Přiřazení rolí Azure AD v Privileged Identity Management

  • Článek
  • 4 min ke čtení

V Azure Active Directory (Azure AD) může Globální správce trvalé přiřazení rolí správce Azure AD. Tato přiřazení rolí je možné vytvořit pomocí příkazu Azure Portal nebo pomocí příkazů PowerShellu.

Služba Azure AD Privileged Identity Management (PIM) také umožňuje správcům privilegovaných rolí provádět trvalá přiřazení rolí správce. Kromě toho můžou správci privilegovaných rolí nastavit uživatele jako způsobilé pro role správce Azure AD. Oprávněný správce může roli aktivovat, když ji potřebuje, a jejich oprávnění po jejich ukončení vyprší.

Privileged Identity Management podporují předdefinované i vlastní role Azure AD. Další informace o vlastních rolích Azure AD najdete v tématu Řízení přístupu nazákladě role v Azure Active Directory .

Přiřazení role

Pokud chcete, aby uživatel získal nárok na roli správce Azure AD, postupujte podle těchto kroků.

  1. Přihlaste se Azure Portal pomocí uživatele, který je členem Správce privilegovaných rolí role.

  2. Otevřete Azure AD Privileged Identity Management.

  3. Vyberte Role Azure AD.

  4. Výběrem možnosti Role zobrazíte seznam rolí pro oprávnění Azure AD.

    Snímek obrazovky se stránkou Role a vybranou akcí Přidat přiřazení

  5. Výběrem možnosti Přidat přiřazení otevřete stránku Přidat přiřazení.

  6. Výběrem možnosti Vybrat roli otevřete stránku Vybrat roli.

    Nové podokno přiřazení

  7. Vyberte roli, kterou chcete přiřadit, vyberte člena, kterému chcete roli přiřadit, a pak vyberte Další.

  8. V seznamu Typ přiřazení v podokně Nastavení členství vyberte Způsobilý nebo Aktivní.

    • Oprávněná přiřazení vyžadují, aby člen role pro použití této role úlohu prováděl. Akce můžou zahrnovat provedení kontroly vícefaktorového ověřování (MFA), poskytnutí obchodního odůvodnění nebo žádost o schválení od určených schvalovatelů.

    • Aktivní přiřazení nevyžadují, aby člen pro použití této role prováděl žádnou akci. Členové přiřazení jako aktivní mají oprávnění přiřazená k roli za všech okolností.

  9. Pokud chcete zadat konkrétní dobu trvání přiřazení, přidejte pole počátečního a koncového data a času. Po dokončení vyberte Přiřadit a vytvořte nové přiřazení role.

    • Trvalá přiřazení nemají žádné datum vypršení platnosti. Tuto možnost použijte pro trvalé pracovníky, kteří často potřebují oprávnění role.

    • Platnost časových přiřazení vyprší na konci zadaného období. Tuto možnost použijte u dočasných nebo smluvních pracovníků, například jejichž koncové datum a čas projektu jsou známé.

    Nastavení členství – datum a čas

  10. Po přiřazení role se zobrazí oznámení o stavu přiřazení.

    Nové přiřazení – oznámení

Přiřazení role s omezeným oborem

U určitých rolí je možné rozsah udělených oprávnění omezit na jednu jednotku správce, objekt služby nebo aplikaci. Tento postup je příkladem přiřazení role, která má obor jednotky pro správu. Seznam rolí, které podporují obor prostřednictvím jednotky pro správu, najdete v tématu Přiřazení vymezených rolí k jednotce pro správu. Tato funkce se v současné době nasa nabízí organizacím Azure AD.

  1. Přihlaste se k centru Azure Active Directory s oprávněními správce privilegovaných rolí.

  2. Vyberte Azure Active Directory > Role a správci.

  3. Vyberte správce uživatelů.

    Příkaz Přidat přiřazení je k dispozici při otevření role na portálu.

  4. Vyberte Přidat přiřazení.

    Pokud role podporuje obor, můžete vybrat obor.

  5. Na stránce Přidat přiřazení můžete:

    • Vyberte uživatele nebo skupinu, které se mají přiřadit k roli.
    • Vyberte obor role (v tomto případě jednotky pro správu).
    • Výběr jednotky pro správu pro obor

Další informace o vytváření jednotek pro správu najdete v tématu Přidání a odebrání jednotek pro správu.

