Kudeatu administratzaile-rolak Microsoft Entra Identitate-kudeaketa pribilegioarekin

Erabili Microsoft Entra Identitate-kudeaketa pribilegiatua (PIM) Power Platform administrazio-zentroan pribilegio handiko administratzaile-rolak kudeatzeko.

Aurrebaldintzak

• Kendu sistema-administratzaileen rol zaharrak zure inguruneetan. PowerShell script-ak erabil ditzakezu nahi ez diren erabiltzaileak Sistema-administratzailea funtziotik batean edo gehiagotan Power Platform inguruneak.

Eginbideen euskarriaren aldaketak

Microsoft jada ez die Sistemaren administratzailea funtzioa automatikoki esleitzen, hala nola, Power Platform Administratzailea eta Dynamics 365 Administratzailea bezalako funtzio globalak edo zerbitzu-mailak dituzten erabiltzaileei.

Administratzaile hauek Power Platform administrazio zentroan saioa hasten jarrai dezakete, pribilegio hauekin:

• Gaitu edo desgaitu maizter-mailako ezarpenak
• Ikusi inguruneen analisi-informazioa
• Ikusi ahalmenaren kontsumoa

Administratzaile hauek ezin dituzte egin Dataverse datuetarako zuzeneko sarbidea behar duten jarduerak lizentziarik gabe. Jarduera horien adibideak hauek dira:

• Ingurune bateko erabiltzaile baten segurtasun-funtzio eguneratzea
• Ingurune baterako aplikazioak instalatzea

Garrantzitsua da

Administratzaile globalek, Power Platform administratzaileek eta Dynamics 365 zerbitzuko administratzaileek beste urrats bat osatu behar dute Dataverserako sarbidea behar duten jarduerak egin ahal izateko. Sarbidea behar duten ingurunean Sistema Administratzailea eginkizunera igo behar dute. Altuera-ekintza guztiak Microsoft Purview-en erregistratzen dira.

Muga ezagunak

• APIa erabiltzean, ohartzen zara deitzen duena sistema-administratzailea bada, auto-altxatutako deiak arrakasta bat itzultzen duela deitzaileari sistema-administratzailea dagoeneko badagoela jakinarazi beharrean.

• Deia egiten duen erabiltzaileari maizterren administratzaile rola esleitu behar zaio. Maizterren administratzaile-irizpideak betetzen dituzten erabiltzaileen zerrenda osoa ikusteko, ikus Eginbideen laguntzarako aldaketak.

• Dynamics 365 administratzailea bazara eta ingurunea segurtasun talde batek babestuta badago, segurtasun taldeko kide izan behar duzu. Arau hau ez zaie administratzaile global edo Power Platform administratzaile rolak dituzten erabiltzaileei aplikatzen.

• Altxatze APIa bere egoera igo behar duen erabiltzaileak soilik dei dezake. Ez du onartzen beste erabiltzaile baten izenean API deiak egitea altuera helburuetarako.

• Norberaren igoeraren bidez esleitutako sistema-administratzailearen rola ez da kentzen rol-esleipena Pribilegiodun Identity Management-en amaitzen denean. Erabiltzailea eskuz kendu behar duzu sistema-administratzaile-eginkizunetik. Ikus garbiketa jarduera

• Konponbide bat eskuragarri dago Microsoft Power Platform CoE Starter Kit-a erabiltzen duten bezeroentzat. Ikus PIM arazoa eta #8119 konponbidea informazio eta xehetasun gehiago lortzeko.

• Ez dira onartzen taldeen bidezko rolak esleitzea. Ziurtatu erabiltzaileari zuzenean esleitzen dizkiozun rolak.

Auto-altxatu sistemaren administratzaile-eginkizunera

PowerShell erabiliz edo Power Platform administrazio zentroko esperientzia intuitibo baten bidez onartzen dugu altuera.

Oharra

Auto-altxatzen saiatzen diren erabiltzaileek Administratzaile globala, Power Platform administratzailea edo Dynamics 365 administratzailea izan behar dute. Power Platform administrazio-zentroko erabiltzailearen interfazea ez dago erabilgarri Entra ID-ren beste administratzaile rolak dituzten erabiltzaileentzat eta PowerShell APIaren bidez auto-altxatzen saiatzeak errore bat ematen du.

Auto-altxatu PowerShell bidez

Konfiguratu PowerShell

Instalatu MSAL PowerShell modulua. Modulua behin bakarrik instalatu behar duzu.

Install-Module -Name MSAL.PS

PowerShell konfiguratzeari buruzko informazio gehiago lortzeko, ikus PowerShell-ekin eta Visual Studio Kodearekin Quick Start Web APIa.

Urrats 1: Exekutatu scripta igotzeko

PowerShell script honetan, zuk:

• Autentifikatu, Power Platform APIa erabiliz.
• Sortu http kontsulta zure ingurunearen IDarekin.
• Deitu API amaierako puntura kota eskatzeko.

Gehitu zure ingurunearen IDa

1. Lortu zure Ingurumen ID Inguruneak fitxatik Power Platform Administrazio zentroko.

2. Gehitu zure <environment id> esklusiboa gidoiari.

Exekutatu gidoia

Kopiatu eta itsatsi scripta PowerShell kontsola batean.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

Urrats 2: baieztatu emaitza

Arrakasta izanez gero, hurrengo irteeraren antzeko irteera bat ikusiko duzu. Bilatu "Code": "UserExists" zure rola arrakastaz goratu duzulako froga gisa.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

Errors

Baliteke errore-mezu bat agertzea baimen egokiak ez badituzu.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Urrats 3: Garbiketa jarduera

Exekutatu Remove-RoleAssignmentFromUsers erabiltzaileak segurtasun-funtzio sistema-administratzailetik kentzeko esleipena PIM-n iraungi ondoren.

• -roleName: "Sistema Administratzailea" edo beste rol bat
• -usersFilePath: CSV fitxategirako bidea erabiltzailearen izen nagusien zerrendarekin (lerro bakoitzeko bat)
• -environmentUrl: admin.powerplatform.microsoft.com helbidean aurkitu da
• -processAllEnvironments: (Aukerakoa) Prozesatu zure ingurune guztiak
• -geo: Baliozko GEO bat
• -outputLogsDirectory: erregistro-fitxategiak idazten diren bidea

Gidoi adibidea

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Auto-altxatu Power Platform administrazio zentroaren bidez

1. Hasi saioa hurrengoan Power Platform administrazio-zentroa.

2. Ezkerreko alboko panelean, hautatu Inguruak.

3. Hautatu zure ingurunearen ondoko kontrol-marka.

4. Hautatu Kidetza komando-barran auto-altxa eskatzeko.

5. Sistema-administratzaileak panela bistaratzen da. Gehitu zeure burua sistemaren administratzaile rolari Gehitu nazazu hautatuta.