Upravit

Sdílet prostřednictvím

Aktivace rolí prostředků Azure ve službě Privileged Identity Management

  • Postupy

Použijte Microsoft Entra Privileged Identity Management (PIM), abyste umožnili oprávněným členům rolí pro prostředky Azure naplánovat aktivaci pro budoucí datum a čas. Můžou také vybrat konkrétní dobu aktivace v rámci maximálního počtu (nakonfigurovaných správci).

Tento článek je určený pro členy, kteří potřebují aktivovat svoji roli prostředku Azure ve službě Privileged Identity Management.

Poznámka:

Od března 2023 teď můžete svá zadání aktivovat a zobrazit přístup přímo z oken mimo PIM na webu Azure Portal. Další informace si můžete přečíst zde.

Důležité

Při aktivaci role microsoft Entra PIM dočasně přidá aktivní přiřazení pro tuto roli. Microsoft Entra PIM vytvoří aktivní přiřazení (přiřadí uživatele k roli) během několika sekund. Když dojde k deaktivaci (ruční nebo prostřednictvím vypršení platnosti doby aktivace), Microsoft Entra PIM odebere aktivní přiřazení během sekund.

Aplikace může poskytnout přístup na základě role, která má uživatel. V některých situacích nemusí přístup k aplikacím okamžitě odrážet skutečnost, že uživatel získal přiřazenou nebo odebranou roli. Pokud aplikace dříve ukážela skutečnost, že uživatel nemá roli – když se uživatel pokusí znovu získat přístup k aplikaci, nemusí být poskytnut přístup. Podobně platí, že pokud aplikace dříve ukážela do mezipaměti skutečnost, že uživatel má roli – když je role deaktivována, může uživatel stále získat přístup. Konkrétní situace závisí na architektuře aplikace. U některých aplikací může přihlášení a přihlášení pomoct získat přístup přidaný nebo odebraný.

Požadavky

Nic

Aktivace role

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud potřebujete převzít roli prostředku Azure, můžete požádat o aktivaci pomocí možnosti Navigace moje role ve službě Privileged Identity Management.

Poznámka:

PIM je teď k dispozici v mobilní aplikaci Azure (iOS | Android) pro Microsoft Entra ID a role prostředků Azure. Můžete snadno aktivovat opravňující přiřazení, požádat o prodloužení platnosti těch, kterým vyprší platnost, nebo zkontrolovat stav nevyřízených žádostí. Další informace najdete níže.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte do části Zásady správného řízení>identit Privileged Identity Management>Moje role.

    Snímek obrazovky se stránkou Moje role zobrazující role, které můžete aktivovat

  3. Výběrem rolí prostředků Azure zobrazíte seznam vašich oprávněných rolí prostředků Azure.

    Snímek obrazovky s mými rolemi – stránka Role prostředků Azure

  4. V seznamu rolí prostředků Azure vyhledejte roli, kterou chcete aktivovat.

    Snímek obrazovky s rolemi prostředků Azure – Seznam oprávněných rolí

  5. Výběrem možnosti Aktivovat otevřete stránku Aktivovat.

    Snímek obrazovky otevřeného podokna Aktivovat s oborem, časem spuštění, dobou trvání a důvodem

  6. Pokud vaše role vyžaduje vícefaktorové ověřování, vyberte Před pokračováním možnost Ověřit vaši identitu. Pro každou relaci stačí provést ověření jenom jednou.

  7. Vyberte Ověřit moji identitu a postupujte podle pokynů a poskytněte další ověření zabezpečení.

    Snímek obrazovky s obrazovkou pro zajištění ověření zabezpečení, jako je kód PIN

  8. Pokud chcete zadat omezený obor, otevřete podokno Filtr prostředků výběrem možnosti Obor .

    Osvědčeným postupem je požádat pouze o přístup k potřebným prostředkům. V podokně Filtr prostředků můžete zadat skupiny prostředků nebo prostředky, ke kterým potřebujete přístup.

    Snímek obrazovky s aktivací – podokno filtru prostředků pro zadání oboru

  9. V případě potřeby zadejte vlastní počáteční čas aktivace. Člen by se aktivoval po vybraném čase.

  10. Do pole Důvod zadejte důvod žádosti o aktivaci.

  11. Vyberte Aktivovat.

    Poznámka:

    Pokud role vyžaduje schválení k aktivaci, zobrazí se v pravém horním rohu prohlížeče oznámení, které vás informuje, že žádost čeká na schválení.

Aktivace role pomocí rozhraní ARM API

Privileged Identity Management podporuje příkazy rozhraní API Azure Resource Manageru (ARM) ke správě rolí prostředků Azure, jak je uvedeno v referenčních informacích k rozhraní API ARM PIM. Oprávnění potřebná k používání rozhraní PIM API najdete v tématu Vysvětlení rozhraní API služby Privileged Identity Management.

