Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben

A Microsoft Entra-azonosítóval a globális rendszergazda végleges Microsoft Entra rendszergazdai szerepkör-hozzárendeléseket végezhet. Ezek a szerepkör-hozzárendelések a Microsoft Entra felügyeleti központban vagy PowerShell-parancsokkal hozhatók létre.

A Microsoft Entra Privileged Identity Management (PIM) szolgáltatás lehetővé teszi a kiemelt szerepkörök rendszergazdái számára, hogy állandó rendszergazdai szerepkör-hozzárendeléseket végezzenek. Emellett a kiemelt szerepkörök rendszergazdái jogosulttá tehetik a felhasználókat a Microsoft Entra rendszergazdai szerepkörökre. A jogosult rendszergazdák aktiválhatják a szerepkört, amikor szükségük van rá, majd az engedélyeik lejárnak, miután elkészültek.

A Privileged Identity Management támogatja a beépített és az egyéni Microsoft Entra-szerepköröket is. Az egyéni Microsoft Entra-szerepkörökről további információt a Szerepköralapú hozzáférés-vezérlés a Microsoft Entra-azonosítóban című témakörben talál.

Megjegyzés:

Szerepkör hozzárendelése esetén a hozzárendelés:

  • Öt percnél rövidebb ideig nem rendelhető hozzá
  • A hozzárendelést követő öt percen belül nem távolítható el

Szerepkör hozzárendelése

Kövesse az alábbi lépéseket, hogy egy felhasználó jogosult legyen a Microsoft Entra rendszergazdai szerepkörre.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.

  2. Keresse meg az identitásszabályozási>privileged Identity Management>Microsoft Entra szerepköröket.

  3. Válassza a Szerepkörök lehetőséget a Microsoft Entra-engedélyek szerepköreinek listájának megtekintéséhez.

    Screenshot of the

  4. A Hozzárendelések hozzáadása lap megnyitásához válassza a Hozzárendelések hozzáadása lehetőséget.

  5. Válassza a Szerepkör kiválasztása lehetőséget a Szerepkör kiválasztása lap megnyitásához.

    New assignment pane

  6. Jelölje ki a hozzárendelni kívánt szerepkört, jelölje ki azt a tagot, akihez hozzá szeretné rendelni a szerepkört, majd válassza a Tovább gombot.

  7. A Tagság beállításai panel Hozzárendeléstípus listájában válassza a Jogosult vagy az Aktív lehetőséget.

    • A jogosult hozzárendelésekhez a szerepkör tagjának végre kell hajtania egy műveletet a szerepkör használatához. A műveletek közé tartozhat a többtényezős hitelesítés (MFA) ellenőrzése, az üzleti indoklás megadása vagy a kijelölt jóváhagyók jóváhagyásának kérése.

    • Az aktív hozzárendelésekhez nem szükséges, hogy a tag bármilyen műveletet végrehajtson a szerepkör használatához. Az aktívként hozzárendelt tagok mindig rendelkeznek a szerepkörhöz rendelt jogosultságokkal.

  8. Egy adott hozzárendelés időtartamának megadásához adjon hozzá egy kezdő és záró dátumot és időmezőt. Ha végzett, válassza a Hozzárendelés lehetőséget az új szerepkör-hozzárendelés létrehozásához.

    • Az állandó hozzárendeléseknek nincs lejárati dátuma. Ezt a lehetőséget olyan állandó dolgozók számára használhatja, akiknek gyakran szükségük van a szerepkör-engedélyekre.

    • Az időkorlátos hozzárendelések egy adott időszak végén lejárnak. Ezt a lehetőséget olyan ideiglenes vagy szerződéses alkalmazottakkal használhatja, akiknek a projekt befejezési dátuma és időpontja ismert.

    Memberships settings - date and time

  9. A szerepkör hozzárendelése után megjelenik egy hozzárendelési állapotértesítés.

    New assignment - Notification

Korlátozott hatókörű szerepkör hozzárendelése

Bizonyos szerepkörök esetében a megadott engedélyek hatóköre egyetlen felügyeleti egységre, szolgáltatásnévre vagy alkalmazásra korlátozható. Ez az eljárás egy példa, ha olyan szerepkört rendel hozzá, amely egy felügyeleti egység hatókörével rendelkezik. A hatókört felügyeleti egységen keresztül támogató szerepkörök listáját lásd : Hatókörön belüli szerepkörök hozzárendelése egy felügyeleti egységhez. Ez a funkció jelenleg a Microsoft Entra-szervezetek számára lesz elérhető.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.

  2. Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.

