Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
[Dit artikel maakt deel uit van de voorlopige documentatie en kan nog veranderen.]
Met op rollen gebaseerd toegangsbeheer (RBAC) in Power Platform kunnen beheerders ingebouwde rollen toewijzen aan gebruikers, groepen en service-principals op tenant, omgevingsgroep of omgevingsbereik. In deze zelfstudie wordt een veelvoorkomend automatiseringsscenario beschreven: de rol Inzender toewijzen aan een service-principal in het tenantbereik met behulp van de Autorisatie-API.
Zie op rollen gebaseerd toegangsbeheer voor Power Platform-beheercentrum voor meer informatie over RBAC-concepten, ingebouwde rollen en overname van bereik.
Belangrijk
- Dit is een preview-functie.
- Preview-functies zijn niet bedoeld voor productiegebruik en bieden mogelijk beperkte functionaliteit. Voor deze functies gelden aanvullende gebruiksvoorwaarden. Bovendien zijn ze beschikbaar vóór een officiële release zodat klanten vroeg toegang kunnen krijgen en feedback kunnen geven.
In deze zelfstudie komen de volgende onderwerpen aan bod:
- Verifiëren met de Power Platform-API.
- Beschikbare roldefinities weergeven.
- Maak een roltoewijzing voor een service-principal binnen het tenantbereik.
- Controleer de roltoewijzing.
Vereiste voorwaarden
- Een Microsoft Entra-app-registratie die is geconfigureerd voor de Power Platform-API, met een certificaat of clientgeheim voor verificatie van de service-principal. Zie Verificatie voor hulp.
- De ondernemingstoepassingsobject-id voor de service-principal (gevonden in Microsoft Entra ID>Enterprise-toepassingen).
- De aanroepende identiteit moet de rol Power Platform-beheerder of op rollen gebaseerd toegangsbeheer van Power Platform hebben.
Ingebouwde roldefinities
Power Platform biedt vier ingebouwde rollen die kunnen worden toegewezen via RBAC. Elke rol heeft een vaste set machtigingen en kan worden toegewezen aan de tenant, omgevingsgroep of omgevingsbereik.
| Rolnaam | Rol-id | toestemmingen |
|---|---|---|
| Power Platform-eigenaar | 0cb07c69-1631-4725-ab35-e59e001c51ea |
Alle toestemmingen |
| Power Platform-inzender | ff954d61-a89a-4fbe-ace9-01c367b89f87 |
Alle resources beheren en lezen, maar kan geen roltoewijzingen maken of wijzigen |
| Power Platform-lezer | c886ad2e-27f7-4874-8381-5849b8d8a090 |
Alleen-lezentoegang tot alle resources |
| Power Platform-beheerder voor op rollen gebaseerd toegangsbeheer | 95e94555-018c-447b-8691-bdac8e12211e |
Alle resources lezen en roltoewijzingen beheren |
Stap 1. Beschikbare roldefinities weergeven
Verifieer en haal eerst de beschikbare roldefinities op om de rol-id van de inzender te bevestigen.
# Install the Az.Accounts module if not already installed
Install-Module -Name Az.Accounts
# Set your tenant ID
$TenantId = "YOUR_TENANT_ID"
# Authenticate and obtain an access token
Connect-AzAccount
$AccessToken = Get-AzAccessToken -TenantId $TenantId -ResourceUrl "https://api.powerplatform.com/"
$headers = @{ 'Authorization' = 'Bearer ' + $AccessToken.Token }
$headers.Add('Content-Type', 'application/json')
# List all role definitions
$roleDefinitions = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleDefinitions?api-version=2024-10-01" -Headers $headers
$roleDefinitions.value | Format-Table roleDefinitionName, roleDefinitionId
Verwachte uitvoer:
roleDefinitionName roleDefinitionId
------------------ ----------------
Power Platform owner 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator 95e94555-018c-447b-8691-bdac8e12211e
Power Platform-API-verwijzing: Role-Based toegangsbeheer - Roldefinities vermelden
Stap 2. De rol Inzender toewijzen aan een service-principal
Maak een roltoewijzing die de rol Power Platform-inzender verleent aan een service-principal binnen het tenantbereik. Vervang door YOUR_TENANT_ID uw tenant-GUID en YOUR_ENTERPRISE_APP_OBJECT_ID door de id van het ondernemingstoepassingsobject van Microsoft Entra-id.
$TenantId = "YOUR_TENANT_ID"
$EnterpriseAppObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID"
$body = @{
roleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87"
principalObjectId = $EnterpriseAppObjectId
principalType = "ApplicationUser"
scope = "/tenants/$TenantId"
} | ConvertTo-Json
$roleAssignment = Invoke-RestMethod -Method Post -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers -Body $body
$roleAssignment
Verwachte uitvoer:
roleAssignmentId : a1b2c3d4-e5f6-7890-abcd-ef1234567890
principalObjectId : <your-enterprise-app-object-id>
roleDefinitionId : ff954d61-a89a-4fbe-ace9-01c367b89f87
scope : /tenants/<your-tenant-id>
principalType : ApplicationUser
createdOn : 2026-03-02T12:00:00.0000000+00:00
Power Platform-API-verwijzing: Role-Based toegangsbeheer - Roltoewijzing maken
Stap 3. De roltoewijzing controleren
Haal alle roltoewijzingen op om te bevestigen dat de nieuwe toewijzing bestaat.
$roleAssignments = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers
# Filter for the service principal's assignments
$roleAssignments.value | Where-Object { $_.principalObjectId -eq $EnterpriseAppObjectId } | Format-Table roleAssignmentId, roleDefinitionId, scope, principalType
Verwachte uitvoer:
roleAssignmentId roleDefinitionId scope principalType
---------------- ---------------- ----- -------------
a1b2c3d4-e5f6-7890-abcd-ef1234567890 ff954d61-a89a-4fbe-ace9-01c367b89f87 /tenants/<your-tenant-id> ApplicationUser
Power Platform-API-verwijzing: op rollen gebaseerd toegangsbeheer - Roltoewijzingen vermelden