Deli z drugimi prek

Upravljajte skrbniške vloge z upravljanjem privilegiranih identitet Microsoft Entra

Upravljajte skrbniške vloge z visokimi privilegiji v skrbniškem središču z uporabo upravljanja privilegiranih identitet (PIM). Power Platform Microsoft Entra

Zahteve

  • Odstranite stare dodelitve vlog skrbnika sistema v svojih okoljih. Skripte PowerShell lahko uporabite za popis in odstranitev neželenih uporabnikov iz vloge skrbnika sistema v enem ali več okoljih. ... Power Platform

Spremembe podpore za funkcije

Microsoft ne dodeljuje več samodejno vloge skrbnika sistema uporabnikom z globalnimi skrbniškimi vlogami ali skrbniškimi vlogami na ravni storitev, kot sta Power Platform skrbnik in skrbnik Dynamics 365.

Ti skrbniki se lahko še naprej prijavljajo v skrbniško središče s temi pravicami: Power Platform

  • Omogočanje ali onemogočanje nastavitev na ravni najemnika
  • Ogled analitičnih podatkov za okolja
  • Ogled porabe zmogljivosti

Ti skrbniki ne morejo izvajati dejavnosti, ki zahtevajo neposreden dostop do podatkov, brez licence. Dataverse Primeri teh dejavnosti vključujejo:

  • Posodabljanje varnostne vloge za uporabnika v okolju
  • Nameščanje aplikacij za okolje

Pomembno

Globalni skrbniki, skrbniki in skrbniki storitev Dynamics 365 morajo pred izvajanjem dejavnosti, ki zahtevajo dostop do Power Platform , opraviti še en korak. Dataverse V okolju, kjer potrebujejo dostop, se morajo povzdigniti do vloge sistemskega administratorja . Vsa dejanja dvigovanja privilegijev se beležijo v Microsoft Purview.

Če uporabljate upravljanje privilegiranih identitet za pravočasen dostop do skrbniških vlog v storitvi *ID* in nato sami povišate svojo vlogo, Microsoft odstrani vašo vlogo *Skrbnik sistema*, ko dodelitev vloge v storitvi *Upravljanje privilegiranih identitet* poteče, običajno po kratkem času. Microsoft Entra

Znane omejitve

  • Če je klicatelj pri uporabi API-ja skrbnik sistema, klic s samodejnim dvigom vrne uspeh, namesto da bi označil, da je že izhod.

  • Uporabnik, ki kliče, mora imeti dodeljeno vlogo skrbnika najemnika. Za celoten seznam uporabnikov, ki izpolnjujejo merila za skrbnika najemnika, glejte Spremembe podpore za funkcije

  • Če ste skrbnik storitve Dynamics 365 in je okolje zaščiteno z varnostno skupino, morate biti član te varnostne skupine. To pravilo ne velja za uporabnike z vlogo globalnega skrbnika ali skrbnika. Power Platform

  • Uporabnik, ki želi povišati svoj status, mora zagnati API za povišanja. Ne dovoljuje klicev API-ja za dvig statusa drugega uporabnika.

  • Za stranke, ki uporabljajo komplet za začetnike CoE, je na voljo nadomestna rešitev. Microsoft Power Platform Za več informacij in podrobnosti glejte Težava s PIM in rešitev št. 8119 .

  • Dodeljevanje vlog prek skupin ni podprto. Prepričajte se, da vloge dodelite neposredno uporabniku.

Samostojno napredovanje v vlogo sistemskega skrbnika

Podpiramo dvigovanje pravic z uporabo PowerShella ali prek intuitivne izkušnje v skrbniškem središču. Power Platform

opomba,

Uporabniki, ki poskušajo samostojno dvigniti raven, morajo biti globalni skrbnik, skrbnik ali skrbnik Dynamics 365. Uporabniški vmesnik v skrbniškem središču ni na voljo za uporabnike z drugimi skrbniškimi vlogami Entra ID in poskus samostojnega dviga prek API-ja PowerShell vrne napako. Power Platform Power Platform

Samostojno nadgrajevanje prek PowerShella

Za samopovišanje preko PowerShella namestite modul MSAL PowerShell in sledite korakom v tem razdelku.

Install-Module -Name MSAL.PS

Modul morate namestiti samo enkrat. Za več informacij o nastavitvi PowerShella glejte Spletni API za hitri začetek s PowerShellom in Visual Studio Koda.

1. korak: Zaženite skript za dvig

V tem skriptu PowerShell:

  • Preverjanje pristnosti z uporabo API-ja. Power Platform
  • Zgradite poizvedbo z vašim ID-jem okolja. http
  • Zahtevajte dvig z uporabo API-ja. Power Platform

Poiščite in dodajte svoj ID okolja

  1. Vpišite se v skrbniško središče za Power Platform.
  2. V navigacijski plošči izberite Upravljanje.
  3. V podoknu Upravljanje izberite Okolja.
  4. Na strani Okolja izberite okolje, ki ga želite spremeniti.
  5. V podoknu s podrobnostmi poiščite ID okolja.
  6. Dodajte svoj edinstveni kodek v skript. <environment id>

Zaženite skript

Kopirajte in prilepite skript v konzolo PowerShell.

# Set your environment ID
$environmentId = "<your environment id>"
$clientId = "<client id of your Microsoft Entra ID application registration>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId $clientId -Scope 'https://api.powerplatform.com/.default'


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

2. korak: Potrdite rezultat

Ob uspehu boste videli izpis, podoben naslednjemu. Iščite dokaz, da ste uspešno dvignili svojo vlogo. "Code": "UserExists"

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

Errors

Če nimate ustreznih dovoljenj, se lahko prikaže sporočilo o napaki.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Primer skripta

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Samostojno napredovanje prek skrbniškega središča Power Platform

Za samodvig preko Power Platform centra naredite naslednje korake:

  1. Vpišite se v skrbniško središče za Power Platform.
  2. V navigacijski plošči izberite Upravljanje.
  3. V podoknu Upravljanje izberite Okolja.
  4. Na strani Okolja izberite okolje, ki ga želite spremeniti.
  5. V ukazni vrstici izberite Članstvo , da zahtevate samopovišano raven.
  6. V podoknu Sistemski skrbniki izberite Dodaj me , da se dodate v vlogo sistemskega skrbnika.
  • Last updated on