Aktivace mých rolí Azure AD v PIM

  • Článek
  • 3 min ke čtení

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) zjednodušuje způsob, jakým podniky spravují privilegovaný přístup k prostředkům v Azure AD a dalším online služby microsoftu, jako je Microsoft 365 nebo Microsoft Intune.

Pokud jste nastavili nárok na roli správce, musíte přiřazení role aktivovat , když potřebujete provést privilegované akce. pokud například příležitostně spravujete Microsoft 365 funkce, správci privilegovaných rolí vaší organizace nemusí mít trvalého globálního správce, protože tato role má dopad i na jiné služby. místo toho by vám to způsobilo, že máte nárok na role Azure AD, jako je Exchange Online správce. Můžete požádat o aktivaci této role, když budete potřebovat její oprávnění, a pak budete mít kontrolu nad tím, jak bude mít správce na předstanovenou dobu.

Tento článek je určen pro správce, kteří potřebují aktivovat roli Azure AD v Privileged Identity Management.

Aktivace role

Pokud potřebujete převzít roli Azure AD, můžete požádat o aktivaci otevřením Moje role v Privileged Identity Management.

  1. Přihlaste se k webu Azure Portal.

  2. Otevřete Privileged Identity Management služby Azure AD. informace o tom, jak přidat dlaždici Privileged Identity Management do řídicího panelu, najdete v tématu začínáme používat Privileged Identity Management.

  3. Vyberte Moje role a potom vyberte role Azure AD , abyste viděli seznam oprávněných rolí Azure AD.

    Stránka Moje role se zobrazenými rolemi, které můžete aktivovat

  4. V seznamu role Azure AD Najděte roli, kterou chcete aktivovat.

    Role Azure AD – seznam oprávněných rolí

  5. Výběrem aktivovat otevřete podokno aktivace.

    Role Azure AD – stránka Aktivace obsahuje dobu trvání a rozsah.

  6. Vyberte Další požadované ověření a postupujte podle pokynů pro zajištění ověření zabezpečení. Pro každou relaci se vyžaduje ověřování jenom jednou.

    Obrazovka k poskytnutí ověření zabezpečení, jako je kód PIN

  7. Po ověření Multi-Factor Authentication vyberte před pokračováním možnost aktivovat.

    Před aktivací role ověřte identitu s MFA.

  8. Pokud chcete zadat omezený rozsah, vyberte Rozsah a otevřete tak podokno filtru. V podokně filtru můžete zadat prostředky Azure AD, ke kterým potřebujete přístup. Osvědčeným postupem je požádat o přístup k nejmenším prostředkům, které potřebujete.

  9. V případě potřeby zadejte vlastní čas zahájení aktivace. Role Azure AD by se aktivovala po zvoleném čase.

  10. Do pole důvod zadejte důvod žádosti o aktivaci.

  11. Vyberte aktivovat.

    Pokud role vyžaduje schválení , v pravém horním rohu prohlížeče se zobrazí oznámení o tom, že žádost čeká na schválení.

    Žádost o aktivaci čeká na oznámení o schválení.

aktivace role pomocí Graph API

Získání všech oprávněných rolí, které můžete aktivovat

pokud uživatel získá nárok své role prostřednictvím členství ve skupině, tato Graph žádost nevrátí jejich způsobilost.

Požadavek HTTP

GET https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

Odpověď HTTP

Pokud chcete ušetřit místo, zobrazuje se jenom odpověď pro jednu roli, ale v seznamu se zobrazí všechna oprávněná přiřazení rolí, která můžete aktivovat.

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest", 
            "id": "<request-ID-GUID>", 
            "status": "Provisioned", 
            "createdDateTime": "2021-07-15T19:39:53.33Z", 
            "completedDateTime": "2021-07-15T19:39:53.383Z", 
            "approvalId": null, 
            "customData": null, 
            "action": "AdminAssign", 
            "principalId": "<principal-ID-GUID>", 
            "roleDefinitionId": "<definition-ID-GUID>", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "<schedule-ID-GUID>", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "<user-ID-GUID>" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": "2021-07-15T19:39:53.3846704Z", 
                "recurrence": null, 
                "expiration": { 
                    "type": "noExpiration", 
                    "endDateTime": null, 
                    "duration": null 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        },
}

Aktivace přiřazení role s odůvodněním

Požadavek HTTP

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests 

{ 
    "action": "SelfActivate", 
    "justification": "adssadasasd", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "principalId": "<principal-ID-GUID>" 
}

Odpověď HTTP

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity", 
    "id": "f1ccef03-8750-40e0-b488-5aa2f02e2e55", 
    "status": "PendingApprovalProvisioning", 
    "createdDateTime": "2021-07-15T19:51:07.1870599Z", 
    "completedDateTime": "2021-07-15T19:51:17.3903028Z", 
    "approvalId": "<approval-ID-GUID>", 
    "customData": null, 
    "action": "SelfActivate", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": "<schedule-ID-GUID>", 
    "justification": "test", 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "<user-ID-GUID>" 
        } 
    }, 
    "scheduleInfo": { 
        "startDateTime": null, 
        "recurrence": null, 
        "expiration": { 
            "type": "afterDuration", 
            "endDateTime": null, 
            "duration": "PT5H30M" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
}

Zobrazit stav žádostí o aktivaci

Stav vašich nevyřízených žádostí můžete zobrazit a aktivovat.

  1. Otevřete Privileged Identity Management služby Azure AD.

  2. Výběrem Moje žádosti zobrazíte seznam vašich rolí Azure AD a žádostí o role prostředků Azure.

    Moje žádosti – stránka Azure AD zobrazující vaše nevyřízené žádosti

  3. Posunutím doprava zobrazíte sloupec stav žádosti .

Zrušení žádosti o novou verzi, která čeká na vyřízení

Pokud nepotřebujete aktivovat roli, která vyžaduje schválení, můžete žádost kdykoli zrušit.

  1. Otevřete Privileged Identity Management služby Azure AD.

  2. Vyberte Moje žádosti.

  3. U role, kterou chcete zrušit, vyberte odkaz Zrušit .

    Když vyberete zrušit, požadavek se zruší. Chcete-li znovu aktivovat roli, budete muset Odeslat novou žádost o aktivaci.

    Seznam mých žádostí s zvýrazněnou akcí zrušit

Řešení potíží s portálem

Oprávnění nejsou udělena po aktivaci role.

když v Privileged Identity Management aktivujete roli, aktivace se nemusí okamžitě rozšířit na všechny portály, které vyžadují privilegovanou roli. Někdy se může stát, že i přes rozšíření změny může kvůli webovému ukládání do mezipaměti na portálu dojít k tomu, že se změna neuplatní okamžitě. Pokud je vaše aktivace zpožděná, odhlaste se z portálu, který se pokoušíte provést, a pak se znovu přihlaste. V Azure Portal vás PIM odhlásí a vrátí se automaticky.

Další kroky