Attribuer des rôles dans Azure AD dans Privileged Identity Management

  • Article

Avec Azure Active Directory (Azure AD), un administrateur général peut effectuer des attributions de rôles d'administrateur Azure AD permanentes. Ces attributions de rôles peuvent être créées via le portail Azure ou à l’aide de commandes PowerShell.

Le service Azure AD Privileged Identity Management (PIM) permet également aux Administrateurs de rôle privilégié d’établir des attributions permanentes du rôle Administrateur. En outre, les Administrateurs de rôle privilégié peuvent rendre les utilisateurs éligibles pour les rôles Administrateur d’Azure AD. Un administrateur éligible peut activer le rôle lorsqu’il en a besoin, puis l’autorisation expirera lorsqu’il aura terminé.

Privileged Identity Management prend en charge les rôles Azure AD personnalisés et intégrés. Pour plus d’informations sur les rôles personnalisés Azure AD, consultez Contrôle d’accès en fonction du rôle dans Azure Active Directory.

Notes

Lorsqu’un rôle est affecté, l’affectation :

  • Affectation impossible pour une durée inférieure à cinq minutes
  • Ne peut pas être supprimée dans les cinq minutes suivant l’affectation

Attribuer un rôle

Suivez ces étapes pour rendre un utilisateur éligible pour un rôle d'administrateur Azure AD.

  1. Connectez-vous au Portail Azure à l’aide d’un nom d’utilisateur qui est membre du rôle Administrateur de rôle privilégié.

  2. Ouvrez Azure AD Privileged Identity Management.

  3. Sélectionnez des rôles Azure AD.

  4. Sélectionnez Rôles pour afficher la liste des rôles pour les autorisations Azure AD.

    Capture d’écran de la page « Rôles » avec l’action « Ajouter des affectations » sélectionnée.

  5. Sélectionnez Ajouter des affectations pour ouvrir la page Ajouter des affectations.

  6. Choisissez Sélectionner un rôle pour ouvrir la page Sélectionner un rôle.

    Volet Nouvelle affectation

  7. Sélectionnez un rôle, puis un membre à affecter à ce rôle, puis cliquez sur Suivant.

  8. Dans la liste Type d’affectation du volet Paramètres d’appartenance, sélectionnez Éligible ou Actif.

    • Les attributions éligibles exigent des membres qu’ils effectuent une action pour utiliser ce rôle. Il peut s’agir de procéder à une vérification de l’authentification multifacteur (MFA), de fournir une justification professionnelle ou de demander une approbation aux approbateurs désignés.

    • Les attributions actives n’exigent pas des membres qu’ils effectuent une action pour utiliser ce rôle. Les membres attribués comme étant actifs détiennent à tout moment les privilèges affectés au rôle.

  9. Pour spécifier une durée d’attribution spécifique, ajoutez des zones de date et heure de début et de fin. Lorsque vous avez terminé, sélectionnez Affecter pour créer la nouvelle attribution de rôle.

    • Les affectations permanentes n’ont pas de date d’expiration. Utilisez cette option pour les travailleurs permanents qui ont souvent besoin des autorisations de rôle.

    • Les affectations liées à la durée expireront à la fin d’une période spécifiée. Utilisez cette option avec des travailleurs temporaires ou sous contrat, par exemple, dont la date et l’heure de fin du projet sont connues.

    Paramètres des appartenances - date et heure

  10. Une fois le rôle attribué, une notification d’état d’attribution s’affiche.

    Nouvelle affectation - Notification

Affecter un rôle avec une étendue restreinte

Pour certains rôles, l’étendue des autorisations accordées peut être limitée à une unité d’administration, un principal de service ou une application unique. Cette procédure est un exemple si vous attribuez un rôle qui a l’étendue d’une unité administrative. Pour obtenir la liste des rôles prenant en charge l’étendue via une unité administrative, voir Attribuer des rôles dont l’étendue est délimitée à une unité administrative. Cette fonctionnalité est actuellement déployée dans les organisations Azure AD.

