Делите путем

Управљајте администраторским улогама помоћу Microsoft Entra привилегованог управљања идентитетом

  • Чланак

Користите Microsoft Entra Привилегед Идентити Манагемент (ПИМ) за управљање високо привилегованим администраторским улогама у админ центру Power Platform .

Предуслови

  • Уклоните старе задатке улога администратора система у вашим окружењима. Можете користити ПоверСхелл скрипте за инвентар и уклањање нежељених корисника из улоге администратора система у једном или више Power Platform окружења.

Промене у подршци за функције

Microsoft више не додељује аутоматски улогу администратора система корисницима са глобалним администраторским улогама или администраторским улогама на нивоу услуге, као што су Power Platform Администратор и Дyнамицс 365 Администратор.

Ови администратори могу наставити да се пријављују, у Power Platform админ центар, са овим привилегијама:

  • Омогућите или онемогућите подешавања на нивоу станара
  • Погледај аналитичке информације за окружења
  • Погледај потрошњу капацитета

Ови администратори не могу да обављају активности које захтевају директан приступ Dataverse подацима без дозволе. Примери ових активности укључују:

  • Updating the security role for a user in an environment
  • Инсталирање апликација за окружење

Важно

Глобални администратори, Power Platform администратори и администратори Дyнамицс 365 сервиса морају да заврше још један корак пре него што могу да обављају активности које захтевају приступ. Dataverse Они морају да се уздигну у улогу администратора система у окружењу у којем им је потребан приступ. Све акције надморске висине су пријављене у Microsoft Пурвиев.

Позната ограничења

  • Када користите АПИ, приметите да ако је позивалац системски администратор, само-подизни позив враћа успех уместо да обавештава позиваоца да администратор система већ постоји.

  • Корисник који упућује позив мора имати додељену улогу администратора станара. За комплетну листу корисника који испуњавају критеријуме администратора станара, погледајте Промене подршке за функције

  • Ако сте администратор Дyнамицс 365 и окружење је заштићено сигурносном групом, морате бити члан безбедносне групе. Ово правило се не примењује на кориснике са улогама глобалног администратора или Power Platform администратора.

  • АПИ за надморску висину може позвати само корисник који треба да подигне свој статус. Не подржава упућивање АПИ позива у име другог корисника у сврху надморске висине.

  • Улога администратора система додељена путем само-подизања није уклоњена када додељивање улоге истекне у Привилегед Идентитy Манагемент. Морате ручно уклонити корисника из улоге администратора система. Погледајте активност чишћења

  • Заобилазно решење је доступно за купце који користе Microsoft Power Platform ЦоЕ Стартер Кит. Погледајте ПИМ Иссуе анд Wоркароунд #8119 за више информација и детаља.

  • Додељивање улога кроз групе није подржано. Уверите се да додељујете улоге директно кориснику.

Само -подићи на улогу администратора система

Подржавамо надморску висину користећи ПоверСхелл или кроз интуитивно искуство у админ центру Power Platform .

Белешка

Корисници који покушавају да се подигну морају бити Глобални администратор, Power Platform администратор или Дyнамицс 365 админ. Кориснички интерфејс у Power Platform админ центру није доступан за кориснике са другим администраторским улогама Ентра ИД-а и покушај само-подизања преко ПоверСхелл АПИ-ја враћа грешку.

Само -подизање кроз ПоверСхелл

Подесите ПоверСхелл

Инсталирајте МСАЛ ПоверСхелл модул. Потребно је само једном да инсталирате модул.

Install-Module -Name MSAL.PS

За више информација о подешавању ПоверСхелл-а, погледајте Куицк Старт Веб АПИ са ПоверСхелл-ом и Visual Studio кодом .

корак КСНУМКС: Покрените скрипту за подизање

У овој ПоверСхелл скрипти:

  • Аутентификацију , користећи Power Platform АПИ.
  • Изградите упит http са ИД-ом окружења.
  • Call the API endpoint to request elevation.
Додајте свој ИД окружења

  1. Набавите свој ИД окружења са картице Окружења у Админ центру Power Platform .

  2. Додајте свој јединствени <environment id> у скрипту.

Покрените скрипту

Копирајте и налепите скрипту у ПоверСхелл конзолу.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

корак 2: Потврдите резултат

Након успеха, видите излаз сличан следећем излазу. Потражите "Code": "UserExists" као доказ да сте успешно подигли своју улогу.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}
Errors

Можда ћете видети поруку о грешци ако немате праве дозволе.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

корак 3: Активност чишћења

Покрените Ремове -РолеАссигнментФромУсерс да бисте уклонили кориснике из < ДИЦТ__безбедносна улога > сецуритy роле администратора система након истека задатка у ПИМ-у.

  • -roleName: "Системски администратор" или неку другу улогу
  • -usersFilePath: Пут до ЦСВ датотеке са листом корисничких главних имена (један по линији)
  • -environmentUrl: Пронађено у # пии_ијфидејз
  • -processAllEnvironments: (Опционо) Обрада свих ваших окружења
  • -geo: Важећи ГЕО
  • -outputLogsDirectory: Путања где се записују фајлови дневника
Пример скрипте
Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Само -подизање кроз Power Platform админ центар

  1. Пријавите се у Power Platform центар администрације.

  2. На левој бочној плочи изаберите Окружења.

  3. Изаберите квачицу поред вашег окружења.

  4. Изаберите Чланство у командној траци да затражите само-подизање.

  5. Панел Системски администратори је приказан. Додајте себе у улогу администратора система тако што ћете изабрати Додај ме.

    Користите опцију менија Чланство да бисте затражили само-уздизање.