanje, tako da što ih ranije identifikujete, to bolje.
Podesite deljenje i pristup za pogođene tokove
Kada identifikujete tokove koji se dele sa korisnicima izvan njihovog okruženja, sledeći korak je da se popravi konfiguracija deljenja svakog toka. Cilj je da se osigura da svaki korisnik kome je potreban pristup toku bude pravilno dodan u okruženje (ili je pristup toka na drugi način modifikovan). Uradite to tako da kada nova primena počne, niko ne gubi funkcionalnost. Sledeći odeljci opisuju kako pristupiti prilagođavanjima.
Procijenite neophodnost svakog vanjskog udjela
Za svaki označeni tok, razgovarajte sa vlasnikom toka ili relevantnim poslovnim timom zašto je podeljen spolja. Ovaj kontekst je važan za odlučivanje o popravci. Sledeća lista opisuje uobičajene scenarije i akcije.
- Scenario 1: Korisnik je dodat kao suvlasnik samo da pokrene tok ili vidi izlaze: U mnogim slučajevima, vlasnici su dodali spoljnog korisnika kao vlasnika kada je sve što je toj osobi potrebno bilo da pokrene ili koristi tok (ne da ga uređuje). Na primer, vlasnik može dodati agenta za pomoć kao suvlasnika toka kako bi ga mogli ručno pokrenuti. U takvim slučajevima, korisniku verovatno nisu potrebna puna vlasnička prava.
- Akcija: Uklonite ih sa liste vlasnika i umesto toga podelite tok sa njima kao korisnikom samo za pokretanje (ako je primenljivo), nakon što osigurate da imaju pristup okruženju. Ovo obezbeđuje potrebnu sposobnost za pokretanje protoka bez da ih učini vlasnikom. Saznajte više u odeljku Dodajte potrebne korisnike u okruženje u ovom članku.
- Scenario KSNUMKS: Korisnik zaista sarađuje u izgradnji ili održavanju protoka: Na primer, dva odeljenja zajednički razvijaju tok, tako da je korisnik iz Dept B postao suvlasnik u okruženju Dept A.
- Akcija: Uključite tog korisnika u okruženje kao vlasnika pravilno sa odgovarajućom ulogom, ili razmislite o premeštanju toka u neutralno okruženje ako više organizacionih jedinica treba da bude suvlasnik. Kratkoročno, dodavanje korisnika na listu dozvoljenih korisnika okruženja i davanje odgovarajuće uloge (Environment Maker ako im je potrebna prava za uređivanje) rešava probleme sa pristupom.
- Scenario 3: Udeo više nije potreban: Ponekad su korisnici dodani privremeno ili su napustili projekat.
- Akcija: Uklonite spoljnog korisnika iz udela toka. Ovo je najjednostavnije rešenje kada je primenljivo. Ako nikome izvan okoline nije potreban protok, poništite ga sa njima. Protok je tada usaglašen, a ostaju samo unutrašnji vlasnici.
- Scenario KSNUMKS: Unakrsne korisničke akcije ili gostujuće korisnike: Na primer, tok je podeljen sa nalogom gosta (spoljnog stanara). Ovo je blokirano nakon sprovođenja.
- Akcija: Utvrdite da li je tom gostu apsolutno potreban pristup. Ako je odgovor da, jedna od opcija je da zvanično dodate tog gosta kao gosta Azure AD u vašem stanaru i u bezbednosnu grupu okruženja. To ih čini članom životne sredine. Ovo je retko. Alternativno, radite na prenosu vlasništva na internog korisnika koji može da deluje u ime gosta ili koristite drugačiji mehanizam, kao što je otkrivanje protoka kroz siguran HTTP okidač, a ne direktno deljenje. Preporučujemo uklanjanje direktnih gostujućih akcija, jer čak i ako se dodaju kao članovi okruženja, mogu se pojaviti problemi sa unakrsnim stanarima.
Dodajte neophodne korisnike u okruženje
Za svakog korisnika koji bi trebalo da nastavi da ima pristup toku, uverite se da je član okruženja u budućnosti. To obično znači:
Ako okruženje koristi bezbednosnu grupu: Dodajte korisnički nalog u tu Azure AD bezbednosnu grupu. Ovo im daje podrazumevanu osnovnu korisničku ulogu u okruženju, osim ako nije drugačije konfigurisano. Osnovna korisnička uloga je obično dovoljna za nekoga ko samo treba da pokrene tokove, a ne da kreira i uređuje. Nakon dodavanja, proverite da li se korisnik sada pojavljuje na listi korisnika okruženja u Power Platform admin centru.
