Tilldela Azure AD-roller i Privileged Identity Management

Med Azure Active Directory (Azure AD) kan en Global administratör göra permanenta rolltilldelningar för Azure AD-administratörer. Dessa rolltilldelningar kan skapas med hjälp av Azure Portal eller med hjälp av PowerShell-kommandon.

Tjänsten Azure AD Privileged Identity Management (PIM) gör det också möjligt för privilegierade rolladministratörer att göra permanenta rolltilldelningar för administratörer. Dessutom kan privilegierade rolladministratörer göra användare berättigade till Azure AD-administratörsroller. En berättigad administratör kan aktivera rollen när de behöver den och sedan upphör deras behörigheter när de är klara.

Privileged Identity Management har stöd för både inbyggda och anpassade Azure AD-roller. Mer information om anpassade Roller i Azure AD finns i Rollbaserad åtkomstkontroll i Azure Active Directory.

Tilldela en roll

Följ dessa steg för att göra en användare berättigad till en Azure AD-administratörsroll.

1. Logga in på Azure Portal med en användare som är medlem i Administratör för priviligierad roll rollen.

2. Öppna Azure AD Privileged Identity Management.

3. Välj Azure AD-roller.

4. Välj Roller för att se listan över roller för Azure AD-behörigheter.

   

5. Välj Lägg till tilldelningar för att öppna sidan Lägg till tilldelningar.

6. Välj Välj en roll för att öppna sidan Välj en roll.

   

7. Välj en roll som du vill tilldela, välj en medlem som du vill tilldela rollen till och välj sedan Nästa.

8. I listan Tilldelningstyp i fönstret Medlemskapsinställningar väljer du Berättigad eller Aktiv.

   • Berättigade tilldelningar kräver att medlemmen i rollen utför en åtgärd för att använda rollen. Det kan vara åtgärder som att utföra en kontroll av multifaktorautentisering (MFA), ange en affärsmotivering eller begära godkännande från utnämnda godkännare.

   • Aktiva tilldelningar kräver inte att medlemmen utför någon åtgärd för att använda rollen. Medlemmar som har tilldelats som aktiva har alltid de behörigheter som tilldelats till rollen.

9. Om du vill ange en viss varaktighet för tilldelningen lägger du till rutorna start- och slutdatum och tid. När du är klar väljer du Tilldela för att skapa den nya rolltilldelningen.

   • Permanenta tilldelningar har inget förfallodatum. Använd det här alternativet för permanenta arbetare som ofta behöver rollbehörigheter.

   • Tidsbundna tilldelningar upphör att gälla i slutet av en angiven period. Använd det här alternativet med tillfälliga eller kontraktsanställda, till exempel vars slutdatum och tid för projektet är kända.

   

10. När rollen har tilldelats visas ett meddelande om tilldelningsstatus.

    

Tilldela en roll med begränsat omfång

För vissa roller kan omfånget för de behörigheter som beviljas begränsas till en enskild administratörsenhet, tjänstens huvudnamn eller program. Den här proceduren är ett exempel om du tilldelar en roll som har omfattningen för en administrativ enhet. En lista över roller som stöder omfång via administrativ enhet finns i Tilldela begränsade roller till en administrativ enhet. Den här funktionen håller på att distribueras till Azure AD-organisationer.

1. Logga in på det Azure Active Directory administrationscentret med behörigheten Privilegierad rolladministratör.

2. Välj Azure Active Directory > roller och administratörer.

3. Välj Användaradministratör.

   

4. Välj Lägg till tilldelningar.

   

5. På sidan Lägg till tilldelningar kan du:

   • Välj en användare eller grupp som ska tilldelas till rollen
   • Välj rollomfång (i det här fallet administrativa enheter)
   • Välj en administrativ enhet för omfånget

Mer information om hur du skapar administrativa enheter finns i Lägga till och ta bort administrativa enheter.

Tilldela en roll med hjälp Graph API

Behörigheter som krävs för att använda PIM-API:et finns i Förstå Privileged Identity Management API:er.

