ערכת לימוד: הקצאת תפקידים למנהלי שירות (תצוגה מקדימה)

‏‫[מאמר זה הוא תיעוד קדם-הפצה והוא עשוי להשתנות.]‬

בקרת גישה מבוססת תפקיד (RBAC) ב- Power Platform מאפשרת למנהלי מערכת להקצות תפקידים מוכללים למשתמשים, לקבוצות ולמנהלי שירות בדייר, בקבוצת הסביבה או בטווח הסביבה. ערכת לימוד זו מנחה תרחיש אוטומציה נפוץ: הקצאת תפקיד המשתתף למנהל שירות בטווח הדייר באמצעות ה- API של מתן ההרשאות.

לקבלת מידע נוסף על מושגי RBAC, תפקידים מוכללים והעברת טווח בירושה, ראה בקרת גישה מבוססת תפקידים עבור מרכז הניהול של Power Platform.

חשוב

‏‫‏‫זוהי תכונת Preview.‬‬
תכונות Preview אינן מיועדות לשימוש בייצור וייתכן שיש להן פונקציונליות מוגבלת. תכונות אלה כפופות לתנאי שימוש נוספים, והן זמינות לפני מהדורה רשמית כדי שלקוחות יוכלו לקבל גישה מוקדמת ולספק משוב.

במדריך זה, תלמד כיצד:

בצע אימות באמצעות ה- API של Power Platform.
פרט הגדרות תפקיד זמינות.
צור הקצאת תפקיד עבור מנהל שירות בטווח הדייר.
אמת את הקצאת התפקיד.

‏‫דרישות מוקדמות‬

רישום יישום Entra של Microsoft שתצורתו נקבעה עבור ה- API של Power Platform, עם אישור או סוד לקוח עבור אימות ראשי של שירות. לקבלת הדרכה, ראה אימות.
מזהה אובייקט היישום הארגוני עבור מנהל השירות (נמצא ביישומי Microsoft Entra ID>Enterprise).
לזהות השיחות חייב להיות תפקיד מנהל מערכת של Power Platform או מנהל בקרת גישה המבוסס על תפקיד ב- Power Platform .

הגדרות תפקידים מוכללות

Power Platform מספק ארבעה תפקידים מוכללים שניתן להקצות באמצעות RBAC. לכל תפקיד יש קבוצה קבועה של הרשאות ובאפשרותך להקצות אותו בדייר, בקבוצת הסביבה או בטווח הסביבה.

שם התפקיד	מזהה תפקיד	‏‏הרשאות
בעלים של Power Platform	`0cb07c69-1631-4725-ab35-e59e001c51ea`	כל ההרשאות
משתתף ב- Power Platform	`ff954d61-a89a-4fbe-ace9-01c367b89f87`	ניהול וקריאת כל המשאבים, אך לא ניתן לבצע או לשנות הקצאות תפקידים
קורא של פאוור פלטפורם	`c886ad2e-27f7-4874-8381-5849b8d8a090`	גישה לקריאה בלבד לכל המשאבים
מנהל בקרת גישה מבוסס תפקידים של Power Platform	`95e94555-018c-447b-8691-bdac8e12211e`	קרא את כל המשאבים ונהל הקצאות תפקידים

שלב 1: פרט הגדרות תפקידים זמינות

תחילה, אמת ואחזר את הגדרות התפקיד הזמינות כדי לאשר את מזהה תפקיד המשתתף.

# Install the Az.Accounts module if not already installed
Install-Module -Name Az.Accounts

# Set your tenant ID
$TenantId = "YOUR_TENANT_ID"

# Authenticate and obtain an access token
Connect-AzAccount
$AccessToken = Get-AzAccessToken -TenantId $TenantId -ResourceUrl "https://api.powerplatform.com/"

$headers = @{ 'Authorization' = 'Bearer ' + $AccessToken.Token }
$headers.Add('Content-Type', 'application/json')

# List all role definitions
$roleDefinitions = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleDefinitions?api-version=2024-10-01" -Headers $headers

$roleDefinitions.value | Format-Table roleDefinitionName, roleDefinitionId

הפלט הצפוי:

roleDefinitionName                                          roleDefinitionId
------------------                                          ----------------
Power Platform owner                                        0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor                                  ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader                                       c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator      95e94555-018c-447b-8691-bdac8e12211e

using Microsoft.PowerPlatform.Management;
using Microsoft.PowerPlatform.Management.Models;

var client = ServiceClientFactory.Create(clientId);

// List all role definitions
var roleDefinitions = await client.Authorization.RoleDefinitions.GetAsync();

foreach (var role in roleDefinitions.Value)
{
    Console.WriteLine($"{role.RoleDefinitionName}: {role.RoleDefinitionId}");
}

הפלט הצפוי:

Power Platform owner: 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor: ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader: c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator: 95e94555-018c-447b-8691-bdac8e12211e

import asyncio
from azure.identity import InteractiveBrowserCredential
from kiota_authentication_azure.azure_identity_authentication_provider import AzureIdentityAuthenticationProvider
from kiota_http.httpx_request_adapter import HttpxRequestAdapter
from mspp_management.service_client_base import ServiceClientBase

credential = InteractiveBrowserCredential()
auth_provider = AzureIdentityAuthenticationProvider(
    credential,
    scopes=["https://api.powerplatform.com/.default"]
)
adapter = HttpxRequestAdapter(auth_provider)
adapter.base_url = "https://api.powerplatform.com"
client = ServiceClientBase(adapter)

