Kullanıcılara Azure AD rolleri atama

Azure AD (Azure AD) Azure Active Directory kullanıcılara erişim vermek için Azure AD rollerini atarsiniz. Rol, bir izin koleksiyonudur. Bu makalede, Azure AD rollerinin Azure AD rollerini Azure portal PowerShell kullanılarak nasıl atanma açıklanmıştır.

Önkoşullar

  • Ayrıcalıklı Rol Yöneticisi veya Genel Yönetici
  • Azure AD Premium P2 (PIM) Privileged Identity Management lisans
  • PowerShell kullanırken AzureADPreview modülü
  • Microsoft Graph API için Graph gezginini kullanırken yönetici onayı

Daha fazla bilgi için bkz. PowerShell veya Graph Gezgini'ni kullanma önkoşulları.

Azure portal

Azure AD rollerini atamak için aşağıdaki adımları izleyin ve Azure portal. Azure AD Hizmeti'nin (PIM) etkin olup Privileged Identity Management deneyiminiz farklı olur.

Rol atama

  1. Azure portal veya Azure AD yönetim merkezinde oturum açma.

  2. Kullanılabilir Azure Active Directory > listesini görmek için Rol ve Yöneticiler'i seçin.

    Azure Active Directory'da roller ve yöneticiler sayfası.

  3. Atamalarını görmek için bir rol seçin.

    Size gereken rolü bu konuda yardımcı olmak için, Rolleri filtrelemek için Filtre ekle'yi kullanın.

  4. Atama ekle'yi ve ardından bu role atamak istediğiniz kullanıcıları seçin.

    Aşağıdaki resimden farklı bir şey görüyorsanız PIM'i etkinleştirmiş olabilirsiniz. Sonraki bölüme bakın.

    Seçilen rol için atamalar bölmesi ekleyin.

  5. Rolü atamak için Ekle'yi seçin.

PIM kullanarak rol atama

Azure AD Privileged Identity Management (PIM) etkinleştirdiyseniz, ek rol atama özelliklerine sahipsinizdir. Örneğin, bir kullanıcının bir rol için uygun hale veya süreyi ayarlaması gerekir. PIM etkinleştirildiğinde, rol atamayı kullanarak iki yol Azure portal. Roller ve yöneticiler sayfasını veya PIM deneyimini kullanabilirsiniz. Her iki şekilde de aynı PIM hizmeti kullanır.

Roller ve yöneticiler sayfasını kullanarak rol atamak için bu adımları izleyin. Privileged Identity Management sayfasını kullanarak roller atamak Privileged Identity Management. Azure AD rollerini Privileged Identity Management.

  1. Azure portal veya Azure AD yönetim merkezinde oturum açma.

  2. Kullanılabilir Azure Active Directory > listesini görmek için Rol ve Yöneticiler'i seçin.

    PIM etkinleştirildiğinde, Azure Active Directory ve yöneticiler sayfası.

  3. Uygun, etkin ve süresi dolmuş rol atamalarını görmek için bir rol seçin.

    Size gereken rolü bu konuda yardımcı olmak için, Rolleri filtrelemek için Filtre ekle'yi kullanın.

  4. Atama ekle'yi seçin.

  5. Üye seçilmedi'yi ve ardından bu role atamak istediğiniz kullanıcıları seçin.

    Atamalar ekle sayfası ve PIM etkin bir üye bölmesi seçin.

  6. İleri’yi seçin.

  7. Ayar sekmesinde, bu rol atamasını Uygun mu yoksa Etkin mi yapmak istediğinize karar verilsin.

    Uygun rol ataması, kullanıcının rolü kullanmak için bir veya daha fazla eylem gerçekleştirmesi gerektiğini gösterir. Etkin rol ataması, kullanıcının rolü kullanmak için herhangi bir eylem gerçekleştirmesi gerek olmadığını gösterir. Bu ayarların ne anlama geliyor hakkında daha fazla bilgi için bkz. PIM terminolojisi.

    PIM etkinken atamalar sayfası ve Ayar sekmesi ekleyin.

  8. Atama süresini ayarlamak için kalan seçenekleri kullanın.

  9. Rolü atamak için Ata'ya seçin.

PowerShell

PowerShell kullanarak Azure AD rollerini atamak için bu adımları izleyin.

Kurulum

  1. Bir PowerShell penceresi açın ve AzureADPreview modülünü içeri aktarın. Daha fazla bilgi için bkz. PowerShell veya Graph Gezgini'ni kullanma önkoşulları.

