Aktivera mina Azure AD-roller i PIM

  • Artikel
  • 3 minuter för att läsa

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) förenklar hur företag hanterar privilegierad åtkomst till resurser i Azure AD och andra Microsoft onlinetjänster som Microsoft 365 eller Microsoft Intune.

Om du har gjorts berättigad till en administrativ roll måste du aktivera rolltilldelningen när du behöver utföra privilegierade åtgärder. Om du till exempel ibland hanterar Microsoft 365-funktioner kanske inte organisationens privilegierade rolladministratörer gör dig till permanent global administratör, eftersom den rollen även påverkar andra tjänster. I stället blir du berättigad till Azure AD-roller, till exempel Exchange Online administratör. Du kan begära att den rollen aktiveras när du behöver dess behörigheter, och sedan har du administratörskontrollen under en fördefinierad tidsperiod.

Den här artikeln är för administratörer som behöver aktivera sin Azure AD-roll i Privileged Identity Management.

Aktivera en roll

När du behöver anta en Azure AD-roll kan du begära aktivering genom att öppna Mina roller i Privileged Identity Management.

  1. Logga in på Azure-portalen.

  2. Öppna Azure AD Privileged Identity Management. Information om hur du lägger till Privileged Identity Management på instrumentpanelen finns i Börja använda Privileged Identity Management.

  3. Välj Mina roller och välj sedan Azure AD-roller för att se en lista över dina berättigade Azure AD-roller.

    Sidan Mina roller visar roller som du kan aktivera

  4. I listan över Azure AD-roller hittar du den roll som du vill aktivera.

    Azure AD-roller – lista över berättigade roller

  5. Välj Aktivera för att öppna fönstret Aktivera.

    Azure AD-roller – aktiveringssidan innehåller varaktighet och omfång

  6. Välj Ytterligare verifiering krävs och följ anvisningarna för att tillhandahålla säkerhetsverifiering. Du behöver bara autentisera en gång per session.

    Skärm för att tillhandahålla säkerhetsverifiering, till exempel en PIN-kod

  7. Efter multifaktorautentisering väljer du Aktivera innan du fortsätter.

    Verifiera min identitet med MFA innan rollen aktiveras

  8. Om du vill ange ett reducerat omfång väljer du Omfång för att öppna filterfönstret. I filterfönstret kan du ange de Azure AD-resurser som du behöver åtkomst till. Det är bästa praxis att begära åtkomst till så få resurser som du behöver.

  9. Ange vid behov en anpassad starttid för aktiveringen. Azure AD-rollen aktiveras efter den valda tiden.

  10. I rutan Orsak anger du orsaken till aktiveringsbegäran.

  11. Välj Aktivera.

    Om rollen kräver godkännande för aktivering visas ett meddelande i det övre högra hörnet i webbläsaren som informerar dig om att begäran väntar på godkännande.

    Aktiveringsbegäran väntar på godkännandemeddelande

Aktivera en roll med hjälp Graph API

Hämta alla berättigade roller som du kan aktivera

När en användare får sin rollberättigande via gruppmedlemskap returnerar Graph begäran inte användarens berättigande.

HTTP-begäran

GET https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

HTTP-svar

För att spara utrymme visar vi bara svaret för en roll, men alla berättigade rolltilldelningar som du kan aktivera visas.

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest", 
            "id": "<request-ID-GUID>", 
            "status": "Provisioned", 
            "createdDateTime": "2021-07-15T19:39:53.33Z", 
            "completedDateTime": "2021-07-15T19:39:53.383Z", 
            "approvalId": null, 
            "customData": null, 
            "action": "AdminAssign", 
            "principalId": "<principal-ID-GUID>", 
            "roleDefinitionId": "<definition-ID-GUID>", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "<schedule-ID-GUID>", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "<user-ID-GUID>" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": "2021-07-15T19:39:53.3846704Z", 
                "recurrence": null, 
                "expiration": { 
                    "type": "noExpiration", 
                    "endDateTime": null, 
                    "duration": null 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        },
}

Aktivera en rolltilldelning med motivering

HTTP-begäran

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests 

{ 
    "action": "SelfActivate", 
    "justification": "adssadasasd", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "principalId": "<principal-ID-GUID>" 
}

HTTP-svar

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity", 
    "id": "f1ccef03-8750-40e0-b488-5aa2f02e2e55", 
    "status": "PendingApprovalProvisioning", 
    "createdDateTime": "2021-07-15T19:51:07.1870599Z", 
    "completedDateTime": "2021-07-15T19:51:17.3903028Z", 
    "approvalId": "<approval-ID-GUID>", 
    "customData": null, 
    "action": "SelfActivate", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": "<schedule-ID-GUID>", 
    "justification": "test", 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "<user-ID-GUID>" 
        } 
    }, 
    "scheduleInfo": { 
        "startDateTime": null, 
        "recurrence": null, 
        "expiration": { 
            "type": "afterDuration", 
            "endDateTime": null, 
            "duration": "PT5H30M" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
}

Visa status för aktiveringsbegäranden

Du kan visa status för dina väntande begäranden att aktivera.

  1. Öppna Azure AD-Privileged Identity Management.

  2. Välj Mina förfrågningar om du vill se en lista över dina azure AD-roller och begäranden om Azure-resursroller.

    Mina begäranden – Azure AD-sida som visar dina väntande begäranden

  3. Bläddra till höger för att visa kolumnen Begäransstatus.

Avbryta en väntande begäran om ny version

Om du inte behöver aktivera en roll som kräver godkännande kan du avbryta en väntande begäran när som helst.

  1. Öppna Azure AD-Privileged Identity Management.

  2. Välj Mina begäranden.

  3. För den roll som du vill avbryta väljer du länken Avbryt.

    När du väljer Avbryt avbryts begäran. Om du vill aktivera rollen igen måste du skicka en ny begäran om aktivering.

    Min begärandelista med åtgärden Avbryt markerad

Felsöka portalfördröjning

Behörigheter beviljas inte efter att en roll har aktiverats

När du aktiverar en roll i Privileged Identity Management kan aktiveringen inte spridas omedelbart till alla portaler som kräver den privilegierade rollen. Ibland kan webbcachelagringen i en portal resultera i att ändringen inte börjar gälla omedelbart, även om ändringen har spridits. Om aktiveringen är försenad loggar du ut från portalen som du försöker utföra åtgärden och loggar sedan in igen. I Azure Portal loggar PIM ut dig och tillbaka automatiskt.

Nästa steg