Activer mes rôles de ressources Azure dans Privileged Identity Management

Utilisez Microsoft Entra Privileged Identity Management (PIM) pour autoriser les membres de rôle éligibles pour les ressources Azure à planifier l’activation pour une date et une heure ultérieures. Ils peuvent également sélectionner une durée d’activation spécifique au maximum (configurée par les administrateurs).

Cet article concerne les membres qui doivent activer leur rôle de ressource Azure dans Privileged Identity Management.

Remarque

À compter de mars 2023, vous pouvez maintenant activer vos affectations et afficher votre accès directement à partir des panneaux en dehors de PIM dans le portail Azure. En savoir plus ici.

Important

Lorsqu’un rôle est activé, Microsoft Entra PIM ajoute temporairement une attribution active pour le rôle. Microsoft Entra PIM crée une attribution active (affecte l’utilisateur à un rôle) en quelques secondes. Lorsque la désactivation (manuelle ou via l’expiration du délai d’activation) se produit, Microsoft Entra PIM supprime également l’affectation active en quelques secondes.

L’application peut fournir un accès en fonction du rôle dont dispose l’utilisateur. Dans certains cas, l’accès aux applications peut ne pas refléter immédiatement le fait que l’utilisateur a obtenu le rôle attribué ou supprimé. Si l’application a précédemment mis en cache le fait que l’utilisateur n’a pas de rôle : lorsque l’utilisateur tente à nouveau d’accéder à l’application, l’accès peut ne pas être fourni. De même, si l’application a précédemment mis en cache le fait que l’utilisateur a un rôle : lorsque le rôle est désactivé, l’utilisateur peut toujours obtenir l’accès. La situation spécifique dépend de l’architecture de l’application. Pour certaines applications, la déconnexion et la connexion peuvent aider à obtenir l’accès ajouté ou supprimé.

Prérequis

Aucun

Activer un rôle

Lorsque vous devez prendre un rôle de ressource Azure, vous pouvez demander l’activation à l’aide de l’option de navigation Mes rôles dans Privileged Identity Management.

Remarque

PIM est désormais disponible dans l’application mobile Azure (iOS | Android) pour les rôles de ressources Microsoft Entra et Microsoft Entra. Activez facilement les affectations éligibles, les renouvellements de demandes pour ceux qui arrivent à expiration ou vérifiez l’état des demandes en attente. En savoir plus ci-dessous

1. Connectez-vous au Centre d’administration Microsoft Entra.

2. Accédez à ID Governance>Privileged Identity Management>Mes rôles.

   

3. Sélectionnez les rôles de ressources Azure pour afficher la liste de vos rôles de ressources Azure éligibles.

   

4. Dans la liste des rôles de ressources Azure , recherchez le rôle que vous souhaitez activer.

   

5. Sélectionnez Activer pour ouvrir la page Activer.

   

6. Si votre rôle nécessite une authentification multifacteur, sélectionnez Vérifier votre identité avant de continuer. Il vous suffit de vous authentifier une seule fois par session.

7. Sélectionnez Vérifier mon identité et suivez les instructions pour fournir une vérification de sécurité supplémentaire.

   

8. Si vous souhaitez spécifier une étendue réduite, sélectionnez Étendue pour ouvrir le volet Filtre de ressources.

   Il est recommandé de demander uniquement l’accès aux ressources dont vous avez besoin. Dans le volet Filtre de ressources, vous pouvez spécifier les groupes de ressources ou les ressources auxquels vous avez besoin d’accéder.

   

9. Si nécessaire, spécifiez une heure de début d’activation personnalisée. Le membre est activé après l’heure sélectionnée.

10. Dans la zone Motif , entrez la raison de la demande d’activation.

11. Sélectionnez Activer.

    Remarque

    Si le rôle nécessite l’approbation pour l’activation, une notification s’affiche dans le coin supérieur droit de votre navigateur pour vous informer que la demande est en attente d’approbation.

Activer un rôle avec l’API Azure Resource Manager

Privileged Identity Management prend en charge les commandes d’API Azure Resource Manager pour gérer les rôles de ressources Azure, comme documenté dans la référence de l’API PIM ARM . Pour connaître les autorisations requises pour utiliser l’API PIM, consultez Comprendre les API Privileged Identity Management.

