Přiřazení Azure AD rolí uživatelům
Pokud chcete udělit přístup uživatelům v Azure Active Directory (Azure AD), přiřadíte role Azure AD. Role je kolekce oprávnění. Tento článek popisuje, jak přiřadit role Azure AD pomocí Azure Portal a PowerShellu.
Požadavky
- Správce privilegovaných rolí nebo globální správce Pokud chcete zjistit, kdo je váš správce privilegovaných rolí nebo globální správce, přečtěte si téma Seznam Azure AD přiřazení rolí.
- Licence Azure AD Premium P2 při používání služby Privileged Identity Management (PIM)
- Modul AzureADPreview při používání PowerShellu
- Souhlas správce při použití nástroje Graph explorer pro Microsoft Graph API
Další informace najdete v tématu Požadavky na používání PowerShellu nebo Graph Exploreru.
portál Azure
Pomocí tohoto postupu přiřaďte Azure AD role pomocí Azure Portal. Vaše prostředí se bude lišit v závislosti na tom, jestli máte povolené Azure AD Privileged Identity Management (PIM).
Přiřazení role
Přihlaste se k webu Azure Portal nebo k Centru pro správu Azure AD.
Výběremmožnosti Role a správciAzure Active Directory> zobrazte seznam všech dostupných rolí.
Výběrem role zobrazíte její přiřazení.
Pokud chcete najít roli, kterou potřebujete, použijte možnost Přidat filtry a vyfiltrujte role.
Vyberte Přidat přiřazení a pak vyberte uživatele, které chcete přiřadit k této roli.
Pokud vidíte něco jiného než na následujícím obrázku, možná máte PIM povolené. Podívejte se na další část.
Výběrem možnosti Přidat roli přiřaďte.
Přiřazení role pomocí PIM
Pokud máte povolené Azure AD Privileged Identity Management (PIM), máte další možnosti přiřazování rolí. Uživatele můžete například nastavit jako oprávněného k roli nebo nastavit dobu trvání. Když je PIM povolený, existují dva způsoby, jak můžete role přiřazovat pomocí Azure Portal. Můžete použít stránku Role a správci nebo prostředí PIM. V obou směrech se používá stejná služba PIM.
Pomocí těchto kroků přiřaďte role pomocí stránky Role a správci . Pokud chcete role přiřazovat pomocí stránky Privileged Identity Management, přečtěte si téma Přiřazení Azure AD rolí v Privileged Identity Management.
Přihlaste se k webu Azure Portal nebo k Centru pro správu Azure AD.
Výběremmožnosti Role a správciAzure Active Directory> zobrazte seznam všech dostupných rolí.
Výběrem role zobrazíte oprávněná, aktivní a vypršená přiřazení rolí.
Pokud chcete najít roli, kterou potřebujete, použijte možnost Přidat filtry a vyfiltrujte role.
Vyberte Přidat přiřazení.
Vyberte Není vybraný žádný člen a pak vyberte uživatele, které chcete přiřadit k této roli.
Vyberte Další.
Na kartě Nastavení vyberte, jestli chcete toto přiřazení role nastavit jako způsobilé nebo aktivní.
Oprávněné přiřazení role znamená, že uživatel musí provést jednu nebo více akcí, aby mohl roli použít. Aktivní přiřazení role znamená, že uživatel nemusí provádět žádnou akci, aby mohl roli použít. Další informace o tom, co tato nastavení znamenají, najdete v tématu Terminologie PIM.
Zbývající možnosti použijte k nastavení doby trvání přiřazení.
Výběrem možnosti Přiřadit přiřaďte roli.
PowerShell
Pomocí následujícího postupu přiřaďte Azure AD role pomocí PowerShellu.
Nastavení
Otevřete okno PowerShellu a pomocí importu modulu Import-Module naimportujte modul AzureADPreview. Další informace najdete v tématu Požadavky na používání PowerShellu nebo Graph Exploreru.
Import-Module -Name AzureADPreview -ForceV okně PowerShellu se pomocí connect-AzureAD přihlaste ke svému tenantovi.
Connect-AzureADPomocí příkazu Get-AzureADUser získejte uživatele, kterému chcete přiřadit roli.
