通过

共享云端流

与组织内的其他用户和访客用户共享云端流,以便他们也能从您创建的自动化中受益。 在 Power Automate 中有三种主要方法来共享云端流:

  • 向云端流添加负责人。
  • 使用仅运行特权共享云端流。
  • 共享云端流的副本。

先决条件

  • 您必须拥有 Power Automate 许可证(不包括免费许可证)或已分配的许可证(Office 365、Dynamics 365 Enterprise 计划、Dynamics 365 Professional 计划、Dynamics 365 Team Member、Power Apps(画布和模型驱动应用程序)- 每应用计划、Power Apps 每用户计划、Power Apps 计划 1(豁免)、Power Apps 计划 2(豁免)、Windows 许可证)才能共享云端流。
  • 您必须是创建者或负责人,才能从云端流中添加或删除负责人。

关于嵌入式连接和其他连接

云端流中使用的连接划分为两个类别:

  • 嵌入:流中使用这些连接。
  • 其他:这些连接已为云端流定义,但未在其中使用。

如果停止在云端流中使用某个连接,该连接将显示在其他连接列表中,此列表中将保留该连接,直到负责人再次将该连接包括在此流中。 若要对嵌入式连接进行更改,请按照本文后面的修改连接部分描述的步骤进行操作。

连接列表显示在云端流属性的所有者列表下。

向云端流添加负责人

向云端流添加负责人是共享云端流最常用的方法。 云端流的任何负责人都可以执行以下操作:

  • 查看运行历史记录。
  • 管理流的属性(例如,启动或停止流、添加所有者或更新连接的凭据)。
  • 编辑流的定义(例如,添加或删除操作或条件)。
  • 添加或删除其他所有者(流的创建者除外),包括来宾用户。
  • 删除流。

如果您是云端流的创建者或所有者,可以在 Power Automate 中的团队流选项卡中找到它。

备注

共享连接能在创建它们的流中使用。

负责人可以使用云端流中的服务,但不能修改另一个所有者创建的连接的凭据。

向云端流添加更多负责人:

  1. 登录 Power Automate,然后选择我的流

  2. 对于想要共享的流,选择垂直省略号 (⋮),然后选择共享

  3. 对于要作为所有者添加的个人或组,请输入个人名称、电子邮件地址或组名称。

    您选择的用户或组将成为流的所有者。

恭喜! 您创建了团队流。

将列表添加为共同所有者

您可以作为云端流的共同负责人添加 SharePoint 列表,让拥有列表编辑权限的每个人自动获得该流的编辑权限。 共享流后,您可以分发其链接。 更多信息:培训:创建和设置 SharePoint 列表

在流连接到 SharePoint 时使用列表,在所有其他情况下使用组。

重要提示

  • SharePoint 用户必须具有编辑权限,或者是成员所有者组的成员才能在 SharePoint 中运行流。
  • 将列表添加为共同所有者在 GCC High 和 DoD 租户中不可用。

删除所有者

删除某个所有者时,如果其凭据是用于访问 Power Automate 服务的,则应更新相应连接的凭据,使流能够继续正常运行。 要了解更多信息,请转到修改连接

  1. 在“流详细信息”页上的所有者部分,选择编辑

  2. 选择想要删除的负责人的删除(垃圾桶图标)。

  3. 在确认对话框中,选择移除

恭喜—您删除的用户或组不再作为流的所有者列出。

修改连接

如果删除现有负责人,或者只是想使用其他帐户登录操作或触发器,您可能需要更改云端流中的连接的负责人。

  1. 转到要修改的流。

  2. 选择编辑

  3. 在要编辑连接的步骤中,选择省略号 (...)。

  4. 如果已经建立了连接,请选择该连接;如果没有建立连接,则选择添加新连接以创建新的连接,然后选择登录以创建您的新连接。

使用仅运行权限共享云端流

可以使用仅运行权限共享即时流(即,使用手动触发器的流,选择按钮或项目)。 任何被添加为仅运行用户的用户无法以任何方式编辑或修改流;他们仅有权限触发流。

要添加仅运行用户:

  1. 在“流详细信息”页上的仅运行用户部分,选择编辑

  2. 管理仅运行权限面板中,指定要为其提供仅运行权限的用户和组。

  3. 作为所有者,您可以指定仅运行用户是否需要提供自己的连接,或使用流中已定义的连接。

    管理连接的截图。

恭喜! 用户或组现在有权运行流。

要删除仅运行用户:

  1. 在“流详细信息”页上的仅运行用户部分,选择编辑

  2. 管理仅运行权限面板中,选择要删除其访问权限的用户旁边的删除(垃圾桶),然后选择保存

恭喜—用户或组不再具有运行此流的权限。

发送云端流的副本

您可以将云端流的副本发送给另一个用户,然后该用户可以将该流的定义用作模板。 这为您提供了一种共享云端流的一般结构而不共享任何连接的好方法,同时还允许接收人独立于您的流来修改自己的流,让他们可以使流适合自己的需求。

备注

发送副本会为接收者创建流的独立实例。 在共享流之后,您无法撤销对该流的访问权限。

发送云端流的副本

  1. 在“流详细信息”页面命令栏上,选择发送副本

  2. 发送副本面板中,可以编辑要共享的流的名称和说明,并指定要与其共享流的用户。

    “发送副本”详细信息的截图。

  3. 收件人将收到一封邮件,告知您已与他们共享了一个云端流模板,他们随后可以创建该流的独立实例。

管理共享云端流的最佳实践

为避免不当共享并减少合规性工作,管理员应实施最佳做法。 以下是安全高效地管理共享流的关键建议。

使用安全角色划分职责

仅向真正需要在该环境中创建或编辑流的用户授予环境创建者角色。 仅运行流的最终用户应保留为基本用户。 此原则限制了谁可以共享或修改流。 例如,如果您有一组用户仅触发流,但不应创建新流,请不要将其提升为制作者。 通过将仅执行用户设为基础环境成员,或使用不带提升权限的仅执行共享方式,可防止他们创建或导入未经授权的流。 这种分隔机制明确划分了权限边界:设计者负责设计,其他人仅可使用。 如果环境没有安全组(对所有人开放),您仍可通过角色控制创建者权限——例如指定一个制作者 Azure AD组,并脚本化将“环境制作者”角色仅分配给该组成员。 这样,尽管每个人都在环境中,但只有经过批准的创建者才能共享或拥有流。 这样可以减少意外的外部共享。

