Azure AD PIM Rolleri AtaAssign Azure AD roles in PIM

Azure Active Directory'ye (Azure AD), genel yönetici yapabilirsiniz kalıcı Azure AD yönetici rol atamaları.With Azure Active Directory (Azure AD), a Global administrator can make permanent Azure AD admin role assignments. Bu rol atamaları kullanılarak oluşturulabilir. Azure portalında veya bu adı kullanıyor PowerShell komutlarını.These role assignments can be created using the Azure portal or using PowerShell commands.

Azure AD Privileged Identity Management (PIM) hizmeti, rol atamalarını kalıcı yönetici yap ayrıcalıklı rol yöneticileri de sağlar.The Azure AD Privileged Identity Management (PIM) service also allows Privileged Role Administrators to make permanent admin role assignments. Ayrıca, ayrıcalıklı rol Yöneticileri kullanıcıların yapabileceğini uygun Azure AD yönetim rolleri için.Additionally, Privileged Role Administrators can make users eligible for Azure AD admin roles. Uygun yönetici rolü, ihtiyaç duydukları ve bunlar bitirdiğinizde izinlerini süresi dolacak etkinleştirebilirsiniz.An eligible administrator can activate the role when they need it, and then their permissions expire once they're done.

Bir kullanıcı rolü için uygun olarak ayarlaMake a user eligible for a role

Bir kullanıcı için Azure AD Yönetici rolüne uygun hale getirmek için aşağıdaki adımları izleyin.Follow these steps to make a user eligible for an Azure AD admin role.

  1. Oturum Azure portalında üyesi olan bir kullanıcı ile ayrıcalıklı Rol Yöneticisi rol.Sign in to Azure portal with a user that is a member of the Privileged Role Administrator role.

    PIM yönetmek için başka bir yönetici erişim verme konusunda daha fazla bilgi için bkz: PIM yönetmek için diğer yöneticilere erişim ver.For information about how to grant another administrator access to manage PIM, see Grant access to other administrators to manage PIM.

  2. Açık Azure AD Privileged Identity Management.Open Azure AD Privileged Identity Management.

    Azure portalında PIM henüz başlamamış, Git PIM kullanmaya başlamak.If you haven't started PIM in the Azure portal yet, go to Start using PIM.

  3. Tıklayın Azure AD rolleri.Click Azure AD roles.

  4. Tıklayın rolleri veya üyeleri.Click Roles or Members.

    Azure AD rolleri, rol ve üyeleri menü seçenekleri ile vurgulanmış

  5. Tıklayın Üye Ekle üyeleri Ekle açmak için yönetilen.Click Add member to open Add managed members.

  6. Tıklayın bir rol seçin, yönetmek ve ardından istediğiniz bir rolünü seçin.Click Select a role, click a role you want to manage, and then click Select.

    Azure AD rolleri listeleyen bir rol bölmesinde seçin

  7. Tıklayın üyelerini seçin, role atamak ve ardından istediğiniz kullanıcıları seçin seçin.Click Select members, select the users you want to assign to the role, and then click Select.

    Bir kullanıcı seçebileceğiniz üyeler bölmesi seçin

  8. Yönetilen üyeleri Ekle Tamam rolüne kullanıcı eklemek için.In Add managed members, click OK to add the user to the role.

  9. Rolleri listesinde yalnızca üye listesini görmek için atanan role tıklayın.In the list of roles, click the role you just assigned to see the list of members.

    Rol atandığında, seçtiğiniz kullanıcı üye listesi görünür uygun rolü için.When the role is assigned, the user you selected will appear in the members list as Eligible for the role.

    Rolü üyelerinin kendi etkinleştirme durumu ile birlikte listelenir.

  10. Kullanıcı rolü için uygundur, bunlar bu yönergeleri göre etkinleştirmelerini bildirmek PIM Azure AD'ye rollerimi etkinleştir.Now that the user is eligible for the role, let them know that they can activate it according to the instructions in Activate my Azure AD roles in PIM.

    Uygun Yöneticiler, etkinleştirme sırasında Azure multi-Factor Authentication (MFA) kaydetmek için istenir.Eligible administrators are asked to register for Azure Multi-Factor Authentication (MFA) during activation. Bir kullanıcı için mfa'yı kaydedilemiyor veya bir Microsoft hesabı kullanarak, (genellikle @outlook.com), kendi rolleri içinde kalıcı yapmanız gerekir.If a user cannot register for MFA, or is using a Microsoft account (usually @outlook.com), you need to make them permanent in all their roles.

Bir rol ataması kalıcı yapMake a role assignment permanent

Varsayılan olarak, yeni kullanıcılar yalnızca Azure AD Yönetici rolüne için uygundur.By default, new users are only Eligible for an Azure AD admin role. Bir rol ataması kalıcı hale getirmek isterseniz bu adımları izleyin.Follow these steps if you want to make a role assignment permanent.

  1. Açık Azure AD Privileged Identity Management.Open Azure AD Privileged Identity Management.

  2. Tıklayın Azure AD rolleri.Click Azure AD roles.

  3. Tıklayın üyeleri.Click Members.

    Azure AD rolleri - üyeleri gösterme rolü ve etkinleştirme durumunu listeler.

