Керуйте ролями адміністратора за допомогою Microsoft Entra керування привілейованими ідентифікаційними даними

Стаття
12/11/2024

Використовуйте Microsoft Entra керування привілейованими ідентифікаційними даними (PIM), щоб керувати високопривілейованими ролями адміністратора в Power Platform Центрі адміністрування.

вимоги

Видаліть старі призначення ролей системного адміністратора у своїх середовищах. Ви можете використовувати PowerShell скрипти для інвентаризації та видалення небажаних користувачів з ролі системного адміністратора в одному або декількох Power Platform середовищах.

Зміни в підтримці функцій

Microsoft більше не призначає автоматично роль системного адміністратора користувачам із ролями адміністратора глобального або службового рівня, такими як Power Platform Адміністратор та Dynamics 365 Адміністратор.

Ці адміністратори можуть і надалі входити в адміністративний Power Platform центр із такими привілеями:

Увімкнення або вимкнення налаштувань на рівні клієнта
Перегляд аналітичної інформації для середовищ
Переглянути споживання потужності

Ці адміністратори не можуть виконувати дії, для яких потрібен прямий доступ до Dataverse даних без ліцензії. Приклади таких дій включають:

Оновлення ролі безпеки для користувача в середовищі
Встановлення програм для середовища

Важливо

Глобальні адміністратори, Power Platform адміністратори та адміністратори служб Dynamics 365 повинні виконати ще один крок, перш ніж вони зможуть виконувати дії, до Dataverse яких потрібен доступ. Вони повинні підвищити себе до ролі системного адміністратора в середовищі, до якого їм потрібен доступ. Усі дії з висотою реєструються в Microsoft Purview.

Відомі обмеження

Під час використання API ви помічаєте, що якщо абонент є системним адміністратором, дзвінок із функцією самопідвищення повертає успіх, а не сповіщає абонента про те, що системний адміністратор уже існує.
Користувачеві, який здійснює дзвінок, має бути призначена роль адміністратора клієнта. Повний список користувачів, які відповідають критеріям адміністратора клієнта, наведено в статті Зміни в підтримці функцій
Якщо ви адміністратор Dynamics 365 і середовище захищено групою безпеки, ви повинні бути учасником групи безпеки. Це правило не застосовується до користувачів із ролями глобального адміністратора або Power Platform адміністратора.
API підвищення рівня може бути викликаний лише користувачем, якому потрібно підвищити свій статус. Він не підтримує здійснення викликів API від імені іншого користувача з метою підвищення висоти.
Роль системного адміністратора, призначена шляхом самопідвищення, не видаляється після завершення терміну призначення ролей у режимі керування привілейованими ідентифікаційними даними. Необхідно вручну видалити користувача з ролі системного адміністратора. Перегляд дій з прибирання
Для клієнтів, які використовують Microsoft Power Platform стартовий набір CoE, доступний обхідний шлях. Дивіться PIM Issue and Workaround #8119 для отримання додаткової інформації та деталей.
Призначення ролей через групи не підтримується. Переконайтеся, що ви призначаєте ролі безпосередньо користувачу.

Підвищення до посади системного адміністратора

Ми підтримуємо підвищення рівня за допомогою PowerShell або за допомогою інтуїтивного інтерфейсу в Power Platform центрі адміністрування.

Нотатка

Користувачі, які намагаються самопідвищитися, повинні бути глобальним адміністратором, Power Platform адміністратором або адміністратором Dynamics 365. Інтерфейс користувача в Power Platform центрі адміністрування недоступний для користувачів з іншими ролями адміністратора Entra ID, і спроба самопідвищення через API PowerShell повертає помилку.

Самопідвищення через PowerShell

Налаштування PowerShell

Встановіть модуль MSAL PowerShell. Встановити модуль потрібно лише один раз.

Install-Module -Name MSAL.PS

Для отримання додаткової інформації про налаштування PowerShell перегляньте статтю Швидкий запуск веб-API з PowerShell та Visual Studio Code.

крок 1: Запустіть сценарій, щоб підвищити рівень

У цьому сценарії PowerShell ви:

Пройдіть автентифікацію за допомогою Power Platform API.
Створіть http запит за допомогою ідентифікатора середовища.
Викличте кінцеву точку API, щоб надіслати запит на висоту.

Додайте свій ідентифікатор оточення

Отримайте свій ідентифікатор середовища на вкладці Середовища Центру Power Platform адміністрування.
Додайте в сценарій свій унікальний <environment id> .

Запустіть скрипт

Скопіюйте та вставте скрипт у консоль PowerShell.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

Крок 2: Підтвердіть результат

У разі успіху ви побачите вихід, подібний до наведеного нижче. Шукайте "Code": "UserExists" в якості доказів те, що ви успішно підвищили свою роль.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

Errors

Якщо у вас немає потрібних дозволів, може з’явитися повідомлення про помилку.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Крок 3: Заходи з прибирання

Запустіть команду Remove-RoleAssignmentFromUsers , щоб видалити користувачів із ролі безпеки системного адміністратора після завершення терміну призначення в PIM.

-roleName: "Системний адміністратор" або інша роль
-usersFilePath: Шлях до файлу CSV зі списком імен реєстраційних записів користувачів (по одному на рядок)
-environmentUrl: Знайдено на admin.powerplatform.microsoft.com
-processAllEnvironments: (Необов’язково) Обробіть усі ваші середовища
-geo: Дійсний ГЕО
-outputLogsDirectory: шлях, куди записуються файли журналу

Приклад сценарію

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Самопідвищення через Power Platform Центр адміністрування

Увійдіть у центр адміністрування Power Platform.
На бічній панелі ліворуч виберіть Середовища.
Поставте галочку поруч із вашим оточенням.
Виберіть «Членство » на панелі команд, щоб надіслати запит на самопідвищення.
Відобразиться панель «Системні адміністратори ». Додайте себе до ролі системного адміністратора, вибравши Додати мене.

Поділитися через