Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ab Juni 2025 wird jeder Flow, der mit einem Benutzer geteilt wird, der kein Mitglied der Umgebung ist, für diesen Benutzer unzugänglich. Diese wichtige Änderung für Power Automate erfordert, dass Benutzer Mitglieder einer Umgebung sein müssen, um auf Flows in dieser Umgebung zugreifen zu können. Diese Änderung erhöht die Sicherheit, da Umgebungsgrenzen erzwungen werden. Es wirkt sich jedoch auf Organisationen aus, deren Flows in verschiedenen Umgebungen gemeinsam genutzt werden, z. B. wenn ein Flowbesitzer eine Person außerhalb der Umgebung als Mitbesitzer oder Nur-Ausführen-Benutzer hinzufügt.
Um der neuen Richtlinie zu entsprechen, müssen Power Platform Administratoren Flows identifizieren, die mit Benutzern außerhalb ihrer Umgebung geteilt werden, und die Freigabeeinstellungen dieser Flows anpassen. Dieser Artikel bietet dazu einen strukturierten Ansatz.
Dieser Artikel unterstützt Sie bei Folgendem:
- Identifizieren Sie Flows, die für externe Benutzer freigegeben wurden (Benutzer, die sich nicht in der Umgebung des Flows befinden).
- Passen Sie die Freigabe und den Zugriff für diese Flows an, um die Kontinuität sicherzustellen (fügen Sie z. B. den richtigen Benutzer zu Umgebungen hinzu und verwenden Sie den Nur-Ausführungszugriff).
Dieser Artikel ermöglicht es Power Platform Administratoren, Freigabeprobleme vor der Durchsetzung im Juni 2025 präventiv anzugehen. Es kann auch dazu beitragen, Governance einzurichten, um die Flow-Freigabe in Zukunft sicher zu verwalten. Um die wichtigsten Punkte zu veranschaulichen, enthält dieser Artikel reale Beispiele und Schritt-für-Schritt-Anleitungen.
Best Practices für die Verwaltung freigegebener Flows finden Sie unter Freigeben eines Cloud-Flows.
Flows identifizieren, die für Benutzer außerhalb ihrer Umgebung freigegeben wurden
Der erste Schritt besteht darin, alle Cloud-Flows und ihre gemeinsamen Benutzer in jeder Umgebung zu inventarisieren und dann zu ermitteln, welche Flows Freigaben für Außenstehende haben, d. h. für Benutzer, die keine Mitglieder dieser Umgebung sind. Power Automate Flows können auf zwei Arten erstellt werden: als normale Flows (Nicht-Lösungs-Flows) oder als lösungsbewusste Flows (Teil einer Dataverse Lösung). Beide befinden sich in einer Umgebung und müssen überprüft werden. In den folgenden Abschnitten werden Methoden zum Identifizieren extern freigegebener Flows beschrieben.
Power Platform Admin Center—GUI-Methode
Umgebungsadministratoren können das Power Platform Admin Center für eine visuelle Überwachung verwenden.
Im Power Platform Admin Center wählen Sie Verwalten>Umgebungen > (Ihre Umgebung) >Ressourcen>Flows.
A listet alle Flows in der Umgebung auf, zusammen mit einer Spalte Besitzer.
Überprüfen Sie für jeden Flow die Besitzer. Wenn ein Flow mehrere Besitzer hat (Ersteller plus Mitbesitzer), wird er freigegeben. Vergleichen Sie diese Besitzer mit den bekannten Mitgliedern der Umgebung. Vergleichen Sie z. B. die Sicherheitsgruppe oder die Benutzerliste für diese Umgebung.
