Administrar roles de administrador con Privileged Identity Management de Microsoft Entra
Use Microsoft Entra Privileged Identity Management (PIM) para administrar funciones de administrador con altos privilegios en el centro de administración de Power Platform.
Requisitos previos
- Elimine las asignaciones de roles Administrador del sistema antiguo en sus entornos. Puede utilizar scripts de PowerShell para inventariar y eliminar usuarios no deseados del rol Administrador del sistema en uno o más entornos de Power Platform.
Cambios en la compatibilidad con funciones
Microsoft ya no asigna automáticamente el rol Sistema Administrador a los usuarios con roles de administrador global o de nivel de servicio como Power Platform Administrador y Dynamics 365 Administrador.
Estos administradores pueden seguir iniciando sesión en Centro de administración con estos privilegios: Power Platform
- Habilitar o deshabilitar la configuración en el nivel de inquilino
- Ver información analítica para entornos
- Ver consumo de capacidad
Estos administradores no pueden realizar actividades que requieran acceso directo a los datos sin una licencia. Dataverse Algunos ejemplos de estas actividades son:
- Actualización de rol de seguridad para un usuario en un entorno
- Instalación de aplicaciones para un entorno
Importante
Los administradores globales, los administradores y los administradores de servicios Dynamics 365 deben completar otro paso antes de poder realizar actividades que requieran acceso a Power Platform . Dataverse Deben elevarse a Administrador del sistema en el entorno en el que necesitan acceso. Todas las acciones de elevación se registran en Microsoft Purview.
Limitaciones conocidas
Al usar la API, se observa que si el llamador es un sistema Administrador, la llamada de autoelevación devuelve un éxito en lugar de notificar al llamador que el sistema Administrador ya existe.
El usuario que realiza la llamada debe tener asignado el rol de administrador de inquilinos. Para obtener una lista completa de los usuarios que cumplen con los criterios de administrador de inquilinos, consulte Cambios en la compatibilidad con características
Si eres un Dynamics 365 Administrador y el ambiente está protegido por un grupo de seguridad, debes ser miembro del grupo de seguridad. Esta regla no se aplica a los usuarios con los roles globales Administrador o Power Platform Administrador.
La API de elevación solo puede ser invocada por el usuario que necesita elevar su estado. No admite realizar llamadas API en nombre de otro usuario con fines de elevación.
El rol del sistema Administrador asignado a través de la autoelevación no se elimina cuando la asignación del rol expira en la Administración de identidad privilegiada. Debes eliminar manualmente al usuario del rol Administrador del sistema. Ver actividad de limpieza
Hay una solución alternativa disponible para los clientes que utilizan el Kit de inicio de CoE de Microsoft Power Platform. Consulte Problema de PIM y solución alternativa n.º 8119 para obtener más información y detalles.
No se admiten asignaciones de roles a través de grupos. Asegúrese de asignar roles directamente al usuario.
Autoelevación al rol de administrador del sistema
Admitimos la elevación mediante PowerShell o mediante una experiencia intuitiva en el centro de administración de Power Platform.
Nota
Los usuarios que intenten elevarse automáticamente deben ser administradores globales, administradores de Power Platform o administradores de Dynamics 365. La interfaz de usuario en el centro de administración de Power Platform no está disponible para usuarios con otras funciones de administrador de Entra ID y al intentar autoelevarse a través de la API de PowerShell se genera un error.
Autoelevación a través de PowerShell
Configurar PowerShell
Instale el módulo MSAL de PowerShell. La instalación del módulo solo se debe realizar una vez.
Install-Module -Name MSAL.PS
Para obtener más información sobre la configuración de PowerShell, consulte API web de inicio rápido con PowerShell y Visual Studio Code.
Paso 1: ejecute el script para elevar
En este script de PowerShell:
- Autentique mediante la API de Power Platform.
- Cree una consulta
httpcon su ID de entorno. - Llame al punto de conexión de la API para solicitar elevación.
Agregar su id. de entorno
Obtenga su ID de entorno desde la pestaña Entornos del Centro de administración de Power Platform.
Agregue su
<environment id>único al script.
Ejecutar el script
Copie y pegue el script en la consola de PowerShell.
# Set your environment ID
$environmentId = "<your environment id>"
Import-Module MSAL.PS
# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default'
$Headers = @{
Authorization = "Bearer $($AuthResult.AccessToken)"
'Content-Type' = "application/json"
}
$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";
try {
$postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri
}
catch {
# Dig into the exception to get the Response details.
Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"]
Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__
Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription
$result = $_.Exception.Response.GetResponseStream()
$reader = New-Object System.IO.StreamReader($result)
$reader.BaseStream.Position = 0
$reader.DiscardBufferedData()
$responseBody = $reader.ReadToEnd();
Write-Host $responseBody
}
$output = $postRequestResponse | ConvertTo-Json -Depth 2
Write-Host $output
Paso 2: confirmar el resultado
Si tiene éxito, verá un resultado similar al siguiente. Busque "Code": "UserExists" como evidencia de que logró elevar su rol con éxito.
{
"errors": [],
"information": [
{
"Subject": "Result",
"Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
"Code": "UserExists"
},
{ ... }
}
Errores
Es posible que vea un mensaje de error si no tiene los permisos adecuados.
"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."
Paso 3: Actividad de limpieza
Ejecute Remove-RoleAssignmentFromUsers para eliminar usuarios del sistema Administrador rol de seguridad después de que caduque la asignación en PIM.
-roleName:"Sistema Administrador" u otro rol-usersFilePath: Ruta al archivo CSV con la lista de nombres principales de usuario (uno por línea)-environmentUrl:Encontrado en admin.powerplatform.microsoft.com-processAllEnvironments: (Opcional) Procesa todos tus entornos-geo:Un GEO válido-outputLogsDirectory: Ruta donde se escriben los archivos de registro
Ejemplo de script
Remove-RoleAssignmentFromUsers
-roleName "System Administrator"
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"
Autoelevación a través del centro de administración de Power Platform
Inicie sesión en el Centro de administración de Power Platform.
En el panel lateral izquierdo, seleccione Entornos.
Seleccione la marca de verificación junto a su entorno.
Seleccione Pertenencia en la barra de comandos para solicitar la autoelevación.
Se muestra el panel Administradores del sistema. Agréguese al rol Administrador del sistema seleccionando Agregarme.
