Azure AD-rollen toewijzen aan gebruikers

  • Artikel
  • 5 minuten om te lezen

Als u toegang wilt verlenen aan gebruikers in Azure Active Directory (Azure AD), wijst u Azure AD-rollen toe. Een rol is een verzameling machtigingen. In dit artikel wordt beschreven hoe u Azure AD-rollen toewijst met behulp van Azure Portal en PowerShell.

Vereisten

  • Beheerder met bevoorrechte rol of globale beheerder
  • Azure AD Premium P2 bij gebruik van Privileged Identity Management (PIM)
  • AzureADPreview-module bij het gebruik van PowerShell
  • Toestemming van de beheerder bij het gebruik Graph Explorer voor Microsoft Graph-API

Zie Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Azure Portal

Volg deze stappen om Azure AD-rollen toe te wijzen met behulp van Azure Portal. Uw ervaring is anders, afhankelijk van of Azure AD Privileged Identity Management (PIM) is ingeschakeld.

Een rol toewijzen

  1. Meld u aan bij het Azure Portal of het Azure AD-beheercentrum.

  2. Selecteer Azure Active Directory rollen en beheerders om de lijst met alle beschikbare > rollen te bekijken.

    De pagina Rollen en beheerders in Azure Active Directory.

  3. Selecteer een rol om de toewijzingen ervan weer te geven.

    Als u wilt weten welke rol u nodig hebt, gebruikt u Filters toevoegen om de rollen te filteren.

  4. Selecteer Toewijzingen toevoegen en selecteer vervolgens de gebruikers die u aan deze rol wilt toewijzen.

    Als u iets anders ziet dan in de volgende afbeelding, is PIM mogelijk ingeschakeld. Zie de volgende sectie.

    Deelvenster Toewijzingen toevoegen voor de geselecteerde rol.

  5. Selecteer Toevoegen om de rol toe te wijzen.

Een rol toewijzen met PIM

Als u Azure AD Privileged Identity Management (PIM) hebt ingeschakeld, hebt u aanvullende mogelijkheden voor roltoewijzing. U kunt een gebruiker bijvoorbeeld in aanmerking laten komen voor een rol of de duur instellen. Wanneer PIM is ingeschakeld, kunt u op twee manieren rollen toewijzen met behulp van de Azure Portal. U kunt de pagina Rollen en beheerders of de PIM-ervaring gebruiken. In beide 2018 wordt dezelfde PIM-service gebruikt.

Volg deze stappen om rollen toe te wijzen met behulp van de pagina Rollen en beheerders. Als u rollen wilt toewijzen met behulp van de Privileged Identity Management, zie Azure AD-rollen toewijzen in Privileged Identity Management.

  1. Meld u aan bij het Azure Portal of het Azure AD-beheercentrum.

  2. Selecteer Azure Active Directory rollen en beheerders om de lijst met alle beschikbare > rollen te bekijken.

    Pagina Rollen en beheerders in Azure Active Directory PIM is ingeschakeld.

  3. Selecteer een rol om de in aanmerking komende, actieve en verlopen roltoewijzingen te bekijken.

    Als u wilt weten welke rol u nodig hebt, gebruikt u Filters toevoegen om de rollen te filteren.

  4. Selecteer Toewijzingen toevoegen.

  5. Selecteer Geen lid geselecteerd en selecteer vervolgens de gebruikers die u aan deze rol wilt toewijzen.

    Voeg de pagina Toewijzingen toe en selecteer een deelvenster Leden met PIM ingeschakeld.

  6. Selecteer Next.

  7. Selecteer op het tabblad Instelling of u deze roltoewijzing in aanmerking wilt laten komen of actief wilt maken.

    Een in aanmerking komende roltoewijzing betekent dat de gebruiker een of meer acties moet uitvoeren om de rol te kunnen gebruiken. Een actieve roltoewijzing betekent dat de gebruiker geen actie hoeft uit te voeren om de rol te gebruiken. Zie PIM-terminologie voor meer informatie over wat deze instellingen betekenen.

    Voeg de pagina Toewijzingen en het tabblad Instelling toe met PIM ingeschakeld.

  8. Gebruik de resterende opties om de duur van de toewijzing in te stellen.

  9. Selecteer Toewijzen om de rol toe te wijzen.

PowerShell

Volg deze stappen om Azure AD-rollen toe te wijzen met behulp van PowerShell.

