Әкімші рөлдерін Microsoft Entra Артықшылықты сәйкестендіруді басқару арқылы басқарыңыз

Microsoft Entra Power Platform басқару орталығында жоғары артықшылықты әкімші рөлдерін басқару үшін Артықшылықты сәйкестікті басқаруды (PIM) пайдаланыңыз.

Алғышарттар

• Орталарыңыздағы ескі жүйелік әкімші рөлдерінің тағайындауларын жойыңыз. Сіз PowerShell сценарийлерін түгендеу және бір немесе бірнеше Жүйе әкімшісі рөлінен қажетсіз пайдаланушыларды жою үшін пайдалана аласыз Power Platform > орталар.

Мүмкіндіктерді қолдауға өзгертулер

Microsoft енді Жүйе әкімшісі рөлін Power Platform Әкімші және Dynamics 365 әкімшісі сияқты жаһандық немесе қызмет деңгейіндегі әкімші рөлдері бар пайдаланушыларға автоматты түрде тағайындамайды.

Бұл әкімшілер келесі артықшылықтармен Power Platform басқару орталығына кіруді жалғастыра алады:

• Жалға алушы деңгейі параметрлерін қосыңыз немесе өшіріңіз
• Орталарға арналған аналитикалық ақпаратты қараңыз
• Сыйымдылықты тұтынуды көру

Бұл әкімшілер Dataverse деректерге тікелей кіруді талап ететін әрекеттерді лицензиясыз орындай алмайды. Бұл әрекеттердің мысалдары мыналарды қамтиды:

• Ортадағы пайдаланушы үшін қауіпсіздік рөлі жаңартылуда
• Ортаға арналған қолданбаларды орнату

Маңызды

Ғаламдық әкімшілер, Power Platform әкімшілер және Dynamics 365 қызметінің әкімшілері Dataverse қатынасын талап ететін әрекеттерді орындамас бұрын, басқа қадам орындауы керек. Олар қол жеткізу қажет ортада Жүйе әкімшісі рөліне көтерілуі керек. Барлық биіктік әрекеттері Microsoft Purview ішіне тіркеледі.

Белгілі шектеулер

• API пайдаланған кезде, қоңырау шалушы жүйелік әкімші болса, қоңырау шалушыға жүйелік әкімшінің бұрыннан бар екендігі туралы хабарлаудың орнына өзін-өзі жоғарылату қоңырауы сәтті қайтарылатынын байқайсыз.

• Қоңырау шалатын пайдаланушыға жалға алушының әкімші рөлі тағайындалған болуы керек. Жалға алушының әкімші шарттарына сәйкес келетін пайдаланушылардың толық тізімін көру үшін Мүмкіндік қолдауындағы өзгертулер бөлімін қараңыз.

• Егер сіз Dynamics 365 әкімшісі болсаңыз және орта қауіпсіздік тобымен қорғалған болса, қауіпсіздік тобының мүшесі болуыңыз керек. Бұл ереже жаһандық әкімші немесе Power Platform әкімші рөлдері бар пайдаланушыларға қолданылмайды.

• Elevation API-ны мәртебесін көтеру қажет пайдаланушы ғана шақыра алады. Ол биіктік мақсаттары үшін басқа пайдаланушы атынан API қоңырауларын жасауға қолдау көрсетпейді.

• Өзін-өзі жоғарылату арқылы тағайындалған жүйелік әкімші рөлі Артықшылықты сәйкестендіру басқаруында рөл тағайындау мерзімі аяқталғанда жойылмайды. Жүйе әкімшісі рөлінен пайдаланушыны қолмен жою керек. Тазалау әрекетін қараңыз

• Уақытша шешім Microsoft Power Platform CoE Starter Kit пайдаланатын тұтынушылар үшін қолжетімді. Қосымша ақпарат пен мәліметтер алу үшін PIM мәселесі және №8119 шығарылымын қараңыз.

• Топтар арқылы рөлдерді тағайындауға қолдау көрсетілмейді. Рөлдерді пайдаланушыға тікелей тағайындағаныңызға көз жеткізіңіз.

Жүйе әкімшісі рөліне өзін-өзі көтеру

Біз PowerShell көмегімен немесе Power Platform басқару орталығындағы интуитивті тәжірибе арқылы биіктікті қолдаймыз.

Ескертпе

Өзін-өзі жоғарылатуға әрекеттенетін пайдаланушылар ғаламдық әкімші, Power Platform әкімші немесе Dynamics 365 әкімшісі болуы керек. Басқа Entra ID әкімші рөлдері бар пайдаланушылар үшін Power Platform басқару орталығындағы пайдаланушы интерфейсі қолжетімді емес және PowerShell API арқылы өзін-өзі көтеру әрекеті қатені қайтарады.

PowerShell арқылы өзін-өзі көтеру

PowerShell орнату

MSAL PowerShell модулін орнатыңыз. Модульді бір рет орнату керек.

Install-Module -Name MSAL.PS

PowerShell орнату туралы қосымша ақпаратты PowerShell көмегімен жылдам іске қосу Web API және Visual Studio Код бөлімінен қараңыз.

қадам 1: жоғарылату үшін сценарийді іске қосыңыз

Бұл PowerShell сценарийінде сіз:

• Power Platform API арқылы аутентификация.
• Ортаңыздың идентификаторымен http сұрау жасаңыз.
• Биіктікті сұрау үшін API соңғы нүктесіне қоңырау шалыңыз.

Ортаның идентификаторын қосыңыз

1. Ортаның идентификаторын Орталар қойындысынан Power Platform Басқару орталығы алыңыз.

2. Скриптке бірегей <environment id> қосыңыз.

Сценарийді іске қосыңыз

Сценарийді PowerShell консоліне көшіріп, қойыңыз.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

қадам 2: нәтижені растаңыз

Сәтті болғаннан кейін келесі шығысқа ұқсас нәтижені көресіз. Рөліңізді сәтті көтергеніңіздің дәлелі ретінде "Code": "UserExists" іздеңіз.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

Errors

Дұрыс рұқсаттарыңыз болмаса, қате туралы хабарды көруіңіз мүмкін.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

қадам 3: Тазалау әрекеті

PIM жүйесінде тағайындау мерзімі аяқталғаннан кейін қауіпсіздік рөлі Жүйе әкімшісінен пайдаланушыларды жою үшін Remove-RoleAssignmentFromUsers пәрменін іске қосыңыз.

• -roleName: «Жүйелік әкімші» немесе басқа рөл
• -usersFilePath: пайдаланушының негізгі аттары тізімі бар CSV файлына жол (әр жолда бір)
• -environmentUrl: admin.powerplatform.microsoft.com мекенжайында табылды
• -processAllEnvironments: (қосымша) Барлық орталарды өңдеңіз
• -geo: Жарамды GEO
• -outputLogsDirectory: Журнал файлдары жазылатын жол

Мысал сценарий

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Power Platform басқару орталығы арқылы өзін-өзі жоғарылатыңыз

1. Power Platform басқару орталығынакіріңіз.

2. Сол жақ панельде Орталар тармағын таңдаңыз.

3. Ортаңыздың жанындағы құсбелгіні таңдаңыз.

4. Өзін-өзі көтеруді сұрау үшін пәрмен жолағында Мүшелік таңдаңыз.

5. Жүйе әкімшілері тамасы көрсетіледі. Мені қосу опциясын таңдау арқылы өзіңізді жүйе әкімшісі рөліне қосыңыз.