從 2025 年 6 月開始,非環境成員使用者共用的任何流程都將無法被該使用者存取。 Power Automate 的這項重要變更要求使用者必須是某個環境的成員,才能存取該環境中的流程。 這項變更透過強制執行環境邊界來增強安全性。 但是,它會影響在不同環境之間共用流程的組織,例如,流程擁有者將環境之外的某人新增為共同擁有者或僅執行使用者。
為了遵守新原則,Power Platform 管理員需要識別與其環境外的使用者共用的流程並調整這些流程的共用設定。 本文提供了一種結構化的方法來做到這一點。
本文可協助您執行以下操作:
- 識別與外部使用者 (不在流程環境中的使用者) 共用的流程。
- 調整這些流程的共用和存取以確保連續性 (例如,向環境新增適當的使用者並使用僅執行存取)。
本文可讓 Power Platform 管理員在 2025 年 6 月強制執行之前,預先解決共用問題。 它還可以幫助建立治理機制,以便將來安全地管理流程共用。 為了說明關鍵點,本文包含真實範例和逐步說明。
在共用雲端流程中了解管理共用流程的最佳做法。
識別與其環境之外的使用者共用的流程
第一步是清點每個環境中的所有雲端流程及其共用使用者,然後找出哪些流程與外部人員 (不是該環境成員的使用者) 共用。 Power Automate 流程可以透過兩種方式建立:正常 (非解決方案) 流程,或解決方案感知流程 (Dataverse 解決方案的一部分)。 兩者都存在於一個環境中,並且都需要審查。 以下部分描述了識別外部共用流程的方法。
Power Platform 系統管理中心 — GUI 方法
環境管理員可以使用 Power Platform 系統管理中心進行視覺化稽核。
在 Power Platform 系統管理中心,選擇管理>環境> (您的環境) >資源>流程。
A 列出環境中的所有流程,並顯示擁有者資料欄。
對於每個流程,檢查擁有者。 如果流程有多個擁有者 (建立者加上共同擁有者),則它是共用的。 將這些擁有者與已知的環境成員進行比較。 例如,比較該環境的安全性群組或使用者清單。
當擁有者或共同擁有者不是預期的環境成員時,標誌就會流動。 例如,如果部門 A 的環境應該只包含來自部門 A 的使用者,但您看到來自部門 B 的共同擁有者,則該流程與外部人員共用。 您可能需要選擇擁有者的名稱來查看詳細資訊,或與您環境的使用者目錄進行交叉參考。
Power Platform 系統管理中心的優點 — GUI 方法
Power Platform 系統管理中心提供了使用者友好的介面,並允許按名稱或擁有者篩選和排序流程。 如果您知道哪些團隊和使用者屬於該環境,您就可以快速發現明顯的不匹配。
Power Platform 系統管理中心的缺點 — GUI 方法
此方法是手動的,並且對於許多流程而言不能很好地擴展。 您必須單獨驗證擁有者,這對於大型環境來說可能非常耗時。 直接從使用者介面交叉檢查環境成員資格可能會很困難。
PowerShell 命令碼-自動化方法
為了進行系統化且可重複的稽核,Power Automate 提供了管理 PowerShell cmdlet 來列出流程及其擁有者。 這種方法對於跨大型環境或整個租用戶的大量分析非常有用。 您可以編寫命令碼來輸出所有流程並醒目顯示外部共用。
例如,此命令碼使用 Get-AdminFlow 擷取所有流程,然後使用 Get-AdminFlowOwnerRole 為每個流程列出其擁有者及其角色。 輸出列出了每個流程名稱和 Owner: [User]、Role: [Owner/Co-owner] 的項目符號。 您可以將此輸出重新導向到檔案或進一步處理它。
接下來,確定外部共用:將每個擁有者的使用者主體名稱 (UPN) 與環境成員使用者集進行比較。 任何 UPN 不在環境的使用者清單或安全性群組中的擁有者,都表示為外部共用。 在實踐中,您可能會:
- 從上一個命令碼和環境使用者清單中匯出流程擁有者清單,然後使用 Excel 或命令碼查閱差異,或者
- 增強 PowerShell 命令碼以透過
Get-AdminEnvironmentUser與環境使用者進行交叉檢查。
PowerShell 命令碼的優點 - 自動化方法
該方法自動化且全面。 它可以快速列舉數百或數千個流程,並且可以編寫命令碼進行報告。 您可以按照每月等計劃執行它,以發現新的外部共用。
PowerShell 命令碼的缺點—自動化方法
