Bagikan melalui

Mengelola peran admin dengan Microsoft Entra Privileged Identity Management

  • Artikel

Gunakan Microsoft Entra Privileged Identity Management (PIM) untuk mengelola peran admin dengan hak istimewa tinggi di Power Platform pusat admin.

Prasyarat

  • Hapus penetapan peran administrator sistem lama di lingkungan Anda. Anda dapat menggunakan skrip PowerShell untuk menginventarisasi dan menghapus pengguna yang tidak diinginkan dari peran Administrator Sistem di satu atau beberapa Power Platform lingkungan.

Perubahan pada dukungan fitur

Microsoft tidak lagi secara otomatis menetapkan peran Administrator Sistem kepada pengguna dengan peran admin tingkat global atau layanan seperti Power Platform Administrator dan Administrator Dynamics 365.

Admin ini dapat terus masuk, ke Power Platform pusat admin, dengan hak istimewa ini:

  • Mengaktifkan atau menonaktifkan pengaturan tingkat penyewa
  • Melihat informasi analitik untuk lingkungan
  • Lihat konsumsi kapasitas

Admin ini tidak dapat melakukan aktivitas yang memerlukan akses langsung ke Dataverse data tanpa lisensi. Contoh kegiatan tersebut antara lain:

  • Memperbarui peran keamanan untuk pengguna di lingkungan
  • Menginstal aplikasi untuk lingkungan

Penting

Admin global, Power Platform admin, dan administrator layanan Dynamics 365 harus menyelesaikan langkah lain sebelum mereka dapat melakukan aktivitas yang memerlukan akses ke. Dataverse Mereka harus meningkatkan diri mereka ke peran Administrator Sistem di lingkungan tempat mereka membutuhkan akses. Semua tindakan elevasi dicatat ke Microsoft Purview.

Pembatasan yang diketahui

  • Saat menggunakan API, Anda melihat bahwa jika pemanggil adalah administrator sistem, panggilan self-elevate mengembalikan keberhasilan daripada memberi tahu pemanggil bahwa administrator sistem sudah ada.

  • Pengguna yang melakukan panggilan harus memiliki peran admin penyewa yang ditetapkan. Untuk daftar lengkap pengguna yang memenuhi kriteria admin penyewa, lihat Perubahan pada dukungan fitur

  • Jika Anda adalah administrator Dynamics 365 dan lingkungan dilindungi oleh grup keamanan, Anda harus menjadi anggota grup keamanan. Aturan ini tidak berlaku untuk pengguna dengan peran administrator global atau Power Platform administrator.

  • API elevasi hanya dapat dipanggil oleh pengguna yang perlu meningkatkan status mereka. Ini tidak mendukung melakukan panggilan API atas nama pengguna lain untuk tujuan pengingkatan.

  • Peran administrator sistem yang ditetapkan melalui peningkatan diri tidak dihapus saat penetapan peran kedaluwarsa di Privileged Identity Management. Anda harus menghapus pengguna secara manual dari peran administrator sistem. Melihat aktivitas pembersihan

  • Solusi tersedia untuk pelanggan yang menggunakan Microsoft Power Platform Kit Pemula CoE. Lihat Masalah dan Solusi PIM #8119 untuk informasi dan detail selengkapnya.

  • Penetapan peran melalui grup tidak didukung. Pastikan Anda menetapkan peran langsung ke pengguna.

Tingkatkan diri ke peran administrator sistem

Kami mendukung peningkatan menggunakan PowerShell atau melalui pengalaman intuitif di Power Platform pusat admin.

Catatan

Pengguna yang mencoba untuk meningkatkan diri harus menjadi admin global, Power Platform admin, atau admin Dynamics 365. Antarmuka pengguna di Power Platform pusat admin tidak tersedia untuk pengguna dengan peran admin ID Entra lainnya dan mencoba meningkatkan diri melalui API PowerShell mengembalikan kesalahan.

Tingkatkan diri melalui PowerShell

Menyiapkan PowerShell

Instal modul MSAL PowerShell. Anda hanya perlu menginstal modul sekali.

Install-Module -Name MSAL.PS

Untuk informasi selengkapnya tentang menyiapkan PowerShell, lihat API Web Mulai Cepat dengan PowerShell dan Visual Studio Kode.

Langkah 1: Jalankan skrip untuk meningkatkan

Dalam skrip PowerShell ini, Anda:

  • Otentikasi, menggunakan Power Platform API.
  • Buat http kueri dengan ID lingkungan Anda.
  • Panggil titik akhir API untuk meminta elevasi.
Tambahkan ID lingkungan Anda

  1. Dapatkan ID Lingkungan Anda dari tab Lingkungan di Power Platform Pusat Admin.

  2. Tambahkan keunikan <environment id> Anda ke skrip.

Jalankan skrip

Salin dan tempel skrip ke konsol PowerShell.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

Langkah 2: Konfirmasikan hasilnya

Setelah berhasil, Anda melihat output yang mirip dengan output berikut. Carilah "Code": "UserExists" sebagai bukti bahwa Anda berhasil meningkatkan peran Anda.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}
Errors

Anda mungkin melihat pesan kesalahan jika Anda tidak memiliki izin yang tepat.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Langkah 3: Aktivitas pembersihan

Jalankan Remove-RoleAssignmentFromUsers untuk menghapus pengguna dari peran keamanan Administrator Sistem setelah penugasan kedaluwarsa di PIM.

  • -roleName: "Administrator Sistem" atau peran lain
  • -usersFilePath: Jalur ke file CSV dengan daftar nama prinsipal pengguna (satu per baris)
  • -environmentUrl: Ditemukan di# admin.powerplatform.microsoft.com
  • -processAllEnvironments: (Opsional) Memproses semua lingkungan Anda
  • -geo: GEO yang valid
  • -outputLogsDirectory: Jalur tempat file log ditulis
Contoh skrip
Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Tingkatkan diri melalui Power Platform pusat admin

  1. Masuk ke pusat admin Power Platform.

  2. Di panel sisi kiri, pilih Lingkungan.

  3. Pilih tanda centang di samping lingkungan Anda.

  4. Pilih Keanggotaan di bilah perintah untuk meminta peningkatan diri.

  5. Panel Administrator Sistem ditampilkan. Tambahkan diri Anda ke peran administrator sistem dengan memilih Tambahkan saya.

    Gunakan opsi menu Keanggotaan untuk meminta peningkatan diri.