Azure AD rollerini Privileged Identity Management

  • Makale
  • Okumak için 4 dakika

Azure Active Directory (Azure AD) ile bir Genel yönetici Azure AD yönetici rolü atamaları kalıcı hale gelir. Bu rol atamaları, Azure portal veya PowerShell komutları kullanılarak oluşturulabilir.

Azure AD Privileged Identity Management (PIM) hizmeti, Ayrıcalıklı rol yöneticilerinin kalıcı yönetici rolü atamaları yapmalarına da olanak sağlar. Ayrıca Ayrıcalıklı rol yöneticileri, kullanıcıları Azure AD yönetici rolleri için uygun hale de kullanabilir. Uygun bir yönetici, role ihtiyaç olduğunda rolü etkinleştirebilirsiniz ve bu süre sona erdiğinde izinleri sona erer.

Privileged Identity Management yerleşik ve özel Azure AD rollerini destekler. Azure AD özel rolleri hakkında daha fazla bilgi için bkz.Azure Active Directory.

Rol atama

Bir kullanıcının Azure AD yönetici rolüne uygun olması için bu adımları izleyin.

  1. Azure portal rolü üyesi olan bir kullanıcıyla oturum Ayrıcalıklı rol yöneticisi.

  2. Azure AD Privileged Identity Management.

  3. Azure AD rolleri'i seçin.

  4. Azure AD izinlerine yönelik rollerin listesini görmek için Roller'i seçin.

    "Atama ekle" eyleminin seçili olduğu "Roller" sayfasının ekran görüntüsü.

  5. Atama ekle'yi seçerek Atama ekle sayfasını açın.

  6. Rol seçin'i seçerek Rol seçin sayfasını açın.

    Yeni atama bölmesi

  7. Atamak istediğiniz rolü seçin, role atamak istediğiniz üyeyi seçin ve ardından Sonraki'yi seçin.

  8. Üyelik ayarları bölmesindeki Atama türü listesinde Uygun veya Etkin'i seçin.

    • Uygun atamalar, rolü kullanmak için bir eylem gerçekleştirmek üzere rolün üyesini gerektirir. Eylemler çok faktörlü kimlik doğrulaması (MFA) denetimi gerçekleştirmeyi, iş gerekçesi sağlamayı veya belirlenen onaylayanlardan onay isteğinde kullanmayı içerebilir.

    • Etkin atamalar, üyenin rolü kullanmak için herhangi bir eylem gerçekleştirmesi gerektirmez. Etkin olarak atanan üyeler, role her zaman atanmış ayrıcalıklara sahiptir.

  9. Belirli bir atama süresi belirtmek için başlangıç ve bitiş tarihi ve saat kutuları ekleyin. Tamamlandığında, yeni rol ataması oluşturmak için Ata'ya seçin.

    • Kalıcı atamaların sona erme tarihi yoktur. Sık sık rol izinlerine ihtiyacı olan kalıcı çalışanlar için bu seçeneği kullanın.

    • Zaman sınırı olan atamaların süresi, belirtilen sürenin sonunda sona erer. Bu seçeneği, örneğin proje bitiş tarihi ve saati bilinen geçici veya sözleşmeli çalışanlarla kullanın.

    Üyelik ayarları - tarih ve saat

  10. Rol atandıktan sonra bir atama durumu bildirimi görüntülenir.

    Yeni atama - Bildirim

Kısıtlanmış kapsamla rol atama

Belirli roller için verilen izinlerin kapsamı tek bir yönetim birimi, hizmet sorumlusu veya uygulamayla kısıtlanabilir. Bu yordam, bir yönetim biriminin kapsamına sahip bir rol atamaya örnektir. Yönetim birimi aracılığıyla kapsamı destekleyen rollerin listesi için bkz. Kapsamlı rolleri bir yönetim birimine atama. Bu özellik şu anda Azure AD kuruluşlarına aktarılmış durumdadır.

  1. Ayrıcalıklı Rol Yöneticisi Azure Active Directory merkezi'nde oturum açın.

  2. Rol Azure Active Directory > yöneticiler'i seçin.

  3. Kullanıcı Yöneticisi'ne seçin.

    Atama ekle komutu, portalda bir rol açabilirsiniz

  4. Atama ekle'yi seçin.

    Bir rol kapsamı desteklediğinde bir kapsam seçin

  5. Atama ekle sayfasında şunları yapabilirsiniz:

    • Role atanacak bir kullanıcı veya grup seçin
    • Rol kapsamını seçin (bu durumda yönetim birimleri)
    • Kapsam için bir yönetim birimi seçin

Yönetim birimleri oluşturma hakkında daha fazla bilgi için bkz. Yönetim birimleri ekleme ve kaldırma.

