Kopīgot, izmantojot

Administratora lomu pārvaldība, izmantojot Microsoft Entra priviliģēto identitātes pārvaldību

Pārvaldiet augstas priviliģijas administratora lomas Power Platform administrēšanas centrā, izmantojot Microsoft Entra priviliģēto identitāšu pārvaldību (PIM).

Priekšnoteikumi

  • Noņemiet vecās sistēmas administratora lomu piešķires savā vidē. Varat izmantot PowerShell skriptus , lai inventarizētu un noņemtu nevēlamus lietotājus no sistēmas administratora lomas vienā vai vairākās Power Platform vidēs.

Funkciju atbalsta izmaiņas

Microsoft vairs automātiski nepiešķir sistēmas administratora lomu lietotājiem ar globālām vai pakalpojumu līmeņa administratora lomām, piemēram, Power Platform administratoram un Dynamics 365 administratoram.

Šie administratori var turpināt pieteikties Power Platform administrēšanas centrā ar šādām privilēģijām:

  • Nomnieka līmeņa iestatījumu iespējošana vai atspējošana
  • Vides analīzes informācijas skatīšana
  • Jaudas patēriņa skatīšana

Šie administratori nevar veikt darbības, kurām nepieciešama tieša piekļuve Dataverse datiem bez licences. Šo darbību piemēri ir:

  • Lietotāja drošības lomas atjaunināšana vidē
  • Lietojumprogrammu instalēšana videi

Svarīgi

Globālajiem administratoriem, Power Platform administratoriem un Dynamics 365 pakalpojumu administratoriem ir jāveic vēl viena darbība, pirms viņi var veikt darbības, kurām Dataverse nepieciešama piekļuve. Viņiem ir jākļūst par sistēmas administratora lomu vidē, kurā nepieciešama piekļuve. Visas paaugstināšanas darbības tiek reģistrētas pakalpojumā Microsoft Purview.

Ja izmantojat priviliģēto identitāšu pārvaldību, lai iegūtu tieši savlaicīgu piekļuvi administratora lomām pakalpojumā ID Microsoft Entra un pēc tam pašpaaugstinātu, Microsoft noņem jūsu sistēmas administratora lomu, kad lomu piešķiršanas termiņš beidzas priviliģēto identitāšu pārvaldībā, parasti pēc neilga laika.

Zināmie ierobežojumi

  • Izmantojot API, ja zvanītājs ir sistēmas administrators, pašpaaugstināšanas zvans atgriež veiksmīgu, nevis norāda, ka viņš jau ir iziets.

  • Lietotājam, kas veic zvanu, ir jābūt piešķirtai nomnieka administratora lomai. Pilnu lietotāju sarakstu, kuri atbilst nomnieka administratora kritērijiem, skatiet sadaļā Izmaiņas līdzekļu atbalstā

  • Ja esat Dynamics 365 administrators un vidi aizsargā drošības grupa, jums ir jābūt drošības grupas dalībniekam. Šī kārtula neattiecas uz lietotājiem ar globālā administratora vai Power Platform administratora lomu.

  • Lietotājam, kuram ir jāpaaugstina statuss, ir jāizsauc paaugstināšanas API. Tas neļauj API zvaniem paaugstināt cita lietotāja statusu.

  • Klientiem, kuri izmanto Microsoft Power Platform CoE sākuma komplektu, ir pieejams risinājums. Plašāku informāciju un detalizētu informāciju skatiet sadaļā PIM problēma un risinājums #8119 .

  • Lomu piešķiršana grupās netiek atbalstīta. Pārliecinieties, ka lomas piešķirat tieši lietotājam.

Pašpaaugstināšana uz sistēmas administratora lomu

Mēs atbalstām paaugstināšanu, izmantojot PowerShell vai intuitīvu pieredzi Power Platform administrēšanas centrā.

Piezīmes

Lietotājiem, kuri mēģina pašpaaugstināties, jābūt globālajam administratoram, Power Platform administratoram vai Dynamics 365 administratoram. Lietotāja interfeiss Power Platform administrēšanas centrā nav pieejams lietotājiem ar citām Entra ID administratora lomām, un, mēģinot pašpaaugstināt, izmantojot PowerShell API, tiek parādīta kļūda.

Pašpaaugstināšana, izmantojot PowerShell

Lai paaugstinātu sevi, izmantojot PowerShell, instalējiet MSAL PowerShell moduli un izpildiet šajā sadaļā norādītās darbības.

Install-Module -Name MSAL.PS

Modulis jāinstalē tikai vienu reizi. Papildinformāciju par PowerShell iestatīšanu skatiet sadaļā Ātrās lietošanas Web API ar PowerShell un Visual Studio Code.

1. darbība: palaidiet skriptu, lai paaugstinātu

Šajā PowerShell skriptā jūs:

  • Autentificējieties, izmantojot Power Platform API.
  • Izveidojiet http vaicājumu ar savu vides ID.
  • Pieprasiet paaugstināšanu, izmantojot Power Platform API.

Vides ID atrašana un pievienošana

  1. Pierakstieties Power Platform administrēšanas centrā.
  2. Navigācijas rūtī atlasiet Pārvaldīt.
  3. Rūtī Pārvaldīt atlasiet Vide.
  4. Lapā Vides izvēlieties vidi, kuru vēlaties modificēt.
  5. Detalizētās informācijas rūtī atrodiet vides ID.
  6. Pievienojiet savu unikālo <environment id> scenārijam.

Skripta palaišana

Kopējiet un ielīmējiet skriptu PowerShell konsolē.

# Set your environment ID
$environmentId = "<your environment id>"
$clientId = "<client id of your Microsoft Entra ID application registration>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId $clientId -Scope 'https://api.powerplatform.com/.default'


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

2. darbība: apstipriniet rezultātu

Pēc panākumiem jūs redzat izvadi, kas līdzīga šādai izvadei. Meklējiet pierādījumus "Code": "UserExists" , ka jūs veiksmīgi paaugstinājāt savu lomu.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

Kļūdas

Iespējams, tiks parādīts kļūdas ziņojums, ja jums nav pareizo atļauju.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Skripta piemērs

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Pašpaaugstināšana, izmantojot Power Platform administrēšanas centru

Lai paaugstinātu sevi, izmantojot Power Platform centru, veiciet tālāk norādītās darbības.

  1. Pierakstieties Power Platform administrēšanas centrā.
  2. Navigācijas rūtī atlasiet Pārvaldīt.
  3. Rūtī Pārvaldīt atlasiet Vide.
  4. Lapā Vides izvēlieties vidi, kuru vēlaties modificēt.
  5. Komandjoslā atlasiet Dalība , lai pieprasītu pašpaaugstināšanu.
  6. Rūtī Sistēmas administratori atlasiet Pievienot mani , lai pievienotu sevi sistēmas administratora lomai.
  • Last updated on