다음을 통해 공유

Microsoft Entra Privileged Identity Management를 사용하여 관리자 역할 관리

참고

새롭고 개선된 관리 센터가 이제 일반적으로 제공됩니다. Power Platform 현재 이러한 변경 사항을 반영하여 설명서를 업데이트 중이므로, 최신 업데이트를 받고 있는지 다시 확인해 주시기 바랍니다.

Power Platform 관리 센터에서 권한이 높은 관리자 역할을 관리하려면 Microsoft Entra Privileged Identity Management(PIM)를 사용하세요.

사전 요구 사항

  • 환경에서 이전 시스템 관리자 역할 할당을 제거합니다. PowerShell 스크립트를 사용하여 하나 이상의 Power Platform 환경에서 시스템 관리자 역할에서 원치 않는 사용자를 목록화하고 제거할 수 있습니다.

기능 지원 변경 사항

Microsoft는 더 이상 Power Platform 관리자 및 Dynamics 365 관리자와 같은 전역 또는 서비스 수준 관리자 역할이 있는 사용자에게 시스템 관리자 역할을 자동으로 할당하지 않습니다.

이러한 관리자는 다음 권한으로 Power Platform 관리 센터에 계속 로그인할 수 있습니다.

  • 테넌트 수준 설정 활성화 또는 비활성화
  • 환경에 대한 분석 정보 보기
  • 용량 소비 보기

이러한 관리자는 라이선스 없이 Dataverse 데이터에 직접 액세스해야 하는 활동을 수행할 수 없습니다. 이러한 활동의 예는 다음과 같습니다.

  • 환경의 사용자에 대한 보안 역할 업데이트
  • 환경에 대한 앱 설치

중요

전역 관리자, Power Platform 관리자 및 Dynamics 365 서비스 관리자는 Dataverse에 대한 액세스가 필요한 활동을 수행하기 전에 다른 단계를 완료해야 합니다. 액세스가 필요한 환경에서 자신을 시스템 관리자 역할로 상승해야 합니다. 모든 권한 상승 작업은 Microsoft Purview에 기록됩니다.

Privileged Identity Management를 사용하여 Microsoft Entra ID의 관리자 역할에 대한 적시 액세스를 얻은 다음 자체 승격하는 경우 Microsoft는 Privileged Identity Management에서 역할 할당이 만료되면(보통 짧은 기간 후) 시스템 관리자 역할을 제거합니다.

알려진 제한 사항

  • API를 사용할 때 호출자가 시스템 관리자인 경우 자체 승격 호출은 이미 종료되었음을 나타내는 대신 성공을 반환합니다.

  • 전화를 거는 사용자에게는 테넌트 관리자 역할이 할당되어 있어야 합니다. 테넌트 관리자 기준을 충족하는 사용자의 전체 목록은 기능 지원 변경 사항을 참조하세요.

  • 귀하가 Dynamics 365 관리자이고 환경이 보안 그룹으로 보호되는 경우, 귀하는 보안 그룹의 구성원이어야 합니다. 이 규칙은 전역 관리자 또는 Power Platform 관리자 역할이 있는 사용자에게는 적용되지 않습니다.

  • 자신의 지위를 높여야 하는 사용자는 권한 상승 API를 호출해야 합니다. 다른 사용자의 상태를 높이기 위한 API 호출은 허용되지 않습니다.

  • 해결 방법은 Microsoft Power Platform CoE 스타터 키트를 사용하는 고객에게 제공됩니다. 자세한 내용은 PIM 문제 및 해결 방법 #8119를 참조하세요.

  • 그룹을 통한 역할 할당은 지원되지 않습니다. 사용자에게 직접 역할을 할당했는지 확인하세요.

시스템 관리자 역할로 자체 상승

PowerShell을 사용하거나 Power Platform 관리 센터의 직관적인 환경을 통해 권한 상승을 지원합니다.

참고

자체 상승을 시도하는 사용자는 전역 관리자, Power Platform 관리자 또는 Dynamics 365 관리자여야 합니다. Power Platform 관리 센터의 사용자 인터페이스는 다른 Entra ID 관리자 역할이 있는 사용자는 사용할 수 없으며 PowerShell API를 통해 자체 상승을 시도하면 오류가 반환됩니다.

PowerShell을 통해 자체 상승

PowerShell 설정

MSAL PowerShell 모듈을 설치합니다. 모듈을 한 번 설치하기만 하면 됩니다.

