Přiřazení Azure AD rolí uživatelům

Pokud chcete udělit přístup uživatelům v Azure Active Directory (Azure AD), přiřadíte role Azure AD. Role je kolekce oprávnění. Tento článek popisuje, jak přiřadit role Azure AD pomocí Azure Portal a PowerShellu.

Požadavky

  • Správce privilegovaných rolí nebo globální správce Pokud chcete zjistit, kdo je váš správce privilegovaných rolí nebo globální správce, přečtěte si téma Seznam Azure AD přiřazení rolí.
  • Licence Azure AD Premium P2 při používání služby Privileged Identity Management (PIM)
  • Modul AzureADPreview při používání PowerShellu
  • Souhlas správce při použití nástroje Graph explorer pro Microsoft Graph API

Další informace najdete v tématu Požadavky na používání PowerShellu nebo Graph Exploreru.

portál Azure

Pomocí tohoto postupu přiřaďte Azure AD role pomocí Azure Portal. Vaše prostředí se bude lišit v závislosti na tom, jestli máte povolené Azure AD Privileged Identity Management (PIM).

Přiřazení role

  1. Přihlaste se k webu Azure Portal nebo k Centru pro správu Azure AD.

  2. Výběremmožnosti Role a správciAzure Active Directory> zobrazte seznam všech dostupných rolí.

    Stránka Role a správci v Azure Active Directory

  3. Výběrem role zobrazíte její přiřazení.

    Pokud chcete najít roli, kterou potřebujete, použijte možnost Přidat filtry a vyfiltrujte role.

  4. Vyberte Přidat přiřazení a pak vyberte uživatele, které chcete přiřadit k této roli.

    Pokud vidíte něco jiného než na následujícím obrázku, možná máte PIM povolené. Podívejte se na další část.

    Podokno Přidat přiřazení pro vybranou roli

  5. Výběrem možnosti Přidat roli přiřaďte.

Přiřazení role pomocí PIM

Pokud máte povolené Azure AD Privileged Identity Management (PIM), máte další možnosti přiřazování rolí. Uživatele můžete například nastavit jako oprávněného k roli nebo nastavit dobu trvání. Když je PIM povolený, existují dva způsoby, jak můžete role přiřazovat pomocí Azure Portal. Můžete použít stránku Role a správci nebo prostředí PIM. V obou směrech se používá stejná služba PIM.

Pomocí těchto kroků přiřaďte role pomocí stránky Role a správci . Pokud chcete role přiřazovat pomocí stránky Privileged Identity Management, přečtěte si téma Přiřazení Azure AD rolí v Privileged Identity Management.

  1. Přihlaste se k webu Azure Portal nebo k Centru pro správu Azure AD.

  2. Výběremmožnosti Role a správciAzure Active Directory> zobrazte seznam všech dostupných rolí.

    Stránka Role a správci v Azure Active Directory při povoleném PIM

  3. Výběrem role zobrazíte oprávněná, aktivní a vypršená přiřazení rolí.

    Pokud chcete najít roli, kterou potřebujete, použijte možnost Přidat filtry a vyfiltrujte role.

  4. Vyberte Přidat přiřazení.

  5. Vyberte Není vybraný žádný člen a pak vyberte uživatele, které chcete přiřadit k této roli.

    Stránka Přidat přiřazení a Podokno Vybrat člena s povoleným PIM

  6. Vyberte Další.

  7. Na kartě Nastavení vyberte, jestli chcete toto přiřazení role nastavit jako způsobilé nebo aktivní.

    Oprávněné přiřazení role znamená, že uživatel musí provést jednu nebo více akcí, aby mohl roli použít. Aktivní přiřazení role znamená, že uživatel nemusí provádět žádnou akci, aby mohl roli použít. Další informace o tom, co tato nastavení znamenají, najdete v tématu Terminologie PIM.

    Stránka Přidat přiřazení a karta Nastavení s povoleným PIM

  8. Zbývající možnosti použijte k nastavení doby trvání přiřazení.

  9. Výběrem možnosti Přiřadit přiřaďte roli.

PowerShell

Pomocí následujícího postupu přiřaďte Azure AD role pomocí PowerShellu.

