Compartir a través de

Administrar roles de administrador con Privileged Identity Management de Microsoft Entra

  • Artículo

Nota

El nuevo y mejorado centro de administración de Power Platform ya está en versión preliminar pública. Hemos diseñado el nuevo centro de administración para que sea más fácil de usar, con una navegación orientada a tareas que le ayuda a lograr resultados específicos más rápido. Iremos publicando documentación nueva y actualizada a medida que el nuevo centro de administración de Power Platform pase a estar disponible de forma general.

Use Microsoft Entra Privileged Identity Management (PIM) para administrar funciones de administrador con altos privilegios en el centro de administración de Power Platform.

Requisitos previos

  • Elimine las asignaciones de roles Administrador del sistema antiguo en sus entornos. Puede utilizar scripts de PowerShell para inventariar y eliminar usuarios no deseados del rol Administrador del sistema en uno o más entornos de Power Platform.

Cambios en la compatibilidad con funciones

Microsoft ya no asigna automáticamente el rol de Administrador del sistema a los usuarios con roles de administrador global o de nivel de servicio, como administrador de Power Platform y administrador de Dynamics 365.

Estos administradores pueden seguir iniciando sesión en el centro de administración de Power Platform con estos privilegios:

  • Habilitar o deshabilitar la configuración en el nivel de inquilino
  • Ver información analítica para entornos
  • Ver consumo de capacidad

Estos administradores no pueden realizar actividades que requieran acceso directo a datos de Dataverse sin licencia. Algunos ejemplos de estas actividades son:

  • Actualización de rol de seguridad para un usuario en un entorno
  • Instalación de aplicaciones para un entorno

Importante

Los administradores globales, los administradores de Power Platform y los administradores de servicios de Dynamics 365 deben completar otro paso antes de poder realizar actividades que requieren acceso a Dataverse. Deben elevarse a Administrador del sistema en el entorno en el que necesitan acceso. Todas las acciones de elevación se registran en Microsoft Purview.

Limitaciones conocidas

  • Al usar la API, observará que si la persona que llama es un administrador del sistema, la llamada de autoelevación devuelve un resultado correcto en lugar de notificar a la persona que llama que el administrador del sistema ya existe.

  • El usuario que realiza la llamada debe tener asignado el rol de administrador de inquilinos. Para obtener una lista completa de los usuarios que cumplen con los criterios de administrador de inquilinos, consulte Cambios en la compatibilidad con características

  • Si es un administrador de Dynamics 365 y el entorno está protegido por un grupo de seguridad, debe ser miembro del grupo de seguridad. Esta regla no se aplica a los usuarios con los roles de administrador global o administrador de Power Platform.

  • La API de elevación solo puede ser invocada por el usuario que necesita elevar su estado. No admite realizar llamadas API en nombre de otro usuario con fines de elevación.

  • El rol de administrador del sistema asignado a través de la autoelevación no se elimina cuando caduca la asignación de roles en Privileged Identity Management. Debe quitar manualmente al usuario del rol de administrador del sistema. Ver actividad de limpieza

  • Hay una solución alternativa disponible para los clientes que utilizan el Kit de inicio de CoE de Microsoft Power Platform. Consulte Problema de PIM y solución alternativa n.º 8119 para obtener más información y detalles.

  • No se admiten asignaciones de roles a través de grupos. Asegúrese de asignar roles directamente al usuario.

Autoelevación al rol de administrador del sistema

Admitimos la elevación mediante PowerShell o mediante una experiencia intuitiva en el centro de administración de Power Platform.

Nota

Los usuarios que intenten elevarse automáticamente deben ser administradores globales, administradores de Power Platform o administradores de Dynamics 365. La interfaz de usuario en el centro de administración de Power Platform no está disponible para usuarios con otras funciones de administrador de Entra ID y al intentar autoelevarse a través de la API de PowerShell se genera un error.

Autoelevación a través de PowerShell

Configurar PowerShell

Instale el módulo MSAL de PowerShell. La instalación del módulo solo se debe realizar una vez.

Install-Module -Name MSAL.PS

Para obtener más información sobre la configuración de PowerShell, consulte API web de inicio rápido con PowerShell y Visual Studio Code.

Paso 1: ejecute el script para elevar

En este script de PowerShell:

  • Autentique mediante la API de Power Platform.
  • Cree una consulta http con su ID de entorno.
  • Llame al punto de conexión de la API para solicitar elevación.
Agregar su id. de entorno

  1. Obtenga su ID de entorno desde la pestaña Entornos del Centro de administración de Power Platform.

  2. Agregue su <environment id> único al script.

Ejecutar el script

Copie y pegue el script en la consola de PowerShell.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

Paso 2: confirmar el resultado

Si tiene éxito, verá un resultado similar al siguiente. Busque "Code": "UserExists" como evidencia de que logró elevar su rol con éxito.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}
Errores

Es posible que vea un mensaje de error si no tiene los permisos adecuados.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Paso 3: actividad de limpieza

Ejecute Remove-RoleAssignmentFromUsers para eliminar usuarios del sistema Administrador rol de seguridad después de que caduque la asignación en PIM.

  • -roleName: «Administrador del sistema» u otro rol
  • -usersFilePath: Ruta al archivo CSV con lista de nombres principales de usuarios (uno por línea)
  • -environmentUrl: se encuentra en admin.powerplatform.microsoft.com
  • -processAllEnvironments: (Opcional) Procese todos sus entornos
  • -geo: Una dirección GEO válida
  • -outputLogsDirectory: Ruta donde se escriben los archivos de registro
Ejemplo de script
Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Autoelevación a través del centro de administración de Power Platform

  1. Inicie sesión en el Centro de administración de Power Platform.

  2. En el panel lateral izquierdo, seleccione Entornos.

  3. Seleccione la marca de verificación junto a su entorno.

  4. Seleccione Pertenencia en la barra de comandos para solicitar la autoelevación.

  5. Se muestra el panel Administradores del sistema. Agréguese al rol Administrador del sistema seleccionando Agregarme.

    Utilice la opción del menú Pertenencia para solicitar autoelevación.