Berättigad utan slutdatum

Följande är ett exempel på en HTTP-begäran för att skapa en berättigad tilldelning utan slutdatum. Mer information om API-kommandon, inklusive exempel som C# och JavaScript, finns i Create unifiedRoleEligibilityScheduleRequest.

HTTP-begäran

POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests 

    "action": "AdminAssign", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "scheduleInfo": { 
        "startDateTime": "2021-07-15T19:15:08.941Z", 
        "expiration": { 
            "type": "NoExpiration"        } 
    } 
{ 
} 

HTTP-svar

Följande är ett exempel på svaret. Svarsobjektet som visas här kan förkortas för läsbarhet.

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "<schedule-ID-GUID>", 
    "status": "Provisioned", 
    "createdDateTime": "2021-07-15T19:47:41.0939004Z", 
    "completedDateTime": "2021-07-15T19:47:42.4376681Z", 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminAssign", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": "<schedule-ID-GUID>", 
    "justification": "test", 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "<user-ID-GUID>" 
        } 
    }, 
    "scheduleInfo": { 
        "startDateTime": "2021-07-15T19:47:42.4376681Z", 
        "recurrence": null, 
        "expiration": { 
            "type": "noExpiration", 
            "endDateTime": null, 
            "duration": null 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
}   

Aktiv och tidsbunden

Följande är ett exempel på en HTTP-begäran för att skapa en aktiv tilldelning som är tidsbunden. Mer information om API-kommandon, inklusive exempel som C# och JavaScript, finns i Create unifiedRoleEligibilityScheduleRequest.

HTTP-begäran

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests 

{ 
    "action": "AdminAssign", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "scheduleInfo": { 
        "startDateTime": "2021-07-15T19:15:08.941Z", 
        "expiration": { 
            "type": "AfterDuration", 
            "duration": "PT3H" 
        } 
    } 
} 

HTTP-svar

Följande är ett exempel på svaret. Svarsobjektet som visas här kan förkortas för läsbarhet.

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity", 
    "id": "<schedule-ID-GUID>", 
    "status": "Provisioned", 
    "createdDateTime": "2021-07-15T19:15:09.7093491Z", 
    "completedDateTime": "2021-07-15T19:15:11.4437343Z", 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminAssign", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": "<schedule-ID-GUID>", 
    "justification": "test", 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "<user-ID-GUID>" 
        } 
    }, 
    "scheduleInfo": { 
        "startDateTime": "2021-07-15T19:15:11.4437343Z", 
        "recurrence": null, 
        "expiration": { 
            "type": "afterDuration", 
            "endDateTime": null, 
            "duration": "PT3H" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
} 

Uppdatera eller ta bort en befintlig rolltilldelning

Följ dessa steg om du vill uppdatera eller ta bort en befintlig rolltilldelning. Endast Azure AD P2-licensierade kunder: Tilldela inte en grupp som aktiv till en roll via både Azure AD och Privileged Identity Management (PIM). En detaljerad förklaring finns i Kända problem.

1. Öppna Azure AD Privileged Identity Management.

2. Välj Azure AD-roller.

3. Välj Roller för att se listan över roller för Azure AD.

4. Välj den roll som du vill uppdatera eller ta bort.

5. Leta reda på rolltilldelningen på flikarna Berättigade roller eller Aktiva roller.

   

6. Välj Uppdatera eller Ta bort för att uppdatera eller ta bort rolltilldelningen.

Ta bort berättigad tilldelning via API

Förfrågan

POST https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests 

 

{ 
    "action": "AdminRemove", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b" 
} 

Svarsåtgärder

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de", 
    "status": "Revoked", 
    "createdDateTime": "2021-07-15T20:23:23.85453Z", 
    "completedDateTime": null, 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminRemove", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": null, 
    "justification": "test", 
    "scheduleInfo": null, 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
} 

Nästa steg

• Konfigurera inställningar för Azure AD-administratörsrollen i Privileged Identity Management
• Tilldela Azure-resursroller i Privileged Identity Management