雲端流程共用和權限指南 - Power Automate

管理 Power Automate 環境中的權限和角色

管理誰可以建立、編輯或僅限執行流程對於維護安全有序的 Power Automate 環境至關重要。 Power Automate 的安全性模型在多個權限層級上執行：

環境級角色 (例如環境管理員和環境製作者)：管理使用者在指定環境中管理或建立資源的能力。 Dataverse 資訊安全角色 (如果環境有 Dataverse 資料庫)：如基本使用者、系統自訂員等，控制對資料和實體的存取。例如，使用者通常至少需要基本使用者角色才能執行使用 Dataverse 資料的應用程式或流程。 流程級權限 ：在單一流程上共用設定，使其他使用者成為共同擁有者 (具有編輯權限) 或僅限執行使用者。

環境角色與安全

在每個環境中，只有具有適當角色的使用者才能建立或管理資源。

環境管理員 ：對環境有完全的管理控制權。環境管理員可以管理所有資源，包括查看所有流程、新增和刪除使用者以及設定原則。在沒有 Dataverse 的環境中，僅此角色可以執行管理任務。在啟用 Dataverse 的環境中，Dataverse 中的系統管理員角色對資料動作有類似的用途。

環境製作者 ：此角色允許使用者在環境中建立新資源，如流程、應用程式和連線。環境製作者角色不授予對 Dataverse 中現有資料的存取權限 - 它僅授予建置和共用成品的能力。 Microsoft 遵循預先定義角色的最小權限模型：環境製作者俱有建立應用程式/流程所需的最小存取權限，而不會暴露他們無權顯示的資料。製作者可以根據需要與組織中的其他人共用他們建立的應用程式/流程，但除非獲得額外的 Dataverse 角色，否則他們無法提升自己的權限來讀取資料。

環境使用者 (基本使用者) ：在 Dataverse 支援的環境中，必須為一般終端使用者授予基本使用者資訊安全角色 (有時稱為 Common Data Service 使用者) 才能執行應用程式或利用與 Dataverse 資料互動的流程。預設情況下，將使用者新增至環境 (尤其是當環境具有 Dataverse 資料庫時) 可能需要明確指派這樣的角色。這確保他們可以執行解決方案，但僅具有資料的基本權限。在沒有 Dataverse 的環境中，如果使用者共用僅限執行的流程，除非手動新增，否則可能不會出現在環境使用者清單中。他們的權限完全是透過流程共用。

在單一流程層級，擁有者可以透過兩種主要方式共用雲端流程：新增共同擁有者或分配僅限執行使用者。理解其中的差異是至關重要的。

擁有者/共同擁有者 ：共同擁有者與流程的原始建立者擁有基本相同的特殊權限。共同擁有者可以查看執行歷史記錄、編輯流程的設計、變更其設定、啟動和停止流程、管理連接以及新增或刪除其他擁有者。換句話說，任何共同擁有者都擁有完全的控制權，但他們不能移除原始製作者。共同擁有者也會在他們的 團隊流程 清單中顯示該流程，並可以像管理他們自己製作的任何流程一樣管理它。由於這些權限的範圍很廣，因此只有受信任的個人或團體才應新增為共同擁有者。

範例：如果 Alice 是 Bob 流程的共同擁有者，則 Alice 可以修改或刪除該流程，因此 Bob 的團隊只有在有意進行此類存取時才應新增 Alice。

僅限執行使用者 ：僅限執行使用者只能執行流程，通常透過按鈕或 SharePoint 項目觸發程序等手動觸發程序。他們無法以編輯模式開啟流程、查看其內部邏輯或查看過去的執行歷史記錄。對於希望同事從自動化中受益的情境來說，這是理想的選擇。例如，執行按鈕流程或即時資料處理任務而不授予他們設計權限。僅限執行使用者可以顯示流程的名稱並可以執行它，但如果他們嘗試檢查詳細資訊，他們的可見性將受到限制。他們也不能新增其他人或以任何方式改變流程。

