Gestionar les funcions d'administrador amb Microsoft Entra l'administració d'identitats privilegiades
Utilitzeu Microsoft Entra l'administració d'identitats privilegiades (PIM) per administrar funcions d'administrador amb privilegis alts al centre d'administració Power Platform .
Requisits previs
- Suprimiu les assignacions de funcions d'administrador del sistema antigues als vostres entorns. Podeu utilitzar scripts del PowerShell per inventariar i suprimir usuaris no desitjats de la funció d'administrador del sistema en un o més Power Platform entorns.
Canvis en el suport de funcions
Microsoft ja no assigna automàticament la funció d'administrador del sistema als usuaris amb funcions d'administrador global o de nivell de servei, com ara Power Platform administrador i administrador del Dynamics 365.
Aquests administradors poden continuar iniciant sessió al centre d'administració Power Platform amb aquests privilegis:
- Habilitar o inhabilitar la configuració del nivell d'inquilí
- Visualitzar la informació d'anàlisi dels entorns
- Veure consum d'aforament
Aquests administradors no poden realitzar activitats que requereixin accés directe a Dataverse les dades sense llicència. Alguns exemples d'aquestes activitats inclouen:
- Actualització de la funció de seguretat d'un usuari en un entorn
- Instal·lació d'aplicacions per a un entorn
Important
Els administradors globals, Power Platform els administradors i els administradors del servei del Dynamics 365 han de completar un altre pas abans de poder realitzar activitats que Dataverse requereixen accés. Han d'elevar-se a la funció d'administrador del sistema a l'entorn on necessiten accés. Totes les accions d'elevació es registren a Microsoft Purview.
Limitacions conegudes
Quan utilitzeu l'API, observeu que si la persona que truca és un administrador del sistema, la trucada d'elevació automàtica retorna un èxit en lloc de notificar a la persona que truca que l'administrador del sistema ja existeix.
L'usuari que fa la trucada ha de tenir assignada la funció d'administrador de l'inquilí. Per obtenir una llista completa dels usuaris que compleixen els criteris d'administrador de l'inquilí, vegeu Canvis en la compatibilitat amb les característiques
Si sou administrador del Dynamics 365 i l'entorn està protegit per un grup de seguretat, heu de ser membre del grup de seguretat. Aquesta regla no s'aplica als usuaris amb les funcions d'administrador global o Power Platform d'administrador.
L'API d'elevació només pot ser invocada per l'usuari que necessita elevar el seu estat. No admet fer trucades API en nom d'un altre usuari amb finalitats d'elevació.
La funció d'administrador del sistema assignada mitjançant l'elevació automàtica no se suprimeix quan l'assignació de funcions caduca a l'Administració d'identitats privilegiades. Heu de suprimir manualment l'usuari de la funció d'administrador del sistema. Veure l'activitat de neteja
Hi ha una solució alternativa disponible per als clients que utilitzen el kit d'inici de Microsoft Power Platform CoE. Vegeu Problema i solució alternativa del PIM #8119 per obtenir més informació i detalls.
No s'admeten les assignacions de funcions a través de grups. Assegureu-vos d'assignar funcions directament a l'usuari.
Autoelevar-se a la funció d'administrador del sistema
Admetem l'elevació mitjançant PowerShell o mitjançant una experiència intuïtiva al Power Platform centre d'administració.
Nota
Els usuaris que intentin elevar-se automàticament han de ser administradors globals, Power Platform administradors o administradors del Dynamics 365. La interfície d'usuari del Power Platform centre d'administració no està disponible per als usuaris amb altres funcions d'administrador de l'Entra ID i l'intent d'elevar-se automàticament mitjançant l'API del PowerShell retorna un error.
Autoelevació mitjançant PowerShell
Configurar el PowerShell
Instal·leu el mòdul MSAL PowerShell. Només cal instal·lar el mòdul una vegada.
Install-Module -Name MSAL.PS
Per obtenir més informació sobre la configuració del PowerShell, vegeu API web d'inici ràpid amb PowerShell i Visual Studio codi.
Pas 1: executeu l'script per elevar
En aquest script del PowerShell:
- Autenticar-se mitjançant l'API Power Platform .
- Creeu una
httpconsulta amb l'identificador d'entorn. - Truqueu a l'extrem de l'API per sol·licitar l'elevació.
Afegir l'identificador de l'entorn
Obteniu l'identificador d'entorn a la pestanya Entorns del Centre d'administració Power Platform .
Afegiu el vostre únic
<environment id>a l'script.
Executar l'script
Copieu i enganxeu l'script en una consola del PowerShell.
# Set your environment ID
$environmentId = "<your environment id>"
Import-Module MSAL.PS
# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default'
$Headers = @{
Authorization = "Bearer $($AuthResult.AccessToken)"
'Content-Type' = "application/json"
}
$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";
try {
$postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri
}
catch {
# Dig into the exception to get the Response details.
Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"]
Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__
Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription
$result = $_.Exception.Response.GetResponseStream()
$reader = New-Object System.IO.StreamReader($result)
$reader.BaseStream.Position = 0
$reader.DiscardBufferedData()
$responseBody = $reader.ReadToEnd();
Write-Host $responseBody
}
$output = $postRequestResponse | ConvertTo-Json -Depth 2
Write-Host $output
Pas 2: confirmeu el resultat
En cas d'èxit, veureu una sortida similar a la següent. Busqueu "Code": "UserExists" com a prova que heu elevat amb èxit el vostre paper.
{
"errors": [],
"information": [
{
"Subject": "Result",
"Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
"Code": "UserExists"
},
{ ... }
}
Errors
És possible que vegis un missatge d'error si no tens els permisos adequats.
"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."
Pas 3: activitat de neteja
Executeu Remove-RoleAssignmentFromUsers per suprimir usuaris de la funció de seguretat Administrador del sistema després que l'assignació caduqui al PIM.
-roleName: "Administrador del sistema" o una altra funció-usersFilePath: Camí al fitxer CSV amb llista de noms principals d'usuari (un per línia)-environmentUrl: Trobat a admin.powerplatform.microsoft.com-processAllEnvironments: (Opcional) Processa tots els teus entorns-geo: Una GEO vàlida-outputLogsDirectory: Camí on s'escriuen els fitxers de registre
Exemple de script
Remove-RoleAssignmentFromUsers
-roleName "System Administrator"
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"
Autoelevació mitjançant el Power Platform centre d'administració
Inicieu la sessió al Centre d'administració del Power Platform.
Al tauler lateral esquerre, seleccioneu Entorns.
Seleccioneu la marca de verificació que hi ha al costat del vostre entorn.
Seleccioneu Pertinença a la barra d'ordres per sol·licitar l'elevació automàtica.
Es mostra la subfinestra Administradors del sistema. Afegiu-vos a la funció d'administrador del sistema seleccionant Afegeix-me.
