Järjestelmänvalvojan roolien hallinta Microsoft Entran Privileged Identity Managementin avulla
Käytä Microsoft Entra Entra Privileged Identity Managementia (PIM) korkeatasoisten järjestelmänvalvojaroolien hallintaan Power Platform -hallintakeskuksessa.
edellytykset
- Poista vanhat Järjestelmänvalvojan roolimääritykset ympäristöissäsi. Voit käyttää PowerShell-komentosarjoja varastona ja poistaa tarpeettomia käyttäjiä Järjestelmänvalvoja-roolista yhdessä tai useassa Power Platform -ympäristössä.
Ominaisuuksien tuen muutokset
Microsoft ei enää automaattisesti määritä järjestelmän Järjestelmänvalvoja roolia käyttäjille, joilla on yleinen tai palvelutason järjestelmänvalvojan rooli, kuten Power Platform Järjestelmänvalvoja ja Dynamics 365 Järjestelmänvalvoja.
Nämä järjestelmänvalvojat voivat jatkaa kirjautumista Power Platform hallintakeskukseen seuraavilla oikeuksilla:
- Vuokraajatason asetusten ottaminen käyttöön tai poistaminen käytöstä
- Ympäristöjen analyysitietojen tarkasteleminen
- Kapasiteetin kulutuksen tarkasteleminen
Nämä järjestelmänvalvojat eivät voi suorittaa toimintoja, jotka edellyttävät suoraa pääsyä Dataverse tietoihin ilman käyttöoikeutta. Näitä toimintoja ovat esimerkiksi:
- Käyttäjän käyttöoikeusrooli päivittäminen ympäristössä
- Sovellusten asentaminen ympäristöön
Tärkeää
Yleisten järjestelmänvalvojien, järjestelmänvalvojien ja Dynamics 365 palvelun järjestelmänvalvojien on suoritettava toinen vaihe, ennen kuin he voivat suorittaa toimintoja, Power Platform jotka edellyttävät käyttöoikeutta Dataverse. Heidän on nostettava itsensä Järjestelmän järjestelmänvalvoja -rooliin ympäristössä, joihin he tarvitsevat käyttöoikeuden. Kaikki nostotoiminnot kirjataan Microsoft Purview -järjestelmään.
Tunnetut rajoitukset
Kun käytät ohjelmointirajapintaa, huomaat, että jos soittaja on järjestelmän Järjestelmänvalvoja, itsensä korotettu kutsu palauttaa onnistumisen sen sijaan, että ilmoittaisi soittajalle, että järjestelmä Järjestelmänvalvoja jo olemassa.
Kutsun suorittavalla käyttäjällä on oltava vuokraajan järjestelmänvalvojan rooli määritettynä. Täydellinen luettelo vuokraajan järjestelmänvalvojan ehtoja vastaavista käyttäjistä on ohjeaiheessa Ominaisuuksien tuen muutokset
Jos olet Dynamics 365 Järjestelmänvalvoja ja käyttöoikeusryhmä suojaa ympäristöä, sinun on oltava käyttöoikeusryhmän jäsen. Tämä sääntö ei koske käyttäjiä, joilla on yleinen Järjestelmänvalvoja tai Power Platform Järjestelmänvalvoja rooli.
Noston ohjelmointirajapinnan voi käynnistää vain käyttäjä, jonka on korotettava tilaansa. Se ei tue ohjelmointirajapinnan kutsujen soittamista toisen käyttäjän puolesta nostosyistä.
Järjestelmän Järjestelmänvalvoja roolia, joka on määritetty itsensä korottamisen kautta, ei poisteta, kun roolimääritys vanhenee etuoikeutettujen käyttäjätietojen hallinnassa. Sinun on poistettava käyttäjä manuaalisesti järjestelmän Järjestelmänvalvoja roolista. Katso siivous
Voit kiertää ongelman, jos käytät Microsoft Power Platform CoE Starter Kit -pakettia. Lisätietoja: PIM-ongelma ja kiertotapa 8119.
Roolimäärityksiä ryhmien kautta ei tueta. Varmista, että määrität rooleja suoraan käyttäjälle.
Nouse itse järjestelmänvalvojan rooliin
Microsoft tukee käyttöoikeuksien korotusta joko PowerShellillä tai intuitiivisella Power Platform -hallintakeskuksen käyttökokemuksella.
