Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
[Este artigo faz parte da documentação de pré-lançamento e está sujeito a alterações.]
O RBAC (controle de acesso baseado em função) no Power Platform permite que os administradores atribuam funções internas a usuários, grupos e entidades de serviço no locatário, grupo de ambiente ou escopo do ambiente. Este tutorial explica um cenário de automação comum: atribuir a função colaborador a uma entidade de serviço no escopo do locatário usando a API de Autorização.
Para saber mais sobre conceitos rbac, funções internas e herança de escopo, consulte o controle de acesso baseado em função para o centro de administração do Power Platform.
Importante
- Este é um recurso em versão preliminar.
- Os recursos de versão preliminar não foram criados para uso em ambientes de produção e podem ter funcionalidade restrita. Esses recursos estão sujeitos a termos de uso suplementares e são disponibilizados antes de um lançamento oficial, de maneira que os clientes possam ter acesso antecipado e fazer comentários.
Neste tutorial, você aprenderá a:
- Autenticar com a API do Power Platform.
- Listar definições de função disponíveis.
- Crie uma atribuição de função para uma entidade de serviço no escopo do locatário.
- Verifique a atribuição de função.
Pré-requisitos
- Um registro de aplicativo do Microsoft Entra configurado para a API do Power Platform, com um certificado ou segredo do cliente para autenticação de entidade de serviço. Para obter diretrizes, consulte Autenticação.
- A ID do Objeto de Aplicativo Empresarial para a entidade de serviço (encontrada emaplicativos Enterprise da ID do> Microsoft Entra).
- A identidade de chamada deve ter a função administrador do Power Platform ou administrador de controle de acesso baseado em função do Power Platform .
Definições de funções incorporadas
O Power Platform fornece quatro funções internas que podem ser atribuídas por meio do RBAC. Cada função tem um conjunto fixo de permissões e pode ser atribuída no locatário, grupo de ambiente ou escopo do ambiente.
| Nome da função | ID de Função | Permissões |
|---|---|---|
| Proprietário do Power Platform | 0cb07c69-1631-4725-ab35-e59e001c51ea |
Todas as permissões |
| Colaborador do Power Platform | ff954d61-a89a-4fbe-ace9-01c367b89f87 |
Gerenciar e ler todos os recursos, mas não pode fazer ou alterar atribuições de função |
| Leitor do Power Platform | c886ad2e-27f7-4874-8381-5849b8d8a090 |
Acesso somente leitura a todos os recursos |
| Administrador de controle de acesso baseado em função do Power Platform | 95e94555-018c-447b-8691-bdac8e12211e |
Ler todos os recursos + gerenciar atribuições de função |
Etapa 1. Listar definições de função disponíveis
Primeiro, autentique e recupere as definições de função disponíveis para confirmar a ID da função de colaborador.
# Install the Az.Accounts module if not already installed
Install-Module -Name Az.Accounts
# Set your tenant ID
$TenantId = "YOUR_TENANT_ID"
# Authenticate and obtain an access token
Connect-AzAccount
$AccessToken = Get-AzAccessToken -TenantId $TenantId -ResourceUrl "https://api.powerplatform.com/"
$headers = @{ 'Authorization' = 'Bearer ' + $AccessToken.Token }
$headers.Add('Content-Type', 'application/json')
# List all role definitions
$roleDefinitions = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleDefinitions?api-version=2024-10-01" -Headers $headers
$roleDefinitions.value | Format-Table roleDefinitionName, roleDefinitionId
Resultado esperado:
roleDefinitionName roleDefinitionId
------------------ ----------------
Power Platform owner 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator 95e94555-018c-447b-8691-bdac8e12211e
Referência da API do Power Platform: controle de acessoRole-Based – listar definições de função
Etapa 2. Atribuir a função colaborador a uma entidade de serviço
Crie uma atribuição de função que conceda a função de colaborador do Power Platform a uma entidade de serviço no escopo do locatário. Substitua YOUR_TENANT_ID pelo GUID do locatário e YOUR_ENTERPRISE_APP_OBJECT_ID pela ID do objeto de aplicativo empresarial da ID do Microsoft Entra.
$TenantId = "YOUR_TENANT_ID"
$EnterpriseAppObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID"
$body = @{
roleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87"
principalObjectId = $EnterpriseAppObjectId
principalType = "ApplicationUser"
scope = "/tenants/$TenantId"
} | ConvertTo-Json
$roleAssignment = Invoke-RestMethod -Method Post -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers -Body $body
$roleAssignment
Resultado esperado:
roleAssignmentId : a1b2c3d4-e5f6-7890-abcd-ef1234567890
principalObjectId : <your-enterprise-app-object-id>
roleDefinitionId : ff954d61-a89a-4fbe-ace9-01c367b89f87
scope : /tenants/<your-tenant-id>
principalType : ApplicationUser
createdOn : 2026-03-02T12:00:00.0000000+00:00
Referência da API do Power Platform: Role-Based Controle de Acesso – Criar Atribuição de Função
Etapa 3. Verificar a atribuição de função
Recupere todas as atribuições de função para confirmar se a nova atribuição existe.
$roleAssignments = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers
# Filter for the service principal's assignments
$roleAssignments.value | Where-Object { $_.principalObjectId -eq $EnterpriseAppObjectId } | Format-Table roleAssignmentId, roleDefinitionId, scope, principalType
Resultado esperado:
roleAssignmentId roleDefinitionId scope principalType
---------------- ---------------- ----- -------------
a1b2c3d4-e5f6-7890-abcd-ef1234567890 ff954d61-a89a-4fbe-ace9-01c367b89f87 /tenants/<your-tenant-id> ApplicationUser
Referência da API do Power Platform: Controle de acesso baseado em função – Listar atribuições de função