Przypisywanie ról Azure AD w Privileged Identity Management

W przypadku Azure Active Directory (Azure AD) administrator globalny może wykonywać stałe przypisania ról administratora Azure AD. Te przypisania ról można tworzyć przy użyciu Azure Portal lub poleceń programu PowerShell.

Usługa Azure AD Privileged Identity Management (PIM) umożliwia również administratorom ról uprzywilejowanych wykonywanie stałych przypisań ról administratora. Ponadto administratorzy ról uprzywilejowanych mogą kwalifikować się do ról administratora Azure AD. Uprawniony administrator może aktywować rolę, gdy jej potrzebują, a następnie ich uprawnienia wygasają po zakończeniu.

Privileged Identity Management obsługują zarówno wbudowane, jak i niestandardowe role Azure AD. Aby uzyskać więcej informacji na temat ról niestandardowych Azure AD, zobacz Kontrola dostępu oparta na rolach w Azure Active Directory.

Uwaga

Po przypisaniu roli przypisanie:

  • Nie można przypisać go przez czas krótszy niż pięć minut
  • Nie można usunąć go w ciągu pięciu minut od przypisania

Przypisywanie roli

Wykonaj następujące kroki, aby użytkownik kwalifikował się do roli administratora Azure AD.

  1. Zaloguj się do Azure Portal przy użyciu użytkownika, który jest członkiem roli administratora ról uprzywilejowanych.

  2. Otwórz usługę Azure AD Privileged Identity Management.

  3. Wybierz pozycję Role usługi Azure AD.

  4. Wybierz pozycję Role, aby wyświetlić listę ról dla uprawnień Azure AD.

    Screenshot of the

  5. Wybierz pozycję Dodaj przypisania , aby otworzyć stronę Dodawanie przypisań .

  6. Wybierz pozycję Wybierz rolę , aby otworzyć stronę Wybierz rolę .

    New assignment pane

  7. Wybierz rolę, którą chcesz przypisać, wybierz członka, do którego chcesz przypisać rolę, a następnie wybierz przycisk Dalej.

  8. Na liście Typ przypisania w okienku Ustawienia członkostwa wybierz pozycję Kwalifikujące się lub Aktywne.

    • Kwalifikujące się przypisania wymagają, aby członek roli wykonał akcję w celu użycia roli. Akcje te mogą obejmować przeprowadzenie uwierzytelniania wieloskładnikowego (MFA), podanie uzasadnienia biznesowego lub żądanie zatwierdzenia od wyznaczonych osób zatwierdzających.

    • Aktywne przypisania nie wymagają od członka wykonania żadnej akcji w celu korzystania z roli. Członkowie przypisani jako aktywni mają uprawnienia przypisane do roli przez cały czas.

  9. Aby określić określony czas trwania przydziału, dodaj pola daty rozpoczęcia i zakończenia oraz godziny. Po zakończeniu wybierz pozycję Przypisz , aby utworzyć nowe przypisanie roli.

    • Stałe przypisania nie mają daty wygaśnięcia. Użyj tej opcji dla stałych pracowników, którzy często potrzebują uprawnień roli.

    • Przypisania związane z czasem wygasną na końcu określonego okresu. Użyj tej opcji z pracownikami tymczasowymi lub kontraktowymi, na przykład, których data i godzina zakończenia projektu są znane.

    Memberships settings - date and time

  10. Po przypisaniu roli zostanie wyświetlone powiadomienie o stanie przypisania.

    New assignment - Notification

Przypisywanie roli z ograniczonym zakresem

W przypadku niektórych ról zakres przyznanych uprawnień może być ograniczony do pojedynczej jednostki administracyjnej, jednostki usługi lub aplikacji. Ta procedura jest przykładem przypisywania roli, która ma zakres jednostki administracyjnej. Aby uzyskać listę ról, które obsługują zakres za pośrednictwem jednostki administracyjnej, zobacz Przypisywanie ról o określonym zakresie do jednostki administracyjnej. Ta funkcja jest obecnie wdrażana w organizacjach Azure AD.

