इसके माध्यम से साझा किया गया

Microsoft Entra विशेषाधिकार प्राप्त पहचान प्रबंधन के साथ व्यवस्थापक भूमिकाएँ प्रबंधित करें

  • आलेख

व्यवस्थापन केंद्र में उच्च-विशेषाधिकार प्राप्त व्यवस्थापक भूमिकाओं को प्रबंधित करने के लिए विशेषाधिकार प्राप्त पहचान प्रबंधन (PIM) का उपयोग करें। Microsoft Entra Power Platform

पूर्वावश्यकताएँ

  • अपने परिवेश में पुराने सिस्टम व्यवस्थापक भूमिका असाइनमेंट हटाएँ. आप एक या अधिक परिवेशों में सिस्टम व्यवस्थापक भूमिका से अवांछित उपयोगकर्ताओं की सूची बनाने और उन्हें हटाने के लिए PowerShell स्क्रिप्ट का उपयोग कर सकते हैं। Power Platform

सुविधा समर्थन में परिवर्तन

Microsoft अब वैश्विक या सेवा स्तर व्यवस्थापक भूमिकाओं जैसे कि व्यवस्थापक और Dynamics 365 व्यवस्थापक वाले उपयोगकर्ताओं को स्वचालित रूप से सिस्टम व्यवस्थापक भूमिका असाइन नहीं की जाती है. Power Platform

ये व्यवस्थापक इन विशेषाधिकारों के साथ व्यवस्थापन केंद्र में लॉग इन करना जारी रख सकते हैं: Power Platform

  • टेनेंट स्तर की सेटिंग सक्षम या अक्षम करें
  • परिवेशों के लिए विश्लेषण जानकारी देखें
  • क्षमता खपत देखें

ये व्यवस्थापक ऐसी गतिविधियाँ नहीं कर सकते जिनके लिए लाइसेंस के बिना डेटा तक सीधी पहुँच की आवश्यकता होती है। Dataverse इन गतिविधियों के उदाहरणों में शामिल हैं:

  • किसी परिवेश में किसी उपयोगकर्ता के लिए सुरक्षा भूमिका को अद्यतन करना
  • किसी परिवेश के लिए ऐप्स इंस्टॉल करना

महत्त्वपूर्ण

वैश्विक व्यवस्थापकों, Power Platform व्यवस्थापकों और Dynamics 365 सेवा व्यवस्थापकों को Dataverse तक पहुँच की आवश्यकता वाली गतिविधियाँ निष्पादित करने से पहले एक और चरण पूरा करना होगा. उन्हें उस वातावरण में स्वयं को सिस्टम प्रशासक की भूमिका में लाना होगा जहां उन्हें पहुंच की आवश्यकता है। सभी उन्नयन क्रियाएं Purview में लॉग की जाती हैं। Microsoft

ज्ञात सीमाएँ

  • API का उपयोग करते समय, आप देखेंगे कि यदि कॉलर एक सिस्टम प्रशासक है, तो सेल्फ-एलिवेट कॉल, कॉलर को यह सूचित करने के बजाय कि सिस्टम प्रशासक पहले से मौजूद है, सफलता लौटाता है।

  • कॉल करने वाले उपयोगकर्ता को टेनेंट व्यवस्थापक भूमिका सौंपी जानी चाहिए. टेनेंट एडमिन मानदंड को पूरा करने वाले उपयोगकर्ताओं की पूरी सूची के लिए, देखें फीचर समर्थन में परिवर्तन

  • यदि आप Dynamics 365 व्यवस्थापक हैं और परिवेश किसी सुरक्षा समूह द्वारा सुरक्षित है, तो आपको सुरक्षा समूह का सदस्य होना चाहिए. यह नियम वैश्विक व्यवस्थापक या Power Platform व्यवस्थापक भूमिका वाले उपयोगकर्ताओं पर लागू नहीं होता है.

  • उन्नयन एपीआई का उपयोग केवल उस उपयोगकर्ता द्वारा किया जा सकता है जिसे अपनी स्थिति बढ़ाने की आवश्यकता हो। यह उन्नयन प्रयोजनों के लिए किसी अन्य उपयोगकर्ता की ओर से API कॉल करने का समर्थन नहीं करता है।

  • स्व-उन्नयन के माध्यम से असाइन की गई सिस्टम व्यवस्थापक भूमिका को तब नहीं हटाया जाता है जब विशेषाधिकार प्राप्त पहचान प्रबंधन में भूमिका असाइनमेंट की समय सीमा समाप्त हो जाती है। आपको उपयोगकर्ता को सिस्टम व्यवस्थापक भूमिका से मैन्युअल रूप से हटाना होगा. सफ़ाई गतिविधि देखें

  • CoE स्टार्टर किट का उपयोग करने वाले ग्राहकों के लिए एक वैकल्पिक समाधान उपलब्ध है। Microsoft Power Platform अधिक जानकारी और विवरण के लिए PIM समस्या और समाधान #8119 देखें।

  • समूहों के माध्यम से भूमिका असाइनमेंट समर्थित नहीं हैं. सुनिश्चित करें कि आप सीधे उपयोगकर्ता को भूमिकाएं सौंपें.

