Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Från och med juni 2025 blir alla flöden som delas med en användare som inte är miljömedlem otillgängliga för den användaren. Den här viktiga ändringen kräver Power Automate att användarna måste vara medlemmar i en miljö för att få åtkomst till flöden i den miljön. Den här ändringen förbättrar säkerheten genom att framtvinga miljögränser. Det påverkar dock organisationer som har flöden som delas mellan olika miljöer, till exempel en flödesägare som lägger till någon utanför miljön som medägare eller användare med endast körbehörighet.
För att följa den nya principen måste Power Platform-administratörer identifiera flöden som delas med användare utanför deras miljö och justera flödenas delningsinställningar. Den här artikeln innehåller en strukturerad metod för att göra detta.
Den här artikeln hjälper dig att göra följande:
- Identifiera flöden som delas med externa användare (användare som inte finns i flödets miljö).
- Justera delning och åtkomst för dessa flöden för att säkerställa kontinuitet (lägg till exempel till rätt användare i miljöer och använd körningsåtkomst).
Den här artikeln gör det möjligt för Power Platform-administratörer att i förebyggande syfte åtgärda delningsproblem före verkställigheten i juni 2025. Det kan också hjälpa till att upprätta styrning för att hantera flödesdelning på ett säkert sätt framöver. För att illustrera viktiga punkter innehåller den här artikeln verkliga exempel och steg-för-steg-instruktioner.
Läs om bästa praxis för att hantera delade flöden i Dela ett molnflöde.
Identifiera flöden som delas med användare utanför deras miljö
Det första steget är att inventera alla molnflöden och deras delade användare i varje miljö och sedan fastställa vilka flöden som har delningar med utomstående det vill säga användare som inte är medlemmar i miljön. Power Automate-flöden kan skapas på två sätt: som normala flöden (icke-lösningsflöden) eller som lösningsmedvetna flöden (del av en Dataverse-lösning). Båda finns i en miljö och båda behöver granskas. I följande avsnitt beskrivs metoder för att identifiera externt delade flöden.
Power Platform-administratörscenter – GUI
Miljöadministratörer kan använda Power Platform administrationscentret för en visuell granskning.
I Power Platform administrationscentret väljer du Hantera>Miljöer > (din miljö) >Resurs>Flöden.
En lista över alla flöden i miljön visas tillsammans med kolumnen Ägare.
Inspektera ägarna för varje flöde. Om ett flöde har flera ägare (skapare plus medägare) delas det. Jämför dessa ägare med kända medlemmar i miljön. Du kan till exempel jämföra säkerhetsgruppen eller användarlistan för den miljön.
Flagga flöden där det finns en ägare eller medägare som inte är en förväntad miljömedlem. Om till exempel Avdelning A:s miljö bara ska innehålla användare från Avdelning A, men du ser en medägare från Avdelning B, delas det flödet med en utomstående. Du kan behöva välja en ägares namn för att visa information eller korsreferera med din miljös användarkatalog.
Fördelar med Power Platform-administratörscenter – GUI
Power Platform-administrationscentret har ett användarvänligt gränssnitt och gör det möjligt att filtrera och sortera flöden efter namn eller ägare. Du kan snabbt upptäcka uppenbara matchningsfel om du vet vilka team och användare som hör hemma i miljön.
Nackdelar med Power Platform-administratörscenter – GUI
Den här metoden är manuell och skalas inte bra för många flöden. Du måste verifiera ägarna individuellt, vilket kan vara tidskrävande för stora miljöer. Det kan vara svårt att dubbelkontrollera miljömedlemskap direkt från användargränssnittet.
PowerShell-skriptet – automatiserad metod
För en systematisk och repeterbar granskning Power Automate erbjuder administrativa PowerShell-cmdlets för att lista flöden och deras ägare. Den här metoden är kraftfull för massanalys i stora miljöer eller hela klientorganisationer. Du kan skripta processen för att mata ut alla flöden och markera externa delningar.
Det här skriptet använder Get-AdminFlow till exempel för att hämta alla flöden och sedan Get-AdminFlowOwnerRole för varje flöde för att lista dess ägare och deras roller. Utdata visar varje flödesnamn och en punktlista med Owner: [User], Role: [Owner/Co-owner]. Du kan omdirigera dessa utdata till en fil eller bearbeta dem ytterligare.