Pour activer une attribution de rôle Azure éligible et obtenir un accès activé, utilisez les demandes de planification d’attribution de rôle : créez une API REST pour créer une requête et spécifier le principal de sécurité, la définition de rôle, requestType = SelfActivate et l’étendue. Pour appeler cette API, vous devez disposer d’une attribution de rôle éligible sur l’étendue.

Utilisez un outil GUID pour générer un identificateur unique pour l’identificateur d’attribution de rôle. L’identificateur a le format : 0000000-0000-0000-0000-0000-000000000000000000.

Remplacez {roleAssignmentScheduleRequestName} dans la requête PUT par l’identificateur GUID de l’attribution de rôle.

Pour plus d’informations sur les rôles éligibles pour la gestion des ressources Azure, consultez le didacticiel sur l’API ARM PIM.

Il s’agit d’un exemple de requête HTTP permettant d’activer une attribution éligible pour un rôle Azure.

Demander

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Corps de la demande

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
} 

Réponse

Code d’état : 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
} 

Afficher l’état de vos demandes

Vous pouvez afficher l’état de vos demandes en attente à activer.

1. Ouvrez Microsoft Entra Privileged Identity Management.

2. Sélectionnez Mes demandes pour afficher la liste de vos demandes de rôle Microsoft Entra et de rôle de ressource Azure.

   

3. Faites défiler vers la droite pour afficher la colonne État de la demande .

Annuler une demande en attente

Si vous n’avez pas besoin d’activer un rôle qui nécessite une approbation, vous pouvez annuler une demande en attente à tout moment.

1. Ouvrez Microsoft Entra Privileged Identity Management.

2. Sélectionnez Mes demandes.

3. Pour le rôle que vous souhaitez annuler, sélectionnez le lien Annuler .

   When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
   

   

Désactiver une attribution de rôle

Lorsqu’une attribution de rôle est activée, vous voyez une option Désactiver dans le portail PIM pour l’attribution de rôle. En outre, vous ne pouvez pas désactiver une attribution de rôle dans les cinq minutes après l’activation.

Activer avec le portail Azure

L’activation de rôle Privileged Identity Management est intégrée aux extensions de contrôle d’accès et de facturation (AD) dans le portail Azure. Les raccourcis vers les abonnements (facturation) et le contrôle d’accès (AD) vous permettent d’activer des rôles PIM directement à partir de ces panneaux.

Dans le panneau Abonnements, sélectionnez « Afficher les abonnements éligibles » dans le menu de commandes horizontal pour vérifier vos affectations éligibles, actives et expirées. À partir de là, vous pouvez activer une attribution éligible dans le même volet.

Dans Contrôle d’accès (IAM) pour une ressource, vous pouvez désormais sélectionner « Afficher mon accès » pour afficher vos attributions de rôles actives et éligibles et les activer directement.

En intégrant des fonctionnalités PIM dans différents panneaux du portail Azure, cette nouvelle fonctionnalité vous permet d’accéder temporairement à l’affichage ou à la modification des abonnements et des ressources plus facilement.

Activer des rôles PIM à l’aide de l’application mobile Azure

PIM est désormais disponible dans l’ID Microsoft Entra et les rôles de ressources Azure pour les applications mobiles dans iOS et Android.

1. Pour activer une attribution de rôle Microsoft Entra éligible, commencez par télécharger l’application mobile Azure (iOS | Android). Vous pouvez également télécharger l’application en sélectionnant Ouvrir dans mobile à partir de Privileged Identity Management > Mes rôles > Microsoft Entra.

   

2. Ouvrez l’application mobile Azure et connectez-vous. Cliquez sur la carte « Privileged Identity Management » et sélectionnez Mes rôles de ressources Azure pour afficher vos attributions de rôles éligibles et actives.

   

3. Sélectionnez l’attribution de rôle, puis cliquez sur Action > Activer sous les détails de l’attribution de rôle. Effectuez les étapes d’activation et renseignez les détails requis avant de cliquer sur Activer en bas.