  1. Zaloguj się do centrum administracyjnego Azure Active Directory z uprawnieniami administratora ról uprzywilejowanych.

  2. Wybierz kolejno pozycje Azure Active Directory>Role i administratorzy.

  3. Wybierz administratora użytkownika.

    The Add assignment command is available when you open a role in the portal

  4. Wybierz pozycję Dodaj przypisania.

    When a role supports scope, you can select a scope

  5. Na stronie Dodawanie przypisań można wykonywać następujące czynności:

    • Wybierz użytkownika lub grupę, która ma zostać przypisana do roli
    • Wybierz zakres roli (w tym przypadku jednostki administracyjne)
    • Wybierz jednostkę administracyjną dla zakresu

Aby uzyskać więcej informacji na temat tworzenia jednostek administracyjnych, zobacz Dodawanie i usuwanie jednostek administracyjnych.

Przypisywanie roli przy użyciu usługi Microsoft interfejs Graph API

Aby uzyskać więcej informacji na temat interfejsów API usługi Microsoft Graph dla usługi PIM, zobacz Omówienie zarządzania rolami za pośrednictwem interfejsu API zarządzania tożsamościami uprzywilejowanymi (PIM).

Aby uzyskać uprawnienia wymagane do korzystania z interfejsu API usługi PIM, zobacz Omówienie interfejsów API Privileged Identity Management.

Kwalifikowanie się bez daty zakończenia

Poniżej przedstawiono przykładowe żądanie HTTP, aby utworzyć kwalifikujące się przypisanie bez daty zakończenia. Aby uzyskać szczegółowe informacje na temat poleceń interfejsu API, w tym przykładów żądań w językach, takich jak C# i JavaScript, zobacz Tworzenie rólEligibilityScheduleRequests.

Żądanie HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Permanently assign the Global Reader to the auditor",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

Odpowiedź HTTP

Poniżej przedstawiono przykład odpowiedzi. Obiekt odpowiedzi pokazany tutaj może zostać skrócony pod kątem czytelności.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T13:40:33.2364309Z",
    "completedDateTime": "2022-05-13T13:40:34.6270851Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "justification": "Permanently assign the Global Reader to the auditor",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T13:40:34.6270851Z",
        "recurrence": null,
        "expiration": {
            "type": "noExpiration",
            "endDateTime": null,
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Aktywne i powiązane czasowo

Poniżej przedstawiono przykładowe żądanie HTTP, aby utworzyć aktywne przypisanie powiązane czasowo. Aby uzyskać szczegółowe informacje na temat poleceń interfejsu API, w tym przykładów żądań w językach, takich jak C# i JavaScript, zobacz Tworzenie rólAssignmentScheduleRequests.

Żądanie HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "adminAssign",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

Odpowiedź HTTP

Poniżej przedstawiono przykład odpowiedzi. Obiekt odpowiedzi pokazany tutaj może zostać skrócony pod kątem czytelności.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T14:01:48.0145711Z",
    "completedDateTime": "2022-05-13T14:01:49.8589701Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T14:01:49.8589701Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Aktualizowanie lub usuwanie istniejącego przypisania roli

Wykonaj następujące kroki, aby zaktualizować lub usunąć istniejące przypisanie roli. Azure AD tylko klienci licencjonowania P2: nie przypisuj grupy jako aktywnej do roli za pośrednictwem Azure AD i Privileged Identity Management (PIM). Aby uzyskać szczegółowe wyjaśnienie, zobacz Znane problemy.

  1. Otwórz usługę Azure AD Privileged Identity Management.

  2. Wybierz pozycję Role usługi Azure AD.

  3. Wybierz pozycję Role, aby wyświetlić listę ról dla Azure AD.

  4. Wybierz rolę, którą chcesz zaktualizować lub usunąć.

  5. Znajdź przypisanie roli na kartach Kwalifikujące się role lub Aktywne role .

    Update or remove role assignment

  6. Wybierz pozycję Aktualizuj lub Usuń , aby zaktualizować lub usunąć przypisanie roli.

Usuwanie kwalifikującego się przypisania za pośrednictwem usługi Microsoft interfejs Graph API

Poniżej przedstawiono przykładowe żądanie HTTP, aby odwołać kwalifikujące się przypisanie do roli z podmiotu zabezpieczeń. Aby uzyskać szczegółowe informacje na temat poleceń interfejsu API, w tym przykładów żądań w językach, takich jak C# i JavaScript, zobacz Tworzenie rólEligibilityScheduleRequests.

Żądanie

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests 

{ 
    "action": "AdminRemove", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b" 
} 

Reakcja

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de", 
    "status": "Revoked", 
    "createdDateTime": "2021-07-15T20:23:23.85453Z", 
    "completedDateTime": null, 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminRemove", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": null, 
    "justification": "test", 
    "scheduleInfo": null, 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
} 

Następne kroki