Gérer les rôles d’administrateur avec Microsoft Entra Privileged Identity Management

Gérez les rôles d’administrateur à privilèges élevés dans le centre d’administration Power Platform à l’aide de Microsoft Entra Privileged Identity Management (PIM).

Prérequis

• Supprimez les anciennes attributions de rôle d’administrateur système dans vos environnements. Vous pouvez utiliser les scripts PowerShell pour inventorier et supprimer les utilisateurs indésirables du rôle Administrateur système dans un ou plusieurs environnements Power Platform.

Modifications de la prise en charge des fonctionnalités

Microsoft n’attribue plus automatiquement le rôle Administrateur système aux utilisateurs disposant des rôles d’administrateur général ou de service, par exemple Administrateur Power Platform et Administrateur Dynamics 365.

Ces administrateurs peuvent continuer à se connecter au centre d’administration Power Platform avec les privilèges suivants :

• Activer ou désactiver les paramètres au niveau du client
• Afficher les informations d’analyse pour les environnements
• Afficher les rapports de capacité

Ces administrateurs ne peuvent pas effectuer d’activités qui nécessitent un accès direct aux données Dataverse sans licence. Voici des exemples de ces activités :

• Mise à jour du rôle de sécurité pour un utilisateur dans un environnement
• Installation d’applications pour un environnement

Limitations connues

• Lors de l’utilisation de l’API, si l’appelant est un administrateur système, l’appel à l’auto-élévation renvoie un succès au lieu d’indiquer qu’il a déjà quitté.

• L’utilisateur qui effectue l’appel doit disposer du rôle d’administrateur de locataire. Pour obtenir la liste complète des utilisateurs qui répondent aux critères d’administrateur de locataire, consultez Modifications apportées à la prise en charge des fonctionnalités

• Si vous êtes un administrateur Dynamics 365 et que l’environnement est protégé par un groupe de sécurité, vous devez être membre du groupe de sécurité. Cette règle ne s’applique pas aux utilisateurs disposant des rôles d’administrateur général ou d’administrateur Power Platform.

• L’utilisateur qui a besoin d’élever son statut doit appeler l’API d’élévation. Il ne permet pas aux appels d’API d’élever le statut d’un autre utilisateur.

• Une solution de contournement est disponible pour les clients utilisant le Microsoft Power Platform Kit de démarrage CoE. Voir Problème PIM et solution de contournement n° 8119 pour plus d’informations et de détails.

• Les attributions de rôles via les groupes ne sont pas prises en charge. Assurez-vous d’attribuer des rôles directement à l’utilisateur.

Auto-élévation au rôle d’administrateur système

Nous prenons en charge l’élévation à l’aide de PowerShell ou via une expérience intuitive dans le Power Platform centre d’administration.

Auto-élévation grâce à PowerShell

Pour s'auto-élever via PowerShell, installez le module PowerShell MSAL et suivez les étapes décrites dans cette section.

Install-Module -Name MSAL.PS

Le module ne doit être installé qu’une seule fois. Pour plus d’informations sur la configuration de PowerShell, consultez API Web de démarrage rapide avec PowerShell et Visual Studio Code.

Étape 1 : Exécuter le script pour l’élévation

Dans ce script PowerShell, effectuez les opérations suivantes :

• Authentifiez-vous à l’aide de l’API Power Platform.
• Créez une requête http avec votre ID d’environnement.
• Demandez l’élévation à l’aide de l’API Power Platform.

Recherchez et ajoutez votre ID d’environnement

1. Connectez-vous au centre d’administration Power Platform.
2. Dans le volet de navigation, sélectionnez Gérer.
3. Dans le volet Gérer, sélectionnez Environnements.
4. Sur la page Environnement, choisissez l’environnement que vous souhaitez modifier.
5. Localisez l’ID d’environnement dans le volet Détails.
6. Ajoutez votre <environment id> unique au script.

Exécuter le script

Copiez et collez le script dans une console PowerShell.

# Set your environment ID
$environmentId = "<your environment id>"
$clientId = "<client id of your Microsoft Entra ID application registration>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId $clientId -Scope 'https://api.powerplatform.com/.default'


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

Étape 2 : Confirmer les résultats

En cas de succès, vous voyez une sortie similaire à la sortie suivante. Recherchez "Code": "UserExists" comme preuve que vous avez élevé correctement votre rôle.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

Erreurs

Un message d’erreur peut s’afficher si vous ne disposez pas des autorisations appropriées.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Exemple de script

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Élevez-vous automatiquement via le Power Platform centre d’administration

Pour vous développer via Power Platform Center, procédez comme suit :

1. Connectez-vous au centre d’administration Power Platform.
2. Dans le volet de navigation, sélectionnez Gérer.
3. Dans le volet Gérer, sélectionnez Environnements.
4. Sur la page Environnement, choisissez l’environnement que vous souhaitez modifier.
5. Dans la barre de commandes, sélectionnez Appartenance pour demander l’auto-élévation.
6. Dans le volet Administrateurs système, sélectionnez M’ajouter pour vous ajouter au rôle d’administrateur système.