需要熟悉 PowerShell 和管理員權限。 此外,原始輸出顯示 UPN 和物件 ID。 您需要解釋哪些是在環境之外,並且需要進行一些分析。 但是,如果您知道環境的使用者網域或有環境成員清單,那麼這很簡單。
卓越中心 (CoE) 套件 - 儀表板方法
如果您的組織使用 Power Platform 卓越中心入門套件,它會提供包含共用指標的 Power BI 儀表板和報表。 CoE 的流程清單可以醒目顯示具有來賓擁有者或環境正常安全性群組以外的擁有者的流程。 例如,CoE 儀表板可能有一份關於具有多個擁有者的流程或與來賓使用者共用的流程的報告。 您可以利用這些見解來尋找共用異常的流程。
卓越中心 (CoE) 套件的優點-儀表板方法
集中式、視覺化的報告可能已經匯總了環境資料。 如果有 CoE,則無需額外的命令碼。 它可以自動標記不合規的模式。
卓越中心 (CoE) 套件的缺點—儀表板方法
需要部署 CoE Starter Kit 並保持最新。 資料可能不是即時的 (通常按計劃重新整理)。 此外,設定自訂篩選器 (如識別外部網域使用者) 可能需要調整 CoE 元件。
鑑別方法比較
| 方法 | 工具/方法 | 優點 | 缺點 |
|---|---|---|---|
| 系統管理中心 (GUI) | Power Platform 系統管理中心網頁介面:直觀地檢查流程和擁有者。 | 簡單、使用者友善的介面。 立即深入解析少量流程。 | 手動驗證,不適用於大型環境。 沒有內建擁有者與環境成員資格的交叉參考。 |
| PowerShell 指令碼 | 管理員 PowerShell cmdlet (Get-AdminFlow、Get-AdminFlowOwnerRole)。 |
自動批次輸出流程和擁有者。 可以安排並將結果匯出為 CSV 或其他格式。 如果知道環境使用者清單,則準確度很高。 | 需要 PowerShell 知識。 必須分別識別哪些擁有者是外部的。 需要命令碼或後製。 |
| CoE 套件 (儀表板) | Power BI 儀表板和 CoE 流程。 | 如果安裝了 CoE,則已經可用。 可以在集中報告中醒目顯示不尋常的共用,例如外部或來賓擁有者。 | 需要 CoE 部署和維護。 資料重新整理存在滯後 (不是即時的)。 可能需要自訂來精確定位特定的外部使用者。 |
使用上表中的一個方法或多個方法的組合,編制具有外部共用使用者的流程清單。 這些都是原則變更前需要注意的受影響的流程。 在許多組織中,這可能是可管理的流程子集,例如,只有少數跨部門流程或與合作夥伴的來賓帳戶共用的流程。 在其他情況下,尤其是具有開放共用實踐的租用戶,可能會有大量的流程需要處理,因此越早識別越好。
調整受影響流程的共用和存取
一旦您確定與其環境之外的使用者共用的流程,下一步就是修復每個流程的共用設定。 目標是確保每個需要存取流程的使用者都被正確地新增到環境中 (或以其他方式修改流程的存取權限)。 這樣做是為了當新的強制措施生效時,沒有人會失去功能。 以下部分說明如何進行調整。
評估每個外部共用的必要性
對於每個標記的流程,與流程的擁有者或相關業務團隊討論為什麼要對外共用該流程。 這個背景對於決定修復很重要。 以下清單描述了常見的情境和操作。
- 情境 1:新增使用者作為共同擁有者只是為了執行流程或查看輸出:在許多情況下,擁有者將外部使用者新增為擁有者,而該人所需要的只是觸發或使用流程 (而不是編輯它)。 例如,擁有者可以新增幫助台 Agent 作為流程的共同擁有者,以便他們可以手動觸發該流程。 在這種情況下,使用者可能不需要完全的擁有者權限。
- 操作:在確保他們具有環境存取權限後,將他們從擁有者清單中刪除,並以僅執行使用者的身分與他們共用流程 (如果適用)。 這提供了執行流程所需的能力,而無需讓他們成為擁有者。 如需進一步了解,請參閱本文中的為環境新增必要的使用者一節。
- 情境 2:使用者真正協作建構或維護流程:例如,兩個部門共同開發一個流程,因此部門 B 的使用者成為部門 A 環境中的共同擁有者。
- 操作:將該使用者以擁有者的身分正確納入環境並賦予其適當的角色,或者如果多個組織單位應共同擁有該流程,則考慮將流程移至中立環境。 在短期內,將使用者新增至環境的允許使用者清單並賦予他們適當的角色 (如果他們需要編輯權限,則為環境製作者) 可以解決存取問題。
- 情境 3:不再需要共用:有時使用者會被暫時新增或離開專案。
- 操作:從流程的共用中刪除外部使用者。 這是適用時最簡單的修復方法。 如果環境之外沒有人需要該流程,則取消與他們共用。 然後流程就會合規,並且只剩下內部擁有者。
