为托管体验版设置 Azure 市场订阅

  • 项目

本文介绍如何为体验版设置 Azure 市场订阅以及 Dataverse 和 Power Apps 中的 Dynamics 365 应用或 Dynamics 365 Operations Apps 环境

重要

截至 2023 年 6 月 30 日,已弃用 Azure Active Directory (Azure AD) Graph。 今后,我们在 Azure AD Graph 中没有进一步的投资。 除了与安全相关的修补程序之外,Azure AD Graph API 没有 SLA 或维护承诺。 对新特性和功能的投资将仅在 Microsoft Graph 中进行。

我们将以增量步骤停用 Azure AD Graph,以便有足够的时间将应用程序迁移到 Microsoft Graph API。 稍后我们将宣布,我们将阻止使用 Azure AD Graph 创建任何新应用程序。

若要了解详细信息,请参阅 重要说明:Azure AD Graph 停用和 Powershell 模块弃用

针对 Dataverse 和 Power Apps 中的 Dynamics 365 应用的设置

  1. 使用管理员帐户登录到Azure 门户。

  2. 通过将鼠标悬停在右上角的帐户图标上,验证你是否处于与 Dynamics 365 体验版实例相关联的租户中。 如果你不在正确的租户中,请选择帐户图标以切换到正确的租户。

    Screenshot showing how to select the correct tenant.

  3. 验证 Dynamics 365 Customer Engagement 计划许可证是否可用。

    Screenshot showing how to check the plan license.

  4. 在 Azure 中创建 Microsoft Entra 应用。 AppSource 将使用此应用在租户中预配和取消预配体验版用户。

    1. 在筛选器窗格中,选择 “Microsoft Entra ID”。

    2. 选择“应用注册” 。

      Screenshot showing how to select app registrations.

    3. 选择“新注册”。

    4. 提供相应的应用程序名称。

      Screenshot showing how to register an application.

    5. 在“支持的帐户类型”下,选择“任何组织目录中的帐户和个人 Microsoft 帐户”。

    6. 选择“创建”,等待创建完应用。

    7. 创建应用后,请记下概述屏幕中显示的“应用程序 ID”。 稍后配置体验版时将需要此值。

    8. 在“管理应用程序”下选择“API 权限”

    9. 选择“添加权限”,然后选择“Microsoft Graph API”

    10. 选择“应用程序”权限类别,然后选择“User.ReadWrite.All”、“Directory.Read.All”和“Directory.ReadWrite.All”权限。

      Screenshot showing how to set the application permissions.

    11. 添加权限后,选择“代表 Microsoft 授予管理员同意”

    12. 在消息警报中,选择“是”

      Screenshot showing the application permissions are successfully granted.

    13. 若要为 Microsoft Entra 应用生成机密,请执行以下操作:

      1. 在“管理应用程序”中,选择“证书和机密”

      2. 在“客户端机密”下,选择“新建客户端机密”。

        Screenshot showing how to add a new client secret.

      3. 输入描述,例如“体验版”,然后选择相应的持续时间。 由于此密钥过期后,测试驱动器将中断,此时需要为 AppSource 生成并提供一个新密钥,因此我们建议使用最长持续时间为 24 个月。

      4. 选择“添加”以生成 Azure 应用机密。 复制此值,因为此值会在收起此边栏选项卡后立即隐藏。 稍后配置体验版时将需要此值。

        Screenshot showing how to add a client secret.

  5. 将服务主体角色添加到应用程序,以允许 Microsoft Entra 应用从 Azure 租户中删除用户。 可通过两个选项完成此步骤。

    选项 1

    1. 搜索 Microsoft Entra 角色和管理员 并选择该服务。

      Screenshot showing how to search for Microsoft Entra roles and administrators.

    2. 在“所有角色”页上,搜索“用户管理员”角色,然后双击“用户管理员”

      Screenshot showing how to search for and select User administrator.

