Lưu ý
Cần có ủy quyền mới truy nhập được vào trang này. Bạn có thể thử đăng nhập hoặc thay đổi thư mục.
Cần có ủy quyền mới truy nhập được vào trang này. Bạn có thể thử thay đổi thư mục.
Bắt đầu từ tháng 6 năm 2025, bất kỳ luồng nào được chia sẻ với người dùng không phải là thành viên môi trường sẽ không thể truy cập được đối với người dùng đó. Thay đổi quan trọng này yêu cầu người dùng phải là thành viên của một môi trường để truy cập các luồng trong môi trường đó. Power Automate Thay đổi này tăng cường bảo mật bằng cách thực thi ranh giới môi trường. Tuy nhiên, điều này ảnh hưởng đến các tổ chức có luồng được chia sẻ trên nhiều môi trường khác nhau, ví dụ: chủ sở hữu luồng thêm một người bên ngoài môi trường làm đồng sở hữu hoặc người dùng chỉ chạy.
Để tuân thủ chính sách mới, Power Platform quản trị viên cần xác định các luồng được chia sẻ với người dùng bên ngoài môi trường của họ và điều chỉnh cài đặt chia sẻ của các luồng đó. Bài viết này cung cấp phương pháp tiếp cận có cấu trúc để thực hiện điều này.
Bài viết này giúp bạn thực hiện những điều sau:
- Xác định các luồng được chia sẻ với người dùng bên ngoài (người dùng không nằm trong môi trường của luồng).
- Điều chỉnh việc chia sẻ và truy cập cho các luồng đó để đảm bảo tính liên tục (ví dụ: thêm người dùng phù hợp vào môi trường và sử dụng quyền truy cập chỉ chạy).
Bài viết này cho phép Power Platform quản trị viên giải quyết trước các vấn đề chia sẻ trước khi có hiệu lực vào tháng 6 năm 2025. Nó cũng có thể giúp thiết lập cơ chế quản trị để quản lý việc chia sẻ luồng một cách an toàn trong tương lai. Để minh họa những điểm chính, bài viết này đưa ra các ví dụ thực tế và hướng dẫn từng bước.
Tìm hiểu các biện pháp tốt nhất để quản lý luồng chia sẻ trong Chia sẻ luồng đám mây.
Xác định luồng được chia sẻ với người dùng bên ngoài môi trường của họ
Bước đầu tiên là kiểm kê tất cả các luồng đám mây và người dùng chung của chúng trong mỗi môi trường, sau đó xác định chính xác luồng nào được chia sẻ với người ngoài—những người dùng không phải là thành viên của môi trường đó. Power Automate luồng có thể được tạo theo hai cách: như luồng bình thường (không phải là giải pháp) hoặc như luồng nhận biết giải pháp (một phần của Dataverse giải pháp). Cả hai đều tồn tại trong một môi trường và đều cần được xem xét lại. Các phần sau đây mô tả các phương pháp để xác định luồng chia sẻ bên ngoài.
Power Platform trung tâm quản trị—phương pháp GUI
Người quản trị môi trường có thể sử dụng Power Platform trung tâm quản trị để kiểm tra trực quan.
Trong Power Platform trung tâm quản trị, chọn Quản lý>Môi trường > (môi trường của bạn) >Tài nguyên>Luồng.
A liệt kê tất cả các luồng trong môi trường, cùng với cột Chủ sở hữu được hiển thị.
Đối với mỗi luồng, hãy kiểm tra chủ sở hữu. Nếu một luồng có nhiều chủ sở hữu (người tạo và người đồng sở hữu), luồng đó sẽ được chia sẻ. So sánh những chủ sở hữu đó với những thành viên đã biết của môi trường. Ví dụ, so sánh nhóm bảo mật hoặc danh sách người dùng cho môi trường đó.