- 情境 4:跨租用戶或來賓使用者共用:例如,與來賓 (外部租用戶) 帳戶共用流程。 執行後即被封殺。
- 動作:確定該來賓是否絕對需要存取權限。 如果是,一種選擇是將該來賓正式新增為您的租用戶中的 Azure AD 來賓,並將其新增至環境的安全性群組。 這使他們成為環境成員。 這很罕見。 或者,努力將所有權轉移給可以代表訪客行事的內部使用者,或使用不同的機制,例如透過安全的 HTTP 觸發程序而不是直接共用來公開流程。 我們建議刪除直接來賓分享,因為即使新增為環境成員,也可能會出現跨租用戶問題。
將必要的使用者加入環境中
對於每個應該繼續存取流程的使用者,請確保他們是該環境的成員。 這通常代表:
如果環境使用安全性群組:將使用者的帳戶新增至該 Azure AD 安全性群組。 除非另有設定,否則這將授予他們環境中的預設基本使用者角色。 對於只需要執行流程而不需要建立和編輯的人來說,基本使用者角色通常就足夠了。 新增後,驗證使用者現在是否出現在 Power Platform 系統管理中心的環境使用者清單中。
如果它是租用戶預設環境,對所有使用者開放:大多數授權使用者已經在其中。 確保使用者擁有 Power Automate 授權。 此強制措施主要影響會員資格受限的非預設環境。
環境製作者與基本使用者:除非該人真正需要在該環境中建置和編輯流程,否則不要授予環境製作者權限。 在我們的修復中,我們更喜歡只提供基本使用者或自訂最小角色,以允許執行共用流程。 對於僅執行存取,基本使用者就足夠了 - 使用者不需要成為 Maker。 限制 Maker 角色是一種治理最佳做法,我們將在下一節中詳細討論。
調整流程的共用設定
現在使用者是環境成員,調整與他們分享流程的方式。
如果使用者只需要執行流程:使用僅執行共用。 在 Power Automate 中,開啟流程的共用設定。 從擁有者清單中刪除使用者,然後在僅執行使用者部分中新增他們的名稱。 對於手動觸發的流程 (如按鈕流程和即時流程) 或使用可共用連結觸發的流程,這可確保人員無需成為擁有者即可觸發流程。 他們無法編輯或顯示流程的內部內容,而只能執行它。 結果是使用者仍然在擁有者清單之外,因此不存在環境衝突,但可以按預期使用流程的功能。
例如:行銷部門的鮑伯 (Bob) 是銷售部門潛在客戶處理流程的共同所有人,他只是定期啟動流程。 我們將 Bob 從共同擁有者 smf 中刪除,並將 Bob 新增為僅執行使用者。 Bob 也被加入到銷售環境中作為基本使用者。 現在,Bob 可以選擇流程的按鈕或接收其連結來執行它,但他不再是外部擁有者 - 他是該環境的授權基本使用者。
如果使用者需要完全擁有者權限 (共同製作):將其新增至環境後,請確保他們在流程中仍然列為擁有者。 從技術上講,您可以刪除並重新新增它們以重新整理權限。 但一旦它們進入環境,共用就是合法的。 如果來自不同地區的兩個擁有者長期維護該流程,您可能還會考慮將其轉移到解決方案中。 如果需要,解決方案流程可以更輕鬆地傳輸到專用環境。 無論如何,請仔細檢查他們是否出現在擁有者下,以及他們的角色是否在流程詳細資訊中可以編輯 (擁有者)。
刪除任何冗餘或未經授權的共用:在此過程中,藉此機會進行清理。 如果只是為了以防萬一而新增了某人,但從未使用過該流程,請將其刪除。 最小特殊權限原則有助於減少監督。 確保每個流程的擁有者清單僅限於真正需要設計和編輯存取權限的人員。
向受影響的使用者傳達變更
如果您要刪除某人的存取權限或改變他們呼叫流程的方式,請告知他們。 從使用者的角度來看,僅執行存取執行流程可能會略有不同。 他們可能會獲得共用連結或在 Team Flows 而不是 My Flows 中看到流程。 解釋「為了符合新的 Power Automate 原則,我們更新了流程 X 的共用方法。您可以繼續使用方法 Y 執行它,但它不再顯示在您的直接所有權下。」這可以避免混淆。
驗證調整後狀態
進行變更後,請使用 PowerShell 或 Power Platform 系統管理中心仔細檢查是否沒有流程保留給外部擁有者。 例如,再次執行識別命令碼並確認它不再標記這些流程。 透過刪除或適當的環境成員資格來解決每個標記的執行個體。
透過執行這些調整,您可以確保當 Microsoft 切換開關時,這些流程能夠繼續為目標使用者執行。 系統不會顯示錯誤提示 you do not have access to this flow,而是顯示使用者仍然擁有授權,因為他們現在是具有適當身分的環境成員。 本質上,您正在將您的共用實踐與平台的治理模式結合。