Selvstudium: Tildel roller til tjenesteprincipaler (prøveversion)

[Denne artikel er dokumentation til en foreløbig version og er med forbehold for ændringer.]

Rollebaseret adgangskontrol (RBAC) i Power Platform gør det muligt for administratorer at tildele indbyggede roller til brugere, grupper og tjenesteprincipaler i lejeren, miljøgruppen eller miljøomfanget. I dette selvstudium gennemgås et almindeligt automatiseringsscenarie: Tildeling af rollen Bidragyder til en tjenesteprincipal i lejerområdet ved hjælp af Godkendelses-API'en.

Hvis du vil vide mere om RBAC-begreber, indbyggede roller og nedarvning af omfang, skal du se Rollebaseret adgangskontrol for Power Platform Administration.

Vigtigt!

Dette er en prøveversionsfunktion.
Prøveversionsfunktioner er ikke beregnet til produktionsbrug og kan have begrænset funktionalitet. Disse funktioner er underlagt supplerende vilkår for anvendelse og er tilgængelige før en officiel udgivelse, så kunderne kan få tidlig adgang og give feedback.

I dette selvstudium lærer du, hvordan du kan:

Godkend med Power Platform-API'en.
Angiv tilgængelige rolledefinitioner.
Opret en rolletildeling for en tjenesteprincipal i lejerområdet.
Kontrollér rolletildelingen.

Forudsætninger

En Microsoft Entra-appregistrering, der er konfigureret til Power Platform-API'en, med et certifikat eller en klienthemmelighed til godkendelse af tjenesteprincipal. Du kan finde en vejledning under Godkendelse.
Objekt-id'et for virksomhedsprogrammet for tjenesteprincipalen (findes i Microsoft Entra ID Enterprise-programmer>).
Den kaldende identitet skal have rollen Power Platform-administrator eller Power Platform-rollebaseret administrator af adgangskontrol .

Indbyggede rolledefinitioner

Power Platform indeholder fire indbyggede roller, der kan tildeles via RBAC. Hver rolle har et fast sæt tilladelser og kan tildeles i lejeren, miljøgruppen eller miljøområdet.

Rollenavn	Rolle-id	Tilladelser
Ejer af Power Platform	`0cb07c69-1631-4725-ab35-e59e001c51ea`	Alle tilladelser
Bidragyder til Power Platform	`ff954d61-a89a-4fbe-ace9-01c367b89f87`	Administrer og læs alle ressourcer, men kan ikke oprette eller ændre rolletildelinger
Power Platform-læser	`c886ad2e-27f7-4874-8381-5849b8d8a090`	Skrivebeskyttet adgang til alle ressourcer
Rollebaseret administrator af adgangskontrol i Power Platform	`95e94555-018c-447b-8691-bdac8e12211e`	Læs alle ressourcer + administrer rolletildelinger

Trin 1. Vis tilgængelige rolledefinitioner

Først skal du godkende og hente de tilgængelige rolledefinitioner for at bekræfte rolle-id'et for bidragyderen.

# Install the Az.Accounts module if not already installed
Install-Module -Name Az.Accounts

# Set your tenant ID
$TenantId = "YOUR_TENANT_ID"

# Authenticate and obtain an access token
Connect-AzAccount
$AccessToken = Get-AzAccessToken -TenantId $TenantId -ResourceUrl "https://api.powerplatform.com/"

$headers = @{ 'Authorization' = 'Bearer ' + $AccessToken.Token }
$headers.Add('Content-Type', 'application/json')

# List all role definitions
$roleDefinitions = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleDefinitions?api-version=2024-10-01" -Headers $headers

$roleDefinitions.value | Format-Table roleDefinitionName, roleDefinitionId

Forventet output:

roleDefinitionName                                          roleDefinitionId
------------------                                          ----------------
Power Platform owner                                        0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor                                  ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader                                       c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator      95e94555-018c-447b-8691-bdac8e12211e

using Microsoft.PowerPlatform.Management;
using Microsoft.PowerPlatform.Management.Models;

var client = ServiceClientFactory.Create(clientId);

// List all role definitions
var roleDefinitions = await client.Authorization.RoleDefinitions.GetAsync();

foreach (var role in roleDefinitions.Value)
{
    Console.WriteLine($"{role.RoleDefinitionName}: {role.RoleDefinitionId}");
}

Forventet output:

Power Platform owner: 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor: ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader: c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator: 95e94555-018c-447b-8691-bdac8e12211e

import asyncio
from azure.identity import InteractiveBrowserCredential
from kiota_authentication_azure.azure_identity_authentication_provider import AzureIdentityAuthenticationProvider
from kiota_http.httpx_request_adapter import HttpxRequestAdapter
from mspp_management.service_client_base import ServiceClientBase

credential = InteractiveBrowserCredential()
auth_provider = AzureIdentityAuthenticationProvider(
    credential,
    scopes=["https://api.powerplatform.com/.default"]
)
adapter = HttpxRequestAdapter(auth_provider)
adapter.base_url = "https://api.powerplatform.com"
client = ServiceClientBase(adapter)

# List all role definitions
role_definitions = await client.authorization.role_definitions.get()

for role in role_definitions.value:
    print(f"{role.role_definition_name}: {role.role_definition_id}")

Forventet output:

Power Platform owner: 0cb07c69-1631-4725-ab35-e59e001c51ea
Power Platform contributor: ff954d61-a89a-4fbe-ace9-01c367b89f87
Power Platform reader: c886ad2e-27f7-4874-8381-5849b8d8a090
Power Platform role-based access control administrator: 95e94555-018c-447b-8691-bdac8e12211e

Power Platform API-reference: Role-Based adgangskontrol – Listerolledefinitioner

Trin 2. Tildel rollen Bidragyder til en tjenesteprincipal

Opret en rolletildeling, der tildeler rollen Power Platform-bidragyder til en tjenesteprincipal i lejerområdet. Erstat YOUR_TENANT_ID med dit lejer-GUID og YOUR_ENTERPRISE_APP_OBJECT_ID med objekt-id'et for virksomhedsprogrammet fra Microsoft Entra ID.

