PIM'de Azure AD rollerimi etkinleştirme

  • Makale
  • Okumak için 3 dakika

Azure Active Directory (azure ad) Privileged Identity Management (pım), kuruluşların Azure AD 'deki kaynaklara yönelik ayrıcalıklı erişimi ve Microsoft 365 veya Microsoft Intune gibi diğer Microsoft çevrimiçi hizmetler nasıl yöneteceğini basitleştirir.

Bir yönetim rolü için uygun yaptıysanız, ayrıcalıklı eylemler gerçekleştirmeniz gerektiğinde rol atamasını etkinleştirmeniz gerekir. örneğin, bazen Microsoft 365 özellikleri yönetiyorsanız, bu rol diğer hizmetleri de etkilediği için kuruluşunuzun ayrıcalıklı rol yöneticileri kalıcı bir genel yönetici sunmayabilir. bunun yerine, Exchange Online yönetici gibi Azure AD rollerine uygun hale getirir. Ayrıcalıklarına ihtiyacınız olduğunda bu rolü etkinleştirmek isteyebilirsiniz ve daha sonra önceden belirlenmiş bir süre için yönetici denetimine sahip olursunuz.

Bu makale, Privileged Identity Management ' de Azure AD rolünü etkinleştirmesi gereken yöneticilere yöneliktir.

Rol etkinleştirme

Bir Azure AD rolünü varsaymak istediğinizde, rollerimi Privileged Identity Management açarak etkinleştirme isteyebilirsiniz.

  1. Azure Portal’ında oturum açın.

  2. Azure AD Privileged Identity Management açın. Privileged Identity Management kutucuğunu panonuza ekleme hakkında daha fazla bilgi için bkz. Privileged Identity Management kullanmaya başlama.

  3. Rollerim' i seçin ve ardından Azure AD rolleri ' nı seçerek uygun Azure AD rollerinizin bir listesini görüntüleyin.

    Etkinleştirebilecekleri rolleri gösteren roller sayfası

  4. Azure AD rolleri listesinde, etkinleştirmek istediğiniz rolü bulun.

    Azure AD rolleri-uygun rollerim listesi

  5. Etkinleştir bölmesini açmak için Etkinleştir ' i seçin.

    Azure AD rolleri-etkinleştirme sayfası süre ve kapsam içerir

  6. Ek doğrulama gerekli ' i seçin ve güvenlik doğrulaması sağlamak için yönergeleri izleyin. Oturum başına yalnızca bir kez kimlik doğrulaması yapmanız gerekir.

    PIN kodu gibi güvenlik doğrulaması sağlayan ekran

  7. Multi-Factor Authentication 'dan sonra devam etmeden önce etkinleştir' i seçin.

    Rol etkinleşene kadar MFA ile kimliğimi doğrula

  8. Daha düşük bir kapsam belirtmek istiyorsanız kapsam ' ı seçerek filtre bölmesini açın. Filtre bölmesinde, erişmeniz gereken Azure AD kaynaklarını belirtebilirsiniz. İhtiyacınız olan en az kaynağa erişim istemek en iyi uygulamadır.

  9. Gerekirse, özel bir etkinleştirme başlangıç saati belirtin. Azure AD rolü seçili zamandan sonra etkinleştirilecektir.

  10. Neden kutusunda, etkinleştirme isteğinin nedenini girin.

  11. Etkinleştir' i seçin.

    Rol etkinleştirme için onay gerektiriyorsa , tarayıcınızın sağ üst köşesinde, isteğin onay beklendiğini bildiren bir bildirim görüntülenir.

    Etkinleştirme isteği onay bildirimi bekliyor

Graph API kullanarak rol etkinleştirme

Etkinleştirebileceğiniz tüm uygun rolleri alın

kullanıcı, rol uygunluğunu grup üyeliğiyle aldığında, bu Graph isteği uygunluğu döndürmez.

HTTP isteği

GET https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

HTTP yanıtı

Alanı kaydetmek için yalnızca bir rol için yanıt gösteriliyor, ancak etkinleştirebileceğiniz tüm uygun rol atamaları listelenecektir.

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest", 
            "id": "<request-ID-GUID>", 
            "status": "Provisioned", 
            "createdDateTime": "2021-07-15T19:39:53.33Z", 
            "completedDateTime": "2021-07-15T19:39:53.383Z", 
            "approvalId": null, 
            "customData": null, 
            "action": "AdminAssign", 
            "principalId": "<principal-ID-GUID>", 
            "roleDefinitionId": "<definition-ID-GUID>", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "<schedule-ID-GUID>", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "<user-ID-GUID>" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": "2021-07-15T19:39:53.3846704Z", 
                "recurrence": null, 
                "expiration": { 
                    "type": "noExpiration", 
                    "endDateTime": null, 
                    "duration": null 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        },
}

Bir rol atamasını gerekçe ile etkinleştirme

HTTP isteği

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests 

{ 
    "action": "SelfActivate", 
    "justification": "adssadasasd", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "principalId": "<principal-ID-GUID>" 
}

HTTP yanıtı

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity", 
    "id": "f1ccef03-8750-40e0-b488-5aa2f02e2e55", 
    "status": "PendingApprovalProvisioning", 
    "createdDateTime": "2021-07-15T19:51:07.1870599Z", 
    "completedDateTime": "2021-07-15T19:51:17.3903028Z", 
    "approvalId": "<approval-ID-GUID>", 
    "customData": null, 
    "action": "SelfActivate", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": "<schedule-ID-GUID>", 
    "justification": "test", 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "<user-ID-GUID>" 
        } 
    }, 
    "scheduleInfo": { 
        "startDateTime": null, 
        "recurrence": null, 
        "expiration": { 
            "type": "afterDuration", 
            "endDateTime": null, 
            "duration": "PT5H30M" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
}

Etkinleştirme isteklerinin durumunu görüntüleme

Etkinleştirme için bekleyen isteklerinizin durumunu görüntüleyebilirsiniz.

  1. Azure AD Privileged Identity Management açın.

  2. Azure AD rolünüzün ve Azure Kaynak rolü isteklerinizin listesini görmek için isteklerim ' i seçin.

    İsteklerim-bekleyen isteklerinizi gösteren Azure AD sayfası

  3. Istek durumu sütununu görüntülemek için sağa kaydırın.

Yeni sürüm için bekleyen isteği iptal et

Onay gerektiren bir rolün etkinleştirilmesini gerektirmiyorsa, bekleyen bir isteği dilediğiniz zaman iptal edebilirsiniz.

  1. Azure AD Privileged Identity Management açın.

  2. Isteklerim' i seçin.

  3. İptal etmek istediğiniz rol için iptal bağlantısını seçin.

    Iptal ' i seçtiğinizde istek iptal edilir. Rolü yeniden etkinleştirmek için, etkinleştirme için yeni bir istek göndermeniz gerekir.

    Iptal eylemi vurgulanmış istek listem

Portal gecikmesi sorunlarını giderme

Rol etkinleştirildikten sonra izinler verilmez

Privileged Identity Management bir rolü etkinleştirdiğinizde, etkinleştirme ayrıcalıklı rol gerektiren tüm portallara anında yaymayabilir. Bazı durumlarda değişiklik yayılsa bile portalda web önbelleği değişikliğin anında geçerlilik kazanmamasına yol açabilir. Etkinleştirme gecikirse, eylemi gerçekleştirmeye çalıştığınız portalın oturumunu kapatın ve yeniden oturum açın. Azure portal, PıM oturumunuzu otomatik olarak kapatır ve geri dönebilir.

Sonraki adımlar