Cờ lưu thông khi chủ sở hữu hoặc đồng sở hữu không phải là thành viên dự kiến của môi trường. Ví dụ, nếu môi trường của Phòng ban A chỉ chứa người dùng từ Phòng ban A, nhưng bạn lại thấy một người đồng sở hữu từ Phòng ban B, thì luồng đó sẽ được chia sẻ với một người bên ngoài. Bạn có thể cần phải chọn tên chủ sở hữu để xem thông tin chi tiết hoặc tham chiếu chéo với thư mục người dùng trong môi trường của bạn.
Ưu điểm của trung tâm quản trị—phương pháp GUI Power Platform
Power Platform Trung tâm quản trị cung cấp giao diện thân thiện với người dùng và cho phép lọc và sắp xếp luồng theo tên hoặc chủ sở hữu. Bạn có thể nhanh chóng phát hiện ra sự không phù hợp rõ ràng nếu biết nhóm và người dùng nào thuộc về môi trường đó.
Nhược điểm của Power Platform trung tâm quản trị—phương pháp GUI
Phương pháp này thủ công và không phù hợp với nhiều luồng. Bạn phải xác minh từng chủ sở hữu, việc này có thể tốn nhiều thời gian đối với những môi trường lớn. Có thể khó kiểm tra chéo quyền thành viên môi trường trực tiếp từ giao diện người dùng.
Tập lệnh PowerShell—phương pháp tự động
Đối với việc kiểm tra có hệ thống và có thể lặp lại, Power Automate cung cấp các lệnh ghép ngắn PowerShell quản trị để liệt kê các luồng và chủ sở hữu của chúng. Phương pháp này hiệu quả khi phân tích hàng loạt trên nhiều môi trường lớn hoặc toàn bộ đối tượng thuê. Bạn có thể lập trình quy trình để xuất tất cả các luồng và làm nổi bật các chia sẻ bên ngoài.
Ví dụ, tập lệnh này sử dụng Get-AdminFlow để truy xuất tất cả các luồng, sau đó Get-AdminFlowOwnerRole để liệt kê chủ sở hữu và vai trò của họ đối với mỗi luồng. Đầu ra liệt kê tên từng luồng và một dấu đầu dòng Owner: [User], Role: [Owner/Co-owner]. Bạn có thể chuyển hướng đầu ra này vào một tệp hoặc xử lý thêm.
Tiếp theo, xác định các chia sẻ bên ngoài: So sánh tên người dùng chính (UPN) của mỗi chủ sở hữu với tập hợp người dùng là thành viên của môi trường. Chia sẻ bên ngoài được chỉ định bởi bất kỳ chủ sở hữu nào có UPN không nằm trong danh sách người dùng hoặc nhóm bảo mật của môi trường. Trong thực tế, bạn có thể:
- Xuất danh sách chủ sở hữu luồng từ tập lệnh trước đó và danh sách người dùng môi trường, sau đó sử dụng Excel hoặc tập lệnh để tìm sự khác biệt hoặc
- Cải thiện tập lệnh PowerShell để kiểm tra chéo với người dùng môi trường thông qua
Get-AdminEnvironmentUser.
Ưu điểm của tập lệnh PowerShell—phương pháp tự động
Phương pháp này tự động và toàn diện. Nó có thể liệt kê hàng trăm hoặc hàng nghìn luồng một cách nhanh chóng và có thể lập trình để báo cáo. Bạn có thể chạy theo lịch trình như hàng tháng để phát hiện các chia sẻ bên ngoài mới.
Nhược điểm của tập lệnh PowerShell—phương pháp tự động
Yêu cầu phải quen thuộc với PowerShell và quyền quản trị. Ngoài ra, đầu ra thô hiển thị UPN và ID đối tượng. Bạn cần phải giải thích xem cái nào nằm ngoài môi trường và cần phải phân tích. Tuy nhiên, điều này trở nên đơn giản nếu bạn biết tên miền người dùng của môi trường hoặc có danh sách các thành viên môi trường.
