Azure-erőforrás-szerepkörök hozzárendelése a Privileged Identity Managementben

  • Cikk

A Microsoft Entra Privileged Identity Management (PIM) használatával kezelheti a beépített Azure-erőforrás-szerepköröket és egyéni szerepköröket, beleértve (de nem kizárólagosan):

  • Owner
  • User Access Administrator
  • Contributor
  • Security Admin
  • Security Manager

Megjegyzés:

A tulajdonosi vagy felhasználói hozzáférés Rendszergazda istrator-előfizetési szerepkörökhöz rendelt csoport felhasználói vagy tagjai, valamint a Microsoft Entra-azonosítóban az előfizetés-kezelést engedélyező Microsoft Entra Global-rendszergazdák alapértelmezés szerint erőforrás-rendszergazdai engedélyekkel rendelkeznek. Ezek a rendszergazdák szerepköröket rendelhetnek hozzá, szerepkör-beállításokat konfigurálhatnak, és áttekinthetik a hozzáférést az Azure-erőforrások privileged Identity Management használatával. A felhasználók erőforrás-rendszergazdai engedélyek nélkül nem kezelhetik az erőforrások privileged Identity Management szolgáltatását. Tekintse meg az Azure beépített szerepköreinek listáját.

A Privileged Identity Management támogatja a beépített és az egyéni Azure-szerepköröket is. Az Egyéni Azure-szerepkörökről további információt az Azure egyéni szerepköreivel kapcsolatban talál.

Szerepkör-hozzárendelési feltételek

Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) használatával feltételeket adhat hozzá a jogosult szerepkör-hozzárendelésekhez a Microsoft Entra PIM használatával az Azure-erőforrásokhoz. A Microsoft Entra PIM használatával a végfelhasználóknak aktiválnia kell egy jogosult szerepkör-hozzárendelést, hogy engedélyt kapjon bizonyos műveletek végrehajtására. A Microsoft Entra PIM feltételeinek használata lehetővé teszi, hogy a felhasználó szerepkör-engedélyeit ne csak finomított feltételekkel korlátozza egy erőforrásra, hanem a Microsoft Entra PIM használatával is biztosítsa a szerepkör-hozzárendelést egy időhöz kötött beállítással, jóváhagyási munkafolyamattal, naplózási nyomvonallal stb.

Megjegyzés:

Szerepkör hozzárendelése esetén a hozzárendelés:

  • Öt percnél rövidebb ideig nem rendelhető hozzá
  • A hozzárendelést követő öt percen belül nem távolítható el

Jelenleg a következő beépített szerepkörökhöz tartozhatnak feltételek:

További információ: Mi az Az Azure attribútumalapú hozzáférés-vezérlése (Azure ABAC).

Szerepkör hozzárendelése

Kövesse az alábbi lépéseket, hogy egy felhasználó jogosult legyen egy Azure-erőforrásszerepkörre.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói hozzáférésű Rendszergazda istratorként.

  2. Keresse meg az Identitásszabályozás>privileged Identity Management>Azure-erőforrásokat.

  3. Válassza ki a kezelni kívánt erőforrástípust . Például: Erőforrás vagy Erőforráscsoport. Ezután válassza ki a kezelni kívánt erőforrást az áttekintési oldal megnyitásához.

    Screenshot that shows how to select Azure resources.

  4. A Kezelés területen válassza a Szerepkörök lehetőséget az Azure-erőforrások szerepköreinek listájának megtekintéséhez.

  5. A Hozzárendelések hozzáadása panel megnyitásához válassza a Hozzárendelések hozzáadása lehetőséget.

    Screenshot of Azure resources roles.

  6. Válasszon ki egy hozzárendelni kívánt szerepkört .

  7. Válassza a Nincs kijelölt tag hivatkozást a Tag vagy csoport kijelölése panel megnyitásához.

    Screenshot of the new assignment pane.

  8. Jelölje ki a szerepkörhöz hozzárendelni kívánt tagot vagy csoportot, majd válassza a Kiválasztás lehetőséget.

    Screenshots that demonstrates how to select a member or group pane

  9. A Gépház lapon, a Hozzárendelés típusa listában válassza a Jogosult vagy az Aktív lehetőséget.

    Screenshot of add assignments settings pane.