範例：服務台有一個用於 建立票證和傳送確認 的 Power Automate 按鈕流程。所有第一線員工都被新增為僅限執行使用者，因此他們可以從他們的裝置觸發流程，但他們無法改變流程的作用。

資源特定的安全與環境角色

環境角色和流程共用權限協同工作。作為環境管理員或擁有某些 Dataverse 權限的使用者，由於其廣泛的存取權限，可以查看或修改流程，而不管是否明確共用。

Power Platform 管理員或環境管理員本質上可以顯示和管理環境中的所有流程，即使其沒有單獨與他們共用。例如，如果需要，全域管理員可以將自己新增為任何流程的擁有者。

相反，沒有環境角色的使用者可以透過共用來獲得特定流程的存取權限。在這種情況下，該使用者成為該流程中的特殊案例參與者，但可能無法存取環境中的其他資源。

為了有效地管理權限，組織應該正式確定哪些使用者是流程 製作者 (建立者) 以及哪些使用者是流程 取用者 * (執行者)，然後相應地套用角色。以下部分解釋了實現這些差異和降低風險的最佳做法。

Power Automate 中的權限層級 - 擁有者與僅限執行使用者

管理流程安全的關鍵方面是了解不同共用權限層級的功能。下表總結了雲端流程的共同擁有者和僅限執行使用者之間的差異。它比較了 Power Automate 中的流程共同擁有者與僅限執行使用者的權限和功能。

功能/存取共同所有人 (可以編輯) 僅限執行使用者 (可以執行) 使用自己的連結 (呼叫者) 不適用。共同擁有者使用流程的定義連結。如果需要，他們可以更新連線。視情況而定。如果流程設定為由連接器的 僅限執行使用者提供 ，則僅限執行使用者可能需要在執行時使用自己的連線。否則，流程將使用擁有者的連線。 Power Automate 使用者介面的可見性出現在所有擁有者的團隊流程下。共同所有人的名稱列在 擁有者 清單中。出現在擁有者流程的 僅限執行 使用者清單 (流程詳細資訊頁面) 中；但是，僅限執行使用者只能在可以執行流程的環境中取得流程 (例如，在按鈕上或應用程式內；未列在他們擁有的或團隊流程下)。

實際上，這些區別代表共同擁有者應該僅限於真正需要協作流程設計或維護的使用者，而僅限執行共用則更適合流程功能的廣泛分發。 Microsoft 的指南強調了這一點：「僅根據需要新增流程協作的共同擁有者。在大多數情況下，如果需要共用流程，請使用僅限執行權限共用。」這確保使用者可以從自動化中受益，而不會冒未經授權的修改或暴露流程內部的風險。

允許非環境成員的使用者存取流程可能會帶來一些風險：

治理盲點 ：管理員可能不知道誰有存取權限。 潛在的資料暴露 ：如果流程處理敏感資料。 僅限執行存取 ：如果觸發程序允許參數輸入或輸出可見性以及失去變更控制，則可能會引起關注。這是指團隊外部的共同擁有者進行意外編輯的情況。

為了降低這些風險，組織應該採用原則、技術控制和監控相結合的措施。

強制執行環境存取控制 ：一個基本的最佳做法是使用 Microsoft Entra (Azure AD) 安全性群組來限制環境成員資格。透過將安全性群組與環境關聯，只有該群組中的使用者才能新增到該環境的角色中。這代表即使建立者嘗試與群組外的某人共用流程，該人也不會自動新增到環境中。在具有關聯安全性群組的環境中，任何不屬於該群組的使用者本質上都是 外部人員 ，在管理員授予存取權限之前，其功能將受到限制。此設定阻止外部人員存取環境資源，除非管理員透過將其新增至每個原則的安全性群組來明確新增它們。