Kennzeichnen Sie Flows, bei denen ein Besitzer oder Mitbesitzer kein erwartetes Umgebungsmitglied ist. Wenn die Umgebung von Abteilung A beispielsweise nur Benutzer aus Abteilung A enthalten soll, Sie aber einen Mitbesitzer aus Abteilung B sehen, wird dieser Flow für einen Außenstehenden freigegeben. Möglicherweise müssen Sie den Namen eines Besitzers auswählen, um Details anzuzeigen oder einen Querverweis mit dem Benutzerverzeichnis Ihrer Umgebung herzustellen.
Vorteile der Power Platform Admin Center—GUI-Methode
Power Platform Admin Center bietet eine benutzerfreundliche Oberfläche und ermöglicht das Filtern und Sortieren von Flows nach Name oder Besitzer. Sie können offensichtliche Diskrepanzen schnell erkennen, wenn Sie wissen, welche Teams und Benutzer in die Umgebung gehören.
Nachteile der Power Platform Admin Center—GUI-Methode
Diese Methode ist manuell und lässt sich für viele Flows nicht gut skalieren. Sie müssen die Besitzer einzeln überprüfen, was bei großen Umgebungen zeitaufwändig sein kann. Es kann schwierig sein, die Umgebungsmitgliedschaft direkt über die Benutzeroberfläche zu überprüfen.
PowerShell Skript – automatisierte Methode
Für eine systematische und wiederholbare Überwachung bietet Power Automate administrative PowerShell-Cmdlets zum Auflisten von Flows und ihren Besitzern. Dieser Ansatz eignet sich hervorragend für Massenanalysen in großen Umgebungen oder ganzen Mandanten. Sie können ein Skript für den Prozess erstellen, um alle Flows auszugeben und externe Freigaben hervorzuheben.
Dieses Skript verwendet beispielsweise Get-AdminFlow, um alle Flows abzurufen und dann Get-AdminFlowOwnerRole für jeden Flow seine Besitzer und deren Rollen aufzulisten. Die Ausgabe listet jeden Flownamen und einen Aufzählungspunkt von Owner: [User], Role: [Owner/Co-owner] auf. Sie können diese Ausgabe in eine Datei umleiten oder weiterverarbeiten.
Bestimmen Sie als Nächstes externe Freigaben: Vergleichen Sie den Benutzerprinzipalnamen (User Principal Name, UPN) jedes Besitzers mit der Gruppe von Benutzern, die Mitglieder der Umgebung sind. Eine externe Freigabe wird von jedem Besitzer angegeben, dessen UPN nicht in der Benutzerliste oder Sicherheitsgruppe der Umgebung enthalten ist. In der Praxis können Sie:
- Exportieren Sie die Liste der Flowbesitzer aus dem vorherigen Skript und der Benutzerliste der Umgebung, und verwenden Sie dann Excel oder ein Skript, um Unterschiede zu finden, oder
- Verbessern Sie das PowerShell-Skript, um Umgebungsbenutzer
Get-AdminEnvironmentUserabzugleichen und zu überprüfen.
Vorteile des PowerShell-Skripts – automatisierte Methode
Diese Methode ist automatisiert und umfassend. Er kann Hunderte oder Tausende von Flows schnell auflisten und ist für die Berichterstellung skriptfähig. Sie können sie nach einem Zeitplan ausführen, z. B. monatlich, um neue externe Freigaben zu erkennen.
Nachteile des PowerShell-Skripts – automatisierte Methode
Erfordert Vertrautheit mit PowerShell und Administratorrechte. Außerdem zeigt die Rohausgabe UPNs und Objekt-IDs. Sie müssen interpretieren, welche sich außerhalb der Umgebung befinden und was eine Analyse erfordert. Dies ist jedoch einfach, wenn Sie die Benutzerdomäne Ihrer Umgebung kennen oder über eine Liste von Umgebungsmitgliedern verfügen.