   

4. Affichez l’état de vos demandes d’activation et de vos attributions de rôles sous « Mes rôles de ressources Azure ».

   

Contenu connexe

• Étendre ou renouveler des rôles de ressources Azure dans Privileged Identity Management
• Activer mes rôles Microsoft Entra dans Privileged Identity Management

Utilisez Microsoft Entra Privileged Identity Management (PIM) pour autoriser les membres de rôle éligibles pour les ressources Azure à planifier l’activation pour une date et une heure ultérieures. Ils peuvent également sélectionner une durée d’activation spécifique au maximum (configurée par les administrateurs).

Cet article concerne les membres qui doivent activer leur rôle de ressource Azure dans Privileged Identity Management.

Remarque

À compter de mars 2023, vous pouvez maintenant activer vos affectations et afficher votre accès directement à partir des panneaux en dehors de PIM dans le portail Azure. En savoir plus ici.

Important

Lorsqu’un rôle est activé, Microsoft Entra PIM ajoute temporairement une attribution active pour le rôle. Microsoft Entra PIM crée une attribution active (affecte l’utilisateur à un rôle) en quelques secondes. Lorsque la désactivation (manuelle ou via l’expiration du délai d’activation) se produit, Microsoft Entra PIM supprime également l’affectation active en quelques secondes.

L’application peut fournir un accès en fonction du rôle dont dispose l’utilisateur. Dans certains cas, l’accès aux applications peut ne pas refléter immédiatement le fait que l’utilisateur a obtenu le rôle attribué ou supprimé. Si l’application a précédemment mis en cache le fait que l’utilisateur n’a pas de rôle : lorsque l’utilisateur tente à nouveau d’accéder à l’application, l’accès peut ne pas être fourni. De même, si l’application a précédemment mis en cache le fait que l’utilisateur a un rôle : lorsque le rôle est désactivé, l’utilisateur peut toujours obtenir l’accès. La situation spécifique dépend de l’architecture de l’application. Pour certaines applications, la déconnexion et la connexion peuvent aider à obtenir l’accès ajouté ou supprimé.

Lorsque vous devez prendre un rôle de ressource Azure, vous pouvez demander l’activation à l’aide de l’option de navigation Mes rôles dans Privileged Identity Management.

Remarque

PIM est désormais disponible dans l’application mobile Azure (iOS | Android) pour les rôles de ressources Microsoft Entra et Microsoft Entra. Activez facilement les affectations éligibles, les renouvellements de demandes pour ceux qui arrivent à expiration ou vérifiez l’état des demandes en attente. En savoir plus ci-dessous

1. Connectez-vous au Centre d’administration Microsoft Entra.

2. Accédez à ID Governance>Privileged Identity Management>Mes rôles.

   

3. Sélectionnez les rôles de ressources Azure pour afficher la liste de vos rôles de ressources Azure éligibles.

   

4. Dans la liste des rôles de ressources Azure , recherchez le rôle que vous souhaitez activer.

   

5. Sélectionnez Activer pour ouvrir la page Activer.

   

6. Si votre rôle nécessite une authentification multifacteur, sélectionnez Vérifier votre identité avant de continuer. Il vous suffit de vous authentifier une seule fois par session.

7. Sélectionnez Vérifier mon identité et suivez les instructions pour fournir une vérification de sécurité supplémentaire.

   

8. Si vous souhaitez spécifier une étendue réduite, sélectionnez Étendue pour ouvrir le volet Filtre de ressources.

   Il est recommandé de demander uniquement l’accès aux ressources dont vous avez besoin. Dans le volet Filtre de ressources, vous pouvez spécifier les groupes de ressources ou les ressources auxquels vous avez besoin d’accéder.

   

9. Si nécessaire, spécifiez une heure de début d’activation personnalisée. Le membre est activé après l’heure sélectionnée.

10. Dans la zone Motif , entrez la raison de la demande d’activation.

11. Sélectionnez Activer.

    Remarque

    Si le rôle nécessite l’approbation pour l’activation, une notification s’affiche dans le coin supérieur droit de votre navigateur pour vous informer que la demande est en attente d’approbation.