$user = Get-AzureADUser -Filter "userPrincipalName eq 'user@contoso.com'"
Přiřazení role
Pomocí příkazu Get-AzureADMSRoleDefinition získejte roli, kterou chcete přiřadit.
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"K přiřazení role použijte New-AzureADMSRoleAssignment .
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
Přiřazení role jako způsobilé pomocí PIM
Pokud je PIM povolený, máte k dispozici další možnosti, například nastavení oprávnění uživatele k přiřazení role nebo definování počátečního a koncového času přiřazení role. Tyto funkce používají jinou sadu příkazů PowerShellu. Další informace o používání PowerShellu a PIM najdete v tématu PowerShell pro Azure AD role v Privileged Identity Management.
Pomocí příkazu Get-AzureADMSRoleDefinition získejte roli, kterou chcete přiřadit.
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"K získání privilegovaného prostředku použijte Get-AzureADMSPrivilegedResource . V tomto případě je to váš tenant.
$aadTenant = Get-AzureADMSPrivilegedResource -ProviderId aadRolesPomocí rutiny New-Object vytvořte nový
AzureADMSPrivilegedScheduleobjekt, který definuje počáteční a koncový čas přiřazení role.$schedule = New-Object Microsoft.Open.MSGraph.Model.AzureADMSPrivilegedSchedule $schedule.Type = "Once" $schedule.StartDateTime = (Get-Date).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.fffZ") $schedule.EndDateTime = "2021-07-25T20:00:00.000Z"Pomocí příkazu Open-AzureADMSPrivilegedRoleAssignmentRequest přiřaďte roli jako oprávněnou.
$roleAssignmentEligible = Open-AzureADMSPrivilegedRoleAssignmentRequest -ProviderId 'aadRoles' -ResourceId $aadTenant.Id -RoleDefinitionId $roleDefinition.Id -SubjectId $user.objectId -Type 'AdminAdd' -AssignmentState 'Eligible' -schedule $schedule -reason "Review billing info"
Microsoft Graph API
Pokud chcete přiřadit roli pomocí Microsoft Graph API, postupujte podle těchto pokynů.
Přiřazení role
V tomto příkladu má objekt zabezpečení s ID f8ca5a85-489a-49a0-b555-0a6d81e56f0d objektu objektu přiřazenou roli správce fakturace (ID b0f54661-2d74-4c50-afa3-1ec803f12efedefinice role) v oboru tenanta. Seznam neměnných ID šablon rolí všech předdefinovaných rolí najdete v tématu Azure AD předdefinovaných rolí.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
"directoryScopeId": "/"
}
Přiřazení role pomocí PIM
Přiřazení časově omezeného oprávněného přiřazení role
V tomto příkladu se objektu zabezpečení s ID f8ca5a85-489a-49a0-b555-0a6d81e56f0d objektu objektu přiřadí 180 dnů časově vázané oprávněné přiřazení role správci fakturace (ID b0f54661-2d74-4c50-afa3-1ec803f12efedefinice role).
POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json
{
"action": "adminAssign",
"justification": "for managing admin tasks",
"directoryScopeId": "/",
"principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
"roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"scheduleInfo": {
"startDateTime": "2021-07-15T19:15:08.941Z",
"expiration": {
"type": "afterDuration",
"duration": "PT180D"
}
}
}
Přiřazení trvalého oprávněného přiřazení role
V následujícím příkladu se objektu zabezpečení přiřadí trvalé oprávněné přiřazení role správci fakturace.
POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json
{
"action": "adminAssign",
"justification": "for managing admin tasks",
"directoryScopeId": "/",
"principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
"roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"scheduleInfo": {
"startDateTime": "2021-07-15T19:15:08.941Z",
"expiration": {
"type": "noExpiration"
}
}
}
Aktivace přiřazení role
K aktivaci přiřazení role použijte rozhraní API Create roleAssignmentScheduleRequests .
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
Content-type: application/json
{
"action": "selfActivate",
"justification": "activating role assignment for admin privileges",
"roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"directoryScopeId": "/",
"principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}
Další informace o správě rolí Azure AD prostřednictvím rozhraní PIM API v Microsoft Graphu najdete v tématu Přehled správy rolí prostřednictvím rozhraní API pro správu privilegovaných identit (PIM).