Center of Excellence (CoE) Toolkit – Dashboard-Methode
Wenn Ihre Organisation das Power Platform Center of Excellence Starter Kit verwendet, stellt es Power BI Dashboards und Berichte bereit, die Freigabemetriken enthalten. Im Flow-Inventar des CoE können Flows hervorgehoben werden, die Gastbesitzer oder Besitzer außerhalb der normalen Sicherheitsgruppe der Umgebung haben. Das CoE-Dashboard könnte beispielsweise einen Bericht über Flows mit mehreren Besitzern oder Flows, die für Gastbenutzer freigegeben sind, enthalten. Sie können diese Erkenntnisse nutzen, um Flows mit abnormaler Freigabe zu finden.
Vorteile des Center of Excellence (CoE) Toolkit – Dashboard-Methode
Zentralisierte, visuelle Berichterstellung, die möglicherweise bereits Umgebungsdaten aggregiert Kein zusätzliches Scripting, wenn CoE vorhanden ist. Nicht konforme Muster können automatisch gekennzeichnet werden.
Nachteile des Center of Excellence (CoE) Toolkits – Dashboard-Methode
Erfordert, dass das CoE Starter Kit bereitgestellt und auf dem neuesten Stand gehalten wird. Die Daten sind möglicherweise nicht in Echtzeit verfügbar (in der Regel werden sie nach einem Zeitplan aktualisiert). Auch das Einrichten benutzerdefinierter Filter, wie z. B. das Identifizieren externer Domänenbenutzer, kann eine Anpassung der CoE-Komponenten erfordern.
Vergleich der Identifizierungsmethoden
| Methode | Tool/Ansatz | Vorteile | Nachteile |
|---|---|---|---|
| Administratorcenter (GUI) | Power Platform Admin Center-Weboberfläche: Überprüfen Sie Flows und Besitzer visuell. | Einfache, benutzerfreundliche Oberfläche. Sofortige Erkenntnisse für eine kleine Anzahl von Flows. | Manuelle Überprüfung, nicht skalierbar für große Umgebungen Kein integrierter Querverweis zwischen Besitzer- und Umgebungsmitgliedschaft. |
| PowerShell-Skript | Admin PowerShell cmdlets (Get-AdminFlow, Get-AdminFlowOwnerRole). |
Automatisierte Massenausgabe von Flows und Besitzern. Kann geplant werden und Ergebnisse in CSV oder andere Formate exportiert werden. Hohe Genauigkeit, wenn die Benutzerliste der Umgebung bekannt ist. | Erfordert PowerShell-Kenntnisse. Es muss separat angegeben werden, welche Besitzer extern sind. Skript oder Nachbearbeitung erforderlich. |
| CoE-Toolkit (Dashboard) | Power BI Dashboards und CoE-Flows. | Bereits verfügbar, wenn CoE installiert ist. Ungewöhnliche Freigaben, wie z. B. externe oder Gastbesitzer, können in einem zentralen Bericht hervorgehoben werden. | Erfordert Bereitstellung und Wartung. Es gibt eine Verzögerung bei der Datenaktualisierung (nicht in Echtzeit). Möglicherweise sind Anpassungen erforderlich, um bestimmte externe Benutzer zu lokalisieren. |
Kompilieren Sie mit einer oder einer Kombination der Methoden in der vorherigen Tabelle eine Liste von Flows, die Benutzer, die extern freigegeben sind, haben. Dies sind die betroffenen Flows, die vor der Änderung der Richtlinie Aufmerksamkeit erfordern. In vielen Organisationen kann dies eine überschaubare Teilmenge von Flows sein, z. B. nur wenige abteilungsübergreifende Flows oder Flows, die für das Gastkonto eines Partners freigegeben sind. In anderen, insbesondere bei Mandanten mit offenen Freigabepraktiken, kann es eine beträchtliche Anzahl von Flows geben, die verarbeitet werden müssen. Je früher Sie sie also identifizieren, desto besser.