Bộ công cụ Trung tâm Xuất sắc (CoE)—phương pháp bảng điều khiển
Nếu tổ chức của bạn sử dụng Power Platform Bộ công cụ khởi động Trung tâm xuất sắc, bộ công cụ này sẽ cung cấp Power BI bảng thông tin và báo cáo bao gồm cả việc chia sẻ số liệu. Bản kê khai luồng của CoE có thể làm nổi bật các luồng có chủ sở hữu là khách hoặc chủ sở hữu nằm ngoài nhóm bảo mật thông thường của môi trường. Ví dụ: bảng điều khiển CoE có thể có báo cáo về Luồng có nhiều chủ sở hữu hoặc Luồng được chia sẻ với người dùng khách. Bạn có thể tận dụng những hiểu biết này để tìm ra luồng chia sẻ bất thường.
Ưu điểm của Bộ công cụ Trung tâm Xuất sắc (CoE)—phương pháp bảng điều khiển
Báo cáo trực quan, tập trung có thể tổng hợp dữ liệu về môi trường. Không cần thêm tập lệnh nào nếu CoE đã được áp dụng. Nó có thể tự động đánh dấu các mẫu không tuân thủ.
Nhược điểm của Bộ công cụ Trung tâm Xuất sắc (CoE)—phương pháp bảng điều khiển
Yêu cầu phải triển khai và cập nhật Bộ công cụ khởi động CoE. Dữ liệu có thể không theo thời gian thực (thường được làm mới theo lịch trình). Ngoài ra, việc thiết lập các bộ lọc tùy chỉnh, như xác định người dùng miền bên ngoài, có thể yêu cầu điều chỉnh các thành phần CoE.
So sánh các phương pháp nhận dạng
| Phương thức | Công cụ/Cách tiếp cận | Ưu điểm | Nhược điểm |
|---|---|---|---|
| Trung tâm quản trị (GUI) | Power Platform Giao diện web của trung tâm quản trị: kiểm tra luồng và chủ sở hữu một cách trực quan. | Giao diện dễ sử dụng, thân thiện với người dùng. Nhận thông tin chi tiết ngay lập tức về số lượng luồng nhỏ. | Xác minh thủ công, không thể mở rộng quy mô cho môi trường lớn. Không có tham chiếu chéo tích hợp giữa quyền sở hữu và quyền thành viên môi trường. |
| Tập lệnh PowerShell | Lệnh ghép ngắn PowerShell của quản trị viên (Get-AdminFlow, Get-AdminFlowOwnerRole). |
Tự động xuất dữ liệu hàng loạt về luồng và chủ sở hữu. Có thể lên lịch và xuất kết quả sang định dạng CSV hoặc các định dạng khác. Độ chính xác cao nếu biết danh sách người dùng môi trường. | Yêu cầu có kiến thức về PowerShell. Phải xác định riêng biệt chủ sở hữu nào là bên ngoài. Cần có kịch bản hoặc xử lý hậu kỳ. |
| Bộ công cụ CoE (bảng điều khiển) | Power BI bảng thông tin và luồng CoE. | Đã có sẵn nếu CoE được cài đặt. Có thể làm nổi bật việc chia sẻ bất thường, như chủ sở hữu bên ngoài hoặc khách, trong báo cáo tập trung. | Cần triển khai và bảo trì CoE. Có độ trễ khi làm mới dữ liệu (không phải thời gian thực). Có thể cần tùy chỉnh để xác định chính xác người dùng bên ngoài. |
Sử dụng một hoặc kết hợp các phương pháp trong bảng trước, biên soạn danh sách các luồng có người dùng chia sẻ bên ngoài. Đây là những luồng bị ảnh hưởng cần được quan tâm trước khi chính sách thay đổi. Trong nhiều tổ chức, đây có thể là một tập hợp con các luồng công việc có thể quản lý được, ví dụ, chỉ một vài luồng liên phòng ban hoặc luồng được chia sẻ với tài khoản khách của đối tác. Ở những nơi khác, đặc biệt là những người thuê có hoạt động chia sẻ mở, có thể có một số lượng lớn luồng giao dịch cần xử lý, do đó, bạn xác định càng sớm thì càng tốt.