    3. 选择“添加分配”

      Screenshot showing the add assignments button.

    4. 搜索并选择上面创建的应用,然后选择“添加”

      Screenshot showing a successful app assignment.

    5. 请注意,已成功向应用程序分配服务主体角色:

      Screenshot showing the Service Principal role successfully assigned to the application.

    方法 2

    1. 打开管理级别的 PowerShell 命令提示符。

    2. Install-Module MSOnline (如果未安装 MSOnline,请运行以下命令)。

    3. Connect-MsolService(这会显示一个弹出窗口;使用新创建的 org 租户登录)。

    4. $applicationId = <YOUR_APPLICATION_ID>

    5. $sp = Get-MsolServicePrincipal -AppPrincipalId $applicationId。

    6. Add-MsolRoleMember -RoleObjectId fe930be7-5e62-47db-91af-98c3a49a38b1 -RoleMemberObjectId $sp.ObjectId -RoleMemberType servicePrincipal。

      Screenshot showing how to sign in to your account.

  6. 新建安全组,并将其添加到画布应用 (Power Apps)。 此步骤仅适用于使用 Canvas Apps 选项的 Dynamics 365 for Customer Engagement 和 Power Apps 产品/服务。

    1. 新建安全组。

      1. 转到“Microsoft Entra ID”

      2. 在“管理”下选择“组”。

      3. 选择 + 新建组

      4. 选择“安全组”类型。

      5. 对于“组名称”,请输入“TestDriveSecurityGroup”

      6. 添加描述,例如“体验版安全组”

      7. 其余字段保留默认值,然后选择“创建”

        Screenshot showing how to create a new security group.

    2. 将刚刚创建的安全组添加到画布应用 (Power Apps)。

      1. 打开“PowerApps 门户”页并登录。

      2. 选择“应用”,然后选择应用中的省略号。

      3. 选择共享

      4. 搜索在上一步中创建的 TestDriveSecurityGroup 安全组。

      5. 向安全组授予数据权限

      6. 取消选中“发送电子邮件”邀请复选框。

      7. 选择共享

        注意

        使用 CE/Dataverse for Canvas App (Power Apps) 以外的后端数据源时:

        • 允许上面创建的安全组访问数据源。 例如,SharePoint 数据源。
        • 打开 SharePoint 并与安全组共享数据表。

  7. 将刚刚创建的 Azure 应用作为应用程序用户添加到体验版 CRM 实例。 此步骤仅适用于 Dataverse 和 Power Apps 产品/服务上的 Dynamics 365 应用。

    1. 以系统管理员istrator 身份登录到 Power Platform 管理中心

    2. 选择环境,然后从列表中选择一个环境。

    3. 选择设置

    4. 选择用户 + 权限,然后选择应用程序用户

    5. 选择 + 新建应用用户以打开创建新应用用户页面。
      Screenshot of Test Drive create new app user.

    6. 选择 “+ 添加应用 ”,选择为所选用户创建的已注册 的 Microsoft Entra ID 应用程序,然后选择“ 添加”。

      注意

      除了输入应用程序名称或应用程序 ID,您还可以输入 Azure 托管标识应用程序 ID。 对于托管标识,不要输入托管标识应用程序名称,而是使用托管标识应用程序名称 ID。

    7. 所选的 Microsoft Entra 应用显示在“应用”下。 可以选择“编辑”以选择其他 Microsoft Entra 应用程序。 在业务部门下,从下拉列表中选择业务部门。

      Screenshot of Test Drive create new app user business unit.

    8. 选择 业务部门后,可以选择 “安全”角色 ,为所选业务部门选择安全角色以添加到新应用程序用户。 添加安全角色后,选择保存

      Screenshot of Test Drive create new app user security roles.

    9. 选择创建

    10. 选择管理角色

    11. 分配包含读取和写入的自定义或 OOB 安全角色,并分配角色特权(例如“系统管理员”)。

      Screenshot showing how to select the role privileges.

