Administratora lomu pārvaldība, izmantojot Microsoft Entra priviliģētās identitātes pārvaldību

Izmantojiet Microsoft Entra priviliģētās identitātes pārvaldību (priviliģētās identitātes pārvaldību — PIM), lai administrēšanas centrā pārvaldītu augstas privilēģijas administratoru Power Platform lomas.

Priekšnoteikumi

• Noņemiet vecās sistēmas administratora lomu piešķires savās vidēs. Varat izmantot PowerShell skriptus, lai uzskaitītu un noņemtu nevēlamus lietotājus no sistēmas administratora lomas vienā vai vairākās Power Platform vidēs.

Līdzekļu atbalsta izmaiņas

Microsoft vairs automātiski nepiešķir sistēmas administratora lomu lietotājiem ar globālā vai servisa līmeņa administratora lomām, piemēram Power Platform , administratoram un Dynamics 365 administratoram.

Šie administratori var turpināt pieteikties administrēšanas Power Platform centrā, izmantojot šādas atļaujas:

• Nomnieka līmeņa iestatījumu iespējošana vai atspējošana
• Vides analīzes informācijas skatīšana
• Skatīt noslodzes patēriņu

Šie administratori nevar veikt darbības, kurām nepieciešama tieša piekļuve Dataverse datiem bez licences. Šīs darbības ir, piemēram, šādas:

• Lietotāja drošības loma atjaunināšana vidē
• Videi paredzētu programmu instalēšana

Svarīgi

Globālajiem administratoriem, Power Platform administratoriem un Dynamics 365 pakalpojumu administratoriem ir jāizpilda vēl viens solis, lai viņi varētu veikt darbības, kurām Dataverse nepieciešama piekļuve. Viņiem ir jāpaaugstina sevi līdz sistēmas administratora lomai vidē, kur viņiem ir nepieciešama piekļuve. Visas augstuma darbības tiek reģistrētas Purview Microsoft .

Zināmie ierobežojumi

• Izmantojot API, jūs pamanāt, ka, ja zvanītājs ir sistēmas administrators, pašpaaugstinājošais zvans atgriež panākumus, nevis paziņo zvanītājam, ka sistēmas administrators jau pastāv.

• Lietotājam, kas veic zvanu, ir jābūt piešķirtai nomnieka administratora lomai. Pilnu to lietotāju sarakstu, kuri atbilst nomnieka administratora kritērijiem, skatiet rakstā Līdzekļu atbalsta izmaiņas

• Ja esat Dynamics 365 administrators un vidi aizsargā drošības grupa, jums ir jābūt drošības grupas dalībniekam. Šī kārtula neattiecas uz lietotājiem ar globālā administratora vai Power Platform administratora lomām.

• Uz privilēģiju API var atsaukties tikai lietotājs, kuram ir jāpaaugstina savs statuss. Tas neatbalsta API zvanu veikšanu cita lietotāja vārdā privilēģiju palielināšanas nolūkos.

• Sistēmas administratora loma, kas piešķirta, izmantojot pašpaaugstināšanu, netiek noņemta, kad priviliģētās identitātes pārvaldībā beidzas lomas piešķiršanas termiņš. Lietotājs ir manuāli jānoņem no sistēmas administratora lomas. Skatīt uzkopšanas aktivitātes

• Klientiem ir pieejams risinājums, Microsoft Power Platform izmantojot CoE sākuma komplektu. Papildinformāciju un detalizētu informāciju skatiet sadaļā PIM problēma un risinājums #8119 .

• Lomu piešķiršana grupās netiek atbalstīta. Pārliecinieties, vai lomas piešķirat tieši lietotājam.

Patstāvīga paaugstināšana līdz sistēmas administratora lomai

Mēs atbalstām paaugstināšanu, izmantojot PowerShell vai intuitīvu pieredzi administrēšanas Power Platform centrā.

Piezīmes

Lietotājiem, kuri mēģina sevi paaugstināt, ir jābūt globālajam administratoram, Power Platform administratoram vai Dynamics 365 administratoram. Lietotāja interfeiss administrēšanas Power Platform centrā nav pieejams lietotājiem ar citām Entra ID administratora lomām, un, mēģinot paaugstināt sevi, izmantojot PowerShell API, tiek atgriezta kļūda.

Pašpaaugstināšanās, izmantojot PowerShell

PowerShell iestatīšana

Instalējiet MSAL PowerShell moduli. Modulis jāinstalē tikai vienu reizi.

Install-Module -Name MSAL.PS

Papildinformāciju par PowerShell iestatīšanu skatiet rakstā Ātrās palaišanas tīmekļa API ar PowerShell un Visual Studio kodu.

Solis 1: Palaidiet skriptu, lai paaugstinātu

Šajā PowerShell skriptā jūs:

• Autentificēt, Power Platform izmantojot API.
• Izveidojiet vaicājumu, http izmantojot vides ID.
• Zvaniet uz API galapunktu, lai pieprasītu privilēģiju.

Vides ID pievienošana

1. Iegūstiet savu vides ID no administrēšanas centra cilnes Vides Power Platform .

2. Pievienojiet skriptam savu unikālo <environment id> .

Skripta palaišana

Kopējiet un ielīmējiet skriptu PowerShell konsolē.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

Solis 2: Apstipriniet rezultātu

Pēc panākumiem jūs redzat izvadi, kas ir līdzīga šādai izvadei. Meklējiet "Code": "UserExists" kā pierādījumu tam, ka esat veiksmīgi paaugstinājis savu lomu.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

Kļūdas

Ja jums nav pareizo atļauju, var tikt parādīts kļūdas ziņojums.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Solis 3: Sakopšanas darbi

Palaidiet Remove-RoleAssignmentFromUsers , lai noņemtu lietotājus no sistēmas administratora drošības loma pēc piešķires termiņa beigām PIM.

• -roleName: "Sistēmas administrators" vai cita loma
• -usersFilePath: ceļš uz CSV failu ar lietotāju pamatvārdu sarakstu (pa vienam katrā rindā)
• -environmentUrl: Atrasts admin.powerplatform.microsoft.com
• -processAllEnvironments: (Pēc izvēles) Apstrādājiet visas savas vides
• -geo: derīgs GEO
• -outputLogsDirectory: ceļš, kur tiek rakstīti žurnālfaili

Skripta piemērs

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Pašpaaugstināšana, izmantojot Power Platform administrēšanas centru

1. Pierakstieties Power Platform administrēšanas centrā.

2. Kreisās puses panelī atlasiet Vides.

3. Atlasiet atzīmi blakus savai videi.

4. Komandjoslā atlasiet Dalība , lai pieprasītu sevis paaugstināšanu.

5. Tiek parādīta rūts Sistēmas administratori . Pievienojiet sevi sistēmas administratora lomai, atlasot Pievienot mani.