שתף באמצעות

יצירת יישום מנהל שירות באמצעות PowerShell‏

  • מאמר

אימות באמצעות שם משתמש וסיסמה לרוב אינו אידיאלי, במיוחד עם עליית השימוש באימות רב-גורמי. במקרים כאלה עדיף להשתמש באימות של מנהל שירות (או זרימת אישורי לקוח). ניתן לעשות זאת הן על ידי רישום יישום ראשי של שירות חדש אצל דייר Microsoft Entra משלך והן על ידי רישום של אותו יישום ב- Power Platform.

רישום יישום לניהול מנהל מערכת

ראשית, יישום הלקוח צריך להיות רשום בדייר Microsoft Entra שלך. כדי להגדיר זאת, עיין במאמר ‎אימות‎ עבור ממשקי API של Power Platform מכיוון שאותה הגדרת יישום נדרשת עבור PowerShell.

אחרי שיישום הלקוח שלך נרשם ב- Microsoft Entra ID, הוא גם צריך להיות רשום אצל Microsoft Power Platform. כיום, אין דרך לעשות זאת באמצעות מרכז הניהול של Power Platform; זה חייב להתבצע באופן תכנותי באמצעות ממשק API או PowerShell של Power Platform עבור Power Platform למנהלי מערכת. מנהל שירות לא יכול לרשום את עצמו - לפי התכנון, על היישום להירשם על-ידי הקשר שם משתמש וסיסמה מסוג מנהל מערכת. זה מבטיח שהיישום נוצר על ידי מישהו שהוא מנהל מערכת עבור הדייר.

כדי לרשום יישום ניהול חדש, השתמש בסקריפט הבא:

$appId = "CLIENT_ID_FROM_AZURE_APP"

# Login interactively with a tenant administrator for Power Platform
Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId 

# Register a new application, this gives the SPN / client application same permissions as a tenant admin
New-PowerAppManagementApp -ApplicationId $appId

הגש בקשות כמנהל השירות

עכשיו שהוא נרשם ב-Microsoft Power Platform, אתה יכול לבצע אימות בתור מנהל השירות עצמו. השתמש ב-script הבא כדי לבצע שאילתה של רשימת הסביבות שלך:

$appId = "CLIENT_ID_FROM_AZURE_APP"
$secret = "SECRET_FROM_AZURE_APP"
$tenantId = "TENANT_ID_FROM_AZURE_APP"

Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId -ApplicationId $appId -ClientSecret $secret -Verbose
Get-AdminPowerAppEnvironment

מגבלות של מנהלי השירות

בשלב זה, אימות מנהלי השירות פועל בניהול סביבה, הגדרות דיירים וניהול Power Apps. Cmdlets הקשורים ל- Flow נתמכים עבור אימות מנהלי שירות במצבים שבהם אין צורך ברישיון, מכיוון שלא ניתן להקצות רישיונות לזהויות מנהלי שירות ב- Microsoft Entra ID.

יישומי שירות עיקריים מטופלים בתוך Power Platform בדומה לאופן שבו מטופלים משתמשים רגילים עם תפקיד מנהל מערכת Power Platform שהוקצה. לא ניתן להקצות תפקידים והרשאות מפורטות כדי להגביל את היכולות שלהם. היישום לא מקבל תפקיד מיוחד כלשהו ב- Microsoft Entra ID, מכיוון שכך מתייחסים שירותי הפלטפורמה לבקשות של מנהלי שירות.