Administratorrollen mit Microsoft Entra Privileged Identity Management verwalten

Verwalten Sie Administrationsrollen mit umfassenden Rechten mithilfe des Microsoft Entra Privileged Identity Management (PIM) im Power Platform Admin Center.

Anforderungen

• Entfernen Sie alte Systemadministrator-Rollenzuweisungen in Ihren Umgebungen. Sie können PowerShell-Skripte verwenden, um unerwünschte Benutzende zu inventarisieren und aus der Rolle für die Systemadministration in einer oder mehreren Power Platform-Umgebungen zu entfernen.

Änderungen an der Funktionsunterstützung

Die Rolle Systemadministrator wird von Microsoft nicht mehr automatisch allen Benutzenden mit der Rolle Power Platform-Administrator und Dynamics 365-Administrator zugewiesen.

Diese Administratoren können sich weiterhin mit den folgenden Rechten beim Power Platform Admin Center anmelden:

• Aktivieren oder Deaktivieren von Einstellungen auf Mandantenebene
• Analyseinformationen für Umgebungen anzeigen
• Kapazitätsverbrauch anzeigen

Diese Administratoren können ohne Lizenz keine Aktivitäten ausführen, die direkten Zugriff auf Dataverse Daten erfordern. Zu diesen Aktivitäten zählen folgende Beispiele:

• Aktualisieren der Sicherheitsrolle für einen Benutzer in einer Umgebung
• Installieren von Apps für eine Umgebung

Bekannte Einschränkungen

• Wenn Sie die API verwenden und der Aufruf von einer Systemadministrationsfachkraft erfolgte, gibt der Aufruf zur Selbsterhöhung eine erfolgreiche Ausführung zurück, und nicht, dass sie bereits vorliegt.

• Benutzende, die diesen Aufruf tätigen, müssen Mandantenadministrierende sein. Eine vollständige Liste der Benutzenden, welche die Kriterien für Mandantenadministrierende erfüllen, finden Sie unter Änderungen bei der Funktionsunterstützung

• Wenn Sie ein Dynamics 365-Administrator sind und die Umgebung durch eine Sicherheitsgruppe geschützt ist, müssen Sie Mitglied der Sicherheitsgruppe sein. Diese Regel gilt nicht für Benutzer mit der Rolle Globaler Administrator oder Power Platform-Administrator.

• Der Benutzer, der seinen Status erhöhen muss, muss die Elevation-API aufrufen. Es ist nicht zulässig, dass API-Aufrufe den Status eines anderen Benutzers erhöhen.

• Für alle, die das Microsoft Power Platform CoE Starter-Kit verwenden, ist eine Problemumgehung verfügbar. Weitere Informationen und Einzelheiten finden Sie unter PIM-Problem und Problemumgehung 8119.

• Rollenzuweisungen über Gruppen werden nicht unterstützt. Stellen Sie sicher, dass Sie dem Benutzer Rollen direkt zuweisen.

Auf die Rolle des Systemadministrators selbst erhöhen

Wir unterstützen die Erhöhung entweder mithilfe von PowerShell oder über eine intuitive Benutzeroberfläche im Power Platform Admin Center.

Selbstständige Erweiterung von Berechtigungen über PowerShell

PowerShell einrichten

Installieren Sie das MSAL PowerShell-Modul. Sie müssen das Modul nur einmal installieren.

Install-Module -Name MSAL.PS

Weitere Informationen zum Einrichten von PowerShell finden Sie unter Schnellstart-Web-API mit PowerShell und Visual Studio Code.

Schritt 1: Führen Sie das Skript zur Erhöhung aus

In diesem PowerShell-Skript führen Sie Folgendes durch:

• Authentifizieren Sie sich Mithilfe der Power Platform-API.
• Erstellen Sie eine http-Abfrage mit Ihrer Umgebungs-ID.
• Die Erhöhung mithilfe der Power Platform API anfordern.

Ihre Umgebungs-ID finden und hinzufügen

Das Skript ausführen

Kopieren Sie das Skript, und fügen Sie es in die PowerShell-Konsole ein.

# Set your environment ID
$environmentId = "<your environment id>"
$clientId = "<client id of your Microsoft Entra ID application registration>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId $clientId -Scope 'https://api.powerplatform.com/.default'


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

Schritt 2: Das Ergebnis bestätigen

Bei Erfolg wird eine Ausgabe ähnlich der folgenden angezeigt. Suchen Sie nach "Code": "UserExists" als Beweis dafür, dass Sie Ihre Rolle erfolgreich erhöht haben.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}

Fehler

Möglicherweise erhalten Sie eine Fehlermeldung, wenn Sie nicht die richtigen Berechtigungen haben.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."

Beispielskript

Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Selbstständiges Erhöhen von Berechtigungen über das Power Platform Admin Center