सिस्टम प्रशासक की भूमिका में स्वयं को आगे बढ़ाना

हम PowerShell का उपयोग करके या व्यवस्थापक केंद्र में सहज अनुभव के माध्यम से उन्नयन का समर्थन करते हैं। Power Platform

नोट

स्व-उन्नयन का प्रयास करने वाले उपयोगकर्ताओं को ग्लोबल एडमिन, Power Platform एडमिन या Dynamics 365 एडमिन होना चाहिए। Power Platform एडमिन सेंटर में यूजर इंटरफ़ेस अन्य Entra ID एडमिन भूमिकाओं वाले उपयोगकर्ताओं के लिए उपलब्ध नहीं है और PowerShell API के माध्यम से स्व-उन्नयन का प्रयास करने पर त्रुटि लौटती है।

PowerShell के माध्यम से स्वयं को उन्नत करें

PowerShell सेट अप करें

MSAL PowerShell मॉड्यूल स्थापित करें. आपको मॉड्यूल को केवल एक बार स्थापित करना होगा।

Install-Module -Name MSAL.PS

PowerShell सेट अप करने के बारे में अधिक जानकारी के लिए, PowerShell के साथ त्वरित प्रारंभ वेब API और Visual Studio कोड देखें।

चरण 1: स्क्रिप्ट को ऊपर उठाने के लिए चलाएँ

इस PowerShell स्क्रिप्ट में, आप:

  • Power Platform API का उपयोग करके प्रमाणीकरण करें.
  • अपने परिवेश आईडी के साथ एक क्वेरी बनाएँ. http
  • उन्नयन का अनुरोध करने के लिए API एंडपॉइंट को कॉल करें।
अपना परिवेश आईडी जोड़ें

  1. व्यवस्थापक केंद्र के पर्यावरण टैब से अपना पर्यावरण आईडी Power Platform प्राप्त करें.

  2. स्क्रिप्ट में अपना अद्वितीय <environment id> जोड़ें.

स्क्रिप्ट चलाएँ

स्क्रिप्ट को कॉपी करें और PowerShell कंसोल में पेस्ट करें.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

चरण 2: परिणाम की पुष्टि करें

सफलता मिलने पर, आपको निम्नलिखित आउटपुट के समान आउटपुट दिखाई देगा। इस बात के प्रमाण के रूप में देखें कि आपने अपनी भूमिका को सफलतापूर्वक उन्नत किया है। "Code": "UserExists" 

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}
Errors

यदि आपके पास सही अनुमतियाँ नहीं हैं तो आपको त्रुटि संदेश दिखाई दे सकता है.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

चरण 3: सफ़ाई गतिविधि

PIM में असाइनमेंट की समय-सीमा समाप्त होने के बाद सिस्टम एडमिनिस्ट्रेटर सुरक्षा भूमिका से उपयोगकर्ताओं को हटाने के लिए Remove-RoleAssignmentFromUsers चलाएँ।

  • -roleName: "सिस्टम एडमिनिस्ट्रेटर" या कोई अन्य भूमिका
  • -usersFilePath: उपयोगकर्ता प्रमुख नामों की सूची के साथ CSV फ़ाइल का पथ (प्रति पंक्ति एक)
  • -environmentUrl: admin.powerplatform.microsoft.com पर मिला
  • -processAllEnvironments: (वैकल्पिक) अपने सभी वातावरणों को संसाधित करें
  • -geo: एक वैध GEO
  • -outputLogsDirectory: पथ जहाँ लॉग फ़ाइलें लिखी जाती हैं
उदाहरण स्क्रिप्ट
Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Power Platform व्यवस्थापक केंद्र के माध्यम से स्वयं को उन्नत करें

  1. Power Platform व्यवस्थापन केंद्र में साइन इन करें.

  2. बाईं ओर के पैनल में, पर्यावरण का चयन करें.

  3. अपने परिवेश के आगे स्थित चेकमार्क का चयन करें.

  4. स्व-उन्नयन का अनुरोध करने के लिए कमांड बार में सदस्यता का चयन करें।

  5. सिस्टम प्रशासक फलक प्रदर्शित होता है. मुझे जोड़ें का चयन करके स्वयं को सिस्टम व्यवस्थापक भूमिका में जोड़ें।

    स्व-उन्नयन का अनुरोध करने के लिए सदस्यता मेनू विकल्प का उपयोग करें।