Instellen

  1. Open een PowerShell-venster en gebruik Import-Module om de AzureADPreview-module te importeren. Zie Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

    Import-Module -Name AzureADPreview -Force

  2. Gebruik in een PowerShell-venster Verbinding maken-AzureAD om u aan te melden bij uw tenant.

    Connect-AzureAD

  3. Gebruik Get-AzureADUser om de gebruiker aan wie u een rol wilt toewijzen op te halen.

    $user = Get-AzureADUser -Filter "userPrincipalName eq 'user@contoso.com'"

Een rol toewijzen

  1. Gebruik Get-AzureADMSRoleDefinition om de rol op te halen die u wilt toewijzen.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"

  2. Gebruik New-AzureADMSRoleAssignment om de rol toe te wijzen.

    $roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Een rol toewijzen als in aanmerking komend met PIM

Als PIM is ingeschakeld, hebt u aanvullende mogelijkheden, zoals een gebruiker in aanmerking laten komen voor een roltoewijzing of de begin- en eindtijd voor een roltoewijzing definiëren. Voor deze mogelijkheden wordt een andere set PowerShell-opdrachten gebruikt. Zie PowerShell voor Azure AD-rollen in Privileged Identity Management voor meer informatie over het gebruik van PowerShell en PIM.

  1. Gebruik Get-AzureADMSRoleDefinition om de rol op te halen die u wilt toewijzen.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"

  2. Gebruik Get-AzureADMSPrivilegedResource om de bevoorrechte resource op te halen. In dit geval uw tenant.

    $aadTenant = Get-AzureADMSPrivilegedResource -ProviderId aadRoles

  3. Gebruik New-Object om een nieuw object te maken om de begin- en eindtijd van AzureADMSPrivilegedSchedule de roltoewijzing te definiëren.

    $schedule = New-Object Microsoft.Open.MSGraph.Model.AzureADMSPrivilegedSchedule
$schedule.Type = "Once"
$schedule.StartDateTime = (Get-Date).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.fffZ")
$schedule.EndDateTime = "2021-07-25T20:00:00.000Z"

  4. Gebruik Open-AzureADMSPrivilegedRoleAssignmentRequest om de rol toe te wijzen als in aanmerking komend.

    $roleAssignmentEligible = Open-AzureADMSPrivilegedRoleAssignmentRequest -ProviderId 'aadRoles' -ResourceId $aadTenant.Id -RoleDefinitionId $roleDefinition.Id -SubjectId $user.objectId -Type 'AdminAdd' -AssignmentState 'Eligible' -schedule $schedule -reason "Review billing info"

Microsoft Graph API

Volg deze instructies om een rol toe te wijzen met behulp van de Microsoft Graph-API in Graph Explorer.

Een rol toewijzen

In dit voorbeeld wordt aan een beveiligingsprincipaal met object-id de rol Factureringsbeheerder f8ca5a85-489a-49a0-b555-0a6d81e56f0d (roldefinitie-id) toegewezen b0f54661-2d74-4c50-afa3-1ec803f12efe voor het tenantbereik. Zie Ingebouwde rollen van Azure AD als u de lijst met onveranderbare rolsjabloon-ID's van alle ingebouwde rollen wilt zien.

  1. Meld u aan bij Graph Explorer.
  2. Selecteer POST als de HTTP-methode in de vervolgkeuzekeuze.
  3. Selecteer de API-versie naar bèta.
  4. Gebruik de ROLEAssignments-API om rollen toe te wijzen. Voeg de volgende details toe aan de URL en aanvraag body en selecteer Query uitvoeren.
POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Een rol toewijzen met PIM

In dit voorbeeld wordt aan een beveiligingsprincipaal met object-id een tijdsgebonden in aanmerking komende roltoewijzing toegewezen aan de factureringsbeheerder f8ca5a85-489a-49a0-b555-0a6d81e56f0d (roldefinitie-id b0f54661-2d74-4c50-afa3-1ec803f12efe ) voor 180 dagen.

  1. Meld u aan bij Graph Explorer.
  2. Selecteer POST als de HTTP-methode in de vervolgkeuzekeuze.
  3. Selecteer de API-versie naar bèta.
  4. Voeg de volgende details toe aan de URL en aanvraag body en selecteer Query uitvoeren.
POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests

Content-type: application/json

{
    "action": "AdminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT180D"
        }
    }
}

In het volgende voorbeeld wordt aan een beveiligingsprincipaal een permanente in aanmerking komende roltoewijzing toegewezen aan de factureringsbeheerder.

POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests

Content-type: application/json

{
    "action": "AdminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "NoExpiration"
        }
    }
}

Gebruik de volgende API om de roltoewijzing te activeren.

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests

Content-type: application/json

{
    "action": "SelfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}

Volgende stappen