Azure-erőforrásszerepkörök hozzárendelése a Privileged Identity Management

A Microsoft Entra részét képező Azure AD Privileged Identity Management (Azure AD PIM) felügyelheti a beépített Azure-erőforrás-szerepköröket és egyéni szerepköröket, beleértve (de nem kizárólagosan):

  • Tulajdonos
  • Felhasználói hozzáférés rendszergazdája
  • Közreműködő
  • Biztonsági rendszergazda
  • Security Manager

Megjegyzés

A tulajdonosi vagy felhasználói hozzáférés-rendszergazdai előfizetési szerepkörökhöz hozzárendelt csoport felhasználói vagy tagjai, valamint Azure AD globális rendszergazdák, akik engedélyezik az előfizetések kezelését Azure AD alapértelmezés szerint erőforrás-rendszergazdai engedélyekkel rendelkeznek. Ezek a rendszergazdák szerepköröket rendelhetnek hozzá, szerepkör-beállításokat konfigurálhatnak, és áttekinthetik a hozzáférést az Azure-erőforrások Privileged Identity Management használatával. A felhasználók erőforrás-rendszergazdai engedélyekkel nem kezelhetik az erőforrások Privileged Identity Management. Tekintse meg az Azure beépített szerepköreinek listáját.

Privileged Identity Management támogatja a beépített és az egyéni Azure-szerepköröket is. Az egyéni Azure-szerepkörökről további információt az Egyéni Azure-szerepkörök című témakörben talál.

Szerepkör-hozzárendelési feltételek

Az Azure-beli attribútumalapú hozzáférés-vezérlés (Azure ABAC) használatával feltételeket adhat hozzá a jogosult szerepkör-hozzárendelésekhez az Azure-erőforrásokhoz készült AZURE AD PIM használatával. A Azure AD PIM esetében a végfelhasználóknak aktiválniuk kell egy jogosult szerepkör-hozzárendelést, hogy engedélyt kapjanak bizonyos műveletek végrehajtására. A Azure AD PIM feltételeinek használatával nemcsak a felhasználó szerepköri engedélyeit korlátozhatja egy erőforrásra részletes feltételekkel, hanem Azure AD PIM-et is használhat a szerepkör-hozzárendelés időhöz kötött beállítással, jóváhagyási munkafolyamattal, auditnaplóval stb. való védelméhez.

Megjegyzés

Szerepkör hozzárendelése esetén a hozzárendelés:

  • Öt percnél rövidebb ideig nem rendelhető hozzá
  • A hozzárendelést követő öt percen belül nem távolítható el

Jelenleg a következő beépített szerepkörökhöz tartozhatnak feltételek:

További információ: Mi az az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC)?

Szerepkör hozzárendelése

Az alábbi lépéseket követve teheti jogosulttá egy felhasználót egy Azure-erőforrásszerepkörre.

  1. Jelentkezzen be Azure Portal tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörrel.

  2. Nyissa meg az Azure AD Privileged Identity Managementet.

  3. Válassza az Azure-erőforrások lehetőséget.

  4. Válassza ki a kezelni kívánt erőforrástípust . Például: Erőforrás vagy Erőforráscsoport. Ezután válassza ki a kezelni kívánt erőforrást az áttekintési oldal megnyitásához.

    Képernyőkép az Azure-erőforrások kiválasztásáról.

  5. A Kezelés területen válassza a Szerepkörök lehetőséget az Azure-erőforrások szerepköreinek listájának megtekintéséhez.

  6. A Hozzárendelések hozzáadása panel megnyitásához válassza a Hozzárendelések hozzáadása lehetőséget.

    Képernyőkép az Azure-erőforrások szerepköreiről.

  7. Válassza ki a hozzárendelni kívánt szerepkört .

  8. Válassza a Nincs kijelölt tag hivatkozás lehetőséget a Tag vagy csoport kiválasztása panel megnyitásához.

    Képernyőkép az új feladatpanelről.

  9. Jelölje ki a szerepkörhöz hozzárendelni kívánt tagot vagy csoportot, majd válassza a Kiválasztás lehetőséget.

    Képernyőképek, amelyek bemutatják, hogyan jelölhet ki egy tagot vagy csoportot tartalmazó panelt

  10. A Beállítások lap Hozzárendelés típusa listájában válassza a Jogosult vagy az Aktív lehetőséget.

    Képernyőkép a Hozzárendelések hozzáadása beállításpanelről.

