Assegnare ruoli di Azure AD agli utenti

Per concedere l'accesso agli utenti in Azure Active Directory (Azure AD), è necessario assegnare Azure AD ruolo. Un ruolo è una raccolta di autorizzazioni. Questo articolo descrive come assegnare Azure AD ruoli usando portale di Azure e PowerShell.

Prerequisiti

  • Amministratore dei ruoli con privilegi o amministratore globale
  • Azure AD Premium P2 licenza quando si usa Privileged Identity Management (PIM)
  • Modulo AzureADPreview quando si usa PowerShell
  • Consenso dell'amministratore quando si Graph Explorer per l'API Graph Microsoft

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Portale di Azure

Seguire questa procedura per assegnare Azure AD ruoli usando il portale di Azure. L'esperienza sarà diversa a seconda che sia abilitata Azure AD Privileged Identity Management (PIM).

Assegnare un ruolo

  1. Accedere all'interfaccia portale di Azure o Azure AD amministrazione .

  2. Selezionare Azure Active Directory > ruoli e amministratori per visualizzare l'elenco di tutti i ruoli disponibili.

    Pagina Ruoli e amministratori in Azure Active Directory.

  3. Selezionare un ruolo per visualizzarne le assegnazioni.

    Per individuare il ruolo necessario, usare Aggiungi filtri per filtrare i ruoli.

  4. Selezionare Aggiungi assegnazioni e quindi selezionare gli utenti da assegnare a questo ruolo.

    Se viene visualizzato un valore diverso dall'immagine seguente, è possibile che PIM sia abilitato. Vedere la sezione successiva.

    Riquadro Aggiungi assegnazioni per il ruolo selezionato.

  5. Selezionare Aggiungi per assegnare il ruolo.

Assegnare un ruolo usando PIM

Se è abilitata Azure AD Privileged Identity Management (PIM), sono disponibili funzionalità di assegnazione di ruolo aggiuntive. Ad esempio, è possibile rendere un utente idoneo per un ruolo o impostare la durata. Quando PIM è abilitato, è possibile assegnare ruoli in due modi usando il portale di Azure. È possibile usare la pagina Ruoli e amministratori o l'esperienza PIM. In entrambi i modi viene utilizzato lo stesso servizio PIM.

Seguire questa procedura per assegnare i ruoli usando la pagina Ruoli e amministratori. Per assegnare ruoli usando la pagina Privileged Identity Management, vedere AssegnareAzure AD ruoli in Privileged Identity Management .

  1. Accedere all'interfaccia portale di Azure o Azure AD amministrazione .

  2. Selezionare Azure Active Directory > ruoli e amministratori per visualizzare l'elenco di tutti i ruoli disponibili.

    Pagina Ruoli e amministratori in Azure Active Directory quando PIM è abilitato.

  3. Selezionare un ruolo per visualizzarne le assegnazioni di ruolo idonee, attive e scadute.

    Per individuare il ruolo necessario, usare Aggiungi filtri per filtrare i ruoli.

  4. Selezionare Aggiungi assegnazioni.

  5. Selezionare Nessun membro selezionato e quindi selezionare gli utenti da assegnare a questo ruolo.

    Pagina Aggiungi assegnazioni e riquadro Seleziona un membro con PIM abilitato.

  6. Selezionare Avanti.

  7. Nella scheda Impostazione specificare se si desidera rendere idonea o attiva questa assegnazione di ruolo.

    Un'assegnazione di ruolo idonea significa che l'utente deve eseguire una o più azioni per usare il ruolo. Un'assegnazione di ruolo attiva significa che l'utente non deve eseguire alcuna azione per usare il ruolo. Per altre informazioni sul significato di queste impostazioni, vedere Terminologia di PIM.

    Pagina Aggiungi assegnazioni e scheda Impostazioni con PIM abilitato.

  8. Usare le opzioni rimanenti per impostare la durata dell'assegnazione.

  9. Selezionare Assegna per assegnare il ruolo.

PowerShell

Seguire questa procedura per assegnare Azure AD ruoli usando PowerShell.