Freigabe und Zugriff für betroffene Flows anpassen
Sobald Sie Flows identifiziert haben, die für Benutzer außerhalb ihrer Umgebung freigegeben sind, besteht der nächste Schritt darin, die Freigabekonfiguration der einzelnen Flows zu korrigieren. Damit soll sichergestellt werden, dass jeder Benutzer, der Zugriff auf einen Flow benötigt, ordnungsgemäß zur Umgebung hinzugefügt wird (oder der Zugriff des Flows anderweitig geändert wird). Tun Sie dies, damit niemand die Funktionalität verliert, wenn die neue Durchsetzung wirksam wird. In den folgenden Abschnitten wird beschrieben, wie Sie diese Anpassungen erreichen.
Bewerten Sie die Notwendigkeit jeder externen Freigabe
Besprechen Sie für jeden gekennzeichneten Flow mit dem Besitzer des Flows oder dem zuständigen Geschäftsteam, warum er extern freigegeben wurde. Dieser Kontext ist wichtig, um über die Lösung zu entscheiden. In der folgenden Liste werden allgemeine Szenarien und Aktionen beschrieben.
- Szenario 1: Der Benutzer wurde als Mitbesitzer hinzugefügt, nur um den Flow auszuführen oder Ausgaben anzuzeigen: In vielen Fällen haben Besitzer einen externen Benutzer als Besitzer hinzugefügt, obwohl diese Person den Flow nur auslösen oder verwenden (nicht bearbeiten) musste. Beispielsweise kann der Besitzer einen Helpdesk-Agenten als Mitbesitzer eines Flows hinzufügen, damit dieser manuell ausgelöst werden kann. In solchen Fällen benötigt der Benutzer wahrscheinlich keine vollständigen Besitzerrechte.
- Aktion: Entfernen Sie sie aus der Liste Besitzer, und geben Sie den Flow stattdessen als Nur-Ausführen-Benutzer (falls zutreffend) für sie frei, nachdem Sie sichergestellt haben, dass sie Zugriff auf die Umgebung haben. Dies bietet die erforderliche Funktionalität zum Ausführen des Flows, ohne dass die Person ein Eigentümer ist. Weitere Informationen finden Sie im Abschnitt Hinzufügen der erforderlichen Benutzer zur Umgebung in diesem Artikel.
- Szenario 2: Der Benutzer arbeitet wirklich an der Erstellung oder Wartung des Flows mit: Beispielsweise entwickeln zwei Abteilungen gemeinsam einen Flow, sodass ein Benutzer aus Abteilung B zum Miteigentümer in der Umgebung von Abteilung A gemacht wurde.
- Maßnahme: Nehmen Sie diesen Benutzer als ordnungsgemäßen Eigentümer mit entsprechender Rolle in die Umgebung auf, oder ziehen Sie in Betracht, den Flow in eine neutrale Umgebung zu verschieben, wenn mehrere Organisationseinheiten Miteigentümer des Flows sein sollen. Kurzfristig können Zugriffsprobleme behoben werden, indem der Benutzer zur Liste der zulässigen Benutzer der Umgebung hinzugefügt und ihm eine entsprechende Rolle zugewiesen wird (Umgebungsersteller, wenn er Bearbeitungsrechte benötigt).
- Szenario 3: Die Freigabe wird nicht mehr benötigt: Manchmal wurden Benutzer temporär hinzugefügt oder haben das Projekt verlassen.
- Aktion: Entfernen Sie den externen Benutzer aus der Freigabe des Flows. Dies ist die einfachste Lösung, falls zutreffend. Wenn niemand außerhalb der Umgebung den Flow benötigt, heben Sie die Freigabe für diese Person auf. Der Flow ist dann konform, und es verbleiben nur interne Besitzer.
- Szenario 4: Mandantenübergreifende oder Gastbenutzerfreigaben: Beispiel: Ein Flow wurde für ein Gastkonto (externer Mandant) freigegeben. Dies wird nach der Durchsetzung blockiert.