$TenantId = "YOUR_TENANT_ID"
$EnterpriseAppObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID"

$body = @{
    roleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87"
    principalObjectId = $EnterpriseAppObjectId
    principalType = "ApplicationUser"
    scope = "/tenants/$TenantId"
} | ConvertTo-Json

$roleAssignment = Invoke-RestMethod -Method Post -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers -Body $body

$roleAssignment

Forventet output:

roleAssignmentId   : a1b2c3d4-e5f6-7890-abcd-ef1234567890
principalObjectId  : <your-enterprise-app-object-id>
roleDefinitionId   : ff954d61-a89a-4fbe-ace9-01c367b89f87
scope              : /tenants/<your-tenant-id>
principalType      : ApplicationUser
createdOn          : 2026-03-02T12:00:00.0000000+00:00

var request = new RoleAssignmentRequest
{
    RoleDefinitionId = "ff954d61-a89a-4fbe-ace9-01c367b89f87",
    PrincipalObjectId = "YOUR_ENTERPRISE_APP_OBJECT_ID",
    PrincipalType = "ApplicationUser",
    Scope = "/tenants/YOUR_TENANT_ID"
};

var roleAssignment = await client.Authorization.RoleAssignments.PostAsync(request);

Console.WriteLine($"Assignment ID: {roleAssignment.Value[0].RoleAssignmentId}");
Console.WriteLine($"Scope: {roleAssignment.Value[0].Scope}");
Console.WriteLine($"Principal: {roleAssignment.Value[0].PrincipalObjectId}");

from mspp_management.models.role_assignment_request import RoleAssignmentRequest

request = RoleAssignmentRequest(
    role_definition_id="ff954d61-a89a-4fbe-ace9-01c367b89f87",
    principal_object_id="YOUR_ENTERPRISE_APP_OBJECT_ID",
    principal_type="ApplicationUser",
    scope="/tenants/YOUR_TENANT_ID",
)

role_assignment = await client.authorization.role_assignments.post(request)

print(f"Assignment ID: {role_assignment.value[0].role_assignment_id}")
print(f"Scope: {role_assignment.value[0].scope}")
print(f"Principal: {role_assignment.value[0].principal_object_id}")

Power Platform API-reference: Role-Based adgangskontrol – Opret rolletildeling

Trin 3. Bekræft rolletildelingen

Hent alle rolletildelinger for at bekræfte, at den nye tildeling findes.

$roleAssignments = Invoke-RestMethod -Method Get -Uri "https://api.powerplatform.com/authorization/roleAssignments?api-version=2024-10-01" -Headers $headers

# Filter for the service principal's assignments
$roleAssignments.value | Where-Object { $_.principalObjectId -eq $EnterpriseAppObjectId } | Format-Table roleAssignmentId, roleDefinitionId, scope, principalType

Forventet output:

roleAssignmentId                        roleDefinitionId                        scope                          principalType
----------------                        ----------------                        -----                          -------------
a1b2c3d4-e5f6-7890-abcd-ef1234567890    ff954d61-a89a-4fbe-ace9-01c367b89f87    /tenants/<your-tenant-id>      ApplicationUser

var roleAssignments = await client.Authorization.RoleAssignments.GetAsync();

var myAssignments = roleAssignments.Value
    .Where(a => a.PrincipalObjectId == "YOUR_ENTERPRISE_APP_OBJECT_ID");

foreach (var assignment in myAssignments)
{
    Console.WriteLine($"ID: {assignment.RoleAssignmentId}");
    Console.WriteLine($"Role: {assignment.RoleDefinitionId}");
    Console.WriteLine($"Scope: {assignment.Scope}");
    Console.WriteLine($"Type: {assignment.PrincipalType}");
}

role_assignments = await client.authorization.role_assignments.get()

my_assignments = [
    a for a in role_assignments.value
    if a.principal_object_id == "YOUR_ENTERPRISE_APP_OBJECT_ID"
]

for assignment in my_assignments:
    print(f"ID: {assignment.role_assignment_id}")
    print(f"Role: {assignment.role_definition_id}")
    print(f"Scope: {assignment.scope}")
    print(f"Type: {assignment.principal_type}")

Power Platform API-reference: Rollebaseret adgangskontrol – Listerolletildelinger

Feedback

Var denne side nyttig?

Last updated on 2026-03-12

Del via

Selvstudium: Tildel roller til tjenesteprincipaler (prøveversion)

Forudsætninger

Indbyggede rolledefinitioner

Trin 1. Vis tilgængelige rolledefinitioner

Trin 2. Tildel rollen Bidragyder til en tjenesteprincipal

Trin 3. Bekræft rolletildelingen

Relateret indhold

Feedback

Yderligere ressourcer