    12. 此外,启用“代表其他用户操作”特权。

    13. 向应用程序用户分配为体验版创建的自定义安全角色。

针对 Dynamics 365 Operations Apps 的设置

  1. 使用管理帐户登录 Azure 门户

  2. 通过将鼠标悬停在右上角的帐户图标上,验证你是否处于与 Dynamics 365 体验版实例相关联的租户中。 如果你不在正确的租户中,请选择帐户图标以切换到正确的租户。

    Screenshot showing how to select the correct tenant.

  3. 在 Azure 中创建 Microsoft Entra 应用。 AppSource 将使用此应用在租户中预配和取消预配体验版用户。

    1. 在筛选器窗格中,选择 “Microsoft Entra ID”。

    2. 选择“应用注册” 。

      Screenshot showing how to select an app registration.

    3. 选择“新注册”。

    4. 提供相应的应用程序名称。

      Screenshot showing how to register an application.

    5. 在“支持的帐户类型”下,选择“任何组织目录中的帐户和个人 Microsoft 帐户”。

    6. 选择“创建”,等待创建完应用。

    7. 创建应用后,请记下概述屏幕中显示的“应用程序 ID”。 稍后配置体验版时将需要此值。

    8. 在“管理应用程序”下选择“API 权限”

    9. 选择“添加权限”,然后选择“Microsoft Graph API”

    10. 选择“应用程序”权限类别,然后选择“Directory.Read.All”和“Directory.ReadWrite.All”权限。

      Screenshot illustrating how to set application permissions.

    11. 选择添加权限

    12. 添加权限后,选择“代表 Microsoft 授予管理员同意”

    13. 在消息警报中,选择“是”

      Screenshot showing the application permissions successfully granted.

    14. 若要为 Microsoft Entra 应用生成机密,请执行以下操作:

      1. 在“管理应用程序”中,选择“证书和机密”

      2. 在“客户端机密”下,选择“新建客户端机密”。

      3. 输入描述,例如“体验版”,然后选择相应的持续时间。 此密钥过期后,体验版将中断,此时需要生成并为 AppSource 提供新的密钥。

      4. 选择“添加”以生成 Azure 应用机密。 复制此值,因为此值会在收起此边栏选项卡后立即隐藏。 稍后配置体验版时将需要此值。

        Screenshot showing the addition of a client secret.

  4. 将服务主体角色添加到应用程序,以允许 Microsoft Entra 应用从 Azure 租户中删除用户。

    1. 打开管理级别的 PowerShell 命令提示符。

    2. Install-Module MSOnline (如果未安装 MSOnline,请运行以下命令)。

    3. Connect-MsolService(这会显示一个弹出窗口;使用新创建的 org 租户登录)。

    4. $applicationId = <YOUR_APPLICATION_ID>

    5. $sp = Get-MsolServicePrincipal -AppPrincipalId $applicationId。

    6. Add-MsolRoleMember -RoleObjectId fe930be7-5e62-47db-91af-98c3a49a38b1 -RoleMemberObjectId $sp.ObjectId -RoleMemberType servicePrincipal。

      Screenshot showing how to sign in to an account.

  5. 现在,将上述应用添加到 Dynamics 365 for Operations Apps,以便使用此应用来管理用户

    1. 查找 Dynamics 365 for Operations Apps 实例
    2. 从左上角选择三行图标(☰)。
    3. 选择“系统管理”
    4. 选择 Microsoft Entra 应用程序
    5. 选择“+ 新建” 。
    6. 输入要代表操作的 Microsoft Entra 应用的客户端 ID。

    注意

    将以其名义执行操作的用户 ID(通常是实例的系统管理员或有特权添加其他用户的用户)。

    Screenshot showing the user ID on whose behalf the actions will be performed, typically the System Admin of the instance or a user who has privileges to add other users.

后续步骤