Przypisywanie ról usługi Azure AD w Privileged Identity ManagementAssign Azure AD roles in Privileged Identity Management

Za pomocą Azure Active Directory (Azure AD) administrator globalny może tworzyć trwałe przypisania roli administratora usługi Azure AD.With Azure Active Directory (Azure AD), a Global administrator can make permanent Azure AD admin role assignments. Te przypisania ról można utworzyć za pomocą Azure Portal lub za pomocą poleceń programu PowerShell.These role assignments can be created using the Azure portal or using PowerShell commands.

Usługa Azure AD Privileged Identity Management (PIM) umożliwia także administratorom ról uprzywilejowanych Tworzenie trwałych przypisań roli administratora.The Azure AD Privileged Identity Management (PIM) service also allows Privileged Role Administrators to make permanent admin role assignments. Ponadto administratorzy ról uprzywilejowanych mogą wprowadzać użytkowników do ról administratorów usługi Azure AD.Additionally, Privileged Role Administrators can make users eligible for Azure AD admin roles. Uprawniony administrator może aktywować rolę, gdy ich potrzebują, a następnie ich uprawnienia wygasną po zakończeniu.An eligible administrator can activate the role when they need it, and then their permissions expire once they're done.

Określanie używanej wersji programu PIMDetermine your version of PIM

Od listopada 2019 część Privileged Identity Management ról usługi Azure AD jest aktualizowana do nowej wersji, która jest zgodna z środowiskami dla ról zasobów platformy Azure.Beginning in November 2019, the Azure AD roles portion of Privileged Identity Management is being updated to a new version that matches the experiences for Azure resource roles. Spowoduje to utworzenie dodatkowych funkcji, a także zmian w istniejącym interfejsie API.This creates additional features as well as changes to the existing API. Gdy nowa wersja jest wdrażana, procedury, które należy wykonać w tym artykule, zależą od aktualnie posiadanej wersji Privileged Identity Management.While the new version is being rolled out, which procedures that you follow in this article depend on version of Privileged Identity Management you currently have. Wykonaj kroki opisane w tej sekcji, aby określić, która wersja Privileged Identity Management masz.Follow the steps in this section to determine which version of Privileged Identity Management you have. Po uzyskaniu informacji o wersji Privileged Identity Management możesz wybrać procedury w tym artykule, które pasują do tej wersji.After you know your version of Privileged Identity Management, you can select the procedures in this article that match that version.

  1. Zaloguj się do Azure Portal przy użyciu użytkownika, który znajduje się w roli administrator ról uprzywilejowanych .Sign in to the Azure portal with a user who is in the Privileged role administrator role.

  2. Otwórz Azure AD Privileged Identity Management.Open Azure AD Privileged Identity Management. Jeśli masz baner w górnej części strony przegląd, postępuj zgodnie z instrukcjami wyświetlanymi na karcie Nowa wersja tego artykułu.If you have a banner on the top of the overview page, follow the instructions in the New version tab of this article. W przeciwnym razie postępuj zgodnie z instrukcjami podanymi w poprzedniej wersji karty.Otherwise, follow the instructions in the Previous version tab.

    Nowa wersja ról usługi Azure AD

Przyznaj użytkownikowi uprawnienia do roliMake a user eligible for a role

Wykonaj następujące kroki, aby użytkownik mógł kwalifikować się do roli administratora usługi Azure AD.Follow these steps to make a user eligible for an Azure AD admin role.

  1. Wybierz role lub członków.Select Roles or Members.

    Role usługi Azure AD

  2. Wybierz pozycję Dodaj członka , aby otworzyć aplet Dodaj elementy zarządzane.Select Add member to open Add managed members.

  3. Wybierz pozycję Wybierz rolę, wybierz rolę, którą chcesz zarządzać, a następnie wybierz pozycję Wybierz.Select Select a role, select a role you want to manage, and then select Select.

    Wybierz rolę

  4. Wybierz pozycję Wybierz członków, wybierz użytkowników, którym chcesz przypisać rolę, a następnie wybierz pozycję Wybierz.Select Select members, select the users you want to assign to the role, and then select Select.

    Wybierz rolę

  5. W obszarze Dodaj zarządzane elementy członkowskiewybierz przycisk OK , aby dodać użytkownika do roli.In Add managed members, select OK to add the user to the role.

  6. Na liście ról wybierz właśnie przypisaną rolę, aby wyświetlić listę członków.In the list of roles, select the role you just assigned to see the list of members.

    Po przypisaniu roli wybrany użytkownik zostanie wyświetlony na liście członków jako uprawniony do roli.When the role is assigned, the user you selected will appear in the members list as Eligible for the role.

    Użytkownik uprawniony do roli

  7. Teraz, gdy użytkownik kwalifikuje się do roli, daj im znać, że mogą go aktywować zgodnie z instrukcjami w temacie Aktywowanie ról usługi Azure AD w Privileged Identity Management.Now that the user is eligible for the role, let them know that they can activate it according to the instructions in Activate my Azure AD roles in Privileged Identity Management.

    Uprawnieni Administratorzy są proszeni o zarejestrowanie się w usłudze Azure Multi-Factor Authentication (MFA) podczas aktywacji.Eligible administrators are asked to register for Azure Multi-Factor Authentication (MFA) during activation. Jeśli użytkownik nie może zarejestrować się na potrzeby uwierzytelniania wieloskładnikowego lub używa konto Microsoft (na przykład @outlook.com), należy trwale wprowadzić wszystkie ich role.If a user cannot register for MFA, or is using a Microsoft account (such as @outlook.com), you need to make them permanent in all their roles.