    Import-Module -Name AzureADPreview -Force
    
  2. PowerShell penceresinde Bağlan-AzureAD kullanarak kiracınız için oturum açın.

    Connect-AzureAD
    
  3. Rol atamak istediğiniz kullanıcıya almak için Get-AzureADUser kullanın.

    $user = Get-AzureADUser -Filter "userPrincipalName eq 'user@contoso.com'"
    

Rol atama

  1. Atamak istediğiniz rolü almak için Get-AzureADMSRoleDefinition kullanın.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. Rolü atamak için New-AzureADMSRoleAssignment kullanın.

    $roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
    

PIM kullanarak uygun olarak rol atama

PIM etkinse, bir kullanıcıya rol ataması için uygun yapma veya rol ataması için başlangıç ve bitiş saati tanımlama gibi ek özelliklere sahip olursanız. Bu özellikler farklı bir PowerShell komutları kümesi kullanır. PowerShell ve PIM kullanma hakkında daha fazla bilgi için bkz. PowerShell for Azure AD rolleri Privileged Identity Management..

  1. Atamak istediğiniz rolü almak için Get-AzureADMSRoleDefinition kullanın.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. Ayrıcalıklı kaynağı almak için Get-AzureADMSPrivilegedResource kullanın. Bu durumda kiracınız.

    $aadTenant = Get-AzureADMSPrivilegedResource -ProviderId aadRoles
    
  3. Rol ataması başlangıç ve bitiş saatlerini tanımlamak üzere yeni bir nesne oluşturmak için New-Object AzureADMSPrivilegedSchedule kullanın.

    $schedule = New-Object Microsoft.Open.MSGraph.Model.AzureADMSPrivilegedSchedule
    $schedule.Type = "Once"
    $schedule.StartDateTime = (Get-Date).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.fffZ")
    $schedule.EndDateTime = "2021-07-25T20:00:00.000Z"
    
  4. Rolü uygun olarak atamak için Open-AzureADMSPrivilegedRoleAssignmentRequest kullanın.

    $roleAssignmentEligible = Open-AzureADMSPrivilegedRoleAssignmentRequest -ProviderId 'aadRoles' -ResourceId $aadTenant.Id -RoleDefinitionId $roleDefinition.Id -SubjectId $user.objectId -Type 'AdminAdd' -AssignmentState 'Eligible' -schedule $schedule -reason "Review billing info"
    

Microsoft Graph API

Graph Explorer'da Microsoft Graph API'sini kullanarak rol atamak için Graph izleyin.

Rol atama

Bu örnekte, objectID değerine sahip bir güvenlik sorumlusuna kiracı kapsamında Faturalama Yöneticisi f8ca5a85-489a-49a0-b555-0a6d81e56f0d rolü (rol b0f54661-2d74-4c50-afa3-1ec803f12efe tanımı kimliği) atanır. Tüm yerleşik rollerin sabit rol şablonu kimliklerinin listesini görmek için bkz. Azure AD yerleşik rolleri.

  1. Graph Explorer'da oturum açın.
  2. Açılan listeden HTTP yöntemi olarak POST'yi seçin.
  3. API sürümünü beta olarak seçin.
  4. Rol atamak için roleAssignments API'sini kullanın. URL'ye ve İstek Gövdesi'ne aşağıdaki ayrıntıları ekleyin ve Sorguyu çalıştır'ı seçin.
POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

PIM kullanarak rol atama

Bu örnekte, objectID değerine sahip bir güvenlik sorumlusuna Faturalama Yöneticisi'ne (rol tanımı f8ca5a85-489a-49a0-b555-0a6d81e56f0d kimliği) 180 gün süreyle zaman sınırı uygun rol b0f54661-2d74-4c50-afa3-1ec803f12efe ataması atanır.

  1. Graph Explorer'da oturum açın.
  2. Açılan listeden HTTP yöntemi olarak POST'yi seçin.
  3. API sürümünü beta olarak seçin.
  4. URL'ye ve İstek Gövdesi'ne aşağıdaki ayrıntıları ekleyin ve Sorguyu çalıştır'ı seçin.
POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests

Content-type: application/json

{
    "action": "AdminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT180D"
        }
    }
}

Aşağıdaki örnekte, bir güvenlik sorumlusuna Faturalama Yöneticisi'ne kalıcı bir uygun rol ataması atanır.

POST https://graph.microsoft.com/beta/rolemanagement/directory/roleEligibilityScheduleRequests

Content-type: application/json

{
    "action": "AdminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "NoExpiration"
        }
    }
}

Rol atamasını etkinleştirmek için aşağıdaki API'yi kullanın.

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests

Content-type: application/json

{
    "action": "SelfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}

Sonraki adımlar