# List all role definitions
role_definitions = await client.authorization.role_definitions.get()

for role in role_definitions.value:
    print(f"{role.role_definition_name}: {role.role_definition_id}")

הפלט הצפוי:

Power Platform owner: 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor: ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader: c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator: 95e94555-018c-447b-8691-bdac8e12211e

חומר עזר עבור API של Power Platform: Role-Based Access Control - הגדרות תפקיד רשימה

שלב 2: הקצאת תפקיד המשתתף למנהל שירות

צור הקצאת תפקיד המעניקה את תפקיד המשתתף של Power Platform למנהל שירות בטווח הדייר. החלף YOUR_TENANT_ID ב- GUID של הדייר YOUR_ENTERPRISE_APP_OBJECT_ID שלך ובהמזהה של אובייקט היישום הארגוני מ- Microsoft Entra ID.

$TenantId = "YOUR_TENANT_ID"
$EnterpriseAppObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID"

$body = @{
    roleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87"
    principalObjectId = $EnterpriseAppObjectId
    principalType = "ApplicationUser"
    scope = "/tenants/$TenantId"
} | ConvertTo-Json

$roleAssignment = Invoke-RestMethod -Method Post -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers -Body $body

$roleAssignment

הפלט הצפוי:

roleAssignmentId   : a1b2c3d4-e5f6-7890-abcd-ef1234567890
principalObjectId  : <your-enterprise-app-object-id>
roleDefinitionId   : ff954d61-a89a-4fbe-ace9-01c367b89f87
scope              : /tenants/<your-tenant-id>
principalType      : ApplicationUser
createdOn          : 2026-03-02T12:00:00.0000000+00:00

var request = new RoleAssignmentRequest
{
    RoleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87",
    PrincipalObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID",
    PrincipalType = "ApplicationUser",
    Scope = "/tenants/YOUR_TENANT_ID"
};

var roleAssignment = await client.Authorization.RoleAssignments.PostAsync(request);

Console.WriteLine($"Assignment ID: {roleAssignment.Value[0].RoleAssignmentId}");
Console.WriteLine($"Scope: {roleAssignment.Value[0].Scope}");
Console.WriteLine($"Principal: {roleAssignment.Value[0].PrincipalObjectId}");

from mspp_management.models.role_assignment_request import RoleAssignmentRequest

request = RoleAssignmentRequest(
    role_definition_id="ff954d61-a89a-4fbe-ace9-01c367b89f87",
    principal_object_id="YOUR_ENTERPRISE_APP_OBJECT_ID",
    principal_type="ApplicationUser",
    scope="/tenants/YOUR_TENANT_ID",
)

role_assignment = await client.authorization.role_assignments.post(request)

print(f"Assignment ID: {role_assignment.value[0].role_assignment_id}")
print(f"Scope: {role_assignment.value[0].scope}")
print(f"Principal: {role_assignment.value[0].principal_object_id}")

חומר עזר עבור API של Power Platform: Role-Based Access Control - יצירת הקצאת תפקידים

שלב 3: אימות הקצאת התפקיד

אחזר את כל הקצאות התפקידים כדי לאשר שההקצאה החדשה קיימת.

$roleAssignments = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers

# Filter for the service principal's assignments
$roleAssignments.value | Where-Object { $_.principalObjectId -eq $EnterpriseAppObjectId } | Format-Table roleAssignmentId, roleDefinitionId, scope, principalType

הפלט הצפוי:

roleAssignmentId                        roleDefinitionId                        scope                          principalType
----------------                        ----------------                        -----                          -------------
a1b2c3d4-e5f6-7890-abcd-ef1234567890    ff954d61-a89a-4fbe-ace9-01c367b89f87    /tenants/<your-tenant-id>      ApplicationUser

var roleAssignments = await client.Authorization.RoleAssignments.GetAsync();

var myAssignments = roleAssignments.Value
    .Where(a => a.PrincipalObjectId == "YOUR_ENTERPRISE_APP_OBJECT_ID");

foreach (var assignment in myAssignments)
{
    Console.WriteLine($"ID: {assignment.RoleAssignmentId}");
    Console.WriteLine($"Role: {assignment.RoleDefinitionId}");
    Console.WriteLine($"Scope: {assignment.Scope}");
    Console.WriteLine($"Type: {assignment.PrincipalType}");
}

role_assignments = await client.authorization.role_assignments.get()

my_assignments = [
    a for a in role_assignments.value
    if a.principal_object_id == "YOUR_ENTERPRISE_APP_OBJECT_ID"
]

for assignment in my_assignments:
    print(f"ID: {assignment.role_assignment_id}")
    print(f"Role: {assignment.role_definition_id}")
    print(f"Scope: {assignment.scope}")
    print(f"Type: {assignment.principal_type}")

חומר עזר עבור API של Power Platform: בקרת גישה מבוססת תפקיד - הקצאות תפקידי רשימה

משוב

האם עמוד זה היה מועיל?

Last updated on 2026-03-12

שתף באמצעות

ערכת לימוד: הקצאת תפקידים למנהלי שירות (תצוגה מקדימה)

‏‫דרישות מוקדמות‬

הגדרות תפקידים מוכללות

שלב 1: פרט הגדרות תפקידים זמינות

שלב 2: הקצאת תפקיד המשתתף למנהל שירות

שלב 3: אימות הקצאת התפקיד

תוכן קשור

משוב

משאבים נוספים