Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
[Tento článek je předběžným vydáním dokumentace a může se změnit.]
Řízení přístupu na základě role (RBAC) v Power Platform umožňuje správcům přiřazovat předdefinované role uživatelům, skupinám a instančním objektům v oboru tenanta, skupiny prostředí nebo prostředí. Tento kurz vás provede běžným scénářem automatizace: Přiřazení role Přispěvatel instančnímu objektu v oboru tenanta pomocí autorizačního rozhraní API.
Další informace o konceptech RBAC, předdefinovaných rolích a dědičnosti rozsahu najdete v tématu Řízení přístupu na základě role pro Centrum pro správu Power Platform.
Important
- Toto je funkce ve verzi Preview.
- Funkce náhledu nejsou určeny pro produkční použití a mohou mít omezenou funkčnost. Tyto funkce podléhají dodatečným podmínkám použití a jsou k dispozici před oficiálním vydáním, aby zákazníci mohli získat včasný přístup a poskytnout zpětnou vazbu.
V tomto kurzu se naučíte:
- Ověřte se pomocí rozhraní API Power Platform.
- Výpis dostupných definic rolí
- Vytvořte přiřazení role pro instanční objekt v oboru tenanta.
- Zkontrolujte přiřazení role.
Předpoklady
- Registrace aplikace Microsoft Entra nakonfigurovaná pro rozhraní API Power Platform s certifikátem nebo tajným kódem klienta pro ověřování instančního objektu. Pokyny najdete v tématu Ověřování.
- ID objektu podnikové aplikace pro instanční objekt (nachází se vpodnikových aplikacích>).
- Volající identita musí mít roli správceřízení přístupu na základě role Power Platform nebo Správce řízení přístupu na základě platformy Power Platform .
Předdefinované definice rolí
Power Platform poskytuje čtyři předdefinované role, které je možné přiřadit prostřednictvím RBAC. Každá role má pevnou sadu oprávnění a dá se přiřadit v tenantovi, skupině prostředí nebo oboru prostředí.
| Název role | Role ID | Permissions |
|---|---|---|
| Vlastník Power Platform | 0cb07c69-1631-4725-ab35-e59e001c51ea |
Všechna oprávnění |
| Přispěvatel Power Platform | ff954d61-a89a-4fbe-ace9-01c367b89f87 |
Správa a čtení všech prostředků, ale nemůže provádět ani měnit přiřazení rolí |
| Čtečka Power Platform | c886ad2e-27f7-4874-8381-5849b8d8a090 |
Přístup jen pro čtení ke všem prostředkům |
| Správce řízení přístupu na základě role na platformě Power Platform | 95e94555-018c-447b-8691-bdac8e12211e |
Čtení všech prostředků a správa přiřazení rolí |
Krok 1. Výpis dostupných definic rolí
Nejprve ověřte a načtěte dostupné definice role, abyste potvrdili ID role přispěvatele.
# Install the Az.Accounts module if not already installed
Install-Module -Name Az.Accounts
# Set your tenant ID
$TenantId = "YOUR_TENANT_ID"
# Authenticate and obtain an access token
Connect-AzAccount
$AccessToken = Get-AzAccessToken -TenantId $TenantId -ResourceUrl "https://api.powerplatform.com/"
$headers = @{ 'Authorization' = 'Bearer ' + $AccessToken.Token }
$headers.Add('Content-Type', 'application/json')
# List all role definitions
$roleDefinitions = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleDefinitions?api-version=2024-10-01" -Headers $headers
$roleDefinitions.value | Format-Table roleDefinitionName, roleDefinitionId
Očekávaný výstup:
roleDefinitionName roleDefinitionId
------------------ ----------------
Power Platform owner 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator 95e94555-018c-447b-8691-bdac8e12211e
Referenční informace k rozhraní API power platform: Role-Based řízení přístupu – Výpis definic rolí
Krok 2. Přiřazení role Přispěvatel k instančnímu objektu
Vytvořte přiřazení role, které udělí roli přispěvatele Power Platform instančnímu objektu v oboru tenanta. Nahraďte YOUR_TENANT_ID identifikátorem GUID tenanta a YOUR_ENTERPRISE_APP_OBJECT_ID ID objektu podnikové aplikace z Microsoft Entra ID.
$TenantId = "YOUR_TENANT_ID"
$EnterpriseAppObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID"
$body = @{
roleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87"
principalObjectId = $EnterpriseAppObjectId
principalType = "ApplicationUser"
scope = "/tenants/$TenantId"
} | ConvertTo-Json
$roleAssignment = Invoke-RestMethod -Method Post -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers -Body $body
$roleAssignment
Očekávaný výstup:
roleAssignmentId : a1b2c3d4-e5f6-7890-abcd-ef1234567890
principalObjectId : <your-enterprise-app-object-id>
roleDefinitionId : ff954d61-a89a-4fbe-ace9-01c367b89f87
scope : /tenants/<your-tenant-id>
principalType : ApplicationUser
createdOn : 2026-03-02T12:00:00.0000000+00:00
Referenční informace k rozhraní API power platform: Role-Based řízení přístupu – Vytvoření přiřazení role
Krok 3. Ověření přiřazení role
Načtením všech přiřazení rolí potvrďte, že nové přiřazení existuje.
$roleAssignments = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers
# Filter for the service principal's assignments
$roleAssignments.value | Where-Object { $_.principalObjectId -eq $EnterpriseAppObjectId } | Format-Table roleAssignmentId, roleDefinitionId, scope, principalType
Očekávaný výstup:
roleAssignmentId roleDefinitionId scope principalType
---------------- ---------------- ----- -------------
a1b2c3d4-e5f6-7890-abcd-ef1234567890 ff954d61-a89a-4fbe-ace9-01c367b89f87 /tenants/<your-tenant-id> ApplicationUser
Referenční informace k rozhraní API služby Power Platform: Řízení přístupu na základě role – Výpis přiřazení rolí