例如，如果 Contoso 的 HR Apps 環境與 HR-Team 安全性群組繫結，則財務部門的使用者無法成為 HR Apps 中流程的共同擁有者，除非管理員先將其新增至 HR-Team 群組。以這種方式使用安全性群組有助於組織明確界定每個環境的授權使用人員。

審查並限制共同所有權 ：應謹慎地與共同擁有者分享流程。每個共同擁有者實際上都成為流程的完全擁有者，因此將共同擁有者的數量限制為必要的數量。如果流程與外部人員共用，例如來自另一個團隊的開發人員或顧問以進行疑難排解，請確保在問題解決後刪除他們的共同所有權。除非有持續的需要，否則請這樣做。組織可能會實施治理流程，其中在環境之外新增共同擁有者會觸發警示或需要核准。這可以透過使用 Power Automate 治理工具來實現 (例如，使用 Power Platform 管理連接器的管理流程，偵測何時將新擁有者新增至流程)。然後，他們通知 IT 部門或 Power Platform 卓越中心團隊。

對外部使用者優先使用僅限執行共用 ：如果與非環境成員的使用者共用是不可避免或合理的，請盡可能使用僅限執行權限，而不是完全編輯權限。僅限執行存取顯著降低了風險：使用者無法查看流程邏輯或變更它，並且他們可以獲得過去的執行資料，其中可能包含敏感的承載。

例如，如果流程透過電子郵件傳送客戶資料，則僅限執行使用者可以觸發該電子郵件傳送，但無法打開流程來獲取昨天處理的客戶詳細資訊。該原則與最小特殊權限相一致——為使用者的角色提供所需的最小存取權限。僅限執行共用通常可以實現讓某人觸發或利用流程而不移交控制權的業務需求。

使用資訊安全角色來劃分職責 ：確保僅限執行流程但不建立流程的使用者沒有環境製作者角色。透過將這些使用者保留為基本環境使用者，或完全在環境之外且僅具有執行流程存取權限，可以減少他們建立或匯入惡意流程的機會。只有指定的製作者才應擁有製作者特殊權限，而其他人可能只會消費流程的輸出。

如需進一步了解，請參閱使用資訊安全角色和群組：管理建立者與僅限執行使用者。

實作資料外洩防護 (DLP) 原則 ：雖然 DLP 原則主要是用來控制連接器的使用，但它們間接有助於降低風險，因為它們可防止共用流程使用被禁止的連接器。例如，如果外部人員被授予對流程的僅限執行存取權限，則嚴格的 DLP 原則可確保流程不會突然開始將資料推送到未經授權的服務。 DLP 不會阻止共用本身，但它可以限制流程被意外或故意濫用時造成的潛在損害。作為最佳做法，將連接器分為業務類別和 非業務 類別，並阻止任何危險的組合。這樣，即使流程被廣泛共用，也不會將資料外洩到未經核准的端點。

定期稽核和監控 ：建立例行 (例如每月或每季) 來稽核流程權限。作為審查的一部分，識別任何具有不尋常共用的流程，特別是具有外部擁有者或大型僅限執行使用者清單的流程。如果仍然需要，請檢查它們。 Microsoft 文件鼓勵定期審查權限，以確保其符合目前業務需求，並刪除不再需要存取權限的使用者的存取權限。

監控可以自動化。例如，管理員可以使用管理連接器設定 Power Automate 流程，該連接器傳送所有流程及其擁有者和最後修改日期的報告。此流程突顯其擁有者不在指定的核准個人清單內的流程。此外，請考慮使用 Power Platform 管理分析儀表板。它可以顯示總體使用情況，並可能進行篩選以了解有多少使用者正在執行每個流程。

