จัดการบทบาทผู้ดูแลระบบด้วย Microsoft Entra Privileged Identity Management

จัดการบทบาทผู้ดูแลระบบที่มีสิทธิ์สูงใน Power Platform ศูนย์ผู้ดูแลระบบโดยใช้ Microsoft Entra การจัดการข้อมูลประจำตัวที่มีสิทธิพิเศษ (PIM)

ข้อกำหนดเบื้องต้น

• ลบการกำหนดบทบาทผู้ดูแลระบบของระบบเก่าในสภาพแวดล้อมของคุณ คุณสามารถใช้ สคริปต์ PowerShell เพื่อจัดทำรายการและลบผู้ใช้ที่ไม่ต้องการออกจากบทบาท ผู้ดูแลระบบ ในสภาพแวดล้อม Power Platform อย่างน้อย 1 รายการได้

การเปลี่ยนแปลงการสนับสนุนเกี่ยวกับคุณลักษณะ

Microsoft จะไม่กำหนดบทบาทผู้ดูแลระบบโดยอัตโนมัติให้กับผู้ใช้ที่มีบทบาทผู้ดูแลระบบส่วนกลางหรือระดับการให้บริการ เช่น ผู้ดูแลระบบ Power Platform และผู้ดูแลระบบ Dynamics 365 อีกต่อไป

ผู้ดูแลระบบเหล่านี้สามารถลงชื่อเข้าใช้ศูนย์จัดการ Power Platform ต่อไปได้ด้วยสิทธิ์เหล่านี้:

• เปิดหรือปิดการตั้งค่าระดับผู้เช่า
• ดูข้อมูลการวิเคราะห์สำหรับสภาพแวดล้อมต่างๆ
• ดูการใช้ความจุ

ผู้ดูแลระบบเหล่านี้ไม่สามารถดำเนินกิจกรรมที่ต้องเข้าถึงข้อมูล Dataverse โดยตรงหากไม่มีสิทธิการใช้งาน ตัวอย่างของกิจกรรมเหล่านี้ ได้แก่

• กำลังอัปเดต Security role สำหรับผู้ใช้ในสภาพแวดล้อม
• การติดตั้งแอปสำหรับสภาพแวดล้อม

ข้อจำกัดที่ทราบ

• เมื่อใช้ API หากผู้เรียกเป็นผู้ดูแลระบบ การโทรยกระดับตัวเองจะส่งกลับผลว่าประสบความสำเร็จแทนที่จะระบุว่าผู้เรียกออกจากระบบแล้ว

• ผู้ใช้ที่ทำการเรียกต้องมีบทบาทผู้ดูแลระบบผู้เช่าที่ได้รับมอบหมาย สำหรับรายชื่อผู้ใช้ทั้งหมดที่ตรงตามเกณฑ์ผู้ดูแลระบบผู้เช่า โปรดดู การเปลี่ยนแปลงการสนับสนุนคุณลักษณะ

• หากคุณเป็นผู้ดูแลระบบ Dynamics 365 และสภาพแวดล้อมได้รับการปกป้องโดยกลุ่มความปลอดภัย คุณจะต้องเป็นสมาชิกของกลุ่มความปลอดภัยนั้น กฎนี้ใช้ไม่ได้กับผู้ใช้ที่มีบทบาทผู้ดูแลระบบส่วนกลางหรือผู้ดูแลระบบ Power Platform

• ผู้ใช้ที่ต้องการเพิ่มสถานะจะต้องเรียกใช้ API การยกระดับสถานะ ไม่อนุญาตให้เรียก API เพื่อยกระดับสถานะของผู้ใช้รายอื่น

• มีวิธีแก้ไขปัญหาสำหรับลูกค้าที่ใช้ Microsoft Power Platform CoE Starter Kit ดู ปัญหา PIM และวิธีแก้ปัญหา #8119 สำหรับข้อมูลและรายละเอียดเพิ่มเติม

