Upravljanje administratorskim ulogama pomoću Microsoft Entra upravljanja privilegiranim identitetima

Koristite Microsoft Entra upravljanje privilegiranim identitetima (PIM) za upravljanje administratorskim ulogama s visokim privilegijama u Power Platform centru za administratore.

Preduvjeti

• Uklonite stare dodjele uloga administratora sustava u svojim okruženjima. PowerShell skripte možete koristiti za inventar i uklanjanje neželjenih korisnika iz uloge administratora sustava u jednom ili više okruženja. Power Platform

Promjene u podršci za značajke

Microsoft više ne dodjeljuje automatski ulogu administratora sustava korisnicima s globalnim administratorskim ulogama ili ulogama administratora na razini usluge, kao što su Power Platform administrator i administrator sustava Dynamics 365.

Ti se administratori mogu nastaviti prijavljivati u Power Platform centar za administratore sa sljedećim privilegijama:

• Omogućivanje ili onemogućavanje postavki na razini klijenta
• Prikaz analitičkih informacija za okruženja
• Prikaz potrošnje kapaciteta

Ti administratori ne mogu obavljati aktivnosti koje zahtijevaju izravan pristup Dataverse podacima bez licence. Primjeri tih aktivnosti uključuju:

• Ažuriranje sigurnosna uloga za korisnika u okruženju
• Instaliranje aplikacija za okruženje

Važno

Globalni administratori, Power Platform administratori i administratori usluge Dynamics 365 moraju dovršiti još jedan korak prije nego što mogu izvršiti aktivnosti kojima je potreban pristup Dataverse. Moraju se uzdići u ulogu administratora sustava u okruženju u kojem im je potreban pristup. Sve akcije nadmorske visine bilježe se u Microsoft Purview.

Poznata ograničenja

• Kada koristite API, primjećujete da ako je pozivatelj administrator sustava, poziv samopodizanja vraća uspjeh, a ne obavještava pozivatelja da administrator sustava već postoji.

• Korisniku koji upućuje poziv mora biti dodijeljena uloga administratora klijenta. Potpuni popis korisnika koji ispunjavaju kriterije administratora klijenta potražite u članku Promjene podrške za značajke

• Ako ste administrator sustava Dynamics 365 i okruženje je zaštićeno sigurnosnom grupom, morate biti član sigurnosne grupe. Ovo se pravilo ne primjenjuje na korisnike s ulogama globalnog administratora ili Power Platform administratora.

• API za nadmorsku visinu može pozvati samo korisnik koji treba podići svoj status. Ne podržava upućivanje API poziva u ime drugog korisnika u svrhu nadmorske visine.

• Uloga administratora sustava dodijeljena putem samopodizanja ne uklanja se kada istekne dodjela uloge u upravljanju privilegiranim identitetima. Morate ručno ukloniti korisnika iz uloge administratora sustava. Pogledajte aktivnost čišćenja

• Zaobilazno rješenje dostupno je za korisnike koji koriste početni komplet CoE-a Microsoft Power Platform . Dodatne informacije i pojedinosti potražite u članku Problem s PIM-om i zaobilazno rješenje #8119 .

• Dodjele uloga putem grupa nisu podržane. Provjerite jeste li uloge dodijelili izravno korisniku.

Samostalno podizanje na ulogu administratora sustava

Podržavamo nadmorsku visinu pomoću PowerShell-a ili intuitivnog sučelja u Power Platform centru za administratore.

Napomena

Korisnici koji se pokušaju samopovišeti moraju biti globalni administrator, Power Platform administrator ili administrator sustava Dynamics 365. Korisničko sučelje u Power Platform centru za administratore nije dostupno korisnicima s drugim administratorskim ulogama Entra ID-a, a pokušaj samopodizanja putem PowerShell API-ja vraća pogrešku.

Samostalno podizanje razine kroz PowerShell

Postavljanje PowerShell-a

Instalirajte modul MSAL PowerShell. Modul trebate instalirati samo jednom.

Install-Module -Name MSAL.PS

Dodatne informacije o postavljanju komponente PowerShell potražite u članku Web-API za brzi početak s PowerShell-om i Visual Studio kodom.

1. korak: pokrenite skriptu za podizanje razine

U ovoj PowerShell skripti:

• Provjera autentičnosti pomoću API-ja Power Platform .
• Izradite upit http s ID-om okruženja.
• Nazovite krajnja točka API-ja da biste zatražili nadmorsku visinu.

Dodavanje ID-a okruženja

1. Dohvatite ID okruženja na kartici Okruženja u Power Platform centru za administratore.

2. Dodajte svoj jedinstveni <environment id> u skriptu.

Pokrenite skriptu

Kopirajte i zalijepite skriptu u PowerShell konzolu.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

Korak 2: Potvrdite rezultat

Nakon uspjeha vidjet ćete izlaz sličan sljedećem izlazu. Potražite "Code": "UserExists" kao dokaz da ste uspješno unaprijedili svoju ulogu.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

Errors

Možda će vam se prikazati poruka o pogrešci ako nemate odgovarajuće dozvole.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

3. korak: Aktivnost čišćenja

Pokrenite Remove-RoleAssignmentFromUsers da biste uklonili korisnike iz sigurnosna uloga administratora sustava nakon isteka dodjele u PIM-u.

• -roleName: "Administrator sustava" ili druga uloga
• -usersFilePath: Put do CSV datoteke s popisom glavnih imena korisnika (jedan po retku)
• -environmentUrl: Pronađeno na admin.powerplatform.microsoft.com
• -processAllEnvironments: (Opcionalno) Obrada svih vaših okruženja
• -geo: Važeći GEO
• -outputLogsDirectory: Put na kojem se zapisuju datoteke zapisnika

Primjer skripte

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Samostalno uzdizanje putem Power Platform centra za administratore

1. Prijavite se u centar za administratore platforme Power Platform.

2. Na lijevoj bočnoj ploči odaberite Okruženja.

3. Odaberite kvačicu pokraj svog okruženja.

4. Odaberite Članstvo na naredbenoj traci da biste zatražili samopodizanje.

5. Prikazuje se okno Administratori sustava. Dodajte se u ulogu administratora sustava tako da odaberete Dodaj mene.