Modifier

Partager via


Activer mes rôles de ressources Azure dans Privileged Identity Management

Utilisez Microsoft Entra Privileged Identity Management (PIM) pour autoriser les membres d’un rôle éligible pour les ressources Azure à planifier l’activation à une date et une heure ultérieures. Ils peuvent également sélectionner une durée d’activation spécifique (à condition qu’elle ne dépasse pas la durée maximale configurée par les administrateurs).

Cet article est destiné aux membres qui doivent activer leur rôle de ressources Azure dans Privileged Identity Management.

Notes

À compter de mars 2023, vous pouvez désormais activer vos affectations et voir votre accès directement depuis les panneaux en dehors de PIM dans le Portail Azure. En savoir plus ici.

Important

Lorsqu’un rôle est activé, Microsoft Entra PIM ajoute temporairement une affectation active pour le rôle. Microsoft Entra PIM crée une affectation active (attribue à l’utilisateur un rôle) en quelques secondes. Lorsque la désactivation (manuelle ou via l’expiration du délai d’activation) se produit, Microsoft Entra PIM supprime également l’affectation active en quelques secondes.

L’application peut fournir un accès en fonction du rôle de l’utilisateur. Dans certaines situations, l’accès à l’application peut ne pas refléter immédiatement le fait qu’un rôle a été supprimé ou affecté à un utilisateur. Si l’application a précédemment mis en cache le fait que l’utilisateur n’a pas de rôle; lorsque l’utilisateur tente à nouveau d’accéder à l’application, il est possible que l’accès ne puisse pas être fourni. De même, si l’application a précédemment mis en cache le fait que l’utilisateur dispose d’un rôle, lorsque le rôle est désactivé, l’utilisateur peut toujours obtenir l’accès. La situation spécifique dépend de l’architecture de l’application. Pour certaines applications, la déconnexion et la reconnexion peuvent faciliter l’ajout ou la suppression de l’accès.

Prérequis

Aucun

Activer un rôle

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Lorsque vous avez besoin d’endosser un rôle de ressources Azure, vous pouvez demander une activation à l’aide de l’option de la navigation Mes rôles dans Privileged Identity Management.

Remarque

PIM est désormais disponible dans Azure mobile app (iOS | Android) pour les rôles de ressource Microsoft Entra ID et Azure. Activez facilement les attributions éligibles, les renouvellements des demande qui arrivent à expiration, ou vérifiez l’état des demandes en attente. Plus d’informations ci-dessous

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance d’identité>Privileged Identity Management>Mes rôles.

    Capture d’écran de la page Mes rôles montrant les rôles que vous pouvez activer.

  3. Sélectionnez Rôles de ressources Azure pour afficher la liste de vos rôles de ressources Azure éligibles.

    Capture d’écran de la page Mes rôles – Ressources Azure.

  4. Dans la liste Rôles de ressources Azure, recherchez le rôle que vous souhaitez activer.

    Capture d’écran de la liste Rôles éligibles dans Mes rôles – Ressources Azure.

  5. Sélectionnez Activer pour ouvrir la page Activer.

    Capture d’écran du volet ouvert Activer présentant l’étendue, l’heure de début, la durée et le motif.

  6. Si votre rôle exige une authentification multifacteur, sélectionnez Vérifier votre identité avant de continuer. Vous ne devez vous authentifier qu’une seule fois par session.

  7. Sélectionnez Vérifier mon identité et suivez les instructions pour effectuer une vérification de sécurité supplémentaire.

    Capture d’écran montrant une vérification de sécurité au moyen d’un code PIN.

  8. Si vous souhaitez spécifier une étendue réduite, sélectionnez Étendue pour ouvrir le volet Filtre de ressources.

    Il est recommandé de ne demander l’accès qu’aux ressources dont vous avez besoin. Dans le volet Filtre de ressources, vous pouvez spécifier les groupes de ressources ou les ressources auxquels vous avez besoin d’accéder.

    Capture d’écran du volet Activer – Filtre de ressources pour spécifier l’étendue.

  9. Si nécessaire, spécifiez une heure de début personnalisée pour l’activation. Le membre sera activé après l’heure sélectionnée.

  10. Dans la zone de texte Raison, entrez le motif de la demande d’activation.

  11. Sélectionnez Activer.

    Notes

    Si l’activation du rôle nécessite une approbation, une notification s’affiche dans le coin supérieur droit de votre navigateur pour vous informer que la demande est en attente d’approbation.

Activer un rôle avec l’API ARM

Privileged Identity Management prend en charge les commandes de l’API Azure Resource Manager (ARM) pour gérer les rôles de ressources Azure, comme indiqué dans les informations de référence sur l’API ARM PIM. Pour obtenir les autorisations requises pour utiliser l’API PIM, consultez Comprendre les API de la Gestion de l’identité managée.