    Azure AD Azure-erőforrásokhoz készült PIM két különböző hozzárendelési típust biztosít:

    • A jogosult hozzárendelések használatához a tagnak aktiválnia kell a szerepkört. A rendszergazda megkövetelheti, hogy a szerepkör tagja végrehajtson bizonyos műveleteket a szerepkör aktiválása előtt, például többtényezős hitelesítés (MFA) ellenőrzését, üzleti indoklás megadását vagy jóváhagyás kérését a kijelölt jóváhagyóktól.

    • Az aktív hozzárendelésekhez nincs szükség arra, hogy a tag aktiválja a szerepkört a használat előtt. Az aktívként hozzárendelt tagokhoz használatra kész jogosultságok vannak hozzárendelve. Ez a hozzárendelési típus olyan ügyfelek számára is elérhető, akik nem Azure AD PIM-et használnak.

  11. Egy adott hozzárendelés időtartamának megadásához módosítsa a kezdési és befejezési dátumokat és időpontokat.

  12. Ha a szerepkör olyan műveletekkel lett definiálva, amelyek feltételekkel engedélyezik az adott szerepkörhöz való hozzárendelést, akkor a Feltétel hozzáadása lehetőséget választva hozzáadhat egy feltételt a hozzárendelés részét képező egyszerű felhasználó és erőforrás-attribútumok alapján.

    Képernyőkép az új hozzárendelési feltételek panelről.

    A feltételek a kifejezésszerkesztőben adhatók meg.

    Képernyőkép egy kifejezésből létrehozott új hozzárendelési feltételről.

  13. Ha végzett, válassza a Hozzárendelés lehetőséget.

  14. Az új szerepkör-hozzárendelés létrehozása után megjelenik egy állapotértesítés.

    Képernyőkép egy új hozzárendelési értesítésről.

Szerepkör hozzárendelése ARM API használatával

Privileged Identity Management támogatja az Azure Resource Manager (ARM) API-parancsokat az Azure-erőforrásszerepkörök kezeléséhez, ahogyan az a PIM ARM API-referenciában is szerepel. A PIM API használatához szükséges engedélyekért lásd: Az Privileged Identity Management API-k ismertetése.

Az alábbi példa egy HTTP-mintakérés, amely egy Azure-szerepkör jogosult hozzárendelését hozza létre.

Kérés

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6?api-version=2020-10-01-preview

A kérés törzse

{
  "properties": {
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

Reagálás

Állapotkód: 201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

Meglévő szerepkör-hozzárendelés frissítése vagy eltávolítása

A meglévő szerepkör-hozzárendelések frissítéséhez vagy eltávolításához kövesse az alábbi lépéseket.

  1. Nyissa meg az Azure AD Privileged Identity Managementet.

  2. Válassza az Azure-erőforrások lehetőséget.

  3. Válassza ki a kezelni kívánt erőforrástípust . Például: Erőforrás vagy Erőforráscsoport. Ezután válassza ki a kezelni kívánt erőforrást az áttekintési oldal megnyitásához.

    Képernyőkép a frissítendő Azure-erőforrások kiválasztásáról.

  4. A Kezelés területen válassza a Szerepkörök lehetőséget az Azure-erőforrások szerepköreinek listázásához. Az alábbi képernyőképen egy Azure Storage-fiók szerepkörei láthatók. Válassza ki a frissíteni vagy eltávolítani kívánt szerepkört.

    Képernyőkép egy Azure Storage-fiók szerepköreiről.

  5. Keresse meg a szerepkör-hozzárendelést a Jogosult szerepkörök vagy az Aktív szerepkörök lapon.

    Képernyőkép a szerepkör-hozzárendelés frissítéséről vagy eltávolításáról.

  6. Ha egy feltételt szeretne hozzáadni vagy frissíteni az Azure-erőforrás-hozzáférés finomításához, válassza a Szerepkör-hozzárendelésFeltétel oszlopában a Hozzáadás vagy a Megtekintés/Szerkesztés lehetőséget. Jelenleg a Storage-blobadatok tulajdonosa, a Storage-blobadatok olvasója és a Storage-blobadatok közreműködője szerepkörök Azure AD PIM-ben az egyetlen olyan szerepkör, amely feltételek hozzáadásával rendelkezhet.

  7. A kifejezés frissítéséhez válassza a Kifejezés hozzáadása vagy a Törlés lehetőséget. Ha új feltételt szeretne hozzáadni a szerepkörhöz, válassza a Feltétel hozzáadása lehetőséget is.

    Képernyőkép egy szerepkör-hozzárendelés attribútumainak frissítéséről vagy eltávolításáról.

    A szerepkör-hozzárendelések kiterjesztéséről az Azure-erőforrásszerepkörök kiterjesztése vagy megújítása Privileged Identity Management című témakörben talál további információt.

Következő lépések