Бележка
Достъпът до тази страница изисква удостоверяване. Можете да опитате да влезете или да промените директориите.
Достъпът до тази страница изисква удостоверяване. Можете да опитате да промените директориите.
Бележка
Новият и подобрен Power Platform център за администриране вече е общодостъпен. В момента актуализираме документацията, за да отразим тези промени, така че проверете отново, за да се уверите, че получавате най-новите актуализации.
Управлявайте администраторски роли с високи привилегии в Power Platform центъра за администриране с помощта Microsoft Entra на Privileged Identity Management (PIM).
Предварителни изисквания
- Премахнете старите назначения на роли на системен администратор във вашите среди. Можете да използвате скриптове на PowerShell, за да инвентаризирате и премахнете нежелани потребители от ролята на системен администратор в една или повече Power Platform среди.
Промени в поддръжката на функции
Microsoft вече не присвоява автоматично ролята на системен администратор на потребители с глобални или администраторски роли на ниво на обслужване, като Power Platform администратор и администратор на Dynamics 365.
Тези администратори могат да продължат да влизат в центъра за Power Platform администриране със следните привилегии:
- Разрешаване или забраняване на настройките на ниво клиент
- Преглед на аналитична информация за среди
- Преглед на консумацията на капацитет
Тези администратори не могат да извършват дейности, които изискват директен достъп до Dataverse данни без лиценз. Примери за тези дейности включват:
- Актуализиране на правата за достъп за потребител в среда
- Инсталиране на приложения за среда
Важно
Глобалните администратори, Power Platform администратори и администраторите на услуги на Dynamics 365 трябва да извършат още една стъпка, преди да могат да извършват дейности, изискващи достъп. Dataverse Те трябва да се издигнат до ролята на системен администратор в средата, в която имат нужда от достъп. Всички действия за повдигане се регистрират в Microsoft Purview.
Ако използвате управление на привилегировани самоличности, за да получите навременен достъп до администраторски роли в Microsoft Entra ИД и след това да се самоиздигнете, Microsoft премахва вашата роля на системен администратор , когато присвояването на роля изтече в управлението на привилегировани самоличности, обикновено след кратък период от време.
Известни ограничения
Когато използвате API, ако повикващият е системен администратор, самоиздигащото се повикване връща успешно, вместо да показва, че вече е излязъл.
Потребителят, който извършва повикването, трябва да има присвоена роля на администратор на клиента. За пълен списък на потребителите, които отговарят на критериите за администриране на клиента, вижте Промени в поддръжката на функциите
Ако сте администратор на Dynamics 365 и средата е защитена от група за защита, трябва да сте член на групата за защита. Това правило не се прилага за потребители с роли на глобален администратор или Power Platform администратор.
Потребителят, който трябва да повиши състоянието си, трябва да извика API за повдигане. Той не позволява на извикванията на API да повишават състоянието на друг потребител.
Налично е заобиколно решение за клиентите, използващи стартовия Microsoft Power Platform комплект на CoE. Вижте PIM Проблем и заобиколно решение #8119 за повече информация и подробности.
Присвояването на роли чрез групи не се поддържа. Уверете се, че възлагате роли директно на потребителя.
Самоиздигане до ролята на системен администратор
Ние поддържаме повдигане с помощта на PowerShell или чрез интуитивна среда за работа в Power Platform центъра за администриране.
Бележка
Потребителите, които се опитват да се самоиздигнат, трябва да са глобален администратор, Power Platform администратор или администратор на Dynamics 365. Потребителският интерфейс в Power Platform центъра за администриране не е наличен за потребители с други администраторски роли на Entra ID и опитът за самоиздигане чрез API на PowerShell връща грешка.
Самоиздигайте се чрез PowerShell
Настройване на PowerShell
Инсталирайте модула MSAL PowerShell. Трябва да инсталирате модула само веднъж.
Install-Module -Name MSAL.PS
За повече информация относно настройването на PowerShell вижте Бърз старт на уеб API с PowerShell и Visual Studio код.
Стъпка 1: Стартирайте скрипта, за да повдигнете
В този скрипт на PowerShell вие:
- Удостоверяване с помощта на Power Platform API.
- Създайте
httpзаявка с ИД на вашата среда. - Поискайте надморска височина с помощта на Power Platform API.
Намиране и добавяне на вашия идентификатор на средата
- Влезте в центъра за администриране на Power Platform.
- В навигационния екран изберете Управление.
- В екрана Управление изберете Среди.
- На страницата Среди изберете средата, която искате да промените.
- Намерете ИД на средата в екрана с подробни данни .
- Добавете вашето уникално
<environment id>към сценария.
Изпълнение на скрипта
Копирайте и поставете скрипта в конзола на PowerShell.
# Set your environment ID
$environmentId = "<your environment id>"
$clientId = "<client id of your Microsoft Entra ID application registration>"
Import-Module MSAL.PS
# Authenticate
$AuthResult = Get-MsalToken -ClientId $clientId -Scope 'https://api.powerplatform.com/.default'
$Headers = @{
Authorization = "Bearer $($AuthResult.AccessToken)"
'Content-Type' = "application/json"
}
$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";
try {
$postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri
}
catch {
# Dig into the exception to get the Response details.
Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"]
Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__
Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription
$result = $_.Exception.Response.GetResponseStream()
$reader = New-Object System.IO.StreamReader($result)
$reader.BaseStream.Position = 0
$reader.DiscardBufferedData()
$responseBody = $reader.ReadToEnd();
Write-Host $responseBody
}
$output = $postRequestResponse | ConvertTo-Json -Depth 2
Write-Host $output
Стъпка 2: Потвърдете резултата
При успех виждате резултат, подобен на следния резултат. Потърсете "Code": "UserExists" като доказателство, че успешно сте издигнали ролята си.
{
"errors": [],
"information": [
{
"Subject": "Result",
"Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
"Code": "UserExists"
},
{ ... }
}
Errors
Може да видите съобщение за грешка, ако нямате правилните разрешения.
"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."
Примерен скрипт
Remove-RoleAssignmentFromUsers
-roleName "System Administrator"
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"
Самоиздигайте се чрез Power Platform център за администриране
- Влезте в центъра за администриране на Power Platform.
- В навигационния екран изберете Управление.
- В екрана Управление изберете Среди.
- На страницата Среди изберете средата, която искате да промените.
- В командната лента изберете Членство , за да заявите самоиздигане.
- В екрана Системни администратори изберете Добавяне на мен , за да добавите себе си към ролята на системен администратор.