Điều chỉnh chia sẻ và quyền truy cập cho các luồng bị ảnh hưởng
Khi bạn xác định được các luồng được chia sẻ với người dùng bên ngoài môi trường của họ, bước tiếp theo là khắc phục cấu hình chia sẻ của từng luồng. Mục tiêu là đảm bảo rằng mọi người dùng cần truy cập vào một luồng đều được thêm đúng vào môi trường (hoặc quyền truy cập của luồng được sửa đổi theo cách khác). Hãy làm như vậy để khi lệnh thực thi mới có hiệu lực, không ai bị mất chức năng. Các phần sau đây mô tả cách tiếp cận việc điều chỉnh.
Đánh giá sự cần thiết của mỗi chia sẻ bên ngoài
Đối với mỗi luồng được gắn cờ, hãy thảo luận với chủ sở hữu luồng hoặc nhóm kinh doanh có liên quan về lý do luồng đó được chia sẻ ra bên ngoài. Bối cảnh này rất quan trọng để quyết định cách khắc phục. Danh sách sau đây mô tả các tình huống và hành động phổ biến.
- Tình huống 1: Người dùng được thêm vào với tư cách là đồng sở hữu chỉ để chạy luồng hoặc xem đầu ra: Trong nhiều trường hợp, chủ sở hữu đã thêm người dùng bên ngoài làm chủ sở hữu khi tất cả những gì người đó cần là kích hoạt hoặc sử dụng luồng (không phải chỉnh sửa luồng). Ví dụ, chủ sở hữu có thể thêm một nhân viên hỗ trợ làm đồng sở hữu của một luồng để họ có thể kích hoạt luồng đó theo cách thủ công. Trong những trường hợp như vậy, người dùng có thể không cần có đầy đủ quyền sở hữu.
- Hành động: Xóa họ khỏi danh sách Chủ sở hữu và thay vào đó chia sẻ luồng với họ dưới dạng người dùng chỉ chạy (nếu có), sau khi đảm bảo họ có quyền truy cập vào môi trường. Điều này cung cấp khả năng cần thiết để vận hành luồng mà không cần biến họ thành chủ sở hữu. Tìm hiểu thêm trong phần Thêm người dùng cần thiết vào môi trường trong bài viết này.
- Tình huống 2: Người dùng thực sự cộng tác trong việc xây dựng hoặc duy trì luồng: Ví dụ, hai phòng ban cùng nhau phát triển một luồng, do đó một người dùng từ Phòng ban B trở thành đồng sở hữu trong môi trường của Phòng ban A.
- Hành động: Đưa người dùng đó vào môi trường với tư cách là chủ sở hữu có vai trò phù hợp hoặc cân nhắc chuyển luồng sang môi trường trung lập nếu nhiều đơn vị tổ chức cùng sở hữu. Trong ngắn hạn, việc thêm người dùng vào danh sách người dùng được phép của môi trường và cấp cho họ vai trò phù hợp (Người tạo môi trường nếu họ cần quyền chỉnh sửa) sẽ giải quyết được các vấn đề về quyền truy cập.
- Tình huống 3: Không còn cần chia sẻ nữa: Đôi khi người dùng được thêm vào tạm thời hoặc rời khỏi dự án.
- Hành động: Xóa người dùng bên ngoài khỏi quyền chia sẻ của luồng. Đây là cách sửa chữa đơn giản nhất khi áp dụng được. Nếu không có ai bên ngoài môi trường cần dòng chảy này, hãy ngừng chia sẻ nó với họ. Sau đó, luồng sẽ tuân thủ và chỉ còn lại chủ sở hữu nội bộ.
- Kịch bản 4: Chia sẻ giữa nhiều người thuê hoặc người dùng khách : Ví dụ, một luồng được chia sẻ với tài khoản khách (đối tượng thuê bên ngoài). Điều này sẽ bị chặn sau khi thực thi.
