Delen via

Beheerdersrollen beheren met Microsoft Entra Privileged Identity Management

Beheer beheerdersrollen met hoge bevoegdheden in het Power Platform beheercentrum met Microsoft Entra Privileged Identity Management (PIM).

Voorwaarden

  • Verwijder oude roltoewijzingen voor systeembeheerders in uw omgevingen. U kunt PowerShell-scripts gebruiken om ongewenste gebruikers te inventariseren en te verwijderen uit de rol Systeembeheerder in een of meer Power Platform-omgevingen.

Wijzigingen in functieondersteuning

Met Microsoft wordt de rol Systeembeheerder niet meer automatisch toegewezen aan gebruikers met de rol van algemene beheerder, SLA-beheerder zoals Power Platform-beheerder en Dynamics 365-beheerder.

Deze beheerders kunnen zich blijven aanmelden bij het Power Platform-beheercentrum met de volgende rechten:

  • Instellingen op tenantniveau in- of uitschakelen
  • Analytische informatie voor omgevingen bekijken
  • Rapporten over capaciteitsverbruik weergeven

Deze beheerders kunnen geen activiteiten uitvoeren waarvoor directe toegang tot Dataverse-gegevens vereist is zonder licentie. Voorbeelden van deze activiteiten zijn onder meer:

  • Het bijwerken van de beveiligingsrol voor een gebruiker in een omgeving
  • Apps voor een omgeving installeren

Belangrijk

Algemene beheerders, Power Platform-beheerders en Dynamics 365-servicebeheerders moeten nog een stap voltooien voordat ze activiteiten kunnen uitvoeren waarvoor toegang tot Dataverse nodig is. Ze moeten hun rol verhogen tot de rol van Systeembeheerder in de omgeving waarvoor ze toegang nodig hebben. Alle verhogingsacties worden vastgelegd in Microsoft Purview.

Als u Privileged Identity Management gebruikt om just-in-time-toegang te krijgen tot beheerdersrollen in Microsoft Entra ID en vervolgens uzelf verhoogt, verwijdert Microsoft uw Systeembeheerdersrol wanneer de roltoewijzing in Privileged Identity Management verloopt, meestal na een korte duur.

Bekende beperkingen

  • Bij gebruik van de API retourneert de self-elevate aanroep een succes als de aanroeper een systeembeheerder is, in plaats van aan te geven dat ze al zijn afgesloten.

  • Aan de gebruiker die de aanroep doet, moet de rol van tenantbeheerder zijn toegewezen. Zie Wijzigingen in functieondersteuning voor een volledige lijst met gebruikers die voldoen aan de criteria voor tenantbeheerders

  • Als u een Dynamics 365-beheerder bent en de omgeving wordt beveiligd door een beveiligingsgroep, moet u lid zijn van de beveiligingsgroep. Deze regel is niet van toepassing op gebruikers met de rol van algemene beheerder of Power Platform-beheerder.

  • De gebruiker die zijn/haar status wil verhogen, moet de verhogings-API aanroepen. API-aanroepen om de status van een andere gebruiker te verhogen, zijn niet toegestaan.

  • Er is een oplossing beschikbaar voor klanten die de Microsoft Power Platform CoE Starter Kit gebruiken. Zie PIM-probleem en oplossing #8119 voor meer informatie en details.

  • Roltoewijzingen via groepen worden niet ondersteund. Zorg ervoor dat u rollen rechtstreeks aan de gebruiker toewijst.

Uw rol verhogen tot de rol van systeembeheerder

We ondersteunen verhoging met behulp van PowerShell of via een intuïtieve ervaring in het Power Platform-beheercentrum.

Notitie

Gebruikers die zichzelf proberen te verhogen, moeten een globale beheerder, Power Platform-beheerder of Dynamics 365-beheerder zijn. De gebruikersinterface in het Power Platform-beheercentrum is niet beschikbaar voor gebruikers met andere Entra ID-beheerdersrollen en pogingen tot zelf-verhoging via de PowerShell-API retourneren een foutmelding.

Zelf-verhoging via PowerShell

Als u zichzelf via PowerShell wilt verhogen, installeert u de MSAL PowerShell-module en volgt u de stappen in deze sectie.

Install-Module -Name MSAL.PS

U hoeft de module slechts één keer te installeren. Voor meer informatie over het instellen van PowerShell raadpleegt u Web-API Snel starten met PowerShell en Visual Studio Code.

Stap 1: voer het script uit om te verhogen

In dit PowerShell-script doet u het volgende:

  • Verifiëren met de Power Platform-API.
  • Maak een http-query met uw omgevings-ID.
  • Vraag verhoging aan met behulp van de Power Platform API.

Zoek en voeg uw omgevings-ID toe

  1. Meld u aan bij het Power Platform-beheercentrum.
  2. Selecteer in het navigatiedeelvenster de optie Beheren.
  3. Selecteer in het deelvenster BeherenOmgevingen.
  4. Kies op de pagina Omgevingen de omgeving die u wilt wijzigen.
  5. Zoek de Omgevings-ID in het deelvenster Details.
  6. Voeg uw unieke <environment id> toe aan het script.

Het script uitvoeren

Kopieer en plak het script in een PowerShell-console.

# Set your environment ID
$environmentId = "<your environment id>"
$clientId = "<client id of your Microsoft Entra ID application registration>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId $clientId -Scope 'https://api.powerplatform.com/.default'


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

Stap 2: de resultaten bevestigen

Als dit lukt, ziet u een uitvoer die lijkt op de volgende uitvoer. Zoek naar "Code": "UserExists" als bewijs dat u uw rol met succes heeft verhoogd.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

Fouten

Mogelijk ziet u een foutmelding als u niet over de juiste bevoegdheden beschikt.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Scriptvoorbeeld

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Zelf-verhoging via het Power Platform-beheercentrum

Voer de volgende stappen uit om uw vaardigheden in het Power Platform-centrum te verbeteren:

  1. Meld u aan bij het Power Platform-beheercentrum.
  2. Selecteer in het navigatiedeelvenster de optie Beheren.
  3. Selecteer in het deelvenster BeherenOmgevingen.
  4. Kies op de pagina Omgevingen de omgeving die u wilt wijzigen.
  5. Selecteer Lidmaatschap in de opdrachtbalk om zelfverhoging aan te vragen.
  6. Selecteer in het deelvenster Systeembeheerders de optie Voeg mij toe om uzelf toe te voegen aan de rol van systeembeheerder.
  • Last updated on