Přiřazení role pomocí Graph API

Oprávnění požadovaná k používání rozhraní PIM API najdete v tématu Principy Privileged Identity Management API.

Nárok bez koncového data

Následuje ukázkový požadavek HTTP na vytvoření oprávněného přiřazení bez koncového data. Podrobnosti o příkazech rozhraní API, včetně ukázek, jako jsou C# a JavaScript, najdete v tématu Vytvoření unifiedRoleEligibilityScheduleRequest.

Požadavek HTTP

POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests 

    "action": "AdminAssign", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "scheduleInfo": { 
        "startDateTime": "2021-07-15T19:15:08.941Z", 
        "expiration": { 
            "type": "NoExpiration"        } 
    } 
{ 
}

Odpověď HTTP

Následuje příklad odpovědi. Zde zobrazený objekt odpovědi může být kvůli čitelnosti zkrácený.

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "<schedule-ID-GUID>", 
    "status": "Provisioned", 
    "createdDateTime": "2021-07-15T19:47:41.0939004Z", 
    "completedDateTime": "2021-07-15T19:47:42.4376681Z", 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminAssign", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": "<schedule-ID-GUID>", 
    "justification": "test", 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "<user-ID-GUID>" 
        } 
    }, 
    "scheduleInfo": { 
        "startDateTime": "2021-07-15T19:47:42.4376681Z", 
        "recurrence": null, 
        "expiration": { 
            "type": "noExpiration", 
            "endDateTime": null, 
            "duration": null 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
}

Aktivní a vázaný na čas

Následuje ukázkový požadavek HTTP na vytvoření aktivního přiřazení, které je vázané na čas. Podrobnosti o příkazech rozhraní API, včetně ukázek, jako jsou C# a JavaScript, najdete v tématu Vytvoření unifiedRoleEligibilityScheduleRequest.

Požadavek HTTP

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests 

{ 
    "action": "AdminAssign", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "scheduleInfo": { 
        "startDateTime": "2021-07-15T19:15:08.941Z", 
        "expiration": { 
            "type": "AfterDuration", 
            "duration": "PT3H" 
        } 
    } 
}

Odpověď HTTP

Následuje příklad odpovědi. Zde zobrazený objekt odpovědi může být kvůli čitelnosti zkrácený.

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity", 
    "id": "<schedule-ID-GUID>", 
    "status": "Provisioned", 
    "createdDateTime": "2021-07-15T19:15:09.7093491Z", 
    "completedDateTime": "2021-07-15T19:15:11.4437343Z", 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminAssign", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": "<schedule-ID-GUID>", 
    "justification": "test", 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "<user-ID-GUID>" 
        } 
    }, 
    "scheduleInfo": { 
        "startDateTime": "2021-07-15T19:15:11.4437343Z", 
        "recurrence": null, 
        "expiration": { 
            "type": "afterDuration", 
            "endDateTime": null, 
            "duration": "PT3H" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
}

Aktualizace nebo odebrání existujícího přiřazení role

Pokud chcete aktualizovat nebo odebrat existující přiřazení role, postupujte podle těchto kroků. Pouze licencovaní zákazníci Azure AD P2: Přiřazování skupiny jako aktivní k roli prostřednictvím Azure AD i Privileged Identity Management (PIM). Podrobné vysvětlení najdete v tématu Známé problémy.

  1. Otevřete Azure AD Privileged Identity Management.

  2. Vyberte Role Azure AD.

  3. Výběrem možnosti Role zobrazíte seznam rolí pro Azure AD.

  4. Vyberte roli, kterou chcete aktualizovat nebo odebrat.

  5. Přiřazení role najdete na kartách Oprávněné role nebo Aktivní role.

    Aktualizace nebo odebrání přiřazení role

  6. Vyberte Aktualizovat nebo Odebrat a aktualizujte nebo odeberte přiřazení role.

Odebrání oprávněného přiřazení přes rozhraní API

Žádost

POST https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests 

 

{ 
    "action": "AdminRemove", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b" 
}

Odpověď

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de", 
    "status": "Revoked", 
    "createdDateTime": "2021-07-15T20:23:23.85453Z", 
    "completedDateTime": null, 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminRemove", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": null, 
    "justification": "test", 
    "scheduleInfo": null, 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
}

Další kroky