Sdílet prostřednictvím


Přiřazení Microsoft Entra rolí v Privileged Identity Management

S ID Microsoft Entra může Globální správce trvale přiřazovat role správce Microsoft Entra. Tato přiřazení rolí je možné vytvořit pomocí centra pro správu Microsoft Entra nebo pomocí příkazů PowerShellu.

Služba Microsoft Entra Privileged Identity Management (PIM) také umožňuje správcům privilegovaných rolí přiřazovat role správce trvale. Správci privilegovaných rolí navíc můžou uživatelům poskytnout nárok na role Microsoft Entra správce. Oprávněný správce může roli aktivovat, když ji potřebuje, a po dokončení jeho oprávnění vyprší.

Privileged Identity Management podporují předdefinované i vlastní role Microsoft Entra. Další informace o Microsoft Entra vlastních rolí najdete v tématu Řízení přístupu na základě rolí ve Microsoft Entra ID.

Poznámka

Když je role přiřazená, přiřazení:

  • Nelze je přiřadit na dobu kratší než pět minut.
  • Nelze odebrat do pěti minut od přiřazení.

Přiřazení role

Tímto postupem nastavíte uživatele, který má nárok na roli správce Microsoft Entra.

  1. Přihlaste se k centru pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Přejděte do části Zásady správného řízení>identit Privileged Identity Management>Microsoft Entra role.

  3. Pokud chcete zobrazit seznam rolí pro Microsoft Entra oprávnění, vyberte Role.

    Snímek obrazovky se stránkou Role s vybranou akcí Přidat přiřazení

  4. Výběrem možnosti Přidat zadání otevřete stránku Přidat zadání .

  5. Výběrem možnosti Vybrat roli otevřete stránku Vybrat roli .

    Nové podokno přiřazení

  6. Vyberte roli, kterou chcete přiřadit, vyberte člena, kterému chcete roli přiřadit, a pak vyberte Další.

  7. V seznamu Typ přiřazení v podokně Nastavení členství vyberte Způsobilé nebo Aktivní.

    • Způsobilá přiřazení vyžadují, aby člen role provedl akci, která tuto roli použije. Mezi akce může patřit provedení kontroly vícefaktorového ověřování (MFA), poskytnutí obchodního odůvodnění nebo vyžádání schválení od určených schvalovatelů.

    • Aktivní přiřazení nevyžadují, aby člen pro použití role provedl žádnou akci. Členové přiřazení jako aktivní mají k roli vždy přiřazená oprávnění.

  8. Pokud chcete zadat určitou dobu trvání zadání, přidejte pole počátečního a koncového data a času. Po dokončení vyberte Přiřadit a vytvořte nové přiřazení role.

    • Trvalé přiřazení nemají žádné datum vypršení platnosti. Tuto možnost použijte pro trvalé pracovní procesy, kteří často potřebují oprávnění role.

    • Časově vázaná přiřazení vyprší na konci zadaného období. Tuto možnost použijte například u dočasných nebo smluvních pracovníků, u kterých je známé datum a čas ukončení projektu.

    Nastavení členství – datum a čas

  9. Po přiřazení role se zobrazí oznámení o stavu přiřazení.

    Nové přiřazení – oznámení

Přiřazení role s omezeným oborem

U určitých rolí je možné rozsah udělených oprávnění omezit na jednu jednotku pro správu, instanční objekt nebo aplikaci. Tento postup je příkladem přiřazení role, která má obor jednotky pro správu. Seznam rolí, které podporují obor prostřednictvím jednotky pro správu, najdete v tématu Přiřazení rolí s vymezeným oborem k jednotce pro správu. Tato funkce se v současné době zavádí do Microsoft Entra organizací.

  1. Přihlaste se k centru pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Přejděte na Správci >rolí &identit >Správci rolí&.

  3. Vyberte správce uživatelů.

    Příkaz Přidat přiřazení je k dispozici, když otevřete roli na portálu.

  4. Vyberte Přidat zadání.

    Pokud role podporuje obor, můžete vybrat obor.