Nastavení

  1. Otevřete okno PowerShellu a pomocí importu modulu Import-Module naimportujte modul AzureADPreview. Další informace najdete v tématu Požadavky na používání PowerShellu nebo Graph Exploreru.

    Import-Module -Name AzureADPreview -Force
    
  2. V okně PowerShellu se pomocí connect-AzureAD přihlaste ke svému tenantovi.

    Connect-AzureAD
    
  3. Pomocí příkazu Get-AzureADUser získejte uživatele, kterému chcete přiřadit roli.

    $user = Get-AzureADUser -Filter "userPrincipalName eq 'user@contoso.com'"
    

Přiřazení role

  1. Pomocí příkazu Get-AzureADMSRoleDefinition získejte roli, kterou chcete přiřadit.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. K přiřazení role použijte New-AzureADMSRoleAssignment .

    $roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
    

Přiřazení role jako způsobilé pomocí PIM

Pokud je PIM povolený, máte k dispozici další možnosti, například nastavení oprávnění uživatele k přiřazení role nebo definování počátečního a koncového času přiřazení role. Tyto funkce používají jinou sadu příkazů PowerShellu. Další informace o používání PowerShellu a PIM najdete v tématu PowerShell pro Azure AD role v Privileged Identity Management.

  1. Pomocí příkazu Get-AzureADMSRoleDefinition získejte roli, kterou chcete přiřadit.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. K získání privilegovaného prostředku použijte Get-AzureADMSPrivilegedResource . V tomto případě je to váš tenant.

    $aadTenant = Get-AzureADMSPrivilegedResource -ProviderId aadRoles
    
  3. Pomocí rutiny New-Object vytvořte nový AzureADMSPrivilegedSchedule objekt, který definuje počáteční a koncový čas přiřazení role.

    $schedule = New-Object Microsoft.Open.MSGraph.Model.AzureADMSPrivilegedSchedule
    $schedule.Type = "Once"
    $schedule.StartDateTime = (Get-Date).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.fffZ")
    $schedule.EndDateTime = "2021-07-25T20:00:00.000Z"
    
  4. Pomocí příkazu Open-AzureADMSPrivilegedRoleAssignmentRequest přiřaďte roli jako oprávněnou.

    $roleAssignmentEligible = Open-AzureADMSPrivilegedRoleAssignmentRequest -ProviderId 'aadRoles' -ResourceId $aadTenant.Id -RoleDefinitionId $roleDefinition.Id -SubjectId $user.objectId -Type 'AdminAdd' -AssignmentState 'Eligible' -schedule $schedule -reason "Review billing info"
    

Microsoft Graph API

Pokud chcete přiřadit roli pomocí Microsoft Graph API, postupujte podle těchto pokynů.

Přiřazení role

V tomto příkladu má objekt zabezpečení s ID f8ca5a85-489a-49a0-b555-0a6d81e56f0d objektu objektu přiřazenou roli správce fakturace (ID b0f54661-2d74-4c50-afa3-1ec803f12efedefinice role) v oboru tenanta. Seznam neměnných ID šablon rolí všech předdefinovaných rolí najdete v tématu Azure AD předdefinovaných rolí.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Přiřazení role pomocí PIM

Přiřazení časově omezeného oprávněného přiřazení role

V tomto příkladu se objektu zabezpečení s ID f8ca5a85-489a-49a0-b555-0a6d81e56f0d objektu objektu přiřadí 180 dnů časově vázané oprávněné přiřazení role správci fakturace (ID b0f54661-2d74-4c50-afa3-1ec803f12efedefinice role).

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT180D"
        }
    }
}

Přiřazení trvalého oprávněného přiřazení role

V následujícím příkladu se objektu zabezpečení přiřadí trvalé oprávněné přiřazení role správci fakturace.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

Aktivace přiřazení role

K aktivaci přiřazení role použijte rozhraní API Create roleAssignmentScheduleRequests .

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
Content-type: application/json

{
    "action": "selfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}

Další informace o správě rolí Azure AD prostřednictvím rozhraní PIM API v Microsoft Graphu najdete v tématu Přehled správy rolí prostřednictvím rozhraní API pro správu privilegovaných identit (PIM).

Další kroky