Dela via

Skapa ett huvudprogram för tjänsten med hjälp av PowerShell

  • Artikel

Autentisering via användarnamn och lösenord är ofta inte bra, särskilt med den ökade autentiseringen av flera autentiseringar. I sådana fall föredrar du autentisering med tjänstens huvudnamn (eller klientautentisering). Detta kan göras genom att både registrera en ny tjänstens huvudkonto i din egen Microsoft Entra klientorganisation och sedan registrera samma program med Power Platform.

Registrera ett program för administrationshantering

Först måste klientprogrammet registreras i din Microsoft Entra klientorganisation. Om du vill ange detta läser du artikeln autentisering för Power Platform API:er eftersom samma programinstallation krävs för PowerShell.

När klientprogrammet har registrerats i Microsoft Entra ID måste det också registreras med Microsoft Power Platform. I dag går det inte att göra detta via Power Platform administrationscenter, det måste göras programmässigt via Power Platform API eller PowerShell för Power Platform administratörer. En tjänsthuvudman kan inte registrera sig själv – som en design måste programmet registreras administratörens användarnamn och lösenord. På så sätt skapas programmet av någon som är administratör för klientorganisation.

Använd följande skript om du vill registrera ett nytt hanteringsprogram:

$appId = "CLIENT_ID_FROM_AZURE_APP"

# Login interactively with a tenant administrator for Power Platform
Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId 

# Register a new application, this gives the SPN / client application same permissions as a tenant admin
New-PowerAppManagementApp -ApplicationId $appId

Skapa förfrågningar som tjänstens huvudnamn

Nu när den har registrerats med Microsoft Power Platform kan du autentisera som tjänstens huvudnamn. Använd följande skript om du vill fråga efter miljölistan:

$appId = "CLIENT_ID_FROM_AZURE_APP"
$secret = "SECRET_FROM_AZURE_APP"
$tenantId = "TENANT_ID_FROM_AZURE_APP"

Add-PowerAppsAccount -Endpoint prod -TenantID $tenantId -ApplicationId $appId -ClientSecret $secret -Verbose
Get-AdminPowerAppEnvironment

Begränsningar för tjänsternas huvudnamn

För närvarande fungerar tjänstens huvudautentisering för miljöhantering, inställningar för klientorganisation och Power Apps-hantering. Cmdlets som är relaterade till flöde stöds för tjänstens huvudautentisering i situationer där en licens inte krävs eftersom det inte är möjligt att tilldela licenser till tjänstens huvudidentiteter i Microsoft Entra ID.

Tjänstens huvudprogram behandlas inom Power Platform på samma sätt som vanliga användare med den Power Platform administratörsroll som tilldelas. Detaljerade roller och behörigheter kan inte tilldelas för att begränsa deras funktioner. Appen får ingen speciell roll tilldelad Microsoft Entra ID, eftersom det är så här plattformstjänster behandlar förfrågningar från tjänsthuvuden.