Azure AD-rollen toewijzen in Privileged Identity Management
Met Azure Active Directory (Azure AD) kan een Globale beheerder permanente toewijzingen van Azure AD-beheerdersrollen maken. Deze roltoewijzingen kunnen worden gemaakt met behulp van de Azure Portal of met Behulp van PowerShell-opdrachten.
Met de Service Azure AD Privileged Identity Management (PIM) kunnen beheerders met bevoorrechte rollen ook permanente toewijzingen van beheerdersrollen maken. Bovendien kunnen beheerders met bevoorrechte rollen gebruikers in aanmerking laten komen voor Azure AD-beheerdersrollen. Een in aanmerking komende beheerder kan de rol activeren wanneer deze nodig is, waarna de machtigingen verlopen zodra ze klaar zijn.
Privileged Identity Management bieden ondersteuning voor zowel ingebouwde als aangepaste Azure AD-rollen. Zie Op rollen gebaseerd toegangsbeheer in Azure Active Directory voor meer informatie over aangepaste Azure AD-Azure Active Directory.
Een rol toewijzen
Volg deze stappen om een gebruiker in aanmerking te laten komen voor een Azure AD-beheerdersrol.
Meld u aan Azure Portal met een gebruiker die lid is van de Beheerder voor bevoorrechte rollen rol.
Open Azure AD Privileged Identity Management.
Selecteer Azure AD-rollen.
Selecteer Rollen om de lijst met rollen voor Azure AD-machtigingen weer te geven.
Selecteer Toewijzingen toevoegen om de pagina Toewijzingen toevoegen te openen.
Selecteer Een rol selecteren om de pagina Een rol selecteren te openen.
Selecteer een rol die u wilt toewijzen, selecteer een lid aan wie u de rol wilt toewijzen en selecteer vervolgens Volgende.
Selecteer in de lijst Toewijzingstype in het deelvenster Lidmaatschapsinstellingen de optie In aanmerking komend of Actief.
Voor in aanmerking komende toewijzingen moet het lid van de rol een actie uitvoeren om de rol te kunnen gebruiken. Acties kunnen bijvoorbeeld een meervoudige verificatiecontrole, het opgeven van een zakelijke reden of het vragen om toestemming bij aangewezen fiatteurs zijn.
Voor actieve toewijzingen hoeft het lid geen actie uit te voeren om de rol te gebruiken. Aan leden die als actief zijn toegewezen, zijn de bevoegdheden te allen tijde toegewezen aan de rol.
Als u een specifieke toewijzingsduur wilt opgeven, voegt u een begin- en einddatum en -tijdvakken toe. Wanneer u klaar bent, selecteert u Toewijzen om de nieuwe roltoewijzing te maken.
Permanente toewijzingen hebben geen vervaldatum. Gebruik deze optie voor permanente werknemers die vaak de rolmachtigingen nodig hebben.
Tijdsgebonden toewijzingen verlopen aan het einde van een opgegeven periode. Gebruik deze optie bijvoorbeeld met tijdelijke medewerkers of contractmedewerkers waarvan de einddatum en -tijd van het project bekend zijn.
Nadat de rol is toegewezen, wordt er een melding over de toewijzingsstatus weergegeven.
Een rol met beperkt bereik toewijzen
Voor bepaalde rollen kan het bereik van de verleende machtigingen worden beperkt tot één beheereenheid, service-principal of toepassing. Deze procedure is een voorbeeld als u een rol toewijst die het bereik van een beheereenheid heeft. Zie Scoped rollen toewijzen aan een beheereenheid voor een lijst met rollen die het bereik ondersteunen via een beheereenheid. Deze functie wordt momenteel uitgerold voor Azure AD-organisaties.
Meld u aan bij Azure Active Directory-beheercentrum met beheerdersmachtigingen voor bevoorrechte rollen.
Selecteer Azure Active Directory > rollen en beheerders.
Selecteer de Gebruikersbeheerder.
Selecteer Toewijzingen toevoegen.
Op de pagina Toewijzingen toevoegen kunt u het volgende doen:
- Selecteer een gebruiker of groep die aan de rol moet worden toegewezen
- Selecteer het rolbereik (in dit geval beheereenheden)
- Selecteer een beheereenheid voor het bereik
Zie Beheereenheden toevoegen en verwijderen voor meer informatie over het maken van beheereenheden.
Een rol toewijzen met behulp Graph API
Zie Inzicht in de Privileged Identity Management API's voor machtigingen die zijn vereist voor het gebruik van de PIM-API.
