Del via

Oprette et tjenesteprincipalprogram via PowerShell

  • Artikel

Godkendelse via brugernavn og adgangskode er ofte ikke optimalt, især ikke med den stigende brug af multifaktorgodkendelse. I disse tilfælde foretrækkes godkendelse via tjenesteprincipalen (eller flow med klientlegitimationsoplysninger). Det kan du gøre ved både at registrere et nyt tjenesteprincipalprogram i din egen Microsoft Entra-lejer og derefter registrere det samme program med Power Platform.

Registrering af et administrationsprogram

Først skal klientprogrammet registreres i din Microsoft Entra-lejer. Hvis du vil konfigurere dette, kan du læse artiklen Godkendelse for Power Platform-API'er, da samme programkonfiguration kræves til PowerShell.

Når klientprogrammet er registreret i Microsoft Entra ID, skal det også registreres i Microsoft Power Platform. I dag kan du ikke gøre det via Power Platform Administration. Det skal gøres via programmering via Power Platform-API eller PowerShell til Power Platform-administratorer. En tjenesteprincipal kan ikke registrere sig selv – programmet skal som standard registreres med brugernavnet og adgangskoden for en administrator. Derved sikres, at programmet oprettes af en person, der er administrator for lejeren.

Hvis du vil registrere et nyt administrationsprogram, skal du bruge følgende script:

$appId = "CLIENT_ID_FROM_AZURE_APP"

# Login interactively with a tenant administrator for Power Platform
Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId 

# Register a new application, this gives the SPN / client application same permissions as a tenant admin
New-PowerAppManagementApp -ApplicationId $appId

Foretage forespørgsler tjenesteprincipal

Nu, hvor det er registreret i Microsoft Power Platform, kan du godkende det som selve tjenesteprincipalen. Brug følgende script til at forespørge om miljølisten:

$appId = "CLIENT_ID_FROM_AZURE_APP"
$secret = "SECRET_FROM_AZURE_APP"
$tenantId = "TENANT_ID_FROM_AZURE_APP"

Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId -ApplicationId $appId -ClientSecret $secret -Verbose
Get-AdminPowerAppEnvironment

Begrænsninger for tjenesteprincipaler

Godkendelse via tjenesteprincipal fungerer i øjeblikket i forbindelse med miljøstyring, lejerindstillinger og Power Apps-administration. Cmdlet'er med relation til Flow understøttes til godkendelse af tjenesteprincipalen i situationer, hvor der ikke kræves en licens, da det ikke er muligt at tildele licenser til tjenesteprincipalidentiteter i Microsoft Entra ID.

Tjenesteprincipalprogrammer behandles i Power Platform i stil med, hvordan normale brugere er med Power Platform-administratorrollen tildelt. Detaljerede roller og tilladelser kan ikke tildeles for at begrænse deres muligheder. Programmet får ikke tildelt nogen særlig rolle i Microsoft Entra ID, da det er sådan, at platformstjenester behandler anmodninger fra tjenesteprincipaler.