Azure AD szerepkör beállításainak konfigurálása a Privileged Identity Management

A kiemelt szerepkörök rendszergazdái testre szabhatják a Privileged Identity Management (PIM)-t az Azure Active Directory-szervezetükben (Azure AD), beleértve a jogosult szerepkör-hozzárendelést aktiváló felhasználók felhasználói élményének módosítását is. Az értesítéseket kiváltó PIM-eseményekről és arról, hogy mely rendszergazdák kapják meg azokat, olvassa el Email értesítéseket a Privileged Identity Management

Szerepkörbeállítások megnyitása

Az alábbi lépéseket követve nyissa meg egy Azure AD szerepkör beállításait.

  1. Jelentkezzen be a Azure Portal egy felhasználóval a Privileged Role Administrator szerepkörben.

  2. Nyissa meg Azure AD Privileged Identity Management>Azure AD szerepkörök>szerepkör-beállításait.

    Szerepkör-beállítások lap Azure AD szerepkörök listázása

  3. Válassza ki azt a szerepkört, amelynek a beállításait konfigurálni szeretné.

    Szerepkör-beállítás részleteinek lapja, amely több hozzárendelési és aktiválási beállítást sorol fel

  4. Válassza a Szerkesztés lehetőséget a Szerepkörbeállítások lap megnyitásához.

    Szerepkör-beállítások szerkesztése lap a hozzárendelési és aktiválási beállítások frissítésére használható beállításokkal

    Az egyes szerepkörök Szerepkörbeállítás paneljén több beállítást is konfigurálhat.

Hozzárendelés időtartama

A szerepkörök beállításainak konfigurálásakor az egyes hozzárendeléstípusokhoz (jogosult és aktív) két hozzárendelési időtartam közül választhat. Ezek a beállítások lesznek az alapértelmezett maximális időtartamok, amikor egy felhasználó hozzá van rendelve a szerepkörhöz a Privileged Identity Management.

Az alábbi jogosult hozzárendelési időtartamok közül választhat:

Beállítás Leírás
Állandó jogosult hozzárendelés engedélyezése A globális rendszergazdák és a kiemelt szerepkörök rendszergazdái állandó jogosult hozzárendelést rendelhetnek hozzá.
A jogosult hozzárendelés lejárata után A globális rendszergazdák és a kiemelt szerepkörök rendszergazdái megkövetelhetik, hogy minden jogosult hozzárendelésnek rendelkeznie kell egy megadott kezdő és záró dátummal.

Az aktív hozzárendelés időtartamára a következő lehetőségek közül választhat:

Beállítás Leírás
Állandó aktív hozzárendelés engedélyezése A globális rendszergazdák és a kiemelt szerepkörök rendszergazdái állandó aktív hozzárendelést rendelhetnek hozzá.
Az aktív hozzárendelés lejárata után A globális rendszergazdák és a kiemelt szerepkörök rendszergazdái megkövetelhetik, hogy minden aktív hozzárendelésnek meg kell adnia a kezdési és befejezési dátumot.

Megjegyzés

A globális rendszergazdák és a kiemelt szerepkörök rendszergazdái megújíthatják a megadott befejezési dátummal rendelkező összes hozzárendelést. Emellett a felhasználók önkiszolgáló kéréseket is kezdeményezhetnek a szerepkör-hozzárendelések meghosszabbításához vagy megújításához.

Többtényezős hitelesítés megkövetelése

Privileged Identity Management biztosítja a többtényezős hitelesítés Azure AD érvényesítését az aktiválás és az aktív hozzárendelés során.

Aktiválás esetén

Az aktiválás előtt megkövetelheti a szerepkörre jogosult felhasználóktól, hogy igazolják, ki használja Azure AD Multi-Factor Authenticationt. A többtényezős hitelesítés biztosítja, hogy a felhasználó az, akinek mondja magát, ésszerű bizonyossággal. A beállítás kényszerítése megvédi a kritikus erőforrásokat olyan helyzetekben, amikor a felhasználói fiók biztonsága sérülhetett.

Ha többtényezős hitelesítést szeretne igényelni a szerepkör-hozzárendelés aktiválásához, válassza az Aktiváláskor, az Azure MFA megkövetelése lehetőséget a Szerepkör szerkesztése beállítás Aktiválás lapján.

Aktív hozzárendelésen

Ehhez a beállításhoz a rendszergazdáknak többtényezős hitelesítést kell végezniük, mielőtt aktív (nem jogosult) szerepkör-hozzárendelést hoznak létre. Privileged Identity Management nem lehet többtényezős hitelesítést kikényszeríteni, ha a felhasználó a szerepkör-hozzárendelést használja, mert már aktív a szerepkörben a hozzárendelés időpontjától kezdve.

Ha többtényezős hitelesítést szeretne igényelni egy aktív szerepkör-hozzárendelés létrehozásakor, válassza az Azure Multi-Factor Authentication megkövetelése aktív hozzárendeléskor lehetőséget a Szerepkör szerkesztése beállítás Hozzárendelés lapján.

További információ: Többtényezős hitelesítés és Privileged Identity Management.

Aktiválás maximális időtartama

Az Aktiválás maximális időtartama csúszkával beállíthatja, hogy egy szerepkör-hozzárendelés aktiválási kérelme a lejárat előtt is aktív maradjon. Ez az érték 1 és 24 óra között lehet.

Indoklás megkövetelése

Az aktiváláskor megkövetelheti, hogy a felhasználók üzleti indoklást adjanak meg. Az indoklás megköveteléséhez jelölje be az Indoklás megkövetelése aktív hozzárendeléshez jelölőnégyzetet vagy az Indoklás megkövetelése aktiváláskor jelölőnégyzetet.