Privileged Identity Management prend en charge les commandes d’API Azure Resource Manager pour gérer les rôles de ressources Azure, comme documenté dans la référence de l’API PIM ARM . Pour connaître les autorisations requises pour utiliser l’API PIM, consultez Comprendre les API Privileged Identity Management.

Pour activer une attribution de rôle Azure éligible et obtenir un accès activé, utilisez les demandes de planification d’attribution de rôle : créez une API REST pour créer une requête et spécifier le principal de sécurité, la définition de rôle, requestType = SelfActivate et l’étendue. Pour appeler cette API, vous devez disposer d’une attribution de rôle éligible sur l’étendue.

Utilisez un outil GUID pour générer un identificateur unique pour l’identificateur d’attribution de rôle. L’identificateur a le format : 0000000-0000-0000-0000-0000-000000000000000000.

Remplacez {roleAssignmentScheduleRequestName} dans la requête PUT par l’identificateur GUID de l’attribution de rôle.

Pour plus d’informations sur les rôles éligibles pour la gestion des ressources Azure, consultez le didacticiel sur l’API ARM PIM.

Il s’agit d’un exemple de requête HTTP permettant d’activer une attribution éligible pour un rôle Azure.

Demander

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Corps de la demande

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
} 

Réponse

Code d’état : 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
} 

Vous pouvez afficher l’état de vos demandes en attente à activer.

1. Ouvrez Microsoft Entra Privileged Identity Management.

2. Sélectionnez Mes demandes pour afficher la liste de vos demandes de rôle Microsoft Entra et de rôle de ressource Azure.

   

3. Faites défiler vers la droite pour afficher la colonne État de la demande .

Si vous n’avez pas besoin d’activer un rôle qui nécessite une approbation, vous pouvez annuler une demande en attente à tout moment.

1. Ouvrez Microsoft Entra Privileged Identity Management.

2. Sélectionnez Mes demandes.

3. Pour le rôle que vous souhaitez annuler, sélectionnez le lien Annuler .

   When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
   

   

Lorsqu’une attribution de rôle est activée, vous voyez une option Désactiver dans le portail PIM pour l’attribution de rôle. En outre, vous ne pouvez pas désactiver une attribution de rôle dans les cinq minutes après l’activation.

Activer avec le portail Azure

L’activation de rôle Privileged Identity Management est intégrée aux extensions de contrôle d’accès et de facturation (AD) dans le portail Azure. Les raccourcis vers les abonnements (facturation) et le contrôle d’accès (AD) vous permettent d’activer des rôles PIM directement à partir de ces panneaux.

Dans le panneau Abonnements, sélectionnez « Afficher les abonnements éligibles » dans le menu de commandes horizontal pour vérifier vos affectations éligibles, actives et expirées. À partir de là, vous pouvez activer une attribution éligible dans le même volet.

Dans Contrôle d’accès (IAM) pour une ressource, vous pouvez désormais sélectionner « Afficher mon accès » pour afficher vos attributions de rôles actives et éligibles et les activer directement.

En intégrant des fonctionnalités PIM dans différents panneaux du portail Azure, cette nouvelle fonctionnalité vous permet d’accéder temporairement à l’affichage ou à la modification des abonnements et des ressources plus facilement.

Activer des rôles PIM à l’aide de l’application mobile Azure

PIM est désormais disponible dans l’ID Microsoft Entra et les rôles de ressources Azure pour les applications mobiles dans iOS et Android.

1. Pour activer une attribution de rôle Microsoft Entra éligible, commencez par télécharger l’application mobile Azure (iOS | Android). Vous pouvez également télécharger l’application en sélectionnant Ouvrir dans mobile à partir de Privileged Identity Management > Mes rôles > Microsoft Entra.

   

2. Ouvrez l’application mobile Azure et connectez-vous. Cliquez sur la carte « Privileged Identity Management » et sélectionnez Mes rôles de ressources Azure pour afficher vos attributions de rôles éligibles et actives.

   

3. Sélectionnez l’attribution de rôle, puis cliquez sur Action > Activer sous les détails de l’attribution de rôle. Effectuez les étapes d’activation et renseignez les détails requis avant de cliquer sur Activer en bas.

   

4. Affichez l’état de vos demandes d’activation et de vos attributions de rôles sous « Mes rôles de ressources Azure ».