Назначение ролей Azure AD пользователям

Чтобы предоставить пользователям доступ к Azure Active Directory (Azure AD), необходимо назначить роли Azure AD. Роль — это коллекция разрешений. В этой статье описывается способ назначения ролей Azure AD с помощью портала Azure и PowerShell.

Предварительные требования

  • Глобальный администратор или администратор привилегированных ролей.
  • Лицензия Azure AD Premium P2 при использовании управления привилегированными пользователями (PIM)
  • Модуль AzureADPreview при использовании PowerShell
  • Согласие администратора при использовании песочницы Graph для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Портал Azure

Чтобы назначить роли Azure AD с помощью портала Azure, выполните следующие инструкции. Порядок действий отличается в зависимости от того, включена ли функция Azure AD Privileged Identity Management (PIM).

Назначение роли

  1. Войдите на портал Azure или в Центр администрирования Azure AD.

  2. Выберите Azure Active DirectoryРоли и администраторы, чтобы просмотреть список всех доступных ролей.

    Roles and administrators page in Azure Active Directory.

  3. Выберите роль, чтобы изучить ее назначения.

    Чтобы найти роль, воспользуйтесь фильтром ролей, выбрав Добавить фильтр.

  4. Щелкните элемент Добавить назначения и выберите пользователей, которых нужно назначить этой роли.

    Если на следующем рисунке вы видите что-то другое, возможно, вы включили PIM. См. следующий раздел.

    Add assignments pane for selected role.

  5. Щелкните команду Добавить, чтобы назначить роль.

Назначение роль с помощью PIM

Если включена функция Azure AD Privileged Identity Management (PIM), у вас есть дополнительные возможности назначения ролей. Например, вы можете предоставить пользователю право на роль или установить продолжительность действия этого права. Если PIM включена, можно назначить роли с помощью портал Azure двумя способами. Можно использовать страницу "Роли и администраторы" или интерфейс PIM. В любом случае используется одна и та же служба PIM.

Чтобы назначить роли с помощью страницы Роли и администраторы, выполните следующие действия. Чтобы назначить роли на странице Управление привилегированными пользователями, см. статью Назначение ролей Azure AD на странице "Управление привилегированными пользователями".

  1. Войдите на портал Azure или в Центр администрирования Azure AD.

  2. Выберите Azure Active DirectoryРоли и администраторы, чтобы просмотреть список всех доступных ролей.

    Roles and administrators page in Azure Active Directory when PIM enabled.

  3. Выберите роль, чтобы просмотреть ее допустимые, активные и просроченные назначения.

    Чтобы найти роль, воспользуйтесь фильтром ролей, выбрав Добавить фильтр.

  4. Щелкните Добавить назначения.

  5. Щелкните элемент Невыбранные участники и выберите пользователей, которым нужно назначить эту роль.

    Add assignments page and Select a member pane with PIM enabled.

  6. Выберите Далее.

  7. На вкладке Параметр выберите, хотите ли вы назначить для этой роли назначения: допустимая или активная.

    Назначение "допустимая" означает, что пользователь должен выполнить одно или несколько действий, чтобы использовать эту роль. Назначение "активная" означает, что пользователю не нужно предпринимать никаких действий для использования этой роли. Дополнительные сведения о значениях этих параметров приведены в разделе Терминология PIM.

    Add assignments page and Setting tab with PIM enabled.

  8. Используйте оставшиеся параметры, чтобы задать продолжительность назначения.

  9. Выберите Назначить, чтобы назначить роль.

PowerShell

Выполните следующие шаги, чтобы назначить роли Azure AD с помощью PowerShell.

Установка

  1. Откройте окно PowerShell и используйте Import-Module, чтобы импортировать модуль AzureADPreview. Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

    Import-Module -Name AzureADPreview -Force
    
  2. В окне PowerShell выполните Connect-AzureAD, чтобы войти в клиент.

    Connect-AzureAD
    
  3. Чтобы определить пользователя, которому необходимо назначить роль, используйте командлет Get-AzureADUser.