In aanmerking komend zonder einddatum
Hier volgt een voorbeeld van een HTTP-aanvraag voor het maken van een in aanmerking komende toewijzing zonder einddatum. Zie Create unifiedRoleEligibilityScheduleRequest (UnifiedRoleEligibilityScheduleRequestmaken) voor meer informatie over de API-opdrachten, waaronder voorbeelden zoals C# en JavaScript.
HTTP-aanvraag
POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests
"action": "AdminAssign",
"justification": "abcde",
"directoryScopeId": "/",
"principalId": "<principal-ID-GUID>",
"roleDefinitionId": "<definition-ID-GUID>",
"scheduleInfo": {
"startDateTime": "2021-07-15T19:15:08.941Z",
"expiration": {
"type": "NoExpiration" }
}
{
}
HTTP-antwoord
Hier volgt een voorbeeld van het antwoord. Het antwoordobject dat hier wordt weergegeven, kan worden ingekort voor leesbaarheid.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
"id": "<schedule-ID-GUID>",
"status": "Provisioned",
"createdDateTime": "2021-07-15T19:47:41.0939004Z",
"completedDateTime": "2021-07-15T19:47:42.4376681Z",
"approvalId": null,
"customData": null,
"action": "AdminAssign",
"principalId": "<principal-ID-GUID>",
"roleDefinitionId": "<definition-ID-GUID>",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "<schedule-ID-GUID>",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "<user-ID-GUID>"
}
},
"scheduleInfo": {
"startDateTime": "2021-07-15T19:47:42.4376681Z",
"recurrence": null,
"expiration": {
"type": "noExpiration",
"endDateTime": null,
"duration": null
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Actief en tijdsgebonden
Hier volgt een voorbeeld van een HTTP-aanvraag voor het maken van een actieve toewijzing die tijdsgebonden is. Zie Create unifiedRoleEligibilityScheduleRequest (UnifiedRoleEligibilityScheduleRequestmaken) voor meer informatie over de API-opdrachten, waaronder voorbeelden zoals C# en JavaScript.
HTTP-aanvraag
POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "AdminAssign",
"justification": "abcde",
"directoryScopeId": "/",
"principalId": "<principal-ID-GUID>",
"roleDefinitionId": "<definition-ID-GUID>",
"scheduleInfo": {
"startDateTime": "2021-07-15T19:15:08.941Z",
"expiration": {
"type": "AfterDuration",
"duration": "PT3H"
}
}
}
HTTP-antwoord
Hier volgt een voorbeeld van het antwoord. Het antwoordobject dat hier wordt weergegeven, kan worden ingekort voor leesbaarheid.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "<schedule-ID-GUID>",
"status": "Provisioned",
"createdDateTime": "2021-07-15T19:15:09.7093491Z",
"completedDateTime": "2021-07-15T19:15:11.4437343Z",
"approvalId": null,
"customData": null,
"action": "AdminAssign",
"principalId": "<principal-ID-GUID>",
"roleDefinitionId": "<definition-ID-GUID>",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "<schedule-ID-GUID>",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "<user-ID-GUID>"
}
},
"scheduleInfo": {
"startDateTime": "2021-07-15T19:15:11.4437343Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Een bestaande roltoewijzing bijwerken of verwijderen
Volg deze stappen om een bestaande roltoewijzing bij te werken of te verwijderen. Alleen klanten met een Azure AD P2-licentie: wijs een groep niet als Actief toe aan een rol via zowel Azure AD als Privileged Identity Management (PIM). Zie Bekende problemen voor een gedetailleerde uitleg.
Open Azure AD Privileged Identity Management.
Selecteer Azure AD-rollen.
Selecteer Rollen om de lijst met rollen voor Azure AD te bekijken.
Selecteer de rol die u wilt bijwerken of verwijderen.
Zoek de roltoewijzing op de tabbladen In aanmerking komende rollen of Actieve rollen.
Selecteer Bijwerken of Verwijderen om de roltoewijzing bij te werken of te verwijderen.
In aanmerking komende toewijzing verwijderen via API
Aanvraag
POST https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests
{
"action": "AdminRemove",
"justification": "abcde",
"directoryScopeId": "/",
"principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
Antwoord
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
"id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de",
"status": "Revoked",
"createdDateTime": "2021-07-15T20:23:23.85453Z",
"completedDateTime": null,
"approvalId": null,
"customData": null,
"action": "AdminRemove",
"principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": null,
"justification": "test",
"scheduleInfo": null,
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}