  5. Na stránce Přidat zadání můžete:

    • Vyberte uživatele nebo skupinu, které chcete přiřadit k roli.
    • Vyberte obor role (v tomto případě jednotky pro správu).
    • Vyberte jednotku pro správu pro obor.

Další informace o vytváření jednotek pro správu najdete v tématu Přidání a odebrání jednotek pro správu.

Přiřazení role pomocí Microsoft Graph API

Další informace o rozhraních Microsoft Graph API pro PIM najdete v tématu Přehled správy rolí prostřednictvím rozhraní API služby Privileged Identity Management (PIM).

Informace o oprávněních potřebných k použití rozhraní PIM API najdete v tématu Vysvětlení Privileged Identity Management rozhraní API.

Nárok bez koncového data

Následuje ukázkový požadavek HTTP na vytvoření oprávněného přiřazení bez koncového data. Podrobnosti o příkazech rozhraní API, včetně ukázek požadavků v jazycích, jako je C# a JavaScript, najdete v tématu Vytvoření roleEligibilityScheduleRequests.

Požadavek HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Permanently assign the Global Reader to the auditor",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

Odpověď HTTP

Následuje příklad odpovědi. Objekt odpovědi, který tady vidíte, může být kvůli čitelnosti zkrácený.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T13:40:33.2364309Z",
    "completedDateTime": "2022-05-13T13:40:34.6270851Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "justification": "Permanently assign the Global Reader to the auditor",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T13:40:34.6270851Z",
        "recurrence": null,
        "expiration": {
            "type": "noExpiration",
            "endDateTime": null,
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Aktivní a časově vázané

Následuje ukázkový požadavek HTTP na vytvoření aktivního přiřazení, které je časově vázané. Podrobnosti o příkazech rozhraní API, včetně ukázek požadavků v jazycích, jako je C# a JavaScript, najdete v tématu Vytvoření roleAssignmentScheduleRequests.

Požadavek HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "adminAssign",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

Odpověď HTTP

Následuje příklad odpovědi. Objekt odpovědi, který tady vidíte, může být kvůli čitelnosti zkrácený.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T14:01:48.0145711Z",
    "completedDateTime": "2022-05-13T14:01:49.8589701Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T14:01:49.8589701Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Aktualizace nebo odebrání existujícího přiřazení role

Pokud chcete aktualizovat nebo odebrat existující přiřazení role, postupujte podle těchto kroků. Microsoft Entra ID P2 nebo Microsoft Entra ID Governance jenom licencovaní zákazníci: Nepřiřazujte skupinu jako aktivní k roli prostřednictvím ID Microsoft Entra ani Privileged Identity Management (PIM). Podrobné vysvětlení najdete v tématu Známé problémy.

  1. Přihlaste se k centru pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Přejděte do části Zásady správného řízení>identit Privileged Identity Management>Microsoft Entra role.

  3. Výběrem možnosti Role zobrazíte seznam rolí pro id Microsoft Entra.

  4. Vyberte roli, kterou chcete aktualizovat nebo odebrat.

  5. Najděte přiřazení role na kartách Oprávněné role nebo Aktivní role .

    Aktualizace nebo odebrání přiřazení role

  6. Vyberte Aktualizovat nebo odebrat a aktualizujte nebo odeberte přiřazení role.

Odebrání oprávněného zadání prostřednictvím Microsoft Graph API

Následuje ukázkový požadavek HTTP na odvolání oprávněného přiřazení k roli z objektu zabezpečení. Podrobnosti o příkazech rozhraní API, včetně ukázek požadavků v jazycích, jako je C# a JavaScript, najdete v tématu Vytvoření roleEligibilityScheduleRequests.

Žádost

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests 

{ 
    "action": "AdminRemove", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b" 
} 

Odpověď

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de", 
    "status": "Revoked", 
    "createdDateTime": "2021-07-15T20:23:23.85453Z", 
    "completedDateTime": null, 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminRemove", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": null, 
    "justification": "test", 
    "scheduleInfo": null, 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
} 

Další kroky