Graph API'sini kullanarak rol atama

PIM API'sini kullanmak için gereken izinler için bkz. Api'Privileged Identity Management anlama.

Bitiş tarihine sahip değil

Aşağıda, bitiş tarihine sahip bir uygun atama oluşturmak için örnek bir HTTP isteği ve ardından yer vemektedir. C# ve JavaScript gibi örnekler de dahil olmak üzere API komutları hakkında ayrıntılı bilgi için bkz. Create unifiedRoleEligibilityScheduleRequest.

HTTP isteği

POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests 

    "action": "AdminAssign", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "scheduleInfo": { 
        "startDateTime": "2021-07-15T19:15:08.941Z", 
        "expiration": { 
            "type": "NoExpiration"        } 
    } 
{ 
}

HTTP yanıtı

Aşağıda, yanıtın bir örneği ve ardından ve ardından bir örnek ve ardından ve bir yanıt ve bir örnek ve ardından ve bir örnek ve daha sonra ve Burada gösterilen yanıt nesnesi okunabilirlik için kısaltılmış olabilir.

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "<schedule-ID-GUID>", 
    "status": "Provisioned", 
    "createdDateTime": "2021-07-15T19:47:41.0939004Z", 
    "completedDateTime": "2021-07-15T19:47:42.4376681Z", 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminAssign", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": "<schedule-ID-GUID>", 
    "justification": "test", 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "<user-ID-GUID>" 
        } 
    }, 
    "scheduleInfo": { 
        "startDateTime": "2021-07-15T19:47:42.4376681Z", 
        "recurrence": null, 
        "expiration": { 
            "type": "noExpiration", 
            "endDateTime": null, 
            "duration": null 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
}

Etkin ve zaman sınırı

Aşağıda, zaman sınırı olan etkin bir atama oluşturmak için örnek bir HTTP isteği verilsin. C# ve JavaScript gibi örnekler de dahil olmak üzere API komutları hakkında ayrıntılı bilgi için bkz. Create unifiedRoleEligibilityScheduleRequest.

HTTP isteği

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests 

{ 
    "action": "AdminAssign", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "scheduleInfo": { 
        "startDateTime": "2021-07-15T19:15:08.941Z", 
        "expiration": { 
            "type": "AfterDuration", 
            "duration": "PT3H" 
        } 
    } 
}

HTTP yanıtı

Aşağıda, yanıtın bir örneği ve ardından ve ardından bir örnek ve ardından ve bir yanıt ve bir örnek ve ardından ve bir örnek ve daha sonra ve Burada gösterilen yanıt nesnesi okunabilirlik için kısaltılmış olabilir.

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity", 
    "id": "<schedule-ID-GUID>", 
    "status": "Provisioned", 
    "createdDateTime": "2021-07-15T19:15:09.7093491Z", 
    "completedDateTime": "2021-07-15T19:15:11.4437343Z", 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminAssign", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": "<schedule-ID-GUID>", 
    "justification": "test", 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "<user-ID-GUID>" 
        } 
    }, 
    "scheduleInfo": { 
        "startDateTime": "2021-07-15T19:15:11.4437343Z", 
        "recurrence": null, 
        "expiration": { 
            "type": "afterDuration", 
            "endDateTime": null, 
            "duration": "PT3H" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
}

Mevcut rol atamalarını güncelleştirme veya kaldırma

Mevcut rol atamalarını güncelleştirmek veya kaldırmak için bu adımları izleyin. Yalnızca Azure AD P2 lisanslı müşterileri: Bir grubu hem Azure AD hem de Privileged Identity Management (PIM) aracılığıyla etkin olarak atamayın. Ayrıntılı bir açıklama için bkz. Bilinen sorunlar.

  1. Azure AD Privileged Identity Management.

  2. Azure AD rolleri'i seçin.

  3. Azure AD rol listesini görmek için Roller'i seçin.

  4. Güncelleştirmek veya kaldırmak istediğiniz rolü seçin.

  5. Uygun roller veya Etkin roller sekmelerinde rol ataması bulun.

    Rol atamalarını güncelleştirme veya kaldırma

  6. Rol atamalarını güncelleştirmek veya kaldırmak için Güncelleştir veya Kaldır'ı seçin.

API aracılığıyla uygun atamayı kaldırma

İstek

POST https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests 

 

{ 
    "action": "AdminRemove", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b" 
}

Yanıt

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de", 
    "status": "Revoked", 
    "createdDateTime": "2021-07-15T20:23:23.85453Z", 
    "completedDateTime": null, 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminRemove", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": null, 
    "justification": "test", 
    "scheduleInfo": null, 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
}

Sonraki adımlar