Gestionați rolurile de administrator cu Microsoft Entra Privilegied Identity Management

Utilizați Microsoft Entra Privileged Identity Management (PIM) pentru a gestiona rolurile de administrator cu privilegii înalte în Power Platform centrul de administrare.

Cerințe preliminare

• Eliminați vechile atribuiri de rol de administrator de sistem din mediile dvs. Puteți folosi scripturi PowerShell pentru a inventaria și a elimina utilizatorii nedoriți din rolul de Administrator de sistem în unul sau mai multe Power Platform medii.

Modificări ale suportului pentru funcții

Microsoft nu mai atribuie automat rolul de Administrator de sistem utilizatorilor cu roluri de administrator la nivel global sau de serviciu, cum ar fi Power Platform Administrator și Administrator Dynamics 365.

Acești administratori se pot conecta în continuare la Power Platform centrul de administrare, cu aceste privilegii:

• Activați sau dezactivați setările la nivel de chiriaș
• Vizualizați informații de analiză pentru medii
• Vizualizați consumul de capacitate

Acești administratori nu pot efectua activități care necesită acces direct la Dataverse date fără licență. Exemple de aceste activități includ:

• Actualizarea rol de securitate pentru un utilizator într-un mediu
• Instalarea de aplicații pentru un mediu

Important

Administratorii globali, Power Platform administratorii și administratorii de servicii Dynamics 365 trebuie să finalizeze un alt pas înainte de a putea efectua activități care necesită acces la Dataverse. Trebuie să se ridice la rolul de Administrator de sistem în mediul în care au nevoie de acces. Toate acțiunile de altitudine sunt înregistrate în Microsoft Purview.

Limitări cunoscute

• Când utilizați API-ul, observați că, dacă apelantul este un administrator de sistem, apelul auto-elevare returnează un succes mai degrabă decât să notifice apelantul că administratorul de sistem există deja.

• Utilizatorul care efectuează apelul trebuie să aibă rolul de administrator al locatarului atribuit. Pentru o listă completă a utilizatorilor care îndeplinesc criteriile de administrare a locatarului, consultați Modificări ale asistenței pentru funcții

• Dacă sunteți administrator Dynamics 365 și mediul este protejat de un grup de securitate, trebuie să fiți membru al grupului de securitate. Această regulă nu se aplică utilizatorilor cu roluri de administrator global sau Power Platform administrator.

• API-ul de elevație poate fi invocat numai de utilizatorul care trebuie să-și ridice starea. Nu acceptă efectuarea de apeluri API în numele altui utilizator în scopuri de elevație.

• Rolul de administrator de sistem atribuit prin autoelevare nu este nu eliminat când atribuirea rolului expiră în Privileged Identity Management. Trebuie să eliminați manual utilizatorul din rolul de administrator de sistem. Consultați activitatea de curățare

• O soluție este disponibilă pentru clienții care folosesc Microsoft Power Platform Ktul de pornire CoE. Consultați Problema PIM și soluția #8119 pentru mai multe informații și detalii.

• Atribuțiile de roluri prin grupuri nu sunt acceptate. Asigurați-vă că atribuiți roluri direct utilizatorului.

Autoelevare la rolul de administrator de sistem

Acceptăm elevația folosind PowerShell sau printr-o experiență intuitivă în Power Platform centrul de administrare.

Notă

Utilizatorii care încearcă să se ridice singuri trebuie să fie administrator global, Power Platform administrator sau administrator Dynamics 365. Interfața cu utilizatorul din Power Platform centrul de administrare nu este disponibilă pentru utilizatorii cu alte roluri de administrator Entra ID și încercarea de a se autoeleva prin API-ul PowerShell returnează o eroare.

Auto-ridicare prin PowerShell

Configurați PowerShell

Instalați modulul MSAL PowerShell. Trebuie să instalați modulul o singură dată.

Install-Module -Name MSAL.PS

Pentru mai multe informații despre configurarea PowerShell, consultați Quick Start Web API cu PowerShell și Visual Studio Code.

Pas 1: Rulați scriptul pentru a ridica

În acest script PowerShell, dvs.:

• Autentificați-vă folosind Power Platform API-ul.
• Creați o http interogare cu ID-ul de mediu.
• Apelați punctul final API pentru a solicita elevația.

Adăugați ID-ul mediului dvs

1. Obțineți ID-ul de mediu din fila Mediuri a Power Platform Centrul de administrare.

2. Adăugați <environment id> ul dvs. unic la script.

Rulați scriptul

Copiați și inserați scriptul într-o consolă PowerShell.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

Pas 2: Confirmați rezultatul

După succes, vedeți o ieșire similară cu următoarea ieșire. Căutați "Code": "UserExists" dovada că v-ați ridicat cu succes rolul.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

Errors

Este posibil să vedeți un mesaj de eroare dacă nu aveți permisiunile potrivite.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Pas 3: Activitate de curățare

Rulați Remove-RoleAssignmentFromUsers pentru a elimina utilizatorii din administratorul de sistem rol de securitate după ce atribuirea expiră în PIM.

• -roleName: „Administrator de sistem” sau alt rol
• -usersFilePath: Calea către fișierul CSV cu lista de nume principale de utilizator (unul pe linie)
• -environmentUrl: Găsit la admin.powerplatform.microsoft.com
• -processAllEnvironments: (Opțional) Procesați toate mediile dvs
• -geo: O OUG valabilă
• -outputLogsDirectory: Calea unde sunt scrise fișierele jurnal

Exemplu de script

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Auto-elevare prin Power Platform centrul de administrare

1. Conectați-vă la Centrul de administrare Power Platform.

2. În panoul din partea stângă, selectați Mediuri.

3. Selectați bifa de lângă mediul dvs.

4. Selectați Membership în bara de comandă pentru a solicita auto-elevare.

5. Este afișat panoul Administratori de sistem . Adăugați-vă rolul de administrator de sistem selectând Adăugați-mă.