- Hoạt động : Xác định xem khách đó có thực sự cần quyền truy cập hay không. Nếu có, một lựa chọn là chính thức thêm khách đó làm Azure AD khách trong người thuê nhà của bạn và vào nhóm an ninh của môi trường. Điều này khiến chúng trở thành thành viên của môi trường. Điều này rất hiếm. Ngoài ra, hãy chuyển giao quyền sở hữu cho người dùng nội bộ có thể hành động thay mặt cho khách hoặc sử dụng cơ chế khác, chẳng hạn như hiển thị luồng thông qua trình kích hoạt HTTP an toàn thay vì chia sẻ trực tiếp. Chúng tôi khuyên bạn nên xóa các chia sẻ của khách trực tiếp vì ngay cả khi được thêm vào làm thành viên môi trường, vẫn có thể phát sinh vấn đề liên quan đến nhiều bên thuê.
Thêm người dùng cần thiết vào môi trường
Đối với mỗi người dùng muốn tiếp tục truy cập vào luồng, hãy đảm bảo rằng họ là thành viên của môi trường trong tương lai. Điều này thường có nghĩa là:
Nếu môi trường sử dụng Nhóm bảo mật : Thêm tài khoản người dùng vào đó Azure AD nhóm bảo mật. Điều này cấp cho họ vai trò Người dùng cơ bản mặc định trong môi trường trừ khi được cấu hình khác. Quyền Người dùng cơ bản thường đủ cho người chỉ cần chạy luồng chứ không cần tạo và chỉnh sửa. Sau khi thêm, hãy xác minh người dùng hiện xuất hiện trong danh sách Người dùng của môi trường trong Power Platform trung tâm quản trị.
Nếu đó là môi trường mặc định của người thuê, mở cho tất cả người dùng: Hầu hết người dùng được cấp phép đều đã có trong đó. Đảm bảo người dùng có giấy phép. Power Automate Việc thực thi chủ yếu ảnh hưởng đến các môi trường không mặc định có tư cách thành viên bị hạn chế.
Người tạo môi trường so với Người dùng cơ bản: Không cấp quyền Người tạo môi trường trừ khi người đó thực sự cần xây dựng và chỉnh sửa luồng trong môi trường đó. Trong bản sửa lỗi của mình, chúng tôi muốn chỉ cung cấp Người dùng cơ bản hoặc vai trò tối thiểu tùy chỉnh, cho phép chạy các luồng chia sẻ. Đối với quyền truy cập chỉ chạy, Người dùng cơ bản là đủ, người dùng không cần phải là Người tạo. Việc hạn chế vai trò của Maker là một biện pháp quản trị tốt nhất, được thảo luận thêm ở phần sau.
Điều chỉnh cài đặt chia sẻ luồng
Khi người dùng hiện là thành viên của môi trường, hãy điều chỉnh cách chia sẻ luồng với họ.
Nếu người dùng chỉ cần chạy luồng: Sử dụng Chia sẻ chỉ chạy. Trong Power Automate, mở cài đặt Chia sẻ của luồng. Xóa người dùng khỏi danh sách Chủ sở hữu và trong phần Chỉ chạy người dùng, hãy thêm tên của họ. Đối với các luồng được kích hoạt thủ công như luồng nút và luồng tức thời hoặc luồng được kích hoạt bằng liên kết có thể chia sẻ, điều này đảm bảo rằng người đó có thể kích hoạt luồng mà không cần là chủ sở hữu. Họ không thể chỉnh sửa hoặc hiển thị nội dung bên trong luồng và chỉ có thể chạy luồng đó. Kết quả là người dùng vẫn nằm ngoài danh sách chủ sở hữu nên không có xung đột môi trường, nhưng vẫn có thể sử dụng chức năng của luồng theo đúng mục đích.