- Maßnahme: Ermitteln Sie, ob dieser Gast unbedingt Zugriff benötigt. Wenn ja, besteht eine Möglichkeit darin, diesen Gast offiziell als Azure AD Gast in Ihrem Mandanten und in der Sicherheitsgruppe der Umgebung hinzuzufügen. Dadurch werden sie zu einem Umgebungsmitglied. Dies ist jedoch selten. Alternativ können Sie darauf hinarbeiten, den Besitz an einen internen Benutzer übertragen zu lassen, der im Namen des Gastes handeln kann, oder einen anderen Mechanismus verwenden, z. B. den Flow über einen sicheren HTTP-Trigger bereitstellen, anstatt ihn direkt freizugeben. Wir empfehlen, direkte Gastfreigaben zu entfernen, da selbst wenn sie als Umgebungsmitglied hinzugefügt werden, mandantenübergreifende Probleme auftreten können.
Der Umgebung notwendige Benutzer hinzufügen
Stellen Sie für jeden Benutzer, der weiterhin Zugriff auf den Flow haben soll, sicher, dass er auch in Zukunft Mitglied der Umgebung ist. Das bedeutet in der Regel:
Wenn die Umgebung eine Sicherheitsgruppe verwendet: Fügen Sie das Konto des Benutzers zu dieser Azure AD Sicherheitsgruppe hinzu. Dadurch erhalten sie die standardmäßige Basic-Benutzerrolle in der Umgebung, sofern nicht anders konfiguriert. Die Rolle Basic-Benutzer reicht in der Regel für jemanden aus, der nur Flows ausführen und nicht erstellen und bearbeiten muss. Vergewissern Sie sich nach dem Hinzufügen, dass der Benutzer jetzt in der Benutzerliste der Umgebung im Power Platform Admin Center angezeigt wird.
Wenn es sich um die Standardumgebung des Mandanten handelt, die für alle Benutzer offen ist: Die meisten lizenzierten Benutzer sind bereits darin. Stellen Sie sicher, dass der Benutzer eine Power Automate Lizenz hat. Die Durchsetzung betrifft hauptsächlich nicht standardmäßige Umgebungen mit eingeschränkter Mitgliedschaft.
Umgebungsersteller im Vergleich zu Basic-Benutzer: Gewähren Sie Umgebungsersteller nur, wenn die Person wirklich Flows in dieser Umgebung erstellen und bearbeiten muss. Bei unseren Korrekturen bevorzugen wir es, nur den Basic-Benutzer oder eine benutzerdefinierte Minimalrolle zu geben, die das Ausführen freigegebener Flows ermöglicht. Für den Nur-Ausführen-Zugriff ist der Basic-Benutzer ausreichend – der Benutzer muss kein Ersteller sein. Das Einschränken der Entwicklerrollen ist eine bewährte Governancemethode, auf die im folgenden Abschnitt näher eingegangen wird.
Freigabeeinstellungen des Flows anpassen
Wenn der Benutzer nun Umgebungsmitglied ist, können Sie die Freigabe des Flows für ihn anpassen.
Wenn der Benutzer nur den Flow ausführen muss: Verwenden Sie die Nur-Ausführen-Freigabe. In Power Automate öffnen Sie in den Freigabeeinstellungen des Flows. Entfernen Sie den Benutzer aus der Liste Besitzer und fügen Sie im Abschnitt Nur-Ausführen-Benutzer seinen Namen hinzu. Bei manuell ausgelösten Flows wie Schaltflächenflows und Direktflows oder bei Flows, die mit gemeinsam nutzbaren Links ausgelöst werden, wird so sichergestellt, dass die Person den Flow auslösen kann, ohne Besitzer zu sein. Sie können die Interna des Flows nicht bearbeiten oder anzeigen und ihn nur ausführen. Das Ergebnis ist, dass der Benutzer außerhalb der Besitzerliste bleibt, sodass kein Umgebungskonflikt auftritt, er aber die Funktionen des Flows wie vorgesehen verwenden kann.
