Nota
L'accés a aquesta pàgina requereix autorització. Podeu provar d'iniciar la sessió o de canviar els directoris.
L'accés a aquesta pàgina requereix autorització. Podeu provar de canviar els directoris.
[Aquest article forma part de la documentació preliminar i està subjecte a canvis.]
El control d'accés basat en rols (RBAC) a Power Platform permet als administradors assignar rols integrats als usuaris, grups i responsables de servei a l'abast del llogater, grup d'entorn o entorn. Aquest tutorial explica un escenari comú d'automatització: assignar el rol de Contribuïdor a un principal de servei a l'abast del llogater mitjançant l'API d'Autorització.
Per aprendre més sobre els conceptes RBAC, rols integrats i herència d'abast, consulteu Control d'accés basat en rols per al centre d'administració de Power Platform.
Important
- Aquesta és una característica de visualització prèvia.
- Les característiques en versió preliminar no estan dissenyades per a un entorn de producció i poden tenir una funcionalitat restringida. Aquestes funcions estan subjectes a termes d'ús suplementaris, i estan disponibles abans d'una versió oficial perquè els clients puguin obtenir access primerenc i donar comentaris.
En aquest tutorial, aprendràs a:
- Autentica't amb l'API de Power Platform.
- Llista de definicions de rol disponibles.
- Crea una assignació de rol per a un principal de serveis a l'abast del llogater.
- Verifica l'assignació del rol.
Requisits previs
- Un registre d'una aplicació Microsoft Entra configurat per a l'API de Power Platform, amb un certificat o secret del client per a l'autenticació del principal de servei. Per a orientació, vegeu Autenticació.
- L'ID d'Objecte d'Aplicació Enterprise per al principal de servei (que es troba ales aplicacions EnterpriseID> de Microsoft Entra).
- La identitat que crida ha de tenir el rol d'Administrador de Power Platform o d'administrador de control d'accés basat en el rol de Power Platform .
Definicions de rol integrades
Power Platform ofereix quatre rols integrats que es poden assignar mitjançant RBAC. Cada rol té un conjunt fix de permisos i es pot assignar al llogater, grup d'entorn o abast d'entorn.
| Nom de la funció | ID de rol | Permisos |
|---|---|---|
| Propietari de Power Platform | 0cb07c69-1631-4725-ab35-e59e001c51ea |
Tots els permisos |
| Col·laborador de Power Platform | ff954d61-a89a-4fbe-ace9-01c367b89f87 |
Gestionar i llegir tots els recursos, però no pots fer ni canviar assignacions de rols |
| Lector Power Platform | c886ad2e-27f7-4874-8381-5849b8d8a090 |
Accés de només lectura a tots els recursos |
| Administrador de control d'accés basat en rols de Power Platform | 95e94555-018c-447b-8691-bdac8e12211e |
Llegeix tots els recursos + gestiona assignacions de rols |
Pas 1. Llista de definicions de rol disponibles
Primer, autentica i recupera les definicions de rol disponibles per confirmar l'ID de rol del col·laborador.
# Install the Az.Accounts module if not already installed
Install-Module -Name Az.Accounts
# Set your tenant ID
$TenantId = "YOUR_TENANT_ID"
# Authenticate and obtain an access token
Connect-AzAccount
$AccessToken = Get-AzAccessToken -TenantId $TenantId -ResourceUrl "https://api.powerplatform.com/"
$headers = @{ 'Authorization' = 'Bearer ' + $AccessToken.Token }
$headers.Add('Content-Type', 'application/json')
# List all role definitions
$roleDefinitions = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleDefinitions?api-version=2024-10-01" -Headers $headers
$roleDefinitions.value | Format-Table roleDefinitionName, roleDefinitionId
Producció esperada:
roleDefinitionName roleDefinitionId
------------------ ----------------
Power Platform owner 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator 95e94555-018c-447b-8691-bdac8e12211e
Referència de l'API Power Platform: Control d'accésRole-Based - Definicions de rol de llista
Pas 2. Assignar el rol de Contribuent a un principal de servei
Crea una assignació de rol que atorgui el rol de col·laborador de Power Platform a un principal de servei dins l'abast del llogater. Substitueix YOUR_TENANT_ID pel teu GUID de lloguer i YOUR_ENTERPRISE_APP_OBJECT_ID per l'ID d'objecte d'aplicació empresarial de Microsoft Entra.
$TenantId = "YOUR_TENANT_ID"
$EnterpriseAppObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID"
$body = @{
roleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87"
principalObjectId = $EnterpriseAppObjectId
principalType = "ApplicationUser"
scope = "/tenants/$TenantId"
} | ConvertTo-Json
$roleAssignment = Invoke-RestMethod -Method Post -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers -Body $body
$roleAssignment
Producció esperada:
roleAssignmentId : a1b2c3d4-e5f6-7890-abcd-ef1234567890
principalObjectId : <your-enterprise-app-object-id>
roleDefinitionId : ff954d61-a89a-4fbe-ace9-01c367b89f87
scope : /tenants/<your-tenant-id>
principalType : ApplicationUser
createdOn : 2026-03-02T12:00:00.0000000+00:00
Referència de l'API de Power Platform: Control d'AccésRole-Based - Assignació de Rol de Creació
Pas 3. Verifica l'assignació del rol
Recupera totes les assignacions de rol per confirmar que existeix la nova assignació.
$roleAssignments = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers
# Filter for the service principal's assignments
$roleAssignments.value | Where-Object { $_.principalObjectId -eq $EnterpriseAppObjectId } | Format-Table roleAssignmentId, roleDefinitionId, scope, principalType
Producció esperada:
roleAssignmentId roleDefinitionId scope principalType
---------------- ---------------- ----- -------------
a1b2c3d4-e5f6-7890-abcd-ef1234567890 ff954d61-a89a-4fbe-ace9-01c367b89f87 /tenants/<your-tenant-id> ApplicationUser
Referència de l'API Power Platform: Control d'accés basat en rols - Assignacions de rols de llista