Install-Module -Name MSAL.PS

PowerShell 설정에 대한 자세한 내용은 PowerShell 및 Visual Studio Code를 사용한 빠른 시작 웹 API를 참조하세요.

1단계: 스크립트를 실행하여 권한 상승

이 PowerShell 스크립트에서는 다음을 수행합니다.

  • Power Platform API를 사용하여 인증합니다.
  • 환경 ID를 사용하여 http 쿼리를 작성하세요.
  • Power Platform API를 사용하여 요청 승격.
환경 ID를 찾아 추가하세요
  1. Power Platform 관리 센터에 로그인합니다.
  2. 탐색 창에서 관리를 선택합니다.
  3. 관리 창에서 환경을 선택합니다.
  4. 환경 페이지에서 수정하려는 환경을 선택합니다.
  5. 세부 정보 창에서 환경 ID 를 찾으세요.
  6. 고유한 <environment id>을 스크립트에 추가하세요.
스크립트 실행

스크립트를 복사하여 PowerShell 콘솔에 붙여넣습니다.

# Set your environment ID
$environmentId = "<your environment id>"
$clientId = "<client id of your Microsoft Entra ID application registration>"

Import-Module MSAL.PS

# Authenticate
$AuthResult = Get-MsalToken -ClientId $clientId -Scope 'https://api.powerplatform.com/.default'


$Headers = @{
   Authorization  = "Bearer $($AuthResult.AccessToken)"
   'Content-Type' = "application/json"
} 

$uri = "https://api.powerplatform.com/usermanagement/environments/$environmentId/user/applyAdminRole?api-version=2022-03-01-preview";

try { 

   $postRequestResponse = Invoke-RestMethod -Method Post -Headers $Headers -Uri $uri 
   
} 
   
catch { 
   
   # Dig into the exception to get the Response details. 
   
   Write-Host "Response CorrelationId:" $_.Exception.Response.Headers["x-ms-correlation-id"] 
   
   Write-Host "StatusCode:" $_.Exception.Response.StatusCode.value__  
   
   Write-Host "StatusDescription:" $_.Exception.Response.StatusDescription 
   
   $result = $_.Exception.Response.GetResponseStream() 
   
   $reader = New-Object System.IO.StreamReader($result) 
   
   $reader.BaseStream.Position = 0 
   
   $reader.DiscardBufferedData() 
   
   $responseBody = $reader.ReadToEnd(); 
   
   Write-Host $responseBody 
   
} 
   
$output = $postRequestResponse | ConvertTo-Json -Depth 2 
   
Write-Host $output

2단계: 결과 확인

성공하면 다음 출력과 유사한 출력이 표시됩니다. 역할을 성공적으로 상승했다는 증거로 "Code": "UserExists"를 찾으세요.

{
  "errors": [],
  "information": [
    {
      "Subject": "Result",
      "Description": "[\"SyncMode: Default\",\"Instance df12c345-7b56-ee10-8bc5-6045bd005555 exists\",\"Instance df85c664-7b78-ee11-8bc5-6045bd005555 in enabled state\",\"Instance Url found https://orgc1234567.crm.dynamics.com\",\"User found in AD tenant\",\"User in enabled state in AD tenant\",\"SystemUser with Id:11fa11ab-4f75-ee11-9999-6045bd12345a, objectId:aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb exists in instance\"]",
      "Code": "UserExists"
    },
    { ... }
}
오류

올바른 권한이 없으면 오류 메시지가 표시될 수 있습니다.

"Unable to assign System Administrator security role as the user is not either a Global admin, Power Platform admin, or Dynamics 365 admin. Please review your role assignments in Entra ID and try again later. For help, please reach out to your administrator."
스크립트 예시
Remove-RoleAssignmentFromUsers
-roleName "System Administrator" 
-usersFilePath "C:\Users\<My-Name>\Desktop\<names.csv>"
-environmentUrl "<my-name>-environment.crm.dynamics.com"
# Or, include all your environments
-processAllEnvironments $true
-geo "NA"
-outputLogsDirectory "C:\Users\<My-Name>\Desktop\<log-files>"

Power Platform 관리 센터를 통한 자체 상승

  1. Power Platform 관리 센터에 로그인합니다.
  2. 탐색 창에서 관리를 선택합니다.
  3. 관리 창에서 환경을 선택합니다.
  4. 환경 페이지에서 수정하려는 환경을 선택합니다.
  5. 명령 모음에서 멤버십 을 선택하여 자체 승격을 요청합니다.
  6. 시스템 관리자 창에서 나를 추가 를 선택하여 시스템 관리자 역할에 본인을 추가합니다.