Beispiel: Bob im Marketing war Mitbesitzer des Vetriebsflows Lead-Prozessor nur um ihn regelmäßig zu starten. Wir entfernen Bob als Mitbesitzer und fügen Bob als Nur-Ausführen-Benutzer hinzu. Bob wird auch der Sales-Umgebung als Basic-Benutzer hinzugefügt. Jetzt kann Bob die Schaltfläche des Flows auswählen oder den zugehörigen Link zum Ausführen empfangen, aber er ist kein externer Besitzer mehr, sondern ein autorisierter Basic-Benutzer dieser Umgebung.
Wenn der Benutzer vollständige Besitzerberechtigungen (Co-Autorenschaft) benötigt: Stellen Sie nach dem Hinzufügen zur Umgebung sicher, dass er im Flow als Besitzer aufgeführt bleibt. Technisch gesehen können Sie sie entfernen und erneut hinzufügen, um Berechtigungen zu aktualisieren. Aber sobald sie in der Umgebung sind, ist die Freigabe legitim. Sie können auch erwägen, den Flow in eine Lösung zu verschieben, wenn zwei Besitzer aus verschiedenen Bereichen ihn langfristig pflegen. Lösungsflows lassen sich bei Bedarf einfacher in eine dedizierte Umgebung transportieren. Überprüfen Sie in jedem Fall, ob sie unter Besitzer angezeigt werden und ihre Rolle in den Details des Flows Kann bearbeiten (Besitzer) lautet.
Entfernen Sie alle redundanten oder nicht autorisierten Freigaben: Nutzen Sie während dieses Prozesses die Gelegenheit, um aufzuräumen. Wenn jemand für den Fall der Fälle hinzugefügt wurde, den Flow aber nie verwendet, entfernen Sie ihn. Das Prinzip der geringsten Privilegien trägt dazu bei, die Überwachung zu reduzieren. Stellen Sie sicher, dass die Liste der Besitzer jedes Flows auf diejenigen beschränkt ist, die wirklich Zugriff auf Design und Bearbeitung benötigen.
Teilen Sie den betroffenen Benutzern Änderungen mit
Wenn Sie jemandem den Zugriff entziehen oder die Art und Weise ändern, wie er einen Flow aufruft, teilen Sie dies dieser Person mit. Aus der Benutzerperspektive kann die Ausführung eines Flows über den Nur-Ausführen-Zugriff etwas anders aussehen. Möglicherweise erhalten sie einen Freigabe-Link oder sehen den Flow in Team-Flows statt in Meine Flows. Erklären Sie: Um den neuen Power Automate Richtlinien zu entsprechen, haben wir die Freigabemethode für Flow X aktualisiert. Sie können es weiterhin mit Methode Y ausführen, aber es wird nicht mehr in Ihrem direkten Besitz angezeigt. Das beugt Verwechslungen vor.
Überprüfen Sie den Status nach der Anpassung
Nachdem Sie Änderungen vorgenommen haben, verwenden Sie PowerShell oder Power Platform das Admin Center, um zu überprüfen, ob keine Flows bei externen Besitzern verbleiben. Führen Sie beispielsweise das Identifizierungsskript erneut aus, und vergewissern Sie sich, dass diese Flows nicht mehr gekennzeichnet werden. Lösen Sie jede gekennzeichnete Instanz entweder durch Entfernen oder durch ordnungsgemäße Mitgliedschaft in der Umgebung auf.
Durch diese Anpassungen stellen Sie sicher, dass diese Flows weiterhin für die beabsichtigten Benutzer ausgeführt werden, wenn Microsoft den Schalter umlegt. Anstelle einer Fehlermeldung you do not have access to this flow bleibt der Benutzer autorisiert, da er jetzt in der entsprechenden Funktion Mitglied der Umgebung ist. Im Wesentlichen richten Sie Ihre Freigabepraktiken am Governance-Modell der Plattform aus.