教育製作者並執行原則 ：有時風險是由於缺乏意識而引起的。記錄並傳達清晰的共用原則，例如， 未經核准，不得將環境 X 之外的使用者新增為共同擁有者。如有需要，請為團隊外的使用者提供僅限執行存取權限 。透過對 Power Automate 開發者進行這些準則的訓練，您可以減少意外曝光。如果您的組織有內部的 Power Platform社群或推廣者網路，請分享有關廣泛共用流程所帶來影響的提醒。最終，使用者應該明白，雖然 Power Automate 讓共用變得容易，但任何跨環境協作都必須遵循合規性和安全性步驟。

使用單獨的環境進行廣泛共用 ：在某些情況下，為需要廣泛受眾使用的流程建立專用環境可能是明智的。例如，組織可以建立一個 共用服務 環境，並開放給許多使用者存取，同時配合適當的安全性群組來管理權限。可以在那裡開發和託管供廣泛消費的流程，而不是在更受限制的環境中共用它們。這樣，環境邊界就得以維持。您的高度控制環境仍然嚴格，並且開放環境被指定用於跨職能共用並受到適當的監督。如果您採用此策略，請確保開放環境仍然具有強大的 DLP 原則和監控，因為它在設計上具有更大的使用者群。

考慮複製流程而不是直接共用 ：如果不同環境中的使用者需要流程的功能，另一種方法是將流程匯出為套件並共用套件而不是共用即時流程。當使用者不是您的 Power Automate 環境的成員時，Microsoft 建議採用這種方法 - 您可以向他們傳送流程的副本，然後他們將其匯入到自己的環境中。然後，接收者建立自己的連線並獨立執行流程。透過避免直接存取原始環境的流程，可以降低風險。它本質上向他們提供了解決方案，但沒有讓他們立足於您的環境。缺點是，由於它是一個單獨的副本，因此對流程的任何更新都不會自動同步。但是，對於一次性需求或與外部團隊共用，此方法可確保完全分離。

總之，減輕與共用流程相關的風險大致可以歸結為嚴格控制環境存取、謹慎使用共用選項以及警惕的監督。透過將技術保障措施 (如安全性群組控制環境和 DLP 原則) 與流程保障措施 (如新增擁有者的核准和定期稽核) 相結合，組織可以享受 Power Automate 的協作優勢，同時最大限度地減少安全性和合規性問題。

以下部分重點在於治理的一個特定面向：使用角色和群組來定義誰是製作者，誰只是流程的運作者。

使用資訊安全角色和群組：管理建立者與僅限執行使用者

一個關鍵的治理決策是確定哪些使用者應該是製作者，誰可以建立和擁有流程，哪些使用者應該僅限於執行流程，誰可以使用結果。 Power Automate 和 Power Platform 提供了多種機制來強制執行這種區別，主要是透過資訊安全角色和安全性群組。

區分製作者與非製作者

在企業情境中，並非每個擁有 Power Automate 授權的使用者都必須在每個環境中建立流程。根據設計，環境製作者可以在該環境中建立流程和其他資源。對於專用環境，您應該有意將環境製作者角色僅指派給負責建置解決方案的使用者或群組。例如，您可能決定在 財務自動化 環境中，只有財務 IT 團隊和少數進階使用者才擁有製作者權限。

透過執行以下操作來強制執行此動作：

在環境設定中將環境製作者資訊安全角色直接指派給特定使用者。

使用Azure Active Directory (AD) 安全性群組。將所有預期的製作者新增至一個群組 (例如， 財務製作者群組 )，如果環境沒有 Dataverse，則為整個群組指派環境製作者角色。在啟用 Dataverse 的環境中，您可能需要單獨新增群組成員或使用具有資訊安全角色的群組團隊。

為了進行廣泛的控制，將環境與安全性群組建立關聯，以便只有成員才能進入該環境。然後在其中將 Maker 角色授予適當的子集。這種雙層方法代表外部人員不能不被發現地作為製作者被引入，而在內部人員中，只有一部分人具有製作者的角色。權威指南建議將環境安全性群組功能應用程式於所有生產和敏感環境，以防止不良使用者的存在。