• ไม่รองรับการกำหนดบทบาทผ่านกลุ่ม อย่าลืมที่จะกำหนดบทบาทให้กับผู้ใช้โดยตรง

ยกระดับบทบาทตนเองเป็นผู้ดูแลระบบ

เราสนับสนุนการยกระดับโดยใช้ PowerShell หรือผ่านประสบการณ์ที่ใช้งานง่ายในศูนย์การจัดการ Power Platform

ยกระดับตนเองผ่าน PowerShell

หากต้องการยกระดับด้วยตนเองผ่าน PowerShell ให้ติดตั้งโมดูล MSAL PowerShell และทําตามขั้นตอนในส่วนนี้

Install-Module -Name MSAL.PS

คุณเพียงต้องติดตั้งมอดูลดังกล่าวครั้งเดียวเท่านั้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่า PowerShell โปรดดู เริ่มต้นใช้งานด่วนสำหรับ Web API ด้วย PowerShell และ Visual Studio Code

ขั้นตอนที่ 1: รันคริปต์เพื่อยกระดับ

ในสคริปต์ PowerShell นี้ คุณจะต้อง:

• รับรองความถูกต้องโดยใช้ API สำหรับ Power Platform
• สร้างคิวรี http ด้วย ID สภาพแวดล้อมของคุณ
• ขอยกระดับโดยใช้ Power Platform API

ค้นหาและเพิ่ม ID สภาพแวดล้อมของคุณ

1. ลงชื่อเข้าใช้ใน ศูนย์จัดการ Power Platform
2. ในบานหน้าต่างนำทาง ให้เลือก จัดการ
3. ในบานหน้าต่าง จัดการ ให้เลือก สภาพแวดล้อม
4. ในหน้า สภาพแวดล้อม ให้เลือกสภาพแวดล้อมที่คุณต้องการปรับเปลี่ยน
5. ค้นหา ID สภาพแวดล้อม ในบานหน้าต่าง รายละเอียด
6. เพิ่ม <environment id> ที่ไม่ซ้ำลงในสคริปต์

รันสคริปต์ที่

คัดลอกและวางสคริปต์ลงในคอนโซล PowerShell

# Set your environment ID
$environmentId = "<your environment id>"
$clientId = "<client id of your Microsoft Entra ID application registration>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId $clientId -Scope 'https://api.powerplatform.com/.default'


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

ขั้นตอนที่ 2: ยืนยันผลลัพธ์

เมื่อสำเร็จ คุณจะเห็นผลลัพธ์ที่คล้ายกับผลลัพธ์ต่อไปนี้ มองหา "Code": "UserExists" เพื่อเป็นหลักฐานว่าคุณยกระดับบทบาทของคุณได้สำเร็จ

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

ข้อผิดพลาด

คุณอาจเห็นข้อความแสดงข้อผิดพลาดหากคุณไม่มีสิทธิ์ที่ถูกต้อง

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

ตัวอย่างสคริปต์

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

ยกระดับตนเองโดยผ่านศูนย์การจัดการ Power Platform

หากต้องการยกระดับด้วยตนเองผ่าน Power Platform Center ให้ทําตามขั้นตอนต่อไปนี้:

1. ลงชื่อเข้าใช้ใน ศูนย์จัดการ Power Platform
2. ในบานหน้าต่างนำทาง ให้เลือก จัดการ
3. ในบานหน้าต่าง จัดการ ให้เลือก สภาพแวดล้อม
4. ในหน้า สภาพแวดล้อม ให้เลือกสภาพแวดล้อมที่คุณต้องการปรับเปลี่ยน
5. ในแถบคำสั่ง ให้เลือก การเป็นสมาชิก เพื่อร้องขอการยกระดับตนเอง
6. ในบานหน้าต่าง ผู้ดูแลระบบ ให้เลือก เพิ่มฉัน เพื่อเพิ่มตัวคุณเองในบทบาทผู้ดูแลระบบ