    $user = Get-AzureADUser -Filter "userPrincipalName eq 'user@contoso.com'"
    

Назначение роли

  1. Чтобы определить роль, которую необходимо назначить, используйте командлет Get-AzureADMSRoleDefinition.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. Чтобы назначить роль с условием, используйте командлет New-AzureADMSRoleAssignment.

    $roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
    

Назначение роли в качестве допустимой с помощью PIM

Если PIM включена, у вас есть дополнительные возможности, такие как предоставление пользователю права на назначение роли или определение времени начала и окончания для назначения роли. В этих возможностях используется другой набор команд PowerShell. Дополнительные сведения об использовании PowerShell и PIM см. в разделе PowerShell для ролей Azure AD в управлении привилегированными пользователями.

  1. Чтобы определить роль, которую необходимо назначить, используйте командлет Get-AzureADMSRoleDefinition.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. Чтобы получить список привилегированных ресурсов, используйте командлет Get-AzureADMSPrivilegedResource. В этом случае это ваш клиент.

    $aadTenant = Get-AzureADMSPrivilegedResource -ProviderId aadRoles
    
  3. Чтобы создать новый объект для определения времени начала и окончания назначения роли, используйте командлет New-Object.

    $schedule = New-Object Microsoft.Open.MSGraph.Model.AzureADMSPrivilegedSchedule
    $schedule.Type = "Once"
    $schedule.StartDateTime = (Get-Date).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.fffZ")
    $schedule.EndDateTime = "2021-07-25T20:00:00.000Z"
    
  4. Чтобы назначить роль в качестве "допустимой", используйте командлет Open-AzureADMSPrivilegedRoleAssignmentRequest.

    $roleAssignmentEligible = Open-AzureADMSPrivilegedRoleAssignmentRequest -ProviderId 'aadRoles' -ResourceId $aadTenant.Id -RoleDefinitionId $roleDefinition.Id -SubjectId $user.objectId -Type 'AdminAdd' -AssignmentState 'Eligible' -schedule $schedule -reason "Review billing info"
    

API Microsoft Graph

Выполните эти инструкции, чтобы назначить роль с помощью Microsoft Graph API в Graph Explorer.

Назначение роли

В этом примере субъекту безопасности с идентификатором objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d назначается роль администратора выставления счетов (идентификатор определения роли b0f54661-2d74-4c50-afa3-1ec803f12efe) в области клиента. Если вы хотите просмотреть список идентификаторов неизменяемых шаблонов ролей всех встроенных ролей, см. раздел Встроенные роли Azure AD.

  1. Войдите в Graph Explorer.
  2. Выберите метод POST в качестве метода HTTP из раскрывающегося списка.
  3. Выберите версию API для beta.
  4. Чтобы назначить роли, используйте API roleAssignments. Добавьте следующие сведения к URL-адресу и тексту запроса и выберите Запуск запроса.
POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Назначение роль с помощью PIM

В этом примере субъекту безопасности с идентификатором objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d назначается ограниченное по времени на 180 дней роль как "допустимая" для администратора выставления счетов (идентификатор определения роли b0f54661-2d74-4c50-afa3-1ec803f12efe).

  1. Войдите в Graph Explorer.
  2. Выберите метод POST в качестве метода HTTP из раскрывающегося списка.
  3. Выберите версию API для beta.
  4. Добавьте следующие сведения к URL-адресу и тексту запроса и выберите Запуск запроса.
POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests

Content-type: application/json

{
    "action": "AdminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT180D"
        }
    }
}

В следующем примере субъекту безопасности назначается постоянное назначение роли как "допустимая" для администратора выставления счетов.

POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests

Content-type: application/json

{
    "action": "AdminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "NoExpiration"
        }
    }
}

Чтобы активировать назначение роли, используйте следующий API.

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests

Content-type: application/json

{
    "action": "SelfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}

Следующие шаги