Kullanıcılara Azure AD rolleri atama
Azure AD (Azure AD) Azure Active Directory kullanıcılara erişim vermek için Azure AD rollerini atarsiniz. Rol, bir izin koleksiyonudur. Bu makalede, Azure AD rollerinin Azure AD rollerini Azure portal PowerShell kullanılarak nasıl atanma açıklanmıştır.
Önkoşullar
- Ayrıcalıklı Rol Yöneticisi veya Genel Yönetici
- Azure AD Premium P2 (PIM) Privileged Identity Management lisans
- PowerShell kullanırken AzureADPreview modülü
- Microsoft Graph API için Graph gezginini kullanırken yönetici onayı
Daha fazla bilgi için bkz. PowerShell veya Graph Gezgini'ni kullanma önkoşulları.
Azure portal
Azure AD rollerini atamak için aşağıdaki adımları izleyin ve Azure portal. Azure AD Hizmeti'nin (PIM) etkin olup Privileged Identity Management deneyiminiz farklı olur.
Rol atama
Kullanılabilir Azure Active Directory > listesini görmek için Rol ve Yöneticiler'i seçin.
Atamalarını görmek için bir rol seçin.
Size gereken rolü bu konuda yardımcı olmak için, Rolleri filtrelemek için Filtre ekle'yi kullanın.
Atama ekle'yi ve ardından bu role atamak istediğiniz kullanıcıları seçin.
Aşağıdaki resimden farklı bir şey görüyorsanız PIM'i etkinleştirmiş olabilirsiniz. Sonraki bölüme bakın.
Rolü atamak için Ekle'yi seçin.
PIM kullanarak rol atama
Azure AD Privileged Identity Management (PIM) etkinleştirdiyseniz, ek rol atama özelliklerine sahipsinizdir. Örneğin, bir kullanıcının bir rol için uygun hale veya süreyi ayarlaması gerekir. PIM etkinleştirildiğinde, rol atamayı kullanarak iki yol Azure portal. Roller ve yöneticiler sayfasını veya PIM deneyimini kullanabilirsiniz. Her iki şekilde de aynı PIM hizmeti kullanır.
Roller ve yöneticiler sayfasını kullanarak rol atamak için bu adımları izleyin. Privileged Identity Management sayfasını kullanarak roller atamak Privileged Identity Management. Azure AD rollerini Privileged Identity Management.
Kullanılabilir Azure Active Directory > listesini görmek için Rol ve Yöneticiler'i seçin.
Uygun, etkin ve süresi dolmuş rol atamalarını görmek için bir rol seçin.
Size gereken rolü bu konuda yardımcı olmak için, Rolleri filtrelemek için Filtre ekle'yi kullanın.
Atama ekle'yi seçin.
Üye seçilmedi'yi ve ardından bu role atamak istediğiniz kullanıcıları seçin.
İleri’yi seçin.
Ayar sekmesinde, bu rol atamasını Uygun mu yoksa Etkin mi yapmak istediğinize karar verilsin.
Uygun rol ataması, kullanıcının rolü kullanmak için bir veya daha fazla eylem gerçekleştirmesi gerektiğini gösterir. Etkin rol ataması, kullanıcının rolü kullanmak için herhangi bir eylem gerçekleştirmesi gerek olmadığını gösterir. Bu ayarların ne anlama geliyor hakkında daha fazla bilgi için bkz. PIM terminolojisi.
Atama süresini ayarlamak için kalan seçenekleri kullanın.
Rolü atamak için Ata'ya seçin.
PowerShell
PowerShell kullanarak Azure AD rollerini atamak için bu adımları izleyin.
Kurulum
Bir PowerShell penceresi açın ve AzureADPreview modülünü içeri aktarın. Daha fazla bilgi için bkz. PowerShell veya Graph Gezgini'ni kullanma önkoşulları.
Import-Module -Name AzureADPreview -ForcePowerShell penceresinde Bağlan-AzureAD kullanarak kiracınız için oturum açın.
Connect-AzureADRol atamak istediğiniz kullanıcıya almak için Get-AzureADUser kullanın.
$user = Get-AzureADUser -Filter "userPrincipalName eq 'user@contoso.com'"
Rol atama
Atamak istediğiniz rolü almak için Get-AzureADMSRoleDefinition kullanın.
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"Rolü atamak için New-AzureADMSRoleAssignment kullanın.
