إدارة أدوار المسؤول باستخدام إدارة الهويات المتميزة في Microsoft Entra

استخدام إدارة الهوية المميزة (PIM) في Microsoft Entra لإدارة أدوار الإدارة عالية الامتيازات في مركز مسؤولي Power Platform

المتطلبات

• إزالة تعيينات دور مسؤول النظام القديم في بيئاتك. يمكنك استخدام برامج PowerShell النصية لإنشاء قائمة بالمستخدمين غير المرغوب فيهم وإزالتهم من دور مسؤول النظام في بيئة أو أكثر من بيئات Power Platform.

التغييرات في دعم الميزات

Microsoft لم يعد يعين تلقائيا دور النظام المسؤول للمستخدمين الذين لديهم أدوار مسؤول عمومية أو على مستوى الخدمة مثل Power Platform المسؤول و المسؤول Dynamics 365.

يمكن لهؤلاء المسؤولين الاستمرار في تسجيل الدخول إلى Power Platform مركز الإدارة بهذه الامتيازات:

• تمكين الإعدادات على مستوى المستأجر أو تعطيلها
• عرض معلومات تحليلية للبيئات
• عرض استهلاك السعة

لا يمكن لهؤلاء المسؤولين تنفيذ الأنشطة التي تتطلب الوصول المباشر إلى Dataverse البيانات بدون ترخيص. تتضمن الأمثلة عن هذه الأنشطة:

• تحديث دور الأمان لمستخدم في بيئة
• تثبيت تطبيقات لبيئة ما

مهم

يجب على المسؤولين العموميين والمسؤولين Power Platform ومسؤولي خدمة Dynamics 365 إكمال خطوة آخر قبل أن يتمكنوا من تنفيذ الأنشطة التي تتطلب الوصول إليها Dataverse. يجب عليهم رفع مستوى دورهم إلى دور مسؤول النظام في البيئة التي يحتاجون إلى الوصول إليها. يتم تسجيل جميع إجراءات الارتفاع في Microsoft Purview.

الحدود المعروفة

• عند استخدام واجهة برمجة التطبيقات، ستلاحظ أنه إذا كان المتصل عبارة عن المسؤول نظام، فإن مكالمة الرفع الذاتي ترجع نجاحا بدلا من إعلام المتصل بأن النظام المسؤول موجود بالفعل.

• يجب أن يتم تعيين دور مسؤول المستأجر إلى المستخدم الذي يجري الاستدعاء. للحصول على قائمة كاملة بالمستخدمين الذين يلبون معايير إدارة المستأجر، راجع التغييرات في دعم الميزة

• إذا كنت المسؤول Dynamics 365 وكانت البيئة محمية بواسطة مجموعة أمان، فيجب أن تكون عضوا في مجموعة الأمان. لا تنطبق هذه القاعدة على المستخدمين الذين لديهم أدوار المسؤول أو Power Platform المسؤول العامة.

• لا يمكن استدعاء واجهة API لرفع مستوى الدور إلا بواسطة المستخدم الذي يحتاج إلى رفع مستوى دوره. ولا يدعم إجراء استدعاءات API نيابة عن مستخدم آخر لأغراض رفع مستوى الدور.

• لا تتم إزالة دور المسؤول النظام المعين من خلال الارتقاء الذاتي عند انتهاء صلاحية تعيين الدور في إدارة الهويات المميزة. يجب إزالة المستخدم يدويا من دور المسؤول النظام. الاطلاع على نشاط التنظيف

• يتوفر حل بديل للعملاء الذين يستخدمون مجموعة بادئ تشغيل مركز التميز في‬ Microsoft Power Platform. راجع مشكلة PIM والحل رقم 8119 لمزيد من المعلومات والتفاصيل.

• تعيينات الأدوار من خلال المجموعات غير مدعومة. تأكد من تعيين الأدوار مباشرة للمستخدم.

رفع مستوى الدور ذاتيًا إلى دور مسؤول النظام

نحن ندعم الرفع باستخدام PowerShell أو من خلال تجربة بديهية في مركز مسؤولي Power Platform.

‏‫ملاحظة

يجب أن يكون المستخدم الذين يحاولون تحقيق الرفع الذاتي مسؤولاً عموميًا أو مسؤول Power Platform أو مسؤول Dynamics 365. لا تتوفر واجهة المستخدم في مركز مسؤولي Power Platform للمستخدمين الذين لديهم أدوار مسؤول ID Entra أخرى ويحاولون تحقيق الرفع الذاتي من خلال إرجاع واجهة API لـ PowerShell خطأ.

الرفع الذاتي عبر PowerShell

إعداد PowerShell

قم بتثبيت وحدة MSAL PowerShell. ستحتاج إلى تثبيت الوحدة مرة واحدة فقط.

Install-Module -Name MSAL.PS

لمزيد من المعلومات حول إعداد PowerShell، راجع البدء السريع لواجهة API الويب‬ باستخدام PowerShell وVisual Studio Code.

الخطوة 1: تشغيل البرنامج النصي لرفع مستوى الدور

في البرنامج النصي PowerShell، يمكنك القيام بما يلي:

• المصادقة باستخدام واجهة API لـ Power Platform.
• إنشاء استعلام http باستخدام معرف بيئتك.
• استدعاء نقطة نهاية API لطلب رفع مستوى الدور.

إضافة معرف بيئتك

1. احصل على معرف بيئتك من علامة تبويب البيئات‏‎ في مركز مسؤولي Power Platform.

2. أضف <environment id> الفريد إلى البرنامج النصي.

تشغيل البرنامج النصي

نسخ البرنامج النصي ولصقه في وحدة تحكم PowerShell.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

الخطوة 2: تأكيد النتيجة

عند النجاح، سترى مخرجات مماثلة للمخرجات التالية. ابحث عن "Code": "UserExists" كإثبات لرفع مستوى دورك.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

الأخطاء

قد ترى رسالة خطأ إذا لم تكن لديك الأذونات المناسبة.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

خطوة 3: نشاط التنظيف

شغّل Remove-RoleAssignmentFromUsers لإزالة المستخدمين من دور أمان مسؤول النظام بعد انتهاء صلاحية التعيين في PIM.

• -roleName: "المسؤول النظام" أو دور آخر
• -usersFilePathالمسار إلى ملف CSV مع قائمة بأسماء المستخدمين الأساسية (واحد لكل سطر):
• -environmentUrlوجدت في admin.powerplatform.microsoft.com:
• -processAllEnvironments: (اختياري) معالجة جميع بيئاتك
• -geoGEO صالح:
• -outputLogsDirectoryالمسار الذي تتم فيه كتابة ملفات السجل:

مثال على برنامج نصي

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

الرفع الذاتي من خلال مركز مسؤولي Power Platform

1. سجل دخولك إلى مركز إدارة Power Platform.

2. في لوحة الجزء الأيسر، حدد البيئات.

3. حدد علامة الاختيار بجوار بيئتك.

4. حدد العضوية في شريط الأوامر لطلب الرفع الذاتي.

5. يظهر جزء مسؤولو النظام. أضف نفسك إلى دور مسؤول النظام عن طريق تحديد أضفني.