  4. ' A tıklayın bir uygun kalıcı hale getirmek istediğiniz rol.Click an Eligible role that you want to make permanent.

  5. Tıklayın daha fazla ve ardından yapma izni.Click More and then click Make perm.

    Daha fazla menü seçeneklerini sahip bir rol için uygun olan bir kullanıcı listeleme bölmesini açın

    Rol olarak listelendiğine kalıcı.The role is now listed as permanent.

    Üye listesi artık kalıcıdır rolü ve etkinleştirme durumu gösteriliyor

Bir kullanıcıyı rolden KaldırRemove a user from a role

Rol ataması kullanıcıları kaldırmak, ancak her zaman kalıcı bir genel yönetici olan en az bir kullanıcı olduğundan emin olun.You can remove users from role assignments, but make sure there is always at least one user who is a permanent Global Administrator. Hangi kullanıcıların rol atamalarının yine emin değilseniz yapabilecekleriniz rol için erişim değerlendirmesi başlatma.If you're not sure which users still need their role assignments, you can start an access review for the role.

Belirli bir kullanıcının bir Azure AD yönetici rolünden kaldırmak için aşağıdaki adımları izleyin.Follow these steps to remove a specific user from an Azure AD admin role.

  1. Açık Azure AD Privileged Identity Management.Open Azure AD Privileged Identity Management.

  2. Tıklayın Azure AD rolleri.Click Azure AD roles.

  3. Tıklayın üyeleri.Click Members.

    Azure AD rolleri - gösteren rolü ve etkinleştirme stat üyelerini listeleyin.

  4. Kaldırmak istediğiniz bir rol ataması'na tıklayın.Click a role assignment you want to remove.

  5. Tıklayın daha fazla ve ardından Kaldır.Click More and then click Remove.

    Daha fazla menü seçenekleri ile kalıcı bir rol olan bir kullanıcının listeleme bölmesini açın

  6. Onaylamanızı ister iletisinde tıklayın Evet.In the message that asks you to confirm, click Yes.

    Rolden üyeyi kaldırma isteyip istemediğinizi soran ileti

    Rol ataması kaldırıldı.The role assignment is removed.

Rol atamasını yaparken Yetkilendirme hatasıAuthorization error when assigning roles

MS-PIM hizmet ilkesi henüz uygun izinlere sahip olmadığından bir abonelik için en son PIM etkin ve bir kullanıcı için Azure AD Yönetici rolüne uygun yapmayı denediğinizde bir Yetkilendirme hatası alırsanız olabilir.If you recently enabled PIM for a subscription and you get an authorization error when you try to make a user eligible for an Azure AD admin role, it might be because the MS-PIM service principle does not yet have the appropriate permissions. MS-PIM hizmet ilkesi olmalıdır kullanıcı erişimi Yöneticisi başkalarına rolleri atamak için rol.The MS-PIM service principle must have the User Access Administrator role to assign roles to others. PIM MS kullanıcı erişimi yöneticisi rolü atanmış kadar beklemek yerine uygulamayı el ile atayabilirsiniz.Instead of waiting until MS-PIM is assigned the User Access Administrator role, you can assign it manually.

MS-PIM hizmet sorumlusu bir abonelik için kullanıcı erişimi yöneticisi rolü atamak için aşağıdaki adımları izleyin.Follow these steps to assign the User Access Administrator role to the MS-PIM service principal for a subscription.

  1. Azure portalında genel yönetici olarak oturum açın.Sign into the Azure portal as a Global Administrator.

  2. Seçin tüm hizmetleri ardından abonelikleri.Choose All services and then Subscriptions.

  3. Aboneliğinizi seçin.Choose your subscription.

  4. Erişim denetimi (IAM) öğesini seçin.Choose Access control (IAM).

  5. Seçin rol atamaları abonelik kapsamında rol atamaları geçerli listesini görmek için.Choose Role assignments to see the current list of role assignments at the subscription scope.

    Erişim denetimi (IAM) dikey penceresinde bir abonelik için

  6. Denetleme olmadığını MS PIM hizmet sorumlusu atandığı kullanıcı erişimi Yöneticisi rol.Check whether the MS-PIM service principal is assigned the User Access Administrator role.

  7. Aksi takdirde, seçin rol ataması Ekle açmak için rol ataması Ekle bölmesi.If not, choose Add role assignment to open the Add role assignment pane.

  8. İçinde rol aşağı açılan listesinden kullanıcı erişimi Yöneticisi rol.In the Role drop-down list, select the User Access Administrator role.

  9. İçinde seçin listesinde, bulmak ve seçmek MS PIM hizmet sorumlusu.In the Select list, find and select the MS-PIM service principal.

    Rol ataması bölmesi ekleme - MS-PIM hizmet sorumlusunun izinlerini ekleme

  10. Seçin Kaydet rol atamak için.Choose Save to assign the role.

    Birkaç dakika sonra MS-PIM hizmet sorumlusu abonelik kapsamında kullanıcı erişimi yöneticisi rolü atanır.After a few moments, the MS-PIM service principal is assigned the User Access Administrator role at the subscription scope.

    Kullanıcı erişimi yöneticisi rol ataması için MS-PIM gösteren erişim denetimi (IAM) dikey penceresi

Sonraki adımlarNext steps