Ví dụ: Bob trong phòng Tiếp thị là đồng sở hữu của Bộ xử lý khách hàng tiềm năng bán hàng chỉ để khởi động nó theo định kỳ. Chúng tôi xóa Bob khỏi danh sách đồng sở hữu và thêm Bob vào danh sách người dùng chỉ chạy. Bob cũng được thêm vào môi trường Bán hàng với tư cách là Người dùng cơ bản. Bây giờ Bob có thể chọn nút của luồng hoặc nhận liên kết để chạy luồng, nhưng anh ấy không còn là chủ sở hữu bên ngoài nữa mà là Người dùng cơ bản được ủy quyền của môi trường đó.
Nếu người dùng cần toàn quyền của Chủ sở hữu (đồng tác giả): Sau khi thêm họ vào môi trường, hãy đảm bảo họ vẫn được liệt kê là Chủ sở hữu trên luồng. Về mặt kỹ thuật, bạn có thể xóa và thêm lại chúng để làm mới quyền. Nhưng một khi chúng đã ở trong môi trường thì việc chia sẻ là hợp pháp. Bạn cũng có thể cân nhắc chuyển luồng này thành một giải pháp nếu hai chủ sở hữu từ các khu vực khác nhau cùng duy trì nó trong thời gian dài. Luồng giải pháp dễ dàng được vận chuyển đến môi trường chuyên dụng hơn nếu cần. Trong mọi trường hợp, hãy kiểm tra lại xem chúng có hiển thị trong Chủ sở hữu và vai trò của họ là Có thể chỉnh sửa (chủ sở hữu) trong thông tin chi tiết của luồng không.
Xóa mọi chia sẻ dư thừa hoặc trái phép: Trong quá trình này, hãy tận dụng cơ hội để dọn dẹp. Nếu có người được thêm vào để phòng ngừa nhưng không bao giờ sử dụng luồng, hãy xóa họ đi. Nguyên tắc đặc quyền tối thiểu giúp giảm thiểu sự giám sát. Đảm bảo danh sách Chủ sở hữu của mỗi luồng chỉ giới hạn ở những người thực sự cần quyền thiết kế và chỉnh sửa.
Thông báo những thay đổi cho người dùng bị ảnh hưởng
Nếu bạn đang xóa quyền truy cập của ai đó hoặc thay đổi cách họ gọi luồng, hãy cho họ biết. Theo góc nhìn của người dùng, việc chạy một luồng thông qua quyền truy cập chỉ chạy có thể hơi khác một chút. Họ có thể nhận được liên kết chia sẻ hoặc thấy luồng trong Team Flows thay vì My Flows. Giải thích rằng "Để tuân thủ các chính sách mới, chúng tôi đã cập nhật phương pháp chia sẻ cho Flow X. Bạn có thể tiếp tục chạy phương pháp này bằng phương pháp Y, nhưng phương pháp này không còn hiển thị thuộc quyền sở hữu trực tiếp của bạn nữa". Điều này giúp tránh nhầm lẫn. Power Automate
Xác minh tình trạng sau khi điều chỉnh
Sau khi thực hiện thay đổi, hãy sử dụng PowerShell hoặc trung tâm quản trị để kiểm tra lại xem có luồng nào còn nằm trong tay chủ sở hữu bên ngoài không. Power Platform Ví dụ, hãy chạy lại tập lệnh nhận dạng và xác nhận nó không còn đánh dấu những luồng đó nữa. Giải quyết từng trường hợp được gắn cờ bằng cách xóa hoặc sử dụng môi trường phù hợp.
Bằng cách thực hiện những điều chỉnh này, bạn đảm bảo rằng khi Microsoft thay đổi, các luồng đó sẽ tiếp tục chạy cho người dùng dự định. Thay vì lỗi hiển thị you do not have access to this flow, người dùng vẫn được ủy quyền vì họ hiện là thành viên môi trường với tư cách phù hợp. Về cơ bản, bạn đang điều chỉnh hoạt động chia sẻ của mình theo mô hình quản trị của nền tảng.