Керуйте ролями адміністратора за допомогою Microsoft Entra керування привілейованими ідентифікаціями
Використовуйте Microsoft Entra керування привілейованими ідентифікаційними даними (PIM), щоб керувати високопривілейованими ролями адміністратора в Power Platform Центрі адміністрування.
вимоги
- Видаліть старі призначення ролей системного адміністратора у своїх середовищах. Сценарії PowerShell можна використовувати для інвентаризації та видалення небажаних користувачів із ролі системного адміністратора в одному або кількох Power Platform середовищах.
Зміни в підтримці функцій
Microsoft більше не призначається автоматично роль системного адміністратора користувачам із глобальними ролями адміністратора або ролями адміністратора на рівні служби, як-от Power Platform адміністратор і адміністратор Dynamics 365.
Ці адміністратори можуть продовжувати входити в адміністративний Power Platform центр із такими привілеями:
- Увімкнення або вимкнення налаштувань на рівні клієнта
- Перегляд аналітичної інформації для середовищ
- Переглянути споживання потужності
Ці адміністратори не можуть виконувати дії, для яких потрібен прямий доступ до Dataverse даних, без ліцензії. Приклади таких дій включають:
- Оновлення ролі безпеки для користувача в середовищі
- Встановлення програм для середовища
Важливо
Глобальні адміністратори, Power Platform адміністратори та адміністратори служби Dynamics 365 повинні виконати ще один крок, перш ніж вони зможуть виконувати дії, до Dataverse яких потрібен доступ. Вони повинні підвищити себе до ролі системного адміністратора в середовищі, до якого їм потрібен доступ. Усі дії з висотою реєструються в Microsoft Purview.
Відомі обмеження
Під час використання API ви помічаєте, що якщо абонент є системним адміністратором, виклик із самопідняттям повертає успіх, а не сповіщає абонента про те, що системний адміністратор уже існує.
Користувачеві, який здійснює дзвінок, має бути призначена роль адміністратора клієнта. Повний список користувачів, які відповідають критеріям адміністратора клієнта, наведено в статті Зміни в підтримці функцій
Якщо ви адміністратор Dynamics 365 і середовище захищено групою безпеки, ви повинні бути учасником групи безпеки. Це правило не застосовується до користувачів із ролями глобального адміністратора або Power Platform адміністратора.
API підвищення рівня може бути викликаний лише користувачем, якому потрібно підвищити свій статус. Він не підтримує здійснення викликів API від імені іншого користувача з метою підвищення висоти.
Роль системного адміністратора, призначена шляхом самопідвищення, не видаляється після завершення терміну призначення ролей у розділі «Керування привілейованими ідентифікаційними даними». Необхідно вручну видалити користувача з ролі системного адміністратора. Перегляд дій з прибирання
Для клієнтів, Microsoft Power Platform які використовують стартовий набір CoE, доступний обхідний шлях. Дивіться PIM Issue and Workaround #8119 для отримання додаткової інформації та деталей.
Призначення ролей через групи не підтримується. Переконайтеся, що ви призначаєте ролі безпосередньо користувачу.
Самопідвищення до ролі системного адміністратора
Ми підтримуємо підвищення рівня за допомогою PowerShell або за допомогою інтуїтивно зрозумілого інтерфейсу в Power Platform центрі адміністрування.
Нотатка
Користувачі, які намагаються самопідвищити, повинні бути глобальним адміністратором, Power Platform адміністратором або адміністратором Dynamics 365. Інтерфейс користувача в Power Platform Центрі адміністрування недоступний для користувачів з іншими ролями адміністратора Entra ID, а спроба самопідвищення за допомогою PowerShell API повертає помилку.
Самопідвищення за допомогою PowerShell
Налаштування PowerShell
Встановіть модуль MSAL PowerShell. Встановити модуль потрібно лише один раз.
Install-Module -Name MSAL.PS
Для отримання додаткових відомостей про налаштування PowerShell перегляньте статтю Швидкий запуск веб-API з PowerShell і Visual Studio кодом.
крок 1: Запустіть сценарій для підвищення рівня
У цьому сценарії PowerShell ви:
- Пройдіть автентифікацію за допомогою Power Platform API.
- Створіть
httpзапит за допомогою ідентифікатора вашого середовища. - Викличте кінцеву точку API, щоб надіслати запит на підвищення висоти.
Додайте свій ідентифікатор оточення
Отримайте свій ідентифікатор середовища на вкладці Середовища Центру Power Platform адміністрування.
Додайте в сценарій свій унікальний
<environment id>.
Запустіть скрипт
Скопіюйте та вставте сценарій у консоль PowerShell.
# Set your environment ID
$environmentId = "<your environment id>"
Import-Module MSAL.PS
# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default'
$Headers = @{
Authorization = "Bearer $($AuthResult.AccessToken)"
'Content-Type' = "application/json"
}
$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";
try {
$postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri
}
catch {
# Dig into the exception to get the Response details.
Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"]
Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__
Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription
$result = $_.Exception.Response.GetResponseStream()
$reader = New-Object System.IO.StreamReader($result)
$reader.BaseStream.Position = 0
$reader.DiscardBufferedData()
$responseBody = $reader.ReadToEnd();
Write-Host $responseBody
}
$output = $postRequestResponse | ConvertTo-Json -Depth 2
Write-Host $output
Крок 2: Підтвердіть результат
Після успіху ви побачите вихідні дані, подібні до наведених нижче. Шукайте "Code": "UserExists" в якості доказів те, що ви успішно підвищили свою роль.
{
"errors": [],
"information": [
{
"Subject": "Result",
"Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
"Code": "UserExists"
},
{ ... }
}
Errors
Якщо у вас немає потрібних дозволів, може з’явитися повідомлення про помилку.
"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."
Крок 3: Заходи з прибирання
Запустіть команду Remove-RoleAssignmentFromUsers , щоб видалити користувачів із ролі безпеки системного адміністратора після завершення терміну призначення в PIM.
-roleName: "Системний адміністратор" або інша роль-usersFilePath: Шлях до файлу CSV зі списком імен реєстраційних записів користувачів (по одному на рядок)-environmentUrl: Знайдено на admin.powerplatform.microsoft.com-processAllEnvironments: (Необов’язково) Обробити всі ваші середовища-geo: Дійсний GEO-outputLogsDirectory: шлях, куди записуються файли журналу
Приклад сценарію
Remove-RoleAssignmentFromUsers
-roleName "System Administrator"
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"
Самопідвищення через Power Platform центр адміністрування
Увійдіть у центр адміністрування Power Platform.
На бічній панелі ліворуч виберіть Середовища.
Поставте галочку поруч із вашим оточенням.
Виберіть «Членство » на панелі команд, щоб надіслати запит на самопідвищення.
Відобразиться панель Системні адміністратори . Додайте себе до ролі системного адміністратора, вибравши пункт Додати мене.