Fastställ sedan externa delningar: Jämför varje ägares UPN (User Principal Name) med den uppsättning användare som är medlemmar i miljön. En extern delning indikeras av alla ägare vars UPN inte finns i miljöns användarlista eller säkerhetsgrupp. I praktiken kan du:
- Exportera listan över flödesägare från föregående skript och miljöanvändarlistan och använd sedan Excel eller ett skript för att hitta skillnader, eller
- Förbättra skriptet PowerShell för att dubbelkontrollera mot miljöanvändare genom
Get-AdminEnvironmentUser.
Fördelar med PowerShell-skriptet – automatiserad metod
Denna metod är automatiserad och heltäckande. Den kan snabbt lista hundratals eller tusentals flöden och kan skriptas för rapportering. Du kan köra den enligt ett schema, till exempel varje månad, för att upptäcka nya externa delningar.
Nackdelar med PowerShell skript – automatiserad metod
Kräver kännedom om PowerShell och administratörsbehörighet. Råutdata visar också UPN:er och objekt-ID:n. Du måste tolka vilka som finns utanför miljön och kräva viss analys. Detta är dock enkelt om du känner till din miljös användardomän eller har en lista över miljömedlemmar.
Verktygslåda för Center of Excellence (CoE) – instrumentpanelsmetod
Om din organisation använder Power Platform startpaket för Center of Excellence innehåller Power BI instrumentpaneler och rapporter som innehåller mått för delning. CoE:s inventering av flöden kan markera flöden som har gästägare eller ägare utanför miljöns normala säkerhetsgrupp. CoE-instrumentpanelen kan till exempel ha en rapport över flöden med flera ägare eller flöden som delas med gästanvändare. Du kan använda dessa insikter för att hitta flöden med onormal delning.
Fördelar med Center of Excellence (CoE) Toolkit – instrumentpanelsmetod
Centraliserad, visuell rapportering som kanske redan aggregerar miljödata. Ingen extra skriptning om CoE är på plats. Den kan flagga icke-kompatibla mönster automatiskt.
Nackdelar med Center of Excellence (CoE) Toolkit – instrumentpanelsmetod
Kräver att startpaketet för CoE distribueras och hålls uppdaterat. Data kanske inte är i realtid (vanligtvis uppdateras de enligt ett schema). Om du ställer in anpassade filter, som att identifiera externa domänanvändare, kan du också behöva justera CoE-komponenterna.
Jämförelse av identifieringsmetoder
| Metod | Verktyg/tillvägagångssätt | Fördelar | Nackdelar |
|---|---|---|---|
| Administratörscenter (GUI) | Power Platform webbgränssnitt för administrationscenter: Kontrollera flöden och ägare visuellt. | Enkelt, användarvänligt gränssnitt. Omedelbar insikt för ett litet antal flöden. | Manuell verifiering, inte skalbar för stora miljöer. Ingen inbyggd korsreferens mellan ägare och miljömedlemskap. |
| PowerShell-skript | Admin PowerShell cmdletar (Get-AdminFlow, Get-AdminFlowOwnerRole). |
Automatiserad massutmatning av flöden och ägare. Kan schemaläggas och resultat exporteras till CSV eller andra format. Hög noggrannhet om miljöanvändarlistan är känd. | Kräver PowerShell-kunskap. Måste separat identifiera vilka ägare som är externa. Behöver skript eller efterbearbetning. |
| CoE-verktyg (instrumentpanel) | Power BI instrumentpaneler och CoE-flöden. | Redan tillgängligt om CoE är installerat. Kan markera ovanlig delning, till exempel externa ägare eller gästägare, i en centraliserad rapport. | Kräver distribution och underhåll av CoE. Det finns en fördröjning för datauppdatering (inte i realtid). Kan behöva anpassas för att hitta specifika externa användare. |
Använd en eller en kombination av metoderna i föregående tabell för att sammanställa en lista över flöden som har externa delade användare. Det är dessa flöden som behöver åtgärdas innan policyändringen. I många organisationer kan detta vara en hanterbar delmängd av flöden, till exempel bara några få flöden mellan avdelningar eller flöden som delas med en partners gästkonto. I andra, särskilt klienter med öppna delningsmetoder, kan det finnas ett stort antal flöden att hantera, så ju tidigare du identifierar dem desto bättre.