Pokud chcete aktivovat oprávněné přiřazení role Azure a získat aktivovaný přístup, použijte žádosti o plán přiřazení rolí – Vytvoření rozhraní REST API k vytvoření nového požadavku a zadání objektu zabezpečení, definice role, requestType = SelfActivate a oboru. Pokud chcete volat toto rozhraní API, musíte mít v oboru oprávněné přiřazení role.

Pomocí nástroje GUID vygenerujte jedinečný identifikátor, který se použije pro identifikátor přiřazení role. Identifikátor má formát: 00000000-0000-0000-0000-0000-000000000000.

V následujícím požadavku PUT nahraďte {roleAssignmentScheduleRequestName} identifikátorem GUID přiřazení role.

Další podrobnosti o správě oprávněných rolí pro prostředky Azure najdete v tomto kurzu k rozhraní API ARM PIM.

Následuje ukázkový požadavek HTTP na aktivaci oprávněného přiřazení pro roli Azure.

Žádost

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Request body

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Reakce

Stavový kód: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Zobrazení stavu vašich žádostí

Můžete zobrazit stav čekajících žádostí o aktivaci.

  1. Otevřete Microsoft Entra Privileged Identity Management.

  2. Výběrem možnosti Moje žádosti zobrazíte seznam vaší role Microsoft Entra a žádostí o role prostředků Azure.

    Snímek obrazovky s mými žádostmi – stránka prostředků Azure zobrazující čekající žádosti

  3. Posuňte se doprava a zobrazte sloupec Stav požadavku.

Zrušení čekající žádosti

Pokud nevyžadujete aktivaci role, která vyžaduje schválení, můžete žádost čekající na vyřízení kdykoli zrušit.

  1. Otevřete Microsoft Entra Privileged Identity Management.

  2. Vyberte Moje žádosti.

  3. U role, kterou chcete zrušit, vyberte odkaz Zrušit .

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Snímek obrazovky se seznamem žádostí se zvýrazněnou akcí Zrušit

Deaktivace přiřazení role

Po aktivaci přiřazení role se na portálu PIM pro přiřazení role zobrazí možnost Deaktivovat . Přiřazení role také nemůžete deaktivovat během pěti minut po aktivaci.

Aktivace pomocí webu Azure Portal

Aktivace role Privileged Identity Management je integrovaná do rozšíření fakturace a řízení přístupu (AD) na webu Azure Portal. Zástupci předplatných (fakturace) a řízení přístupu (AD) umožňují aktivovat role PIM přímo z těchto oken.

V okně Předplatná vyberte v vodorovné nabídce příkazů zobrazit oprávněná předplatná a zkontrolujte, jestli máte nárok na přiřazení, která vypršela. Odsud můžete aktivovat oprávněné přiřazení ve stejném podokně.

Snímek obrazovky se zobrazením oprávněných předplatných na stránce Předplatná

Snímek obrazovky se zobrazením oprávněných předplatných na stránce Cost Management: Integrační služba

V řízení přístupu (IAM) pro prostředek teď můžete vybrat Zobrazit můj přístup, abyste viděli aktuálně aktivní a opravňující přiřazení rolí a aktivovali ho přímo.

Snímek obrazovky s aktuálními přiřazeními rolí na stránce Měření

Díky integraci funkcí PIM do různých oken webu Azure Portal umožňuje tato nová funkce získat dočasný přístup k zobrazení nebo úpravám předplatných a prostředků snadněji.

Aktivace rolí PIM pomocí mobilní aplikace Azure

PIM je teď k dispozici v mobilních aplikacích Microsoft Entra ID a Role prostředků Azure v iOSu i Androidu.

  1. Pokud chcete aktivovat oprávněné přiřazení role Microsoft Entra, začněte stažením mobilní aplikace Azure (iOS | Android). Aplikaci si můžete stáhnout také výběrem možnosti Otevřít v mobilním zařízení z role > Privileged Identity Management > Role Microsoft Entra.

    Snímek obrazovky ukazuje, jak stáhnout mobilní aplikaci.

  2. Otevřete mobilní aplikaci Azure a přihlaste se. Klikněte na kartu Privileged Identity Management a vyberte Moje role prostředků Azure, abyste zobrazili oprávněná a aktivní přiřazení rolí.

    Snímek obrazovky mobilní aplikace zobrazující správu privilegovaných identit a role uživatele

  3. Vyberte přiřazení role a v podrobnostech o přiřazení role klikněte na Aktivovat akci>. Před kliknutím na Aktivovat v dolní části dokončete kroky k aktivaci a vyplňte všechny požadované podrobnosti.

    Snímek obrazovky mobilní aplikace znázorňující dokončení procesu ověření Na obrázku je tlačítko Aktivovat.

  4. V části Moje role prostředků Azure zobrazte stav žádostí o aktivaci a přiřazení rolí.

    Snímek obrazovky mobilní aplikace zobrazující probíhající aktivaci

Související obsah