使用安全性群組進行僅限執行存取

雖然沒有環境僅限執行角色，但您可以使用群組大規模管理僅限執行權限。共用流程時，擁有者可以輸入群組名稱而不是單一使用者，以獲得共同擁有者或僅限執行存取權限。這表示您可以建立一個像 銷售報告流程使用者 這樣的安全性群組，並將該群組指定為相關流程上的僅限執行使用者。該群組的所有成員都將繼承這些流程的運作權限。管理變得更加容易。若要撤銷特定使用者的存取權限，請將其從群組中刪除。他們失去了對該群組所分配的所有流程的執行存取權限。同樣，要授予新人存取多個流程的權限，請將其新增至群組。因此，安全性群組可以透過外部化來幫助簡化權限管理。

Power Automate 流程不需要列出 50 個使用者作為僅限執行；它們列出一個群組，並且您的 Azure AD或 Microsoft 365 管理員處理成員資格。

如果環境本身被鎖定到安全性群組，則用於流程共用的群組應該是相同的或是子集。如果您與包含環境允許的使用者以外的人員的群組共用流程，則他們實際上可能無法執行它，具體取決於環境設定。您應該協調群組使用與環境存取原則。

製作者與跑者的角色分配

在 Dataverse 環境中，可以對資訊安全角色進行分層，以微調製作者和僅限執行使用者可以做的事情。

製作者 ：至少，他們需要環境製作者角色來創造流程。如果他們的流程與 Dataverse 表互動，他們可能還需要額外的 Dataverse 角色 (如係統定制器) 或特定表的權限，以便正確設計和測試這些表。環境製作者加上授予資料存取權限的角色 (如果需要) 的組合使他們能夠建立完整的解決方案。最佳做法是僅授予製作者所需的權限。例如，如果製作者僅自動化 SharePoint 和電子郵件，那麼除了存在於環境中之外，他們可能根本不需要 Dataverse 角色。但是，如果建立者建立流程來更新 Dataverse 記錄，則他們需要該表的權限。規劃您的資訊安全角色，以便製作者在必要時獲得單獨的 製作者資料角色 ，而不是賦予他們過多的廣泛角色。 僅限執行使用者 ：這些使用者不需要環境製作者。如果環境有一個 Dataverse 資料庫並且流程涉及 Dataverse 資料，則他們可能需要基本使用者角色 (或其他角色) 才能在流程在其上下文下執行時，對底層資料具有讀取/寫入存取權限。例如，手動觸發流程可能會代表跑者建立 Dataverse 記錄。如果是這樣，跑步者需要獲得授權才能創造該記錄。當使用 僅限執行使用者提供的連線 選項時，流程會在僅限執行使用者的憑證上下文中執行。在這種情況下，您必須確保這些使用者透過 Dataverse 角色或相關係統權限擁有執行流程執行的操作所需的最低權限。如果流程始終使用擁有者的連接，則僅限執行使用者可能不需要 Dataverse 中的任何特殊角色 - 他們按下按鈕，流程使用擁有者的權限。應該仔細考慮這個細微差別。一種安全的方法是讓僅限執行的使用者讀取他們可以顯示的資料，且不提供其他權限。許多公司會建立自訂 Dataverse 角色或使用具有最小讀取權限的基本使用者並將其分配給所有終端使用者，以滿足執行應用程式和流程的要求。

管理角色時考慮治理

追蹤誰扮演什麼角色。 Power Platform 管理員可以從系統管理中心，或透過 PowerShell 列出環境中的所有使用者及其指派的資訊安全角色。這可以與預期的製作者名單進行交叉參考。維護庫存是一種治理最佳做法，例如， 環境 X 製作者：Alice、Bob、Carol；環境 X 僅運作/取用者：行銷部門的所有使用者 。透過釐清這一點，當有新增製作者的請求時，您可以檢查他們是否已獲得群組核准，或取得必要的核准來擴大參與範圍。