Jegyinformáció megkövetelése az aktiváláshoz

Ha a szervezet egy jegykezelő rendszert használ a segélyszolgálati elemek nyomon követésére vagy a környezetére vonatkozó kérések módosítására, válassza a Jegyadatok megkövetelése az aktiváláskor jelölőnégyzetet, hogy a jogosultságszint-emelési kérelem tartalmazza a jegykezelő rendszer nevét (nem kötelező, ha a szervezet több rendszert használ) és a szerepkör-aktiválás szükségességét kérő jegyszámot.

Jóváhagyás megkövetelése az aktiváláshoz

Ha több jóváhagyót állít be, a jóváhagyás azonnal befejeződik, amint az egyik jóváhagyja vagy tagadja. Nem kényszerítheti a jóváhagyást egy második vagy későbbi jóváhagyótól. Ha jóváhagyást szeretne kérni egy szerepkör aktiválásához, kövesse az alábbi lépéseket.

  1. Jelölje be a Jóváhagyás megkövetelése az aktiváláshoz jelölőnégyzetet.

  2. Válassza a Jóváhagyók kiválasztása lehetőséget.

    Válasszon ki egy felhasználót vagy csoportot tartalmazó panelt a jóváhagyók kiválasztásához

  3. Jelöljön ki legalább egy felhasználót, majd kattintson a Kiválasztás gombra. Jelöljön ki legalább egy jóváhagyót. Ha nincs kiválasztva konkrét jóváhagyó, a kiemelt szerepkörgazdák és a globális rendszergazdák lesznek az alapértelmezett jóváhagyók.

    Megjegyzés

    A jóváhagyónak nem kell Azure AD rendszergazdai szerepkörrel rendelkeznie. Ezek lehetnek rendszeres felhasználók, például informatikai vezetők.

  4. A módosítások mentéséhez válassza a Frissítés lehetőséget.

Szerepkörbeállítások kezelése Microsoft Graph használatával

A Azure AD szerepkörök beállításainak Microsoft Graphon keresztüli kezeléséhez használja az unifiedRoleManagementPolicy erőforrástípust és a kapcsolódó metódusokat.

A Microsoft Graphban a szerepkörbeállításokat szabályoknak nevezik, és tárolószabályzatokon keresztül Azure AD szerepkörökhöz vannak rendelve. Minden Azure AD szerepkör adott szabályzatobjektumhoz van rendelve. Az összes olyan szabályzatot lekérheti, amely Azure AD szerepkörökre terjed ki, és minden szabályzathoz lekérheti a kapcsolódó szabálygyűjteményt egy $expand lekérdezési paraméterrel. A kérés szintaxisa a következő:

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules

A szabályok tárolókba vannak csoportosítva. A tárolók további szabálydefiníciókra vannak bontva, amelyeket egyedi azonosítók azonosítanak a könnyebb kezelés érdekében. Egy unifiedRoleManagementPolicyEnablementRule tároló például három szabálydefiníciót tesz elérhetővé, amelyeket az alábbi egyedi azonosítók határoznak meg.

  • Enablement_Admin_Eligibility – A rendszergazdákra vonatkozó szabályok a szerepkör-jogosultságokkal kapcsolatos műveletek végrehajtására. Például azt, hogy szükség van-e indoklásra, és hogy az összes művelethez (például megújításhoz, aktiváláshoz vagy inaktiváláshoz) vagy csak adott műveletekhez szükséges-e.
  • Enablement_Admin_Assignment - A rendszergazdákra vonatkozó szabályok a szerepkör-hozzárendeléseken végzett műveletek végrehajtására. Például azt, hogy szükség van-e indoklásra, és hogy az összes művelethez (például megújításhoz, inaktiváláshoz vagy bővítményhez) vagy csak adott műveletekhez szükséges-e.
  • Enablement_EndUser_Assignment - Szabályok, amelyek a tagokra vonatkoznak a hozzárendelések engedélyezéséhez. Például azt, hogy szükség van-e többtényezős hitelesítésre.

A szabálydefiníciók frissítéséhez használja a frissítési szabályok API-t. A következő kérés például egy üres enabledRules-gyűjteményt határoz meg, ezért inaktiválja a szabályzatok engedélyezett szabályait, például a többtényezős hitelesítést, a jegykezelési információkat és az indoklást.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_cab01047-8ad9-4792-8e42-569340767f1b_70c808b5-0d35-4863-a0ba-07888e99d448/rules/Enablement_EndUser_Assignment
{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyEnablementRule",
    "id": "Enablement_EndUser_Assignment",
    "enabledRules": [],
    "target": {
        "caller": "EndUser",
        "operations": [
            "all"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Az összes Azure AD szerepkörre vagy egy adott Azure AD szerepkörre alkalmazott szabályok gyűjteményét az unifiedroleManagementPolicyAssignment erőforrástípussal és a kapcsolódó metódusokkal kérdezheti le. A következő kérés például a $expand lekérdezési paraméterrel kéri le a roleDefinitionId vagy templateId62e90394-69f5-4237-9190-012177145e10 által azonosított Azure AD szerepkörre alkalmazott szabályokat.

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicyAssignments?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole' and roleDefinitionId eq '62e90394-69f5-4237-9190-012177145e10'&$expand=policy($expand=rules)

A szerepkörbeállítások PIM-ben történő kezeléséről további információt a Szerepkörbeállítások és a PIM című témakörben talál. Példák a szabályok frissítésére: PIM API-k használata Microsoft Graphban Azure AD szabályok frissítéséhez.

Következő lépések