Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Administre roles de administrador con altos privilegios en el centro de administración mediante la administración de identidades privilegiadas (PIM). Power Platform Microsoft Entra
Requisitos previos
- Elimine las asignaciones de roles Administrador del sistema antiguo en sus entornos. Puede utilizar scripts de PowerShell para inventariar y eliminar usuarios no deseados del rol Administrador del sistema en uno o más entornos de Power Platform.
Cambios en la compatibilidad con funciones
Microsoft ya no asigna automáticamente el rol de Administrador del sistema a los usuarios con roles de administrador global o de nivel de servicio, como administrador de Power Platform y administrador de Dynamics 365.
Estos administradores pueden seguir iniciando sesión en el centro de administración de Power Platform con estos privilegios:
- Habilitar o deshabilitar la configuración en el nivel de inquilino
- Ver información analítica para entornos
- Ver consumo de capacidad
Estos administradores no pueden realizar actividades que requieran acceso directo a datos de Dataverse sin licencia. Algunos ejemplos de estas actividades son:
- Actualización de rol de seguridad para un usuario en un entorno
- Instalación de aplicaciones para un entorno
Importante
Los administradores globales, los administradores de Power Platform y los administradores de servicios de Dynamics 365 deben completar otro paso antes de poder realizar actividades que requieren acceso a Dataverse. Deben elevarse a Administrador del sistema en el entorno en el que necesitan acceso. Todas las acciones de elevación se registran en Microsoft Purview.
Si usa Privileged Identity Management para obtener acceso justo a tiempo a roles de administrador en ID y luego se autoeleva, Microsoft elimina su rol de Microsoft Entra Administrador del sistema cuando la asignación de roles expira en Privileged Identity Management, generalmente después de un breve período.
Limitaciones conocidas
Al utilizar la API, si quien llama es un administrador del sistema, la llamada de autoelevación devuelve un resultado exitoso en lugar de indicar que ya salió.
El usuario que realiza la llamada debe tener asignado el rol de administrador de inquilinos. Para obtener una lista completa de los usuarios que cumplen con los criterios de administrador de inquilinos, consulte Cambios en la compatibilidad con características
Si es administrador de Dynamics 365 y el entorno está protegido por un grupo de seguridad, debe ser miembro del grupo de seguridad. Esta regla no se aplica a los usuarios con los roles de administrador global o administrador de Power Platform.
El usuario que necesita elevar su estado debe invocar la API de elevación. No permite llamadas API para elevar el estado de otro usuario.
Hay una solución alternativa disponible para los clientes que utilizan el Kit de inicio de CoE de Microsoft Power Platform. Consulte Problema de PIM y solución alternativa n.º 8119 para obtener más información y detalles.
No se admiten asignaciones de roles a través de grupos. Asegúrese de asignar roles directamente al usuario.
Autoelevación al rol de administrador del sistema
Admitimos la elevación mediante PowerShell o mediante una experiencia intuitiva en el centro de administración de Power Platform.
Nota
Los usuarios que intenten elevarse automáticamente deben ser administradores globales, administradores de Power Platform o administradores de Dynamics 365. La interfaz de usuario en el centro de administración de Power Platform no está disponible para usuarios con otras funciones de administrador de Entra ID y al intentar autoelevarse a través de la API de PowerShell se genera un error.
Autoelevación a través de PowerShell
Para elevarse automáticamente a través de PowerShell, instale el módulo msal de PowerShell y siga los pasos descritos en esta sección.
Install-Module -Name MSAL.PS
La instalación del módulo solo se debe realizar una vez. Para obtener más información sobre la configuración de PowerShell, consulte API web de inicio rápido con PowerShell y Visual Studio Code.
Paso 1: ejecute el script para elevar
En este script de PowerShell:
- Autentique mediante la API de Power Platform.
- Cree una consulta
httpcon su ID de entorno. - Solicitar elevación, utilizando la API. Power Platform
Localice y agregue su ID de entorno
- Inicie sesión en el Centro de administración de Power Platform.
- En el panel de navegación, seleccione Administrar.
- En el panel Administrar, seleccione Entornos.
- En la página Entornos , elija el entorno que desea modificar.
- Localice el ID de entorno en el panel Detalles .
- Agregue su
<environment id>único al script.
Ejecutar el script
Copie y pegue el script en la consola de PowerShell.
# Set your environment ID
$environmentId = "<your environment id>"
$clientId = "<client id of your Microsoft Entra ID application registration>"
Import-Module MSAL.PS
# Authenticate
$AuthResult = Get-MsalToken -ClientId $clientId -Scope 'https://api.powerplatform.com/.default'
$Headers = @{
Authorization = "Bearer $($AuthResult.AccessToken)"
'Content-Type' = "application/json"
}
$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";
try {
$postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri
}
catch {
# Dig into the exception to get the Response details.
Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"]
Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__
Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription
$result = $_.Exception.Response.GetResponseStream()
$reader = New-Object System.IO.StreamReader($result)
$reader.BaseStream.Position = 0
$reader.DiscardBufferedData()
$responseBody = $reader.ReadToEnd();
Write-Host $responseBody
}
$output = $postRequestResponse | ConvertTo-Json -Depth 2
Write-Host $output
Paso 2: confirmar el resultado
Si tiene éxito, verá un resultado similar al siguiente. Busque "Code": "UserExists" como evidencia de que logró elevar su rol con éxito.
{
"errors": [],
"information": [
{
"Subject": "Result",
"Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
"Code": "UserExists"
},
{ ... }
}
Errores
Es posible que vea un mensaje de error si no tiene los permisos adecuados.
"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."
Ejemplo de script
Remove-RoleAssignmentFromUsers
-roleName "System Administrator"
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"
Autoelevación a través del centro de administración de Power Platform
Para elevarse automáticamente a través del Centro de Power Platform, siga estos pasos:
- Inicie sesión en el Centro de administración de Power Platform.
- En el panel de navegación, seleccione Administrar.
- En el panel Administrar, seleccione Entornos.
- En la página Entornos , elija el entorno que desea modificar.
- En la barra de comandos, seleccione Membresía para solicitar la autoelevación.
- En el panel Administradores del sistema , seleccione Agregarme para agregarse al rol de administrador del sistema.