Mijn Microsoft Azure AD-rollen activeren in PIM

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) vereenvoudigt de manier waarop ondernemingen bevoegde toegang tot resources in Azure AD en andere Microsoft-onlineservices beheren, zoals Microsoft 365 of Microsoft Intune.

Als u in aanmerking komt voor een beheerdersrol, moet u de roltoewijzing activeren wanneer u bevoorrechte acties moet uitvoeren. Als u bijvoorbeeld af en toe Microsoft 365-functies beheert, maken de beheerders van bevoorrechte rollen van uw organisatie u mogelijk geen permanente globale beheerder, omdat deze rol ook van invloed is op andere services. In plaats daarvan komt u in aanmerking voor Azure AD-rollen zoals Exchange Online Administrator. U kunt een aanvraag indienen om die rol te activeren wanneer u de bevoegdheden ervan nodig hebt. Vervolgens hebt u beheerdersbeheer voor een vooraf bepaalde periode.

Dit artikel is bedoeld voor beheerders die hun Azure AD-rol moeten activeren in Privileged Identity Management.

Een rol activeren

Wanneer u een Azure AD-rol wilt aannemen, kunt u activering aanvragen door Mijn rollen te openen in Privileged Identity Management.

1. Meld u aan bij de Azure-portal.

2. Open Azure AD Privileged Identity Management. Zie Beginnen met het gebruik van Privileged Identity Management voor meer informatie over het toevoegen van de Privileged Identity Management-tegel aan Privileged Identity Management.

3. Selecteer Mijn rollen en selecteer vervolgens Azure AD-rollen om een lijst met uw in aanmerking komende Azure AD-rollen te bekijken.

   

4. Zoek in de lijst Met Azure AD-rollen de rol die u wilt activeren.

   

5. Selecteer Activeren om het deelvenster Activeren te openen.

   

6. Selecteer Aanvullende verificatie vereist en volg de instructies om beveiligingsverificatie te bieden. U hoeft slechts één keer per sessie te verifiëren.

   

7. Na meervoudige verificatie selecteert u Activeren voordat u doorgaat.

   

8. Als u een beperkt bereik wilt opgeven, selecteert u Bereik om het filtervenster te openen. In het filtervenster kunt u de Azure AD-resources opgeven waar u toegang tot nodig hebt. Het is een best practice toegang aan te vragen tot de minste resources die u nodig hebt.

9. Geef indien nodig een aangepaste begintijd voor de activering op. De Azure AD-rol wordt na de geselecteerde tijd geactiveerd.

10. Voer in het vak Reden de reden voor de activeringsaanvraag in.

11. Selecteer Activate.

    Als de rol goedkeuring vereist om te activeren, wordt er een melding weergegeven in de rechterbovenhoek van uw browser met de melding dat de aanvraag in afwachting is van goedkeuring.

    

Een rol activeren met behulp Graph API

Alle in aanmerking komende rollen die u kunt activeren

Wanneer een gebruiker in aanmerking komt voor een rol via groepslidmaatschap, Graph deze aanvraag niet zijn of haar geschiktheid retourneren.

HTTP-aanvraag

GET https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  

HTTP-antwoord

Om ruimte te besparen wordt slechts het antwoord voor één rol weergegeven, maar alle in aanmerking komende roltoewijzingen die u kunt activeren, worden weergegeven.

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest", 
            "id": "<request-ID-GUID>", 
            "status": "Provisioned", 
            "createdDateTime": "2021-07-15T19:39:53.33Z", 
            "completedDateTime": "2021-07-15T19:39:53.383Z", 
            "approvalId": null, 
            "customData": null, 
            "action": "AdminAssign", 
            "principalId": "<principal-ID-GUID>", 
            "roleDefinitionId": "<definition-ID-GUID>", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "<schedule-ID-GUID>", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "<user-ID-GUID>" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": "2021-07-15T19:39:53.3846704Z", 
                "recurrence": null, 
                "expiration": { 
                    "type": "noExpiration", 
                    "endDateTime": null, 
                    "duration": null 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        },
} 

Een roltoewijzing activeren met reden

HTTP-aanvraag

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests 

{ 
    "action": "SelfActivate", 
    "justification": "adssadasasd", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "principalId": "<principal-ID-GUID>" 
} 

HTTP-antwoord

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity", 
    "id": "f1ccef03-8750-40e0-b488-5aa2f02e2e55", 
    "status": "PendingApprovalProvisioning", 
    "createdDateTime": "2021-07-15T19:51:07.1870599Z", 
    "completedDateTime": "2021-07-15T19:51:17.3903028Z", 
    "approvalId": "<approval-ID-GUID>", 
    "customData": null, 
    "action": "SelfActivate", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": "<schedule-ID-GUID>", 
    "justification": "test", 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "<user-ID-GUID>" 
        } 
    }, 
    "scheduleInfo": { 
        "startDateTime": null, 
        "recurrence": null, 
        "expiration": { 
            "type": "afterDuration", 
            "endDateTime": null, 
            "duration": "PT5H30M" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
} 

De status van activeringsaanvragen weergeven

U kunt de status bekijken van de aanvragen die in behandeling zijn om te activeren.

1. Open Azure AD Privileged Identity Management.

2. Selecteer Mijn aanvragen om een lijst met aanvragen voor uw Azure AD-rol en Azure-resourcerol weer te geven.

   

3. Schuif naar rechts om de kolom Aanvraagstatus weer te geven.

Een aanvraag in behandeling voor een nieuwe versie annuleren

Als u een rol waarvoor goedkeuring is vereist niet hoeft te worden geactiveerd, kunt u een aanvraag in behandeling op elk moment annuleren.

1. Open Azure AD Privileged Identity Management.

2. Selecteer Mijn aanvragen.

3. Selecteer de koppeling Annuleren voor de rol die u wilt annuleren.

   Wanneer u Annuleren selecteert, wordt de aanvraag geannuleerd. Als u de rol opnieuw wilt activeren, moet u een nieuwe activeringsaanvraag indienen.

   

Problemen met portalvertraging oplossen

Machtigingen worden niet verleend na het activeren van een rol

Wanneer u een rol activeert in Privileged Identity Management, wordt de activering mogelijk niet direct doorgegeven aan alle portals waarvoor de bevoorrechte rol is vereist. Zelfs als de wijziging is doorgevoerd, kan het soms gebeuren dat webcaching in een portal tot gevolg heeft dat de wijziging niet onmiddellijk van kracht gaat. Als de activering is vertraagd, meld u zich af bij de portal die u probeert uit te voeren en meld u zich vervolgens weer aan. In de Azure Portal wordt u door PIM automatisch weer af- en weer aangegeven.

Volgende stappen

• Controlegeschiedenis voor Azure AD-rollen weergeven