  1. Connectez-vous au Portail Azure avec des autorisations Administrateur de rôle privilégié.

  2. Sélectionnez Azure Active Directory>Rôles et administrateurs.

  3. Sélectionnez Administrateur d’utilisateurs.

    La commande Ajouter une attribution est disponible lorsque vous ouvrez un rôle dans le portail

  4. Sélectionnez Ajouter des attributions.

    Quand un rôle prend en charge l’étendue, vous pouvez sélectionner une étendue

  5. Sur la page Ajouter des affectations, vous pouvez :

    • Sélectionner un utilisateur ou un groupe à affecter au rôle
    • Sélectionner l’étendue du rôle (dans ce cas, unités administratives)
    • Sélectionner une unité administrative pour l’étendue

Pour plus d’informations sur la création d’unités administratives, voir Ajouter et supprimer des unités administratives.

Attribuer un rôle à l’aide de l’API Microsoft Graph

Pour plus d’informations sur les API Microsoft Graph pour PIM, consultez Vue d’ensemble de la gestion des rôles via l’API PIM (Privileged Identity Management).

Pour obtenir les autorisations requises pour utiliser l’API PIM, consultez Comprendre les API de la Gestion de l’identité managée.

Éligible sans date de fin

Voici un exemple de requête HTTP pour créer une attribution éligible sans date de fin. Pour plus d’informations sur les commandes d’API, y compris obtenir des exemples de requêtes dans des langages comme C# et JavaScript, consultez Créer unifiedRoleEligibilityScheduleRequest.

Demande HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Permanently assign the Global Reader to the auditor",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

Réponse HTTP

Voici un exemple de réponse. L’objet de réponse illustré ici peut être abrégé pour une meilleure lisibilité.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T13:40:33.2364309Z",
    "completedDateTime": "2022-05-13T13:40:34.6270851Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "justification": "Permanently assign the Global Reader to the auditor",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T13:40:34.6270851Z",
        "recurrence": null,
        "expiration": {
            "type": "noExpiration",
            "endDateTime": null,
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Actif et lié au temps

Voici un exemple de requête HTTP pour créer une attribution active qui est liée au temps. Pour plus d’informations sur les commandes d’API, y compris obtenir des exemples de requêtes dans des langages comme C# et JavaScript, consultez Créer roleAssignmentScheduleRequests.

Demande HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "adminAssign",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

Réponse HTTP

Voici un exemple de réponse. L’objet de réponse illustré ici peut être abrégé pour une meilleure lisibilité.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T14:01:48.0145711Z",
    "completedDateTime": "2022-05-13T14:01:49.8589701Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T14:01:49.8589701Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Mettre à jour ou supprimer une attribution de rôle existante

Suivez ces étapes pour mettre à jour ou supprimer une attribution de rôle existante. Clients titulaires d’une licence Azure AD P2 uniquement : n’affectez pas un groupe actif à un rôle à la fois par le biais d’Azure AD et de Privileged Identity Management (PIM). Pour une explication détaillée, consultez Problèmes connus.

  1. Ouvrez Azure AD Privileged Identity Management.

  2. Sélectionnez des rôles Azure AD.

  3. Sélectionnez Rôles pour afficher la liste des rôles pour Azure AD.

  4. Sélectionnez le rôle que vous souhaitez mettre à jour ou supprimer.

  5. Recherchez l’attribution de rôle sous les onglets Rôles éligibles et Rôles actifs.

    Mettre à jour ou supprimer une attribution de rôle

  6. Sélectionnez Mettre à jour ou Supprimer pour mettre à jour ou supprimer l’attribution de rôle.

Supprimer l’attribution éligible via l’API Microsoft Graph

L’exemple suivant est une requête HTTP pour révoquer une attribution éligible à un rôle d’un principal. Pour plus d’informations sur les commandes d’API, y compris obtenir des exemples de requêtes dans des langages comme C# et JavaScript, consultez Créer unifiedRoleEligibilityScheduleRequest.

Requête

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests 

{ 
    "action": "AdminRemove", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b" 
}

response

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de", 
    "status": "Revoked", 
    "createdDateTime": "2021-07-15T20:23:23.85453Z", 
    "completedDateTime": null, 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminRemove", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": null, 
    "justification": "test", 
    "scheduleInfo": null, 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
}

Étapes suivantes