  3. Válassza ki a Felhasználó Rendszergazda istratort.

    The Add assignment command is available when you open a role in the portal

  4. Válassza a Hozzárendelések hozzáadása lehetőséget.

    When a role supports scope, you can select a scope

  5. A Hozzárendelések hozzáadása lapon a következőt teheti:

    • Válassza ki a szerepkörhöz hozzárendelni kívánt felhasználót vagy csoportot
    • Válassza ki a szerepkör hatókörét (ebben az esetben a felügyeleti egységeket)
    • Válasszon egy felügyeleti egységet a hatókörhöz

További információ a felügyeleti egységek létrehozásáról: Felügyeleti egységek hozzáadása és eltávolítása.

Szerepkör hozzárendelése a Microsoft Graph API használatával

A PIM-hez készült Microsoft Graph API-kkal kapcsolatos további információkért lásd a szerepkörkezelés áttekintését a privileged Identity Management (PIM) API-n keresztül.

A PIM API használatához szükséges engedélyekért lásd : A Privileged Identity Management API-k ismertetése.

Jogosult befejezési dátum nélkül

Az alábbiakban egy HTTP-mintakérést követünk, amely egy jogosult hozzárendelést hoz létre befejezési dátum nélkül. Az API-parancsokkal, például a C# és a JavaScript nyelvre vonatkozó kérésmintákkal kapcsolatos részletekért lásd : Create roleEligibilityScheduleRequests.

HTTP-kérelem

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Permanently assign the Global Reader to the auditor",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

HTTP-válasz

Az alábbiakban egy példa látható a válaszra. Az itt látható válaszobjektum rövidülhet az olvashatóság érdekében.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T13:40:33.2364309Z",
    "completedDateTime": "2022-05-13T13:40:34.6270851Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "justification": "Permanently assign the Global Reader to the auditor",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T13:40:34.6270851Z",
        "recurrence": null,
        "expiration": {
            "type": "noExpiration",
            "endDateTime": null,
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Aktív és időkorlátos

Az alábbiakban egy http-mintakérést követünk, amely egy időhöz kötött aktív hozzárendelést hoz létre. Az API-parancsokkal kapcsolatos részletekért, beleértve a kérelemmintákat olyan nyelveken, mint a C# és a JavaScript, lásd : Create roleAssignmentScheduleRequests.

HTTP-kérelem

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "adminAssign",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP-válasz

Az alábbiakban egy példa látható a válaszra. Az itt látható válaszobjektum rövidülhet az olvashatóság érdekében.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T14:01:48.0145711Z",
    "completedDateTime": "2022-05-13T14:01:49.8589701Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T14:01:49.8589701Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Meglévő szerepkör-hozzárendelés frissítése vagy eltávolítása

Egy meglévő szerepkör-hozzárendelés frissítéséhez vagy eltávolításához kövesse az alábbi lépéseket. Microsoft Entra ID P2 vagy Microsoft Entra ID-kezelés licencelt ügyfelek: Ne rendeljen hozzá csoportot aktívként egy szerepkörhöz a Microsoft Entra ID és a Privileged Identity Management (PIM) használatával. Részletes magyarázatért tekintse meg az ismert problémákat.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.

  2. Keresse meg az identitásszabályozási>privileged Identity Management>Microsoft Entra szerepköröket.

  3. Válassza a Szerepkörök lehetőséget a Microsoft Entra ID szerepköreinek listájának megtekintéséhez.

  4. Jelölje ki a frissíteni vagy eltávolítani kívánt szerepkört.

  5. Keresse meg a szerepkör-hozzárendelést a Jogosult szerepkörök vagy az Aktív szerepkörök lapon.

    Update or remove role assignment

  6. A szerepkör-hozzárendelés frissítéséhez vagy eltávolításához válassza a Frissítés vagy eltávolítás lehetőséget.

Jogosult hozzárendelés eltávolítása a Microsoft Graph API-n keresztül

Az alábbiakban egy http-mintakérést követünk, amely visszavon egy jogosult hozzárendelést egy szerepkörhöz egy tagtól. Az API-parancsokkal, például a C# és a JavaScript nyelvre vonatkozó kérésmintákkal kapcsolatos részletekért lásd : Create roleEligibilityScheduleRequests.

Kérelem

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests 

{ 
    "action": "AdminRemove", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b" 
} 

Válasz

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de", 
    "status": "Revoked", 
    "createdDateTime": "2021-07-15T20:23:23.85453Z", 
    "completedDateTime": null, 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminRemove", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": null, 
    "justification": "test", 
    "scheduleInfo": null, 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
} 

További lépések