Споделяне чрез

Управление на администраторски роли с Microsoft Entra управление на привилегирована самоличност

  • Статия

Използвайте Microsoft Entra управлението на привилегированата самоличност (PIM), за да управлявате ролите на администратор с високи привилегии в центъра за Power Platform администриране.

Предварителни изисквания

  • Премахнете старите назначения на роли на системен администратор във вашата среда. Можете да използвате скриптове на PowerShell, за да инвентаризирате и премахвате нежелани потребители от ролята на системен администратор в една или повече Power Platform среди.

Промени в поддръжката на функции

Microsoft не присвоява автоматично ролята на системен администратор за потребители с тези ИД роли (наричани също администратори на Microsoft Entra клиенти):

  • Глобален администратор
  • Администратор на Power Platform
  • Администратор на Dynamics 365

Администраторите на клиенти могат да продължат да влизат в центъра за Power Platform администриране със следните привилегии:

  • Разрешаване или забраняване на настройките за ниво на клиент
  • Преглед на аналитична информация за среди
  • Преглед на консумацията на капацитет

Администраторите на клиенти не могат да извършват дейности, които изискват директен достъп до Dataverse данни. Примери за тези дейности включват:

  • Актуализиране на права за достъп за потребител в среда
  • Инсталиране на приложения за среда

Важно

Администраторите на клиенти трябва да направят друга стъпка, преди да могат да извършват дейности, изискващи достъп Dataverse. Те трябва да се издигнат до ролята на системен администратор в средата, в която се нуждаят от достъп. Всички действия за издигане се регистрират в Microsoft Purview.

Самоиздигане до ролята на системен администратор

Ние поддържаме издигане с помощта на PowerShell или чрез интуитивно преживяване в Power Platform центъра за администриране.

Бележка

Потребителите, които се опитват да се самоиздигнат, трябва да са глобален администратор, Power Platform администратор или администратор на Dynamics 365. Потребителският интерфейс в Power Platform центъра за администриране не е достъпен за потребители с други администраторски роли на Entra ID и опитът за самоиздигане чрез API на PowerShell връща грешка.

Самоиздигане чрез PowerShell

Настройване на PowerShell

Инсталирайте модула MSAL PowerShell. Трябва да инсталирате модула само веднъж.

Install-Module -Name MSAL.PS

За повече информация относно настройването на PowerShell вижте Уеб API за бърз старт с PowerShell и Visual Studio код.

стъпка 1: Стартирайте скрипта, за да повдигнете

В този скрипт на PowerShell вие:

  • Удостоверяване, като се използва Power Platform API.
  • Създайте заявка с вашия ИД на http среда.
  • Обадете се на крайната точка на API, за да поискате издигане.
Добавяне на вашия ИД на среда

  1. Вземете своя ИД на среда от раздела Среди на центъра Power Platform заадминистриране.

    Екранна снимка, която показва къде можете да получите своя ИД на среда.

  2. Добавете своя уникален <environment id> към скрипта.

Изпълнение на скрипта

Копирайте и поставете скрипта в конзола на PowerShell.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

стъпка 2: Потвърдете резултата

При успех виждате изход, подобен на следния изход. Потърсете "Code": "UserExists" като доказателство, че успешно сте издигнали ролята си.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}
Errors

Може да видите съобщение за грешка, ако нямате правилните разрешения.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

стъпка 3: Почистване на дейността

Изпълнете Remove-RoleAssignmentFromUsers , за да премахнете потребители от системния администратор права за достъп след изтичане на заданието в PIM.

  • -roleName: "Системен администратор" или друга роля
  • -usersFilePath: Път до CSV файл със списък на основните имена на потребителите (по едно на ред)
  • -environmentUrl: Намерен на admin.powerplatform.microsoft.com
  • -processAllEnvironments: (По избор) Обработвайте всичките си среди
  • -geo: Валиден GEO
  • -outputLogsDirectory: Път, където се записват лог файлове
Примерен скрипт
Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Самоиздигане чрез Power Platform център за администриране

  1. Влезте в центъра за администриране на Power Platform.

  2. В левия страничен панел изберете Среди.

  3. Изберете отметката до вашата среда.

  4. Изберете Членство в командната лента, за да поискате самостоятелно издигане.

  5. Показва се екранът Системни администратори . Добавете себе си към ролята на системен администратор, като изберете Добави ме.

    Използвайте опцията Меню за членство, за да заявите самостоятелно издигане.

Известни ограничения

  • Когато използвате API, ще забележите, че ако повикващият е системен администратор, самоиздигащото се повикване връща успех, вместо да уведоми повикващия, че системният администратор вече съществува.

  • Потребителят, който извършва повикването, трябва да има присвоена администраторска роля на клиент. За пълен списък на потребителите, които отговарят на критериите за администратор на клиента, вижте Промени в поддръжката на функции

  • API за издигане може да бъде извикан само от потребителя, който трябва да повиши статуса си. Той не поддържа извършване на API повиквания от името на друг потребител за целите на надморската височина.

  • За клиентите, Microsoft Power Platform използващи стартовия комплект на CoE, е налично заобиколно решение. Вижте PIM Issue and Workaround #8119 за повече информация и подробности.

  • Не се поддържат присвоявания на роли чрез групи. Уверете се, че присвоявате роли директно на потребителя.