Azure-erőforrás-szerepkörök aktiválása a Privileged Identity Managementben

Cikk
02/21/2024

A Microsoft Entra Privileged Identity Management (PIM) használatával engedélyezheti, hogy az Azure-erőforrások jogosult szerepkör-tagjai egy későbbi dátumra és időpontra ütemezze az aktiválást. Egy adott aktiválási időtartamot is kiválaszthatnak a maximális (rendszergazdák által konfigurált) időtartamon belül.

Ez a cikk azoknak a tagoknak szól, akiknek aktiválniuk kell Azure-beli erőforrás-szerepkörüket a Privileged Identity Managementben.

Feljegyzés

2023 márciusától mostantól aktiválhatja a hozzárendeléseket, és közvetlenül a PIM-en kívüli panelekről tekintheti meg a hozzáférést az Azure Portalon. További tudnivalók itt.

Fontos

Egy szerepkör aktiválásakor a Microsoft Entra PIM ideiglenesen hozzáadja a szerepkör aktív hozzárendelését. A Microsoft Entra PIM másodperceken belül aktív hozzárendelést hoz létre (felhasználót rendel egy szerepkörhöz). Ha a deaktiválás (manuális vagy aktiválási idő lejárata) történik, a Microsoft Entra PIM másodperceken belül eltávolítja az aktív hozzárendelést is.

Az alkalmazás a felhasználó szerepköre alapján biztosíthat hozzáférést. Bizonyos esetekben előfordulhat, hogy az alkalmazáshoz való hozzáférés nem tükrözi azonnal azt a tényt, hogy a felhasználó szerepkört kapott vagy eltávolított. Ha az alkalmazás korábban gyorsítótárazza azt a tényt, hogy a felhasználó nem rendelkezik szerepkörrel – amikor a felhasználó újra megpróbál hozzáférni az alkalmazáshoz, előfordulhat, hogy nem biztosít hozzáférést. Hasonlóképpen, ha az alkalmazás korábban gyorsítótárazza azt a tényt, hogy a felhasználó rendelkezik szerepkörrel – a szerepkör inaktiválásakor a felhasználó továbbra is hozzáférhet. A konkrét helyzet az alkalmazás architektúrájától függ. Egyes alkalmazások esetében a kijelentkezés és a bejelentkezés segíthet a hozzáférés hozzáadásában vagy eltávolításában.

Szerepkör aktiválása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ha Azure-erőforrásszerepkört kell felvennie, a Privileged Identity Management Saját szerepkörök navigációs lehetőségével kérheti az aktiválást.

Feljegyzés

A PIM már elérhető az Azure-mobilalkalmazásban (iOS | Android) Microsoft Entra-azonosítóhoz és Azure-erőforrásszerepkörökhöz. Egyszerűen aktiválhatja a jogosult hozzárendeléseket, kérheti a lejárók megújítását, vagy ellenőrizheti a függőben lévő kérések állapotát. További információ alább

Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Tallózással keresse meg a Privileged Identity Management>Saját szerepkörök identitásszabályozását.>
Válassza ki az Azure-erőforrásszerepköröket a jogosult Azure-erőforrás-szerepkörök listájának megtekintéséhez.
Az Azure-erőforrásszerepkörök listájában keresse meg az aktiválni kívánt szerepkört.
Válassza az Aktiválás lehetőséget az Aktiválás lap megnyitásához.
Ha a szerepkör többtényezős hitelesítést igényel, a folytatás előtt válassza az Identitás ellenőrzése lehetőséget. Munkamenetenként csak egyszer kell hitelesítenie.
Válassza az Identitás ellenőrzése lehetőséget, és kövesse az utasításokat a további biztonsági ellenőrzés biztosításához.
Ha csökkentett hatókört szeretne megadni, válassza a Hatókör lehetőséget az Erőforrásszűrő panel megnyitásához.

Ajánlott eljárás, hogy csak a szükséges erőforrásokhoz kérjen hozzáférést. Az Erőforrásszűrő panelen megadhatja azokat az erőforráscsoportokat vagy erőforrásokat, amelyekhez hozzáférésre van szüksége.
Szükség esetén adjon meg egy egyéni aktiválási kezdési időpontot. A tag a kiválasztott időpont után lesz aktiválva.
Az Ok mezőbe írja be az aktiválási kérelem okát.
Válassza az Aktiválás elemet.

Feljegyzés

Ha a szerepkör aktiválásához jóváhagyás szükséges, a böngésző jobb felső sarkában megjelenik egy értesítés, amely tájékoztatja, hogy a kérelem jóváhagyásra vár.

Szerepkör aktiválása AZ ARM API-val

A Privileged Identity Management támogatja az Azure Resource Manager (ARM) API-parancsokat az Azure-erőforrásszerepkörök kezeléséhez, ahogyan azt a PIM ARM API-referencia is dokumentálja. A PIM API használatához szükséges engedélyekért lásd : A Privileged Identity Management API-k ismertetése.

Ha aktiválni szeretne egy jogosult Azure-szerepkör-hozzárendelést, és aktivált hozzáférést szeretne szerezni, használja a szerepkör-hozzárendelés ütemezési kéréseit – HOZZon létre EGY REST API-t egy új kérés létrehozásához, és adja meg a biztonsági tagot, a szerepkördefiníciót, a requestType = SelfActivate és a hatókört. Az API meghívásához jogosult szerepkör-hozzárendeléssel kell rendelkeznie a hatókörben.

