Gestire i ruoli di amministratore con Privileged Identity Management di Microsoft Entra

Utilizza Privileged Identity Management (PIM) di Microsoft Entra per gestire ruoli di amministratore con privilegi elevati nell'interfaccia di amministrazione di Power Platform.

Prerequisiti

  • Rimuovere le assegnazioni di ruolo del vecchio amministratore di sistema nei tuoi ambienti. Puoi utilizzare gli script di PowerShell per eseguire l'inventario e rimuovere gli utenti indesiderati dal ruolo di Amministratore di sistema in uno o più ambienti Power Platform.

Modifiche al supporto delle funzionalità

Microsoft non assegna più automaticamente il ruolo di Sistema amministratore agli utenti con ruoli di amministratore a livello globale o di servizio quali Power Platform amministratore e Dynamics 365 amministratore.

Questi amministratori possono continuare ad accedere a Power Platform interfaccia di amministrazione, con questi privilegi:

  • Abilitare o disabilitare le impostazioni a livello del tenant
  • Visualizzare le informazioni di analisi per gli ambienti
  • Visualizzare l'utilizzo della capacità

Questi amministratori non possono eseguire attività che richiedono l'accesso diretto ai dati senza una licenza. Dataverse Gli esempi includono di queste attività includono:

  • Aggiornamento del ruolo di sicurezza per un utente in un ambiente
  • Installazione di app per un ambiente

Importante

Gli amministratori globali, gli amministratori e gli amministratori del servizio Dynamics 365 devono completare un altro passaggio prima di poter eseguire attività che richiedono l'accesso Power Platform . Dataverse Devono avere il ruolo di Amministratore di sistema nell'ambiente in cui devono accedere. Tutte le azioni di elevazione vengono registrate in Microsoft Purview.

Limitazioni note

  • Quando si utilizza l'API, si nota che se il chiamante è un sistema amministratore, la chiamata di auto-elevazione restituisce un successo anziché notificare al chiamante che il sistema amministratore esiste già.

  • All'utente che effettua la chiamata deve essere assegnato il ruolo di amministratore del tenant. Per un elenco completo degli utenti che soddisfano i criteri di amministrazione del tenant, vedi Modifiche al supporto delle funzionalità

  • Se sei un amministratore di Dynamics 365 e il tuo ambiente è protetto da un gruppo di sicurezza, devi essere membro del gruppo di sicurezza. Questa regola non si applica agli utenti con i ruoli globali amministratore o Power Platform amministratore.

  • L'API di elevazione può essere richiamata solo dall'utente che deve elevare il proprio stato. Non supporta l'esecuzione di chiamate API per conto di un altro utente a fini dell'elevazione.

  • Il ruolo di sistema amministratore assegnato tramite autoelevazione non viene rimosso quando l'assegnazione del ruolo scade in Privileged Identity Management. È necessario rimuovere manualmente l'utente dal ruolo amministratore del sistema. Vedere attività di pulizia

  • È disponibile una soluzione alternativa per i clienti che utilizzano lo Starter Kit CoE di Microsoft Power Platform. Vedi Problema PIM e soluzione alternativa n. 8119 per ulteriori informazioni e dettagli.

  • Le assegnazioni di ruolo tramite gruppi non sono supportate. Assicurati di assegnare i ruoli direttamente all'utente.

Ottenere il ruolo di amministratore di sistema

Supportiamo l'elevazione tramite PowerShell o tramite un'esperienza intuitiva nell'interfaccia di amministrazione di Power Platform.

Nota

Gli utenti che tentano di elevarsi autonomamente devono essere un amministratore globale, un amministratore di Power Platform o un amministratore di Dynamics 365. L'interfaccia utente nell'interfaccia di amministrazione di Power Platform non è disponibile per gli utenti con altri ruoli di amministratore in Entra ID e il tentativo di elevarsi autonomamente tramite l'API PowerShell restituisce un errore.

Elevazione automatica tramite PowerShell

Configurare PowerShell

Installa il modulo di PowerShell MSAL. È sufficiente installare il modulo una sola volta.

Install-Module -Name MSAL.PS

Per ulteriori informazioni sulla configurazione di PowerShell, consulta API Web di avvio rapido con PowerShell e Visual Studio Code.

Passaggio 1: eseguire lo script per effettuare l'elevazione

In questo script PowerShell:

  • Esegui l'autenticazione tramite l'API Power Platform.
  • Crei una query http con il tuo ID ambiente.
  • Chiami l'endpoint API per richiedere l'elevazione.
Aggiungi l'ID ambiente
  1. Ottieni l'ID ambiente dalla scheda Ambienti dell'interfaccia di amministrazione di Power Platform.

  2. Aggiungi il tuo <environment id> univoco allo script.

Esegui lo script

Copia e incolla lo script in una console PowerShell.

# Set your environment ID
$environmentId = "<your environment id>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId '49676daf-ff23-4aac-adcc-55472d4e2ce0' -Scope 'https://api.powerplatform.com/.default' 


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

Passaggio 2: confermare il risultato

In caso di successo, viene visualizzato un output simile al seguente output. Cerca "Code": "UserExists" come evidenza che hai effettuato con successo l'elevazione al tuo ruolo.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:d111c55c-aab2-8888-86d4-ece1234f11e6 exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}
Errori

Potresti visualizzare un messaggio di errore se non disponi delle giuste autorizzazioni.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Passaggio 3: Attività di pulizia

Esegui Remove-RoleAssignmentFromUsers per rimuovere gli utenti dal ruolo di sicurezza Amministratore di sistema dopo la scadenza dell'assegnazione in PIM.

  • -roleName: "Sistema amministratore" o un altro ruolo
  • -usersFilePath: Percorso al file CSV con l'elenco dei nomi principali degli utenti (uno per riga)
  • -environmentUrl: Trovato su admin.powerplatform.microsoft.com
  • -processAllEnvironments: (Facoltativo) Elabora tutti i tuoi ambienti
  • -geo: Un GEO valido
  • -outputLogsDirectory: Percorso in cui vengono scritti i file di registro
Script di esempio
Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Elevazione automatica tramite l'interfaccia di amministrazione di Power Platform

  1. Accedi all'interfaccia di amministrazione di Power Platform.

  2. Nel riquadro laterale sinistro, seleziona Ambienti.

  3. Seleziona il segno di spunta accanto al tuo ambiente.

  4. Seleziona Appartenenza nella barra dei comandi per richiedere l'elevazione automatica.

  5. Viene visualizzato il riquadro Amministratori di sistema. Aggiungi te stesso al ruolo amministratore di sistema selezionando Aggiungimi.

    Utilizza l'opzione del menu Appartenenza per richiedere l'elevazione automatica.