Configurazione

  1. Aprire una finestra di PowerShell e usare Import-Module per importare il modulo AzureADPreview. Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

    Import-Module -Name AzureADPreview -Force
    
  2. In una finestra di PowerShell usare Connessione-AzureAD per accedere al tenant.

    Connect-AzureAD
    
  3. Usare Get-AzureADUser per ottenere l'utente a cui si vuole assegnare un ruolo.

    $user = Get-AzureADUser -Filter "userPrincipalName eq 'user@contoso.com'"
    

Assegnare un ruolo

  1. Usare Get-AzureADMSRoleDefinition per ottenere il ruolo da assegnare.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. Usare New-AzureADMSRoleAssignment per assegnare il ruolo.

    $roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
    

Assegnare un ruolo come idoneo tramite PIM

Se PIM è abilitato, sono disponibili funzionalità aggiuntive, ad esempio rendere un utente idoneo per un'assegnazione di ruolo o definire l'ora di inizio e di fine per un'assegnazione di ruolo. Queste funzionalità usano un set diverso di comandi di PowerShell. Per altre informazioni sull'uso di PowerShell e PIM, vedere PowerShellper Azure AD ruoli in Privileged Identity Management .

  1. Usare Get-AzureADMSRoleDefinition per ottenere il ruolo da assegnare.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. Usare Get-AzureADMSPrivilegedResource per ottenere la risorsa con privilegi. In questo caso, il tenant.

    $aadTenant = Get-AzureADMSPrivilegedResource -ProviderId aadRoles
    
  3. Usare New-Object per creare un nuovo AzureADMSPrivilegedSchedule oggetto per definire l'ora di inizio e di fine dell'assegnazione di ruolo.

    $schedule = New-Object Microsoft.Open.MSGraph.Model.AzureADMSPrivilegedSchedule
    $schedule.Type = "Once"
    $schedule.StartDateTime = (Get-Date).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.fffZ")
    $schedule.EndDateTime = "2021-07-25T20:00:00.000Z"
    
  4. Usare Open-AzureADMSPrivilegedRoleAssignmentRequest per assegnare il ruolo come idoneo.

    $roleAssignmentEligible = Open-AzureADMSPrivilegedRoleAssignmentRequest -ProviderId 'aadRoles' -ResourceId $aadTenant.Id -RoleDefinitionId $roleDefinition.Id -SubjectId $user.objectId -Type 'AdminAdd' -AssignmentState 'Eligible' -schedule $schedule -reason "Review billing info"
    

API Graph di Microsoft

Seguire queste istruzioni per assegnare un ruolo usando l'API microsoft Graph in Graph Explorer.

Assegnare un ruolo

In questo esempio a un'entità di sicurezza con objectID viene assegnato il ruolo Amministratore fatturazione f8ca5a85-489a-49a0-b555-0a6d81e56f0d (ID definizione ruolo b0f54661-2d74-4c50-afa3-1ec803f12efe ) nell'ambito del tenant. Per visualizzare l'elenco degli ID dei modelli di ruolo non modificabili di tutti i ruoli predefiniti, Azure AD ruoli predefiniti.

  1. Accedere a Graph Explorer.
  2. Selezionare POST come metodo HTTP nell'elenco a discesa.
  3. Selezionare la versione dell'API in beta.
  4. Usare l'API roleAssignments per assegnare i ruoli. Aggiungere i dettagli seguenti all'URL e al corpo della richiesta e selezionare Esegui query.
POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Assegnare un ruolo usando PIM

In questo esempio a un'entità di sicurezza con objectID viene assegnata un'assegnazione di ruolo idoneo con limite di tempo all'amministratore fatturazione (ID definizione f8ca5a85-489a-49a0-b555-0a6d81e56f0d ruolo ) per b0f54661-2d74-4c50-afa3-1ec803f12efe 180 giorni.

  1. Accedere a Graph Explorer.
  2. Selezionare POST come metodo HTTP nell'elenco a discesa.
  3. Selezionare la versione dell'API in beta.
  4. Aggiungere i dettagli seguenti all'URL e al corpo della richiesta e selezionare Esegui query.
POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests

Content-type: application/json

{
    "action": "AdminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT180D"
        }
    }
}

Nell'esempio seguente a un'entità di sicurezza viene assegnata un'assegnazione di ruolo idoneo permanente all'amministratore fatturazione.

POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests

Content-type: application/json

{
    "action": "AdminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "NoExpiration"
        }
    }
}

Per attivare l'assegnazione di ruolo, usare l'API seguente.

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests

Content-type: application/json

{
    "action": "SelfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}

Passaggi successivi