情境和範例

以下清單解釋了一些情境及其解決方案的範例。

情境：部門環境中只有一個小團隊可以建立流程，但部門中的許多人都會執行它們。 解決方案 ：部門的 IT 主管獲指派為環境管理員。Azure AD 群組 部門製作者 包含五個建立應用程式和流程的人。該群組被加入到環境製作者角色。這可以直接完成，或者如果無法進行群組分配，則由個人分配。部門中的每個人都屬於與環境相關聯的 部門使用者 群組，因此他們都有權限成為使用者。環境中建立的需要由整個部門執行的流程，以僅限執行的形式與 部門使用者 群組共用。透過這種方式，製作者可以進行建置和共用。部門成員可以執行，但非部門人員無法存取，因為他們不在環境群組中。情境：實際執行環境中存在敏感流程，除兩個解決方案擁有者外，任何人都不能編輯這些流程。 解決方案 ：只有這兩個人是環境創造者。沒有其他人具有製作者角色。如果其他使用者需要觸發流程，則他們將被授予僅限執行存取權限。可能，專用服務帳戶或服務主體實際上是流程的擁有者，以確保穩定性，而兩個擁有者則是維護的共同擁有者。使用服務主體作為主要擁有者可以改善關鍵流程的治理。所有正式員工要不是不在該環境中，就是只具有使用者角色。此環境可以與僅包含必要帳戶的安全性群組繫結，以進一步確保排他性。情境：卓越中心環境，其中治理團隊在所有環境中建立監控流程。 解決方案 ：只有卓越中心團隊才有存取權限。他們的職責是環境創造者。不需要僅限執行共用，因為這些流程更加內部化。在這裡，其關鍵的卓越中心人員可能在租用戶層級擁有 Power Platform 管理員角色，這隱含地賦予了他們在所有環境上的權利。

角色分離的好處

透過明確區分製作者和執行者，您可以實現以下目標：

最小特殊權限 ：使用者只獲得他們需要的權限。僅限執行使用者不能突然開始建立繞過 IT 監督的流程，因為他們缺乏該角色。製作者擁有創造的自由，但由於製作者群規模較小且較為知名，因此您可以更輕鬆地訓練和監督他們。 簡化的生命週期管理 ：當員工離職或改變角色時，更容易更新存取權限。例如，如果 Joe 是製作者並且即將離開團隊，則可以將他從製作者安全性群組中刪除。他會立即失去在該環境中建立和編輯的能力，但如果他仍留在使用者群組中，則保留執行存取權限。然後，您可以將他的替代者新增到 Makers 組中。這種基於群組的維護比手動新增和刪除數十個流程權限更乾淨。 合規性協調 ：許多法規要求控制存取。能夠向稽核員表明 只有這些特定的個人可以在這種環境中修改自動化；所有其他人只能觸發核准的流程 ，這有助於證明強大的內部控制。稽核員還可以獲得環境角色分配的匯出作為執行的證據。 避免混淆 ：如果每個人都有製作者權限，那麼更少的技術使用者可能會無意中建立或變更流程，或被 Power Automate 介面弄糊塗。透過限制製作者的角色，您可以確保只有經過訓練的人員才能設計流程，從而減少錯誤。

應定期重新審視這些措施。隨著業務需求的變化，取用者可能需要成為製作者 (例如，新團隊中出現了進階使用者)，或者製作者可能需要成為取用者。治理模式應該要夠靈活，以便透過適當的核准來適應這種情況。記錄授予環境製作者特殊權限的標準和請求特殊權限的過程，以確保透明度和一致性。同樣，定義哪些條件可以觸發撤銷製作者存取權限，例如，調到不同的部門。

透過結合資訊安全角色和群組，組織可以在設計自動化的人員和使用自動化的人員之間實現清晰且可維護的分離。這增強了 Power Automate 環境的安全性和生產力。

管理與環境外的使用者共用的流程共用雲端流程