Condividi tramite

Gestire i ruoli di amministratore con Privileged Identity Management di Microsoft Entra

  • Articolo

Nota

La nuova e migliorata interfaccia di amministrazione di Power Platform è ora disponibile in anteprima pubblica. La nuova interfaccia di amministrazione è stata progettata per essere più facile da usare, con una navigazione orientata alle attività che consente di ottenere risultati specifici più velocemente. Pubblicheremo documentazione nuova e aggiornata man mano che la nuova interfaccia di amministrazione di Power Platform passerà alla disponibilità generale.

Utilizza Privileged Identity Management (PIM) di Microsoft Entra per gestire ruoli di amministratore con privilegi elevati nell'interfaccia di amministrazione di Power Platform.

Prerequisiti

  • Rimuovere le assegnazioni di ruolo del vecchio amministratore di sistema nei tuoi ambienti. Puoi utilizzare gli script di PowerShell per eseguire l'inventario e rimuovere gli utenti indesiderati dal ruolo di Amministratore di sistema in uno o più ambienti Power Platform.

Modifiche al supporto delle funzionalità

Microsoft non assegna più automaticamente il ruolo Amministratore di sistema agli utenti con ruoli di amministratore a livello di servizio o globale ad esempio Amministratore di Power Platform e Amministratore di Dynamics 365.

Questi amministratori possono continuare ad accedere all'interfaccia di amministrazione di Power Platform con questi privilegi:

  • Abilitare o disabilitare le impostazioni a livello del tenant
  • Visualizzare le informazioni di analisi per gli ambienti
  • Visualizzare l'utilizzo della capacità

Questi amministratori non possono eseguire attività che richiedono l'accesso diretto ai dati Dataverse senza una licenza. Gli esempi includono di queste attività includono:

  • Aggiornamento del ruolo di sicurezza per un utente in un ambiente
  • Installazione di app per un ambiente

Importante

Gli amministratori globali, gli amministratori di Power Platform e gli amministratori dei servizi Dynamics 365 devono completare un altro passaggio prima di poter eseguire le attività a cui è necessario accedere in Dataverse. Devono avere il ruolo di Amministratore di sistema nell'ambiente in cui devono accedere. Tutte le azioni di elevazione vengono registrate in Microsoft Purview.

Limitazioni note

  • Quando si usa l'API, si noterà che se il chiamante è un amministratore di sistema, la chiamata con elevazione automatica restituisce un esito positivo anziché notificare al chiamante che l'amministratore di sistema esiste già.

  • All'utente che effettua la chiamata deve essere assegnato il ruolo di amministratore del tenant. Per un elenco completo degli utenti che soddisfano i criteri di amministrazione del tenant, vedi Modifiche al supporto delle funzionalità

  • Se sei un amministratore Dynamics 365 e l'ambiente è protetto da un gruppo di sicurezza, devi essere membro del gruppo di sicurezza. Questa regola non si applica agli utenti con il ruolo di amministratore globale o di amministratore di Power Platform.

  • L'API di elevazione può essere richiamata solo dall'utente che deve elevare il proprio stato. Non supporta l'esecuzione di chiamate API per conto di un altro utente a fini dell'elevazione.

  • Il ruolo di amministratore di sistema assegnato tramite l'elevazione autonoma non viene rimosso alla scadenza dell'assegnazione di ruolo in Privileged Identity Management. È necessario rimuovere manualmente l'utente dal ruolo di amministratore di sistema. Vedi attività di pulizia

  • È disponibile una soluzione alternativa per i clienti che utilizzano lo Starter Kit CoE di Microsoft Power Platform. Vedi Problema PIM e soluzione alternativa n. 8119 per ulteriori informazioni e dettagli.

  • Le assegnazioni di ruolo tramite gruppi non sono supportate. Assicurati di assegnare i ruoli direttamente all'utente.

Ottenere il ruolo di amministratore di sistema

Supportiamo l'elevazione tramite PowerShell o tramite un'esperienza intuitiva nell'interfaccia di amministrazione di Power Platform.

Nota

Gli utenti che tentano di elevarsi autonomamente devono essere un amministratore globale, un amministratore di Power Platform o un amministratore di Dynamics 365. L'interfaccia utente nell'interfaccia di amministrazione di Power Platform non è disponibile per gli utenti con altri ruoli di amministratore in Entra ID e il tentativo di elevarsi autonomamente tramite l'API PowerShell restituisce un errore.

Elevazione automatica tramite PowerShell

Configurare PowerShell

Installa il modulo di PowerShell MSAL. È sufficiente installare il modulo una sola volta.

Install-Module -Name MSAL.PS

Per ulteriori informazioni sulla configurazione di PowerShell, consulta API Web di avvio rapido con PowerShell e Visual Studio Code.

Passaggio 1: eseguire lo script per effettuare l'elevazione

In questo script PowerShell:

  • Esegui l'autenticazione tramite l'API Power Platform.
  • Crei una query http con il tuo ID ambiente.
  • Chiami l'endpoint API per richiedere l'elevazione.
Aggiungi l'ID ambiente

  1. Ottieni l'ID ambiente dalla scheda Ambienti dell'interfaccia di amministrazione di Power Platform.

  2. Aggiungi il tuo <environment id> univoco allo script.

Esegui lo script

Copia e incolla lo script in una console PowerShell.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

Passaggio 2: confermare il risultato

In caso di successo, viene visualizzato un output simile al seguente output. Cerca "Code": "UserExists" come evidenza che hai effettuato con successo l'elevazione al tuo ruolo.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}
Errori

Potresti visualizzare un messaggio di errore se non disponi delle giuste autorizzazioni.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Passaggio 3: ripulire l'attività

Esegui Remove-RoleAssignmentFromUsers per rimuovere gli utenti dal ruolo di sicurezza Amministratore di sistema dopo la scadenza dell'assegnazione in PIM.

  • -roleName: "Amministratore di sistema" o altro ruolo
  • -usersFilePath: percorso del file CSV con l'elenco dei nomi dell'entità utente (uno per riga)
  • -environmentUrl: trovati in admin.powerplatform.microsoft.com
  • -processAllEnvironments: (facoltativo) elabora tutti i tuoi ambienti
  • -geo: una GEO valida
  • -outputLogsDirectory: percorso in cui vengono scritti i file di log
Script di esempio
Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Elevazione automatica tramite l'interfaccia di amministrazione di Power Platform

  1. Accedi all'interfaccia di amministrazione di Power Platform.

  2. Nel riquadro laterale sinistro, seleziona Ambienti.

  3. Seleziona il segno di spunta accanto al tuo ambiente.

  4. Seleziona Appartenenza nella barra dei comandi per richiedere l'elevazione automatica.

  5. Viene visualizzato il riquadro Amministratori di sistema. Aggiungi te stesso al ruolo amministratore di sistema selezionando Aggiungimi.

    Utilizza l'opzione del menu Appartenenza per richiedere l'elevazione automatica.