แชร์ผ่าน

บทช่วยสอน: กําหนดบทบาทให้กับบริการหลัก (ตัวอย่าง)

[บทความนี้เป็นคู่มือรุ่นก่อนวางจำหน่าย และอาจจะมีการเปลี่ยนแปลงในอนาคต]

การควบคุมการเข้าถึงตามบทบาท (RBAC) ใน Power Platform ช่วยให้ผู้ดูแลระบบสามารถกําหนดบทบาทที่มีอยู่ภายในให้กับผู้ใช้ กลุ่ม และโครงร่างสําคัญของบริการที่ผู้เช่า กลุ่มสภาพแวดล้อม หรือขอบเขตสภาพแวดล้อม บทช่วยสอนนี้จะแสดงผ่านสถานการณ์การทํางานโดยอัตโนมัติทั่วไป: การกําหนดบทบาท ผู้สนับสนุน ให้กับโครงร่างสําคัญของบริการที่ ขอบเขตผู้เช่า โดยใช้ API การรับรองความถูกต้อง

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับแนวคิด RBAC บทบาทที่มีอยู่ภายใน และการสืบทอดขอบเขต โปรดดู การควบคุมการเข้าถึงตามบทบาทสําหรับศูนย์การจัดการ Power Platform

สำคัญ

  • นี่คือฟีเจอร์แสดงตัวอย่าง
  • คุณลักษณะพรีวิวไม่ได้มีไว้สำหรับการใช้งานจริง และอาจมีฟังก์ชันการทำงานที่จำกัด คุณลักษณะเหล่านี้อยู่ภายใต้ ข้อกำหนดการใช้งานเพิ่มเติม และสามารถใช้ได้ก่อนการเผยแพร่อย่างเป็นทางการเพื่อให้ลูกค้าสามารถเข้าถึงล่วงหน้าและแสดงความคิดเห็น

ในบทเรียนนี้ คุณจะได้เรียนรู้:

  • การรับรองความถูกต้องกับ Power Platform API
  • แสดงรายการข้อกําหนดบทบาทที่พร้อมใช้งาน
  • สร้างการกําหนดบทบาทสําหรับบริการหลักที่ขอบเขตผู้เช่า
  • ตรวจสอบการกําหนดบทบาท

ข้อกำหนดเบื้องต้น

  • การลงทะเบียนแอป Microsoft Entra ที่กําหนดค่าสําหรับ Power Platform API ที่มีใบรับรองหรือความลับของไคลเอ็นต์สําหรับการรับรองความถูกต้องโครงร่างสําคัญของบริการ สําหรับคําแนะนํา ดูการรับรองความถูกต้อง
  • ID ออบเจ็กต์แอปพลิเคชันขององค์กรสําหรับบริการหลัก (พบได้ในแอปพลิเคชัน Microsoft Entra ID>Enterprise)
  • ข้อมูลประจําตัวการเรียกใช้ต้องมีบทบาทผู้ดูแลระบบ Power Platform หรือผู้ดูแลระบบควบคุมการเข้าถึงตามบทบาท Power Platform

ข้อกําหนดบทบาทที่มีอยู่ภายใน

Power Platform มีบทบาทในตัวสี่บทบาทที่สามารถกําหนดได้ผ่านทาง RBAC แต่ละบทบาทมีชุดของสิทธิ์คงที่ และสามารถกําหนดที่ผู้เช่า กลุ่มสภาพแวดล้อม หรือขอบเขตสภาพแวดล้อมได้

ชื่อบทบาท รหัสบทบาท การอนุญาต
เจ้าของ Power Platform 0cb07c69-1631-4725-ab35-e59e001c51ea การอนุญาตทั้งหมด
ผู้สนับสนุน Power Platform ff954d61-a89a-4fbe-ace9-01c367b89f87 จัดการและอ่านทรัพยากรทั้งหมด แต่ไม่สามารถกําหนดหรือเปลี่ยนการกําหนดบทบาทได้
Power Platform reader c886ad2e-27f7-4874-8381-5849b8d8a090 เข้าถึงทรัพยากรทั้งหมดแบบอ่านอย่างเดียว
ผู้ดูแลระบบควบคุมการเข้าถึงตามบทบาทของ Power Platform 95e94555-018c-447b-8691-bdac8e12211e อ่านทรัพยากรทั้งหมด + จัดการการกําหนดบทบาท

