Zuweisen von Azure-Ressourcenrollen in Privileged Identity Management

Azure Active Directory Privileged Identity Management (Azure AD PIM) kann sowohl die integrierten Azure-Ressourcenrollen als auch benutzerdefinierte Rollen verwalten. Beispiele:

  • Besitzer
  • Benutzerzugriffsadministrator
  • Mitwirkender
  • Sicherheitsadministrator
  • Sicherheits-Manager

Hinweis

Benutzer oder Mitglieder von Gruppen, die der Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ für das Abonnement zugewiesen sind, sowie globale Azure AD-Administratoren, die die Abonnementverwaltung in Azure AD ermöglichen, haben standardmäßig Ressourcenadministratorberechtigungen. Diese Administratoren können Rollen zuweisen, Rolleneinstellungen konfigurieren und den Zugriff mithilfe von Privileged Identity Management für Azure-Ressourcen überprüfen. Ohne Ressourcenadministratorberechtigung kann ein Benutzer in Privileged Identity Management keine Ressourcen verwalten. Zeigen Sie die Liste der integrierten Azure-Rollen an.

Für Privileged Identity Management werden sowohl integrierte als auch benutzerdefinierte Azure-Rollen unterstützt. Weitere Informationen zu benutzerdefinierten Azure-Rollen finden Sie in diesem Artikel.

Bedingungen für Rollenzuweisungen

Sie können die Vorschauversion der attributbasierten Zugriffssteuerung von Azure (Azure ABAC) verwenden, um mithilfe von Privileged Identity Management (PIM) Ressourcenbedingungen für berechtigte Rollenzuweisungen zu platzieren. Mit PIM müssen Ihre Endbenutzer eine Rollenzuweisung vom Typ „berechtigt“ aktivieren, um die Berechtigung zum Ausführen bestimmter Aktionen zu erhalten. Mithilfe der Bedingungen für die attributbasierte Zugriffssteuerung von Azure in PIM können Sie nicht nur die Rollenberechtigungen von Benutzer*innen für eine Ressource mit differenzierten Bedingungen einschränken, sondern mithilfe von PIM auch die Rollenzuweisung mit einer zeitgebundenen Einstellung, einem Genehmigungsworkflow, einem Überwachungspfad usw. schützen. Weitere Informationen finden Sie unter Attributbasierte Zugriffssteuerung von Azure (öffentliche Vorschau).

Hinweis

Wenn eine Rolle zugewiesen wird, gilt Folgendes für die Zuweisung:

  • Sie kann für eine Dauer von weniger als fünf Minuten nicht zugewiesen werden.
  • Sie kann nicht innerhalb von fünf Minuten nach der Zuweisung entfernt werden.

Zuweisen einer Rolle

Führen Sie folgende Schritte aus, um einen Benutzer für eine Azure AD-Ressourcenrolle als „berechtigt“ festzulegen.

  1. Melden Sie sich mit den Rollenberechtigungen „Besitzer“ oder „Benutzerzugriffsadministrator“ beim Azure-Portal an.

  2. Öffnen Sie Azure AD Privileged Identity Management.

  3. Wählen Sie Azure-Ressourcen aus.

  4. Verwenden Sie den Ressourcenfilter, um nach den gewünschten verwalteten Ressourcen zu suchen.

    List of Azure resources to manage

  5. Wählen Sie die zu verwaltende Ressource aus, um die Übersichtsseite der Ressource zu öffnen.

  6. Wählen Sie unter Verwalten den Eintrag Rollen aus, um die Liste der Rollen für Azure-Ressourcen anzuzeigen.

    Azure resources roles

  7. Wählen Sie Zuweisungen hinzufügen aus, um den Bereich Zuweisungen hinzufügen zu öffnen.

  8. Wählen Sie Rolle auswählen aus, um die Seite Rolle auswählen zu öffnen.

    New assignment pane

  9. Wählen Sie die Rolle aus, die Sie zuweisen möchten, und klicken Sie dann auf Auswählen.

    Der Bereich Mitglied oder Gruppe auswählen wird geöffnet.

  10. Wählen Sie zuerst ein Mitglied oder eine Gruppe, dem bzw. der die Rolle zugewiesen werden soll, und dann Auswählen aus.