    Az Azure-erőforrásokhoz készült Microsoft Entra PIM két különböző hozzárendelési típust biztosít:

    • A jogosult hozzárendelések használatához a tagnak aktiválnia kell a szerepkört. Rendszergazda istrator megkövetelheti a szerepkör tagjától, hogy bizonyos műveleteket hajtson végre a szerepkör aktiválása előtt, amely lehet például többtényezős hitelesítés (MFA) ellenőrzése, üzleti indoklás megadása vagy jóváhagyás kérése a kijelölt jóváhagyóktól.

    • Az aktív hozzárendelésekhez nem szükséges, hogy a tag aktiválja a szerepkört a használat előtt. Az aktívként hozzárendelt tagok a használatra kész jogosultságokkal rendelkeznek. Ez a hozzárendelési típus a Microsoft Entra PIM-et nem használó ügyfelek számára is elérhető.

  10. Egy adott hozzárendelés időtartamának megadásához módosítsa a kezdési és befejezési dátumokat és időpontokat.

  11. Ha a szerepkör olyan műveletekkel lett definiálva, amelyek feltételekkel engedélyezik az adott szerepkörhöz való hozzárendelést, akkor a Feltétel hozzáadása lehetőséget választva hozzáadhat egy feltételt a hozzárendelés részét képező egyszerű felhasználó és erőforrásattribútumok alapján.

    Screenshot of the new assignment conditions pane.

    A feltételek megadhatók a kifejezésszerkesztőben.

    Screenshot of the new assignment condition built from an expression.

  12. Ha végzett, válassza a Hozzárendelés lehetőséget.

  13. Az új szerepkör-hozzárendelés létrehozása után megjelenik egy állapotértesítés.

    Screenshot of a new assignment notification.

Szerepkör hozzárendelése AZ ARM API használatával

A Privileged Identity Management támogatja az Azure Resource Manager (ARM) API-parancsokat az Azure-erőforrásszerepkörök kezeléséhez, ahogyan azt a PIM ARM API-referencia is dokumentálja. A PIM API használatához szükséges engedélyekért lásd : A Privileged Identity Management API-k ismertetése.

Az alábbi példa egy HTTP-mintakérés, amely jogosult hozzárendelést hoz létre egy Azure-szerepkörhöz.

Kérelem

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6?api-version=2020-10-01-preview

Kérés törzse

{
  "properties": {
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

Response

Állapotkód: 201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

Meglévő szerepkör-hozzárendelés frissítése vagy eltávolítása

Egy meglévő szerepkör-hozzárendelés frissítéséhez vagy eltávolításához kövesse az alábbi lépéseket.

  1. Nyissa meg a Microsoft Entra Privileged Identity Managementet.

  2. Válassza ki az Azure-erőforrásokat.

  3. Válassza ki a kezelni kívánt erőforrástípust . Például: Erőforrás vagy Erőforráscsoport. Ezután válassza ki a kezelni kívánt erőforrást az áttekintési oldal megnyitásához.

    Screenshot that shows how to select Azure resources to update.

  4. A Kezelés területen válassza a Szerepkörök lehetőséget az Azure-erőforrások szerepköreinek listázásához. Az alábbi képernyőképen egy Azure Storage-fiók szerepkörei láthatók. Jelölje ki a frissíteni vagy eltávolítani kívánt szerepkört.

    Screenshot that shows the roles of an Azure Storage account.

  5. Keresse meg a szerepkör-hozzárendelést a Jogosult szerepkörök vagy az Aktív szerepkörök lapon.

    Screenshot demonstrates how to update or remove role assignment.

  6. Ha egy feltételt szeretne hozzáadni vagy frissíteni az Azure-erőforrás-hozzáférés finomításához, válassza a Szerepkör-hozzárendelés Feltétel oszlopában a Hozzáadás vagy a Nézet/Szerkesztés lehetőséget. Jelenleg a Storage Blob Data Owner, a Storage Blob Data Reader és a Storage Blob Data Contributor szerepkörök a Microsoft Entra PIM-ben az egyetlen olyan szerepkör, amely feltételekkel rendelkezhet.

  7. A kifejezés frissítéséhez válassza a Kifejezés hozzáadása vagy a Törlés lehetőséget. Ha új feltételt szeretne hozzáadni a szerepkörhöz, a Feltétel hozzáadása lehetőséget is választhatja.

    Screenshot that demonstrates how to update or remove attributes of a role assignment.

    A szerepkör-hozzárendelés kibővítéséről további információt az Azure-erőforrásszerepkörök kiterjesztése vagy megújítása a Privileged Identity Managementben című témakörben talál.

Következő lépések