Justera delning och åtkomst för berörda flöden
När du har identifierat flöden som delas med användare utanför deras miljö är nästa steg att åtgärda varje flödes delningskonfiguration. Målet är att se till att alla användare som behöver åtkomst till ett flöde läggs till korrekt i miljön (eller att flödets åtkomst ändras på annat sätt). Gör detta så att ingen förlorar funktioner när den nya tillämpningen startar. I följande avsnitt beskrivs hur du går tillväga för justeringar.
Utvärdera behovet av varje extern delning
För varje flaggat flöde diskuterar du med flödets ägare eller relevant affärsteam varför det delades externt. Den här kontexten är viktig för att bestämma korrigeringen. I följande lista beskrivs vanliga scenarier och åtgärder.
- Scenario 1: Användaren lades till som medägare bara för att köra flödet eller se utdata: I många fall lade ägarna till en extern användare som ägare när allt den personen behövde var att utlösa eller använda flödet (inte redigera det). Ägaren kan till exempel lägga till en supporthandläggare som medägare till ett flöde så att de kan utlösa det manuellt. I sådana fall behöver användaren förmodligen inte fullständiga ägarrättigheter.
- Åtgärd: Ta bort dem från Ägarlistan och dela i stället flödet med dem som en användare med endast körbehörighet (om tillämpligt), efter att ha säkerställt att de har åtkomst till miljön. Detta ger den funktion som behövs för att köra flödet utan att göra dem till ägare. Läs mer i avsnittet Lägga till nödvändiga användare i miljön i den här artikeln.
- Scenario 2: Användaren samarbetar verkligen för att skapa eller underhålla flödet: Till exempel utvecklar två avdelningar tillsammans ett flöde, så att en användare från avdelning B gjordes till delägare i avdelning A:s miljö.
- Åtgärd: Introducera användaren i miljön som ägare på rätt sätt med lämplig roll, eller överväg att flytta flödet till en neutral miljö om flera organisationsenheter ska samäga den. På kort sikt löser du åtkomstproblem genom att lägga till användaren i miljöns lista över tillåtna användare och ge dem en lämplig roll (miljöskapare om de behöver redigeringsrättigheter).
- Scenario 3: Resursen behövs inte längre: Ibland har användare lagts till tillfälligt eller lämnat projektet.
- Åtgärd: Ta bort den externa användaren från flödets delning. Det här är den enklaste korrigeringen när det är tillämpligt. Om ingen utanför miljön behöver flödet kan du sluta dela det med dem. Flödet är då efterlevande och endast interna ägare finns kvar.
- Scenario 4: Användardelning mellan klientorganisationer eller gästanvändare: Ett flöde har till exempel delats med ett gästkonto (extern klientorganisation). Detta blockeras efter verkställighet.
- Åtgärd: Ta reda på om gästen absolut behöver åtkomst. Om ja, är ett alternativ att officiellt lägga till gästen som Azure AD-gäst i din klientorganisation och i miljöns säkerhetsgrupp. Detta gör dem till en miljömedlem. Detta är sällsynt. Du kan också arbeta för att överföra ägarskapet till en intern användare som kan agera för gästens räkning, eller använda en annan mekanism, till exempel exponera flödet via en säker HTTP-utlösare i stället för direkt delning. Vi rekommenderar att du tar bort direkta gästdelningar eftersom problem mellan klientorganisationer kan uppstå även om de läggs till som miljömedlem.
Lägga till nödvändiga användare i miljön
För varje användare som ska fortsätta att ha åtkomst till flödet kontrollerar du att de är medlemmar i miljön framöver. Detta innebär vanligtvis:
Om miljön använder en säkerhetsgrupp: Lägg till användarens konto i Azure AD säkerhetsgruppen. Detta ger dem standardrollen Grundläggande användare i miljön om inget annat konfigureras. Rollen Grundläggande användare räcker vanligtvis för någon som bara behöver köra flöden och inte skapa och redigera. När du har lagt till kontrollerar du att användaren nu visas i miljöns användarlista i Power Platform administrationscentret.