优先使用仅运行访问权限而非共同所有权

当流需要被多人使用,尤其是核心团队以外的人员时,建议提供仅运行访问权限而非授予共同所有权。 仅执行权限用户可通过按钮、SharePoint 等连接器手动执行流,而无需查看或修改流设计。 例如,假设某个部门创建了一个费用审批流,其他部门的经理可触发该流。 与其添加 10 个经理作为共同负责人,这会跨越环境边界并带来治理问题,不如以仅运行用户的身份与他们共享流或其触发器。 他们可以通过 Teams 中的按钮或共享链接运行该流,但无法在 Power Automate 中编辑或查看流。 这样可以保护流,并将完全控制权限制在创建者手中。 它还简化了合规性。 这些经理不需要环境创建者访问权限,只需运行权限。 总之,仅当需要协作编辑时才指定共同负责人。 在所有其他情况下,使用仅运行权限或其他间接交互方法,例如将流嵌入应用程序或使用 Power Apps 调用流。

实施数据丢失预防 (DLP) 策略

DLP 策略不会直接停止共享流,但如果广泛共享流,它们会降低风险。 通过将连接器分类为商业非商业,并创建 DLP 规则,可防止流(即使是广泛共享的流)使用可能导致数据外泄的连接器。 例如,如果外部用户以某种方式获得对流的运行访问权限,则严格的 DLP 策略可确保该流不会突然将数据发送到未经授权的服务,例如社交媒体或个人云驱动器连接器。 此外,如果您怀疑某些流可能在外部共享,除非必要,否则在某些环境中禁止使用自定义连接器或 HTTP 连接器。 这将限制外部人员在获得编辑权限时可执行的操作范围。 从本质上讲,DLP 充当了一个安全网。 即使扩展了共享边界,流的功能仍保持在可接受的范围内。 最佳做法是在扩展对流的访问权限时查看 DLP 策略。

建立定期审计和监控

将查看流共享和所有权作为例行程序。 例如,每月或每季度对每个生产环境中的流进行审核。 使用识别与用户环境外共享的流中的 PowerShell 方法,生成当前所有流及所有者的列表。 识别异常情况,例如流所有者不在预期团队内或出现新的访客所有者。 您可以自动执行其中的部分内容。 例如,管理员可设置定时 PowerShell 脚本或使用 Power Platform for Admins 连接器创建流,以收集共享数据并通过邮件发送报告。 Microsoft 的文档鼓励定期进行权利审查。 确保它们符合当前的业务需求,并删除不再需要它的用户的访问权限。 例如,如果 Terry 是一个特殊项目的外部共同负责人,并且该项目已结束,则在下一次审核中发现它并对其进行清理。

小费

Power Platform 管理中心的分析功能和 Power Platform 卓越中心启动套件的仪表盘可展示趋势,例如每位用户运行的流数量,或每个环境拥有的流数量。 使用这些来检测意外用户是否广泛使用特定流。 这表示可能存在非托管共享。

常见问题

在创建共享流的用户离开组织时管理流

如果共享流仍有活动负责人,流将继续运行。

备注

如果流使用了属于已离开组织的用户的主动或嵌入式连接,这些特定操作可能会失败。 若要解决此问题,请按照本文前面的修改连接中的步骤更新凭据。

如果流没有活动负责人,您应更改负责人。 要更改流的负责人,请复制流,然后让预期负责人从副本创建流。

更改解决方案感知云端流的负责人

编辑详细信息来更改解决方案感知云端流的所有权。

更改非解决方案感知云端流的负责人

要更改非解决方案感知云端流的所有权,您必须通过导出/导入创建新流,然后另存为发送副本。 非解决方案识别云端流的所有权不能就地更改,因为负责人是流身份的一部分。

与不在 Dataverse 中的用户共享解决方案感知云端流的所有权

当您与不在 Dataverse 中的用户共享解决方案识别云端流的所有权时,该用户会被自动添加到 Dataverse 中以推进共享。 在默认环境中,Microsoft Entra ID (Microsoft Entra ID) 用户具有环境制造者角色。 在非默认环境中,Microsoft Entra 用户和组会被添加到 Dataverse 中,但不会自动为其分配 EnvironmentMaker 角色。 因此,他们可能只能运行流,直到管理员为其分配角色。 如果用户没有适当的角色,他们将收到详细的错误消息。

是否可由运行流的用户提供连接?

是的。 当将连接配置为由仅运行用户提供时,该连接将由运行(或调用)流的用户提供。

仅运行用户提供的连接是否可以由其他用户使用?

不包括。 当一个连接被配置为由仅运行用户提供提供时,该连接由运行(或“调用”)流的用户提供。 嵌入式连接由流的所有用户使用,但仅运行用户提供的连接仅由提供这些连接的用户使用。 当流通过连接器连接到服务时,由仅运行用户提供的连接允许流以仅运行用户的身份运行,并访问该用户有权访问的数据。 如果流已导出,由仅运行用户提供连接的 invoker 值为 RuntimeSource