Ako je to podrazumevano okruženje klijenta, koje je otvoreno za sve korisnike: Većina licenciranih korisnika je već u njemu. Uverite se da korisnik ima licencu Power Automate . Sprovođenje uglavnom utiče na ne-podrazumevana okruženja sa ograničenim članstvom.
Environment Maker u odnosu na osnovnog korisnika: Nemojte odobriti Environment Maker osim ako osoba zaista ne treba da gradi i uređuje tokove u tom okruženju. U našim ispravkama više volimo da damo samo osnovnog korisnika ili prilagođenu minimalnu ulogu, koja omogućava pokretanje zajedničkih tokova. Za pristup samo za pokretanje, osnovni korisnik je dovoljan - korisnik ne mora da bude Maker. Ograničavanje uloga proizvođača je najbolja praksa upravljanja, o kojoj se više govori u sledećem odeljku.
Podesite postavke deljenja toka
Sa korisnikom koji je sada član okruženja, prilagodite način na koji se tok deli sa njima.
Ako korisnik treba samo da pokrene tok: Koristite samo deljenje pokretanja. U Power Automate, otvorite postavke deljenja toka. Uklonite korisnika sa liste vlasnika i u odeljku Pokreni samo korisnike, dodajte njegovo ime. Za ručno pokrenute tokove kao što su tokovi dugmeta i trenutni tokovi, ili tokovi koji se pokreću sa vezama koje se mogu deliti, ovo osigurava da osoba može pokrenuti protok bez da bude vlasnik. Oni ne mogu da uređuju ili prikazuju unutrašnjost toka i mogu ga samo pokrenuti. Rezultat je da korisnik ostaje izvan liste vlasnika, tako da nema konflikta okruženja, ali može da koristi funkcionalnost toka kako je predviđeno.
Primer: Bob u marketingu bio je suvlasnik toka Sales'Lead procesora samo da bi ga povremeno pokrenuo. Mi ukloniti Boba kao suvlasnika smf dodati Boba kao run samo korisnika. Bob se takođe dodaje u prodajno okruženje kao osnovni korisnik. Sada Bob može da izabere dugme toka ili primi njegovu vezu da ga pokrene, ali on više nije spoljni vlasnik - on je ovlašćeni osnovni korisnik tog okruženja.
Ako su korisniku potrebne pune dozvole vlasnika (koautorstvo): Nakon što ih dodate u okruženje, uverite se da ostanu navedeni kao vlasnik u toku. Tehnički, možete ih ukloniti i ponovo dodati da biste osvežili dozvole. Ali kada su u okruženju, udeo je legitiman. Takođe možete razmisliti o premeštanju toka u rešenje ako ga dva vlasnika iz različitih oblasti održavaju dugoročno. Tokovi rešenja su lakši za transport u namensko okruženje ako je potrebno. U svakom slučaju, dvaput proverite da li se pojavljuju pod Vlasnici i njihova uloga je Može da menja (vlasnik) u detaljima toka.
Uklonite sve suvišne ili neovlašćene akcije: Tokom ovog procesa, iskoristite priliku da očistite. Ako je neko dodat za svaki slučaj, ali nikada ne koristi tok, uklonite ga. Princip najmanje privilegije pomaže u smanjenju nadzora. Uverite se da je lista vlasnika svakog toka ograničena na one kojima je zaista potreban pristup dizajnu i uređivanju.
Komunicirajte promene pogođenim korisnicima
Ako uklanjate nečiji pristup ili menjate način na koji se pozivaju na tok, obavestite ih. Iz perspektive korisnika, pokretanje protoka kroz pristup samo za pokretanje može biti malo drugačije. Oni mogu dobiti vezu za deljenje ili videti protok u timskim tokovima, a ne u mojim tokovima. Objasnite da "U skladu sa novim Power Automate politikama, ažurirali smo metod deljenja za Flov Ks. Možete nastaviti da ga pokrećete metodom I, ali se više ne prikazuje pod vašim direktnim vlasništvom. " Ovo sprečava konfuziju.
Proverite status posle podešavanja
Nakon što napravite izmene, koristite PoverShell ili Power Platform admin centar da biste proverili da nema tokova sa spoljnim vlasnicima. Na primer, ponovo pokrenite identifikacionu skriptu i potvrdite da više ne označava te tokove. Rešite svaku označenu instancu uklanjanjem ili odgovarajućim članstvom u okruženju.
Izvođenjem ovih prilagođavanja, osiguravate da kada Microsoft okrene prekidač, ti tokovi nastavljaju da rade za predviđene korisnike. Umesto greške koja kaže you do not have access to this flow, korisnik ostaje ovlašćen jer je sada član okruženja u odgovarajućem svojstvu. U suštini, usklađujete svoje prakse deljenja sa modelom upravljanja platformom.