Muistiinpano
Käyttäjien, jotka yrittävät korottaa omia käyttöoikeuksiaan, on oltava yleinen järjestelmänvalvoja, Power Platform -järjestelmänvalvoja tai Dynamics 365 -järjestelmänvalvoja. Power Platform -hallintakeskuksen käyttöliittymä ei ole muiden Entra ID -hallintaroolien käyttäjien käytettävissä, ja PowerShell-ohjelmointirajapinnan kautta omien oikeuksien korottamisen yrittäminen palauttaa virheen.
Omien oikeuksien korottaminen PowerShellin kautta
PowerShellin määrittäminen
Asenna MSAL PowerShell -moduuli. Sinun tarvitsee asentaa moduuli vain kerran.
Install-Module -Name MSAL.PS
Lisätietoja PowerShellin määrittämisestä on ohjeaiheessa WWW-ohjelmointirajapinnan pika-aloitus PowerShellin ja Visual Studio Coden avulla.
Vaihe 1: Suorita komentosarja, jotta voit nousta
Tässä PowerShell-komentosarjassa sinä:
- Todennat käyttäen Power Platform -ohjelmointirajapintaa.
- Luot
http-kyselyn ympäristötunnuksellasi. - Kutsut ohjelmointirajapinnan päätepistettä pyytääksesi nostoa.
Lisäät ympäristötunnuksesi
Hanki ympäristötunnus Power Platform -hallintakeskuksen Ympäristöt-välilehdestä.
Lisää yksilöivä
<environment id>komentosarjaan.
Suorita komentosarja
Kopioi ja liitä komentosarja PowerShell-konsoliin.
# Set your environment ID
$environmentId = "<your environment id>"
Import-Module MSAL.PS
# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default'
$Headers = @{
Authorization = "Bearer $($AuthResult.AccessToken)"
'Content-Type' = "application/json"
}
$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";
try {
$postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri
}
catch {
# Dig into the exception to get the Response details.
Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"]
Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__
Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription
$result = $_.Exception.Response.GetResponseStream()
$reader = New-Object System.IO.StreamReader($result)
$reader.BaseStream.Position = 0
$reader.DiscardBufferedData()
$responseBody = $reader.ReadToEnd();
Write-Host $responseBody
}
$output = $postRequestResponse | ConvertTo-Json -Depth 2
Write-Host $output
Vaihe 2: Vahvista tulokset
Onnistumisen jälkeen tulos muistuttaa seuraavaa tulosta. Etsi "Code": "UserExists" vahvistuksena, että olet onnistunut nostamaan roolisi.
{
"errors": [],
"information": [
{
"Subject": "Result",
"Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
"Code": "UserExists"
},
{ ... }
}
Virheet
Jos sinulla ei ole oikeuksia, näkyviin voi tulla virhesanoma.
"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."
Vaihe 3: Puhdistustoimet
Suorita Remove-RoleAssignmentFromUsers poistaaksesi käyttäjiä järjestelmän järjestelmänvalvojan käyttöoikeusroolista sen jälkeen, kun määritys vanhenee PIM:issä.
-roleName: "System Järjestelmänvalvoja" tai jokin muu rooli-usersFilePath: Polku CSV-tiedostoon, jossa on luettelo päänimistä (yksi per rivi)-environmentUrl: Löytyy osoitteesta admin.powerplatform.microsoft.com-processAllEnvironments: (Valinnainen) Kaikkien ympäristöjen käsitteleminen-geo: Kelvollinen GEO-outputLogsDirectory: Polku, johon lokitiedostot kirjoitetaan
Esimerkkikomentosarja
Remove-RoleAssignmentFromUsers
-roleName "System Administrator"
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"
Omien oikeuksien korottaminen Power Platform -hallintakeskuksen kautta
Kirjaudu Power Platform -hallintakeskukseen.
Valitse vasemmassa sivupaneelissa Ympäristöt.
Valitse ympäristösi vieressä valintamerkki.
Valitse komentopalkissa Jäsenyys, jos haluat pyytää omien oikeuksien korottamista.
Järjestelmänvalvojat-ruutu tulee näkyviin. Lisää itsesi järjestelmänvalvojarooliin valitsemalla Lisää minut.