Pour activer une attribution de rôle Azure éligible et obtenir un accès activé, utilisez l’API REST Demandes de planification d’attribution de rôle - Créer pour créer une demande et spécifier le principal de sécurité, la définition de rôle, requestType = SelfActivate et l’étendue. Pour appeler cette API, vous devez disposer d’une attribution de rôle éligible sur l’étendue.

Utilisez un outil GUID pour générer un identificateur unique qui servira d’identificateur d’attribution de rôle. Cet identificateur est au format : 00000000-0000-0000-0000-000000000000.

Remplacez {roleAssignmentScheduleRequestName} dans la requête PUT ci-dessous par l’identificateur GUID de l’attribution de rôle.

Pour plus d’informations sur la gestion des rôles éligibles pour les ressources Azure, consultez ce didacticiel sur l’API ARM PIM.

Voici un exemple de requête HTTP pour activer une attribution éligible pour un rôle Azure.

Requête

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Corps de demande

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
} 

response

Code d’état : 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
} 

Afficher l’état de vos demandes

Vous pouvez afficher l’état de vos demandes d’activation en attente.

  1. Ouvrez Microsoft Entra Privileged Identity Management.

  2. Sélectionnez Mes demandes pour afficher une liste de vos demandes de rôle Microsoft Entra et de rôle de ressource Azure.

    Capture d’écran de la page Mes demandes – Ressources Azure présentant vos demandes en attente.

  3. Faites défiler vers la droite pour afficher la colonne État de la demande.

Annuler une demande en attente

Si vous n’avez pas besoin de l’activation d’un rôle nécessitant une approbation, vous pouvez annuler une demande en attente à tout moment.

  1. Ouvrez Microsoft Entra Privileged Identity Management.

  2. Sélectionnez Mes demandes.

  3. Pour le rôle que vous souhaitez annuler, sélectionnez le lien Annuler.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
    

    Capture d’écran de la liste Ma demande avec l’action Annuler mise en évidence.

Désactiver une attribution de rôle

Quand une attribution de rôle est activée, vous voyez une option Désactiver dans le portail PIM pour l’attribution de rôle. Par ailleurs, vous ne pouvez pas désactiver une attribution de rôle dans un délai de cinq minutes après l’activation.

Activer avec le Portail Azure

L’activation de rôle Privileged Identity Management a été intégrée aux extensions Facturation et Access Control (AD) dans le Portail Azure. Les raccourcis vers Abonnements (facturation) et Access Control (AD) vous permettent d’activer des rôles PIM directement depuis ces panneaux.

Dans le panneau Abonnements, choisissez « Afficher les abonnements éligibles » dans le menu de commandes horizontal afin de vérifier vos affectations éligibles, actives et expirées. Dès lors, vous pouvez activer une affectation éligible dans le même volet.

Capture d’écran de l’affichage des abonnements éligibles à la page Abonnements.

Capture d’écran de l’affichage des abonnements éligibles à la page Cost Management : Service d'intégration.

Dans le Contrôle d’accès (IAM) pour une ressource, vous pouvez maintenant sélectionner « Afficher mon accès » pour voir vos attributions de rôles actuellement actives et éligibles et activer directement.

Capture d’écran des attributions de rôles actuelles à la page Mesure.

En intégrant les fonctionnalités PIM dans différents panneaux du Portail Azure, cette nouvelle fonctionnalité vous permet d’obtenir un accès temporaire pour afficher ou modifier plus facilement les abonnements et les ressources.

Activer des rôles PIM avec Azure mobile app

PIM est désormais disponible dans les applications mobiles des rôles de ressource Microsoft Entra ID et Azure dans iOS et Android.

  1. Pour activer une attribution de rôle Microsoft Entra éligible, commencez par télécharger Azure mobile app (iOS | Android). Vous pouvez également télécharger l’application en sélectionnant Ouvrir dans un mobile à partir de Privileged Identity Management > Mes rôles > Rôles Microsoft Entra.

    Capture d’écran montrant comment télécharger une application mobile.

  2. Ouvrez Azure mobile app et connectez-vous. Cliquez sur la carte « Privileged Identity Management » et sélectionnez Mes rôles de ressource Azure pour voir vos attributions de rôle éligibles et actives.

    Capture d’écran de l’application mobile montrant Privileged Identity Management et les rôles de l’utilisateur.

  3. Sélectionnez l’attribution de rôle, puis cliquez sur Action > Activer sous les détails de l’attribution de rôle. Effectuez les étapes d’activation et fournissez les détails nécessaires avant de cliquer sur Activer en bas.

    Capture d’écran de l’application mobile montrant le processus de validation terminé. Image montrant un bouton Activer.

  4. Consultez l’état de vos demandes d’activation et de vos attributions de rôle sous « Mes rôles de ressource Azure ».

    Capture d’écran de l’application mobile montrant le message Activation en cours.