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
PIM kullanarak uygun olarak rol atama
PIM etkinse, bir kullanıcıya rol ataması için uygun yapma veya rol ataması için başlangıç ve bitiş saati tanımlama gibi ek özelliklere sahip olursanız. Bu özellikler farklı bir PowerShell komutları kümesi kullanır. PowerShell ve PIM kullanma hakkında daha fazla bilgi için bkz. PowerShell for Azure AD rolleri Privileged Identity Management..
Atamak istediğiniz rolü almak için Get-AzureADMSRoleDefinition kullanın.
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"Ayrıcalıklı kaynağı almak için Get-AzureADMSPrivilegedResource kullanın. Bu durumda kiracınız.
$aadTenant = Get-AzureADMSPrivilegedResource -ProviderId aadRolesRol ataması başlangıç ve bitiş saatlerini tanımlamak üzere yeni bir nesne oluşturmak için New-Object
AzureADMSPrivilegedSchedulekullanın.$schedule = New-Object Microsoft.Open.MSGraph.Model.AzureADMSPrivilegedSchedule $schedule.Type = "Once" $schedule.StartDateTime = (Get-Date).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.fffZ") $schedule.EndDateTime = "2021-07-25T20:00:00.000Z"Rolü uygun olarak atamak için Open-AzureADMSPrivilegedRoleAssignmentRequest kullanın.
$roleAssignmentEligible = Open-AzureADMSPrivilegedRoleAssignmentRequest -ProviderId 'aadRoles' -ResourceId $aadTenant.Id -RoleDefinitionId $roleDefinition.Id -SubjectId $user.objectId -Type 'AdminAdd' -AssignmentState 'Eligible' -schedule $schedule -reason "Review billing info"
Microsoft Graph API
Graph Explorer'da Microsoft Graph API'sini kullanarak rol atamak için Graph izleyin.
Rol atama
Bu örnekte, objectID değerine sahip bir güvenlik sorumlusuna kiracı kapsamında Faturalama Yöneticisi f8ca5a85-489a-49a0-b555-0a6d81e56f0d rolü (rol b0f54661-2d74-4c50-afa3-1ec803f12efe tanımı kimliği) atanır. Tüm yerleşik rollerin sabit rol şablonu kimliklerinin listesini görmek için bkz. Azure AD yerleşik rolleri.
- Graph Explorer'da oturum açın.
- Açılan listeden HTTP yöntemi olarak POST'yi seçin.
- API sürümünü beta olarak seçin.
- Rol atamak için roleAssignments API'sini kullanın. URL'ye ve İstek Gövdesi'ne aşağıdaki ayrıntıları ekleyin ve Sorguyu çalıştır'ı seçin.
POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
Content-type: application/json
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
"directoryScopeId": "/"
}
PIM kullanarak rol atama
Bu örnekte, objectID değerine sahip bir güvenlik sorumlusuna Faturalama Yöneticisi'ne (rol tanımı f8ca5a85-489a-49a0-b555-0a6d81e56f0d kimliği) 180 gün süreyle zaman sınırı uygun rol b0f54661-2d74-4c50-afa3-1ec803f12efe ataması atanır.
- Graph Explorer'da oturum açın.
- Açılan listeden HTTP yöntemi olarak POST'yi seçin.
- API sürümünü beta olarak seçin.
- URL'ye ve İstek Gövdesi'ne aşağıdaki ayrıntıları ekleyin ve Sorguyu çalıştır'ı seçin.
POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json
{
"action": "AdminAssign",
"justification": "for managing admin tasks",
"directoryScopeId": "/",
"principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
"roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"scheduleInfo": {
"startDateTime": "2021-07-15T19:15:08.941Z",
"expiration": {
"type": "AfterDuration",
"duration": "PT180D"
}
}
}
Aşağıdaki örnekte, bir güvenlik sorumlusuna Faturalama Yöneticisi'ne kalıcı bir uygun rol ataması atanır.
POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json
{
"action": "AdminAssign",
"justification": "for managing admin tasks",
"directoryScopeId": "/",
"principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
"roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"scheduleInfo": {
"startDateTime": "2021-07-15T19:15:08.941Z",
"expiration": {
"type": "NoExpiration"
}
}
}
Rol atamasını etkinleştirmek için aşağıdaki API'yi kullanın.
POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests
Content-type: application/json
{
"action": "SelfActivate",
"justification": "activating role assignment for admin privileges",
"roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"directoryScopeId": "/",
"principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}