A GUID-eszközzel egyedi azonosítót hozhat létre, amelyet a szerepkör-hozzárendelés azonosítóhoz használunk. Az azonosító formátuma: 000000000-0000-0000-0000-0000000000.

Cserélje le az alábbi PUT-kérelem {roleAssignmentScheduleRequestName} értékét a szerepkör-hozzárendelés GUID-azonosítójára.

Az Azure-erőforrások jogosult szerepköreinek kezelésével kapcsolatos további részletekért tekintse meg ezt a PIM ARM API-oktatóanyagot.

Az alábbiakban egy HTTP-mintakérést követünk egy Azure-szerepkör jogosult hozzárendelésének aktiválásához.

Kérés

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Kérés törzse

{ 
"properties": { 
   "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
   "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
   "requestType": "SelfActivate", 
   "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
   "scheduleInfo": { 
       "startDateTime": "2020-09-09T21:35:27.91Z", 
       "expiration": { 
           "type": "AfterDuration", 
           "endDateTime": null, 
           "duration": "PT8H" 
       } 
   }, 
   "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
   "conditionVersion": "1.0" 
 } 
}

Válasz

Állapotkód: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

A kérések állapotának megtekintése

Megtekintheti az aktiválásra váró kérések állapotát.

Nyissa meg a Microsoft Entra Privileged Identity Managementet.
Válassza a Saját kérések lehetőséget a Microsoft Entra-szerepkörök és az Azure-erőforrásszerepkör-kérelmek listájának megtekintéséhez.
Görgessen jobbra a Kérés állapota oszlop megtekintéséhez.

Függőben lévő kérés lemondása

Ha nem igényel jóváhagyást igénylő szerepkör aktiválását, bármikor visszavonhatja a függőben lévő kérelmet.

Nyissa meg a Microsoft Entra Privileged Identity Managementet.
Válassza a Saját kérések lehetőséget.
A lemondani kívánt szerepkörhöz válassza a Mégse hivatkozást.

Ha a Mégse elemet választja, a rendszer megszakítja a kérést. A szerepkör ismételt aktiválásához be kell küldenie egy új aktiválási kérelmet.

Szerepkör-hozzárendelés inaktiválása

Ha aktivál egy szerepkör-hozzárendelést, megjelenik egy Inaktiválás lehetőség a PIM portálon a szerepkör-hozzárendeléshez. Emellett az aktiválás után öt percen belül nem inaktiválhatja a szerepkör-hozzárendelést.

Aktiválás az Azure Portallal

A privileged Identity Management szerepkör aktiválása integrálva lett az Azure Portal számlázási és hozzáférés-vezérlési (AD) bővítményeibe. Az előfizetések (számlázás) és a hozzáférés-vezérlés (AD) billentyűparancsai lehetővé teszik a PIM-szerepkörök aktiválását közvetlenül ezekből a panelekről.

Az Előfizetések panelen válassza a vízszintes parancsmenü "Jogosult előfizetések megtekintése" elemét a jogosult, aktív és lejárt hozzárendelések ellenőrzéséhez. Innen aktiválhat egy jogosult hozzárendelést ugyanabban a panelen.

Képernyőkép a jogosult előfizetések megtekintéséről az Előfizetések lapon.

Képernyőkép a jogosult előfizetések megtekintéséről a Cost Management: Integration Service oldalon.

Az erőforrás hozzáférés-vezérlési (IAM) funkciójában most a "Hozzáférés megtekintése" lehetőséget választva megtekintheti az aktuálisan aktív és jogosult szerepkör-hozzárendeléseket, és közvetlenül aktiválhatja azokat.

Képernyőkép az aktuális szerepkör-hozzárendelésekről a Mérés lapon.

Azáltal, hogy a PIM-képességeket különböző Azure Portal-panelekbe integrálja, ez az új funkció lehetővé teszi, hogy ideiglenes hozzáférést kapjon az előfizetések és erőforrások egyszerűbb megtekintéséhez vagy szerkesztéséhez.

PIM-szerepkörök aktiválása az Azure-mobilalkalmazással

A PIM mostantól elérhető a Microsoft Entra ID-ban és az Azure-erőforrás-szerepkörök mobilalkalmazásaiban iOS és Android rendszeren is.

Egy jogosult Microsoft Entra-szerepkör-hozzárendelés aktiválásához először töltse le az Azure-mobilalkalmazást (iOS | Android). Az alkalmazást úgy is letöltheti, ha a Megnyitás mobilon lehetőséget választja a Privileged Identity Management > My roles Microsoft Entra szerepkörök > közül.
Nyissa meg az Azure-mobilalkalmazást, és jelentkezzen be. Kattintson a Privileged Identity Management kártyára, és válassza a Saját Azure-erőforrás-szerepkörök lehetőséget a jogosult és aktív szerepkör-hozzárendelések megtekintéséhez.
Jelölje ki a szerepkör-hozzárendelést, és kattintson az Aktiválás műveletre > a szerepkör-hozzárendelés részletei alatt. Az aktiváláshoz és a szükséges adatok kitöltéséhez végezze el a lépéseket, mielőtt az Aktiválás gombra kattint az alján.
Tekintse meg az aktiválási kérelmek és a szerepkör-hozzárendelések állapotát a "Saját Azure-erőforrásszerepkörök" területen.