    Select a member or group pane

  11. Wählen Sie auf der Registerkarte Einstellungen in der Liste Zuweisungstyp entweder Berechtigt oder Aktiv aus.

    Memberships settings pane

    Privileged Identity Management für Azure-Ressourcen verfügt über zwei unterschiedliche Zuweisungstypen:

    • Für berechtigte Zuweisungen muss das Mitglied der Rolle eine Aktion durchführen, um die Rolle verwenden zu können. Beispiele für Aktionen sind eine erfolgreiche Multi-Factor Authentication-Überprüfung (MFA), die Angabe einer geschäftlichen Begründung oder das Anfordern einer Genehmigung von den angegebenen genehmigenden Personen.

    • Für aktive Zuweisungen ist es nicht erforderlich, dass das Mitglied eine Aktion durchführt, um die Rolle nutzen zu können. Für Mitglieder, die als „Aktiv“ zugewiesen sind, sind die Berechtigungen immer der Rolle zugewiesen.

  12. Wenn Sie eine bestimmte Zuweisungsdauer angeben möchten, ändern Sie das Start- und Enddatum sowie die Zeitfelder.

  13. Wenn die Rolle mit Aktionen definiert wurde, die Zuweisungen zu dieser Rolle mit Bedingungen ermöglichen, können Sie Bedingung hinzufügen auswählen, um eine Bedingung basierend auf dem Prinzipal (Benutzer) und den Ressourcenattributen hinzuzufügen, die Teil der Zuordnung sind.

    New assignment - Conditions

    Bedingungen können im Ausdrucks-Generator eingegeben werden.

    New assignment - Condition built from an expression

  14. Klicken Sie abschließend auf Zuweisen.

  15. Nachdem die neue Rollenzuweisung erstellt wurde, wird eine Statusbenachrichtigung angezeigt.

    New assignment - Notification

Zuweisen einer Rolle mit der ARM-API

Privileged Identity Management unterstützt ARM-API-Befehle (Azure Resource Manager) zum Verwalten von Azure-Ressourcenrollen, wie in der ARM-API-Referenz von PIM dokumentiert. Informationen zu den Berechtigungen, die für die Verwendung der PIM-API erforderlich sind, finden Sie unter Verstehen der Privileged Identity Management-APIs.

Im Folgenden finden Sie eine Beispiel-HTTP-Anforderung zum Erstellen einer berechtigten Zuweisung für eine Azure-Rolle.

Anforderung

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6?api-version=2020-10-01-preview

Anforderungstext

{
  "properties": {
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2020-09-09T21:31:27.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

Antwort

Statuscode: 201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2020-09-09T21:31:27.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2020-09-09T21:32:27.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

Aktualisieren oder Entfernen einer vorhandenen Rollenzuweisung

Befolgen Sie diese Anweisungen zum Aktualisieren oder Entfernen einer vorhandenen Rollenzuweisung.

  1. Öffnen Sie Azure AD Privileged Identity Management.

  2. Wählen Sie Azure-Ressourcen aus.

  3. Wählen Sie die zu verwaltende Ressource aus, um die Übersichtsseite zu öffnen.

  4. Wählen Sie unter Verwalten den Eintrag Rollen aus, um die Liste der Rollen für Azure-Ressourcen anzuzeigen.

    Azure resource roles - Select role

  5. Wählen Sie die Rolle aus, die Sie aktualisieren oder entfernen möchten.

  6. Suchen Sie die Rollenzuweisung auf den Registerkarten Berechtigte Rollen oder Aktive Rollen.

    Update or remove role assignment

  7. Wenn Sie eine Bedingung hinzufügen oder aktualisieren möchten, um den Zugriff auf Azure-Ressourcen zu verfeinern, wählen Sie in der Spalte Bedingung für die Rollenzuweisung Hinzufügen oder Anzeigen/Bearbeiten aus. Derzeit werden in Privileged Identity Management (PIM) im Rahmen der Attributbasierten Zugriffssteuerung von Azure (öffentliche Vorschau) nur drei Rollen unterstützt: Besitzer von Speicherblobdaten, Leser von Speicherblobdaten und Mitwirkender an Speicherblobdaten.

    Update or remove attributes for access control

  8. Wählen Sie Aktualisieren oder Entfernen aus, um die Rollenzuweisung zu aktualisieren oder zu entfernen.

    Informationen zum Erweitern einer Rollenzuweisung finden Sie unter Verlängern oder Erneuern von Azure-Ressourcenrollen in Privileged Identity Management.

Nächste Schritte