Administratoriaus vaidmenų valdymas naudojant Microsoft Entra privilegijuotą tapatybės valdymą
Naudokite Microsoft Entra privilegijuotų tapatybių valdymą (PIM), kad valdytumėte aukšto lygio administratoriaus vaidmenis Power Platform administravimo centre.
Būtinosios sąlygos
- Pašalinkite senus sistemos administratoriaus vaidmenų priskyrimus savo aplinkose. Galite naudoti "PowerShell" scenarijus norėdami inventorizuoti ir pašalinti nepageidaujamus vartotojus iš sistemos administratoriaus vaidmens vienoje ar keliose Power Platform aplinkose.
Funkcijų palaikymo pakeitimai
Microsoft nebepriskiria sistemos administratoriaus vaidmens vartotojams, turintiems visuotinio arba aptarnavimo lygio administratoriaus vaidmenis, pvz., Power Platform administratorius ir Dynamics 365 administratorius.
Šie administratoriai gali toliau prisijungti prie Power Platform administravimo centro naudodami šias teises:
- Nuomotojo lygio parametrų įjungimas arba išjungimas
- Aplinkų analizės informacijos peržiūra
- Peržiūrėti talpos suvartojimą
Šie administratoriai negali atlikti veiklos, kuriai reikalinga tiesioginė prieiga prie Dataverse duomenų be licencijos. Šios veiklos pavyzdžiai:
- Vartotojo saugos vaidmuo aplinkoje naujinimas
- Programėlių diegimas aplinkai
Svarbu
Visuotiniai administratoriai, Power Platform administratoriai ir Dynamics 365 tarnybos administratoriai turi atlikti dar vieną veiksmą, kad galėtų atlikti veiksmus, prie kurių Dataverse reikia prieigos. Jie turi pakelti save į sistemos administratoriaus vaidmenį aplinkoje, kurioje jiems reikia prieigos. Visi didesnių teisių suteikimo veiksmai registruojami " Microsoft Purview".
Žinomi apribojimai
Naudodami API pastebite, kad jei skambinantysis yra sistemos administratorius, savaiminis pakėlimo skambutis grąžina sėkmę, o ne praneša skambinančiajam, kad sistemos administratorius jau yra.
Skambinančiam vartotojui turi būti priskirtas nuomotojo administratoriaus vaidmuo. Visą vartotojų, kurie atitinka nuomotojo administratoriaus kriterijus, sąrašą rasite Funkcijų palaikymo pakeitimai
Jei esate Dynamics 365 administratorius ir aplinką saugo saugos grupė, turite būti saugos grupės narys. Ši taisyklė netaikoma vartotojams, turintiems visuotinio administratoriaus arba Power Platform administratoriaus vaidmenis.
Aukščio API gali iškviesti tik tas vartotojas, kuriam reikia pakelti savo būseną. Jis nepalaiko API skambučių kito naudotojo vardu didesnių teisių suteikimo tikslais.
Sistemos administratoriaus vaidmuo, priskirtas per didesnių teisių padidinimą, nepašalinamas , kai baigiasi privilegijuotų tapatybių valdymo vaidmenų priskyrimo galiojimas. Turite rankiniu būdu pašalinti vartotoją iš sistemos administratoriaus vaidmens. Peržiūrėkite valymo veiklą
Klientai, Microsoft Power Platform naudojantys CoE pradinį rinkinį, gali rasti sprendimą. Daugiau informacijos ir išsamesnės informacijos rasite PIM problema ir sprendimas #8119 .
Vaidmenų priskyrimas per grupes nepalaikomas. Įsitikinkite, kad vaidmenis priskiriate tiesiogiai vartotojui.
Savarankiškas pakėlimas į sistemos administratoriaus vaidmenį
Didesnių teisių suteikimą palaikome naudodami "PowerShell" arba intuityvią administravimo centro patirtį Power Platform .
Pastaba.