ขั้นตอนที่ 1 แสดงรายการข้อกําหนดบทบาทที่พร้อมใช้งาน

ก่อนอื่น รับรองความถูกต้อง และเรียกใช้ข้อกําหนดบทบาทที่พร้อมใช้งานเพื่อยืนยัน ID บทบาทผู้สนับสนุน

# Install the Az.Accounts module if not already installed
Install-Module -Name Az.Accounts

# Set your tenant ID
$TenantId = "YOUR_TENANT_ID"

# Authenticate and obtain an access token
Connect-AzAccount
$AccessToken = Get-AzAccessToken -TenantId $TenantId -ResourceUrl "https://api.powerplatform.com/"

$headers = @{ 'Authorization' = 'Bearer ' + $AccessToken.Token }
$headers.Add('Content-Type', 'application/json')

# List all role definitions
$roleDefinitions = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleDefinitions?api-version=2024-10-01" -Headers $headers

$roleDefinitions.value | Format-Table roleDefinitionName, roleDefinitionId

เอาต์พุตที่คาดหวัง:

roleDefinitionName                                          roleDefinitionId
------------------                                          ----------------
Power Platform owner                                        0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor                                  ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader                                       c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator      95e94555-018c-447b-8691-bdac8e12211e

การอ้างอิง Power Platform API: Role-Based ควบคุมการเข้าถึง - ข้อกําหนดบทบาทรายการ

ขั้นตอนที่ 2 กําหนดบทบาทผู้สนับสนุนให้กับโครงร่างสําคัญของบริการ

สร้างการกําหนดบทบาทที่ให้บทบาท ผู้สนับสนุน Power Platform แก่โครงร่างสําคัญของบริการที่ขอบเขตผู้เช่า แทนที่ YOUR_TENANT_ID ด้วย GUID ผู้เช่าของคุณ และ YOUR_ENTERPRISE_APP_OBJECT_ID ด้วย ID ออปเจ็กต์ของแอปพลิเคชันระดับองค์กรจาก รหัส Microsoft Entra

$TenantId = "YOUR_TENANT_ID"
$EnterpriseAppObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID"

$body = @{
    roleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87"
    principalObjectId = $EnterpriseAppObjectId
    principalType = "ApplicationUser"
    scope = "/tenants/$TenantId"
} | ConvertTo-Json

$roleAssignment = Invoke-RestMethod -Method Post -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers -Body $body

$roleAssignment

เอาต์พุตที่คาดหวัง:

roleAssignmentId   : a1b2c3d4-e5f6-7890-abcd-ef1234567890
principalObjectId  : <your-enterprise-app-object-id>
roleDefinitionId   : ff954d61-a89a-4fbe-ace9-01c367b89f87
scope              : /tenants/<your-tenant-id>
principalType      : ApplicationUser
createdOn          : 2026-03-02T12:00:00.0000000+00:00

การอ้างอิง Power Platform API: Role-Based ควบคุมการเข้าถึง - สร้างการกําหนดบทบาท

ขั้นตอนที่ 3 ตรวจสอบการกําหนดบทบาท

ดึงข้อมูลการกําหนดบทบาททั้งหมดเพื่อยืนยันว่ามีการกําหนดใหม่อยู่

$roleAssignments = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers

# Filter for the service principal's assignments
$roleAssignments.value | Where-Object { $_.principalObjectId -eq $EnterpriseAppObjectId } | Format-Table roleAssignmentId, roleDefinitionId, scope, principalType

เอาต์พุตที่คาดหวัง:

roleAssignmentId                        roleDefinitionId                        scope                          principalType
----------------                        ----------------                        -----                          -------------
a1b2c3d4-e5f6-7890-abcd-ef1234567890    ff954d61-a89a-4fbe-ace9-01c367b89f87    /tenants/<your-tenant-id>      ApplicationUser

การอ้างอิง Power Platform API: ควบคุมการเข้าถึงตามบทบาท - การกําหนดบทบาทรายการ

เนื้อหาที่เกี่ยวข้อง

  • Last updated on