Tworzenie trwałego przypisania roliMake a role assignment permanent

Domyślnie nowi użytkownicy kwalifikują się tylko do roli administratora usługi Azure AD.By default, new users are only eligible for an Azure AD admin role. Wykonaj te kroki, jeśli chcesz, aby przypisanie roli trwało.Follow these steps if you want to make a role assignment permanent.

  1. Otwórz Azure AD Privileged Identity Management.Open Azure AD Privileged Identity Management.

  2. Wybierz pozycję role usługi Azure AD.Select Azure AD roles.

  3. Wybierz członków.Select Members.

    Lista członków

  4. Wybierz kwalifikującą się rolę, która ma być trwała.Select an Eligible role that you want to make permanent.

  5. Wybierz pozycję więcej , a następnie wybierz pozycję Utwórz uprawnienie.Select More and then select Make perm.

    Utwórz trwale przypisanie roli

    Rola jest teraz wyświetlana jako stała.The role is now listed as permanent.

    Lista członków z trwałą zmianą

Usuwa użytkownika z roliRemove a user from a role

Możesz usunąć użytkowników z przypisań ról, ale upewnij się, że zawsze istnieje co najmniej jeden użytkownik, który jest stałym administratorem globalnym.You can remove users from role assignments, but make sure there is always at least one user who is a permanent Global administrator. Jeśli nie masz pewności, którzy użytkownicy nadal potrzebują przypisań ról, możesz rozpocząć przegląd dostępu dla tej roli.If you're not sure which users still need their role assignments, you can start an access review for the role.

Wykonaj następujące kroki, aby usunąć określonego użytkownika z roli administratora usługi Azure AD.Follow these steps to remove a specific user from an Azure AD admin role.

  1. Otwórz Azure AD Privileged Identity Management.Open Azure AD Privileged Identity Management.

  2. Wybierz pozycję role usługi Azure AD.Select Azure AD roles.

  3. Wybierz członków.Select Members.

    Lista członków

  4. Wybierz przypisanie roli, które chcesz usunąć.Select a role assignment you want to remove.

  5. Wybierz pozycję więcej , a następnie wybierz pozycję Usuń.Select More and then select Remove.

    Usuwanie roli

  6. W komunikacie z prośbą o potwierdzenie wybierz pozycję tak.In the message that asks you to confirm, select Yes.

    Usuwanie roli

    Przypisanie roli zostanie usunięte.The role assignment is removed.

Błąd autoryzacji podczas przypisywania rólAuthorization error when assigning roles

Jeśli ostatnio włączono Privileged Identity Management dla subskrypcji i wystąpi błąd autoryzacji podczas próby skorzystania z roli administratora usługi Azure AD, może to być spowodowane faktem, że jednostka usługi MS-PIM nie ma jeszcze odpowiednich uprawnień.If you recently enabled Privileged Identity Management for a subscription and you get an authorization error when you try to make a user eligible for an Azure AD admin role, it might be because the MS-PIM service principal does not yet have the appropriate permissions. Nazwa główna usługi MS-PIM musi mieć rolę administratora dostępu użytkowników do przypisywania ról innym osobom.The MS-PIM service principal must have the User Access Administrator role to assign roles to others. Zamiast czekać, aż do MS-PIM zostanie przypisana rola administratora dostępu użytkowników, można przypisać ją ręcznie.Instead of waiting until MS-PIM is assigned the User Access Administrator role, you can assign it manually.

Wykonaj następujące kroki, aby przypisać rolę administratora dostępu użytkownika do nazwy głównej usługi MS-PIM dla subskrypcji.Follow these steps to assign the User Access Administrator role to the MS-PIM service principal for a subscription.

  1. Zaloguj się do Azure Portal jako Administrator globalny.Sign into the Azure portal as a Global Administrator.

  2. Wybierz pozycję wszystkie usługi , a następnie pozycję subskrypcje.Choose All services and then Subscriptions.

  3. Wybierz subskrypcję.Choose your subscription.

  4. Wybierz pozycję Kontrola dostępu (IAM) .Choose Access control (IAM).

  5. Wybierz przypisania ról , aby wyświetlić bieżącą listę przypisań ról w zakresie subskrypcji.Choose Role assignments to see the current list of role assignments at the subscription scope.

    Blok kontroli dostępu (IAM) dla subskrypcji

  6. Sprawdź, czy nazwa główna usługi MS-PIM jest przypisana do roli administratora dostępu użytkownika .Check whether the MS-PIM service principal is assigned the User Access Administrator role.

  7. W przeciwnym razie wybierz pozycję Dodaj przypisanie roli , aby otworzyć okienko Dodaj przypisanie roli .If not, choose Add role assignment to open the Add role assignment pane.

  8. Z listy rozwijanej rola wybierz rolę administrator dostępu użytkowników .In the Role drop-down list, select the User Access Administrator role.

  9. Z listy Wybierz Znajdź i wybierz nazwę główną usługi MS-PIM .In the Select list, find and select the MS-PIM service principal.

    Dodawanie okienka przypisania roli — Dodawanie uprawnień dla nazwy głównej usługi MS-PIM

  10. Wybierz pozycję Zapisz , aby przypisać rolę.Choose Save to assign the role.

    Po kilku chwilach nazwa główna usługi MS-PIM jest przypisana do roli administratora dostępu użytkownika w zakresie subskrypcji.After a few moments, the MS-PIM service principal is assigned the User Access Administrator role at the subscription scope.

    Strona kontroli dostępu z przypisaniem roli administratora dostępu użytkownika dla nazwy głównej usługi MS-PIM

Następne krokiNext steps