Om det är klientorganisationens standardmiljö, som är öppen för alla användare: De flesta licensierade användare finns redan i den. Se till att användaren har en Power Automate-licens. Tillämpningen påverkar främst icke-standardmiljöer med begränsat medlemskap.
Miljöskapare jämfört med grundläggande användare: Bevilja inte miljöskapare om inte personen verkligen behöver skapa och redigera flöden i den miljön. I våra korrigeringar föredrar vi att bara ge grundläggande användaren eller en anpassad minimal roll, vilket gör det möjligt att köra delade flöden. För åtkomst som endast körs räcker det med Basic-användare – användaren behöver inte vara en Maker. Att begränsa utvecklarroller är bästa praxis för styrning, vilket beskrivs mer i följande avsnitt.
Justera flödets delningsinställningar
När användaren nu är miljömedlem kan du justera hur flödet delas med dem.
Om användaren bara behöver köra flödet: Använd delning för enbart körning. I Power Automate öppna flödets delningsinställningar. Ta bort användaren från listan Ägare och lägg till deras namn i Kör endast användare. För manuellt utlösta flöden som knappflöden och direktflöden, eller flöden som utlöses med delningsbara länkar, säkerställer detta att personen kan utlösa flödet utan att vara ägare. De kan inte redigera eller visa flödets interna delar och kan bara köra det. Resultatet är att användaren förblir utanför ägarlistan så att det inte finns någon miljökonflikt, men kan använda flödets funktioner som avsett.
Exempel: Bob i Marketing var delägare i flödet Säljleadprocessor-flödet bara för att starta det periodvis. Vi tar bort Bob som medägare och lägger till Bob som en användare som endast kan köra. Bob läggs också till i Sales-miljön som en Basic-användare. Nu kan Bob välja flödets knapp eller ta emot dess länk för att köra det, men han är inte längre en extern ägare – han är en auktoriserad Grundläggande användare av den miljön.
Om användaren behöver fullständig ägarbehörighet (samtidig redigering): När du har lagt till dem i miljön ska du se till att de förblir listade som ägare i flödet. Tekniskt sett kan du ta bort och lägga till dem igen för att uppdatera behörigheter. Men när de väl är i miljön är delningen legitim. Du kan också överväga att flytta flödet till en lösning om två ägare från olika områden underhåller det på lång sikt. Lösningsflöden är enklare att transportera till en dedikerad miljö om det behövs. I vilket fall som helst ska du dubbelkolla att de visas under Ägare och att deras roll är Kan redigera (ägare) i flödets information.
Ta bort överflödiga eller obehöriga delningar: Passa på att rensa under den här processen. Om någon har lagts till för säkerhets skull, men aldrig använder flödet, tar du bort dem. Principen om lägsta behörighet bidrar till att minska felaktigheter. Se till att varje flödes ägarlista är begränsad till dem som verkligen behöver design- och redigeringsåtkomst.
Meddela ändringarna till berörda användare
Om du tar bort någons åtkomst eller ändrar hur de anropar ett flöde ska du meddela dem. Från användarens perspektiv kan det vara något annorlunda att köra ett flöde via köråtkomst. De kan få en delningslänk eller se flödet i Teamflöden i stället för Mina flöden. Förklara att "För att följa nya Power Automate-policyer har vi uppdaterat delningsmetoden för Flöde X. Du kan fortsätta att köra den med metod Y, men den visas inte längre under ditt direkta ägarskap." Detta förhindrar förvirring.
Kontrollera status efter justering
När du har gjort ändringar använder du PowerShell eller Power Platform administrationscenter för att dubbelkontrollera att inga flöden finns kvar hos externa ägare. Kör till exempel identifieringsskriptet igen och bekräfta att det inte längre flaggar dessa flöden. Lös varje flaggad instans genom att antingen ta bort eller välja rätt miljömedlemskap.
Genom att utföra dessa justeringar ser du till att flödena fortsätter att köras för de avsedda användarna när Microsoft växlar. I stället för ett felmeddelande med you do not have access to this flow förblir användaren behörig eftersom de nu är miljömedlem i lämplig kapacitet. I grund och botten anpassar du dina delningsmetoder till plattformens styrningsmodell.