Vartotojai, kurie bando save padidinti, turi būti visuotinis administratorius, Power Platform administratorius arba Dynamics 365 administratorius. Vartotojo sąsaja Power Platform administravimo centre nepasiekiama vartotojams, turintiems kitus "Entra ID" administratoriaus vaidmenis, o bandant savarankiškai padidinti naudojant "PowerShell" API, pateikiama klaida.
Savarankiškas pakėlimas naudojant "PowerShell".
"PowerShell" nustatymas
Įdiekite MSAL PowerShell modulį . Modulį reikia įdiegti tik vieną kartą.
Install-Module -Name MSAL.PS
Daugiau informacijos apie "PowerShell" nustatymą ieškokite greito pasirengimo darbui žiniatinklio API su "PowerShell" ir Visual Studio kodu.
1 veiksmas: paleiskite scenarijų, kad padidintumėte
Šiame "PowerShell" scenarijuje jūs:
- Autentifikuokite naudodami Power Platform API.
- Sukurkite
httpužklausą naudodami savo aplinkos ID. - Paskambinkite į API galinį punktą ir pateikite didesnių teisių suteikimo užklausą.
Aplinkos ID pridėjimas
Gaukite savo aplinkos ID iš administravimo centro skirtuko Aplinkos Power Platform .
Pridėkite savo unikalų
<environment id>prie scenarijaus.
Paleiskite scenarijų
Nukopijuokite ir įklijuokite scenarijų į "PowerShell" konsolę.
# Set your environment ID
$environmentId = "<your environment id>"
Import-Module MSAL.PS
# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default'
$Headers = @{
Authorization = "Bearer $($AuthResult.AccessToken)"
'Content-Type' = "application/json"
}
$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";
try {
$postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri
}
catch {
# Dig into the exception to get the Response details.
Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"]
Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__
Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription
$result = $_.Exception.Response.GetResponseStream()
$reader = New-Object System.IO.StreamReader($result)
$reader.BaseStream.Position = 0
$reader.DiscardBufferedData()
$responseBody = $reader.ReadToEnd();
Write-Host $responseBody
}
$output = $postRequestResponse | ConvertTo-Json -Depth 2
Write-Host $output
2 veiksmas: patvirtinkite rezultatą
Sėkmės atveju matote išvestį, panašią į šią išvestį. Ieškokite "Code": "UserExists" kaip įrodymo, kad sėkmingai padidinote savo vaidmenį.
{
"errors": [],
"information": [
{
"Subject": "Result",
"Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
"Code": "UserExists"
},
{ ... }
}
Klaidos
Jei neturite tinkamų teisių, galite matyti klaidos pranešimą.
"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."
3 veiksmas: valymo veikla
Paleiskite Remove-RoleAssignmentFromUsers , kad pašalintumėte vartotojus iš sistemos administratoriaus saugos vaidmuo pasibaigus priskyrimo galiojimo laikui PIM.
-roleName: "Sistemos administratorius" arba kitas vaidmuo-usersFilePath: Kelias į CSV failą su vartotojų pagrindinių vardų sąrašu (po vieną kiekvienoje eilutėje)-environmentUrl: Rasta # admin.powerplatform.microsoft.com-processAllEnvironments: (Pasirinktinai) Apdorokite visas savo aplinkas-geo: Galiojantis GEO-outputLogsDirectory: kelias, kuriuo rašomi žurnalo failai
Scenarijaus pavyzdys
Remove-RoleAssignmentFromUsers
-roleName "System Administrator"
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"
Savarankiškas pakėlimas per Power Platform administravimo centrą
Prisijunkite prie „Power Platform“ administravimo centro.
Kairiajame šoniniame skydelyje pasirinkite Aplinkos.
Pasirinkite varnelę šalia savo aplinkos.
Komandų juostoje pasirinkite Narystė , kad pateiktumėte užklausą dėl savaiminio padidinimo.
Rodoma sritis Sistemos administratoriai . Įtraukite save į sistemos administratoriaus vaidmenį pasirinkdami Įtraukti mane.
