Lage et tjenestekontohaverprogram ved hjelp av PowerShell

  • Artikkel

Autentisering via brukernavn og passord er ofte ikke ideelt, spesielt med økningen av flerfaktorautentisering. I slike tilfeller foretrekkes autentisering av tjenestekontohaver (eller klientlegitimasjonsflyt). Dette kan gjøres ved at begge registrerer et nytt tjenestekontohaverprogram i din egen Microsoft Entra-leier og deretter registrerer det samme programmet i Power Platform.

Registrere et administrasjonsprogram for administratorer

Først må klientprogrammet registreres i Microsoft Entra-leieren. Se gjennom artikkelen Autentisering for Power Platform-API-er for å angi dette, fordi den samme programkonfigurasjonen kreves for PowerShell.

Når klientprogrammet er registrert i Microsoft Entra ID, må det også registreres i Microsoft Power Platform. I dag kan du ikke gjøre dette via Power Platform-administrasjonssenteret. Det må gjøres programmatisk via Power Platform-API eller PowerShell for Power Platform-administratorer. En tjenestekontohaver kan ikke registrere seg selv. Programmet må være registrert av et administratorbrukernavn og en passordkontekst. Dette sikrer at programmet opprettes av noen som er en administrator for leieren.

Bruk følgende skript for å registrere et nytt administrasjonsprogram:

$appId = "CLIENT_ID_FROM_AZURE_APP"

# Login interactively with a tenant administrator for Power Platform
Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId 

# Register a new application, this gives the SPN / client application same permissions as a tenant admin
New-PowerAppManagementApp -ApplicationId $appId

Utføre forespørsler som tjenestekontohaver

Nå som den er registrert i Microsoft Power Platform, kan du autentisere som tjenestekontohaveren. Bruk skriptet nedenfor til å spørre etter miljølisten:

$appId = "CLIENT_ID_FROM_AZURE_APP"
$secret = "SECRET_FROM_AZURE_APP"
$tenantId = "TENANT_ID_FROM_AZURE_APP"

Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId -ApplicationId $appId -ClientSecret $secret -Verbose
Get-AdminPowerAppEnvironment

Begrensninger for tjenestekontohavere

For øyeblikket fungerer autentisering av tjenestekontohaver for miljøadministrasjon, leierinnstillinger og Power Apps-administrasjon. Cmdleter som er knyttet til Flow, støttes ved tjenestekontohaverautentisering i situasjoner der en lisens ikke trengs, siden det ikke går an å tilordne lisenser til tjenestekontohaveridentiteter i Microsoft Entra ID.

Tjenestekontohaverprogrammer behandles i Power Platform på samme måte som vanlige brukere med Power Platform-rollen administrator tilordnet. Detaljerte roller og tillatelser kan ikke tilordnes for å begrense funksjonene. Programmet tildeles ikke noen spesiell rolle tildelt i Microsoft Entra ID, siden det er slik plattformtjenester behandler forespørsler fra tjenestekontohavere.