Attivare un ruolo di Azure AD in PIM

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) semplifica il modo in cui le aziende gestiscono l'accesso con privilegi alle risorse in Azure AD e altre Microsoft Servizi online come Microsoft 365 o Microsoft Intune.

Se è stato reso idoneo per un ruolo amministrativo, è necessario attivare l'assegnazione di ruolo quando è necessario eseguire azioni con privilegi. Ad esempio, se si gestiscono occasionalmente Microsoft 365 funzionalità, gli amministratori del ruolo con privilegi dell'organizzazione potrebbero non rendere l'amministratore globale permanente, poiché tale ruolo influisce anche su altri servizi. Invece, renderebbero idonei per i ruoli di Azure AD, ad esempio Exchange Online Amministratore. È possibile richiedere l'attivazione del ruolo quando tali privilegi risulteranno necessari; si avrà il controllo amministrativo per un periodo di tempo predeterminato.

Questo articolo è indirizzato agli amministratori che devono attivare il proprio ruolo Azure AD in Privileged Identity Management.

Attivare un ruolo

Quando è necessario assumere un ruolo di Azure AD, è possibile richiedere l'attivazione aprendo Ruoli personali in Privileged Identity Management.

  1. Accedere al portale di Azure.

  2. Aprire Azure AD Privileged Identity Management. Per informazioni su come aggiungere il riquadro Privileged Identity Management al dashboard, vedere Iniziare a usare Privileged Identity Management.

  3. Selezionare Ruoli personali e quindi selezionare Ruoli di Azure AD per visualizzare un elenco dei ruoli di Azure AD idonei.

    Pagina ruoli personali che mostra i ruoli che è possibile attivare

  4. Nell'elenco ruoli di Azure AD trovare il ruolo che si vuole attivare.

    Ruoli di Azure AD - Elenco dei ruoli idonei

  5. Selezionare Attiva per aprire il riquadro Attiva .

    Ruoli di Azure AD : la pagina di attivazione contiene durata e ambito

  6. Selezionare Verifica aggiuntiva obbligatoria e seguire le istruzioni per fornire la verifica della sicurezza. È necessario eseguire l'autenticazione solo una volta per sessione.

    Schermata per fornire la verifica della sicurezza, ad esempio un codice PIN

  7. Dopo l'autenticazione a più fattori selezionare Attiva prima di procedere.

    Verificare l'identità con MFA prima dell'attivazione del ruolo

  8. Se si vuole specificare un ambito ridotto, selezionare Ambito per aprire il riquadro filtro. Nel riquadro filtro è possibile specificare le risorse di Azure AD a cui è necessario accedere. È consigliabile richiedere l'accesso alle risorse più poche necessarie.

  9. Se necessario, specificare un'ora di inizio di attivazione personalizzata. Il ruolo di Azure AD verrà attivato dopo l'ora selezionata.

  10. Nella casella Motivo immettere il motivo della richiesta di attivazione.

  11. Selezionare Attiva.

    Se il ruolo richiede l'approvazione per l'attivazione, nell'angolo superiore destro del browser verrà visualizzata una notifica che informa che la richiesta è in attesa di approvazione.

    La richiesta di attivazione è in attesa di notifica di approvazione

Attivare un ruolo usando Microsoft API Graph

Per altre informazioni sulle API Graph di Microsoft per PIM, vedere Panoramica della gestione dei ruoli tramite l'API PIM (Privileged Identity Management).

Ottenere tutti i ruoli idonei che è possibile attivare

Quando un utente ottiene l'idoneità al ruolo tramite l'appartenenza al gruppo, questa richiesta di Graph Microsoft non restituisce l'idoneità.

Richiesta HTTP

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  

Risposta HTTP

Per risparmiare spazio viene visualizzata solo la risposta per un ruolo, ma tutte le assegnazioni di ruolo idonee che è possibile attivare verranno elencate.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

Attivazione automatica di un ruolo idoneità con giustificazione

Richiesta HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Risposta HTTP

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Visualizzare lo stato delle richieste di attivazione

È possibile visualizzare lo stato delle richieste in attesa da attivare.

  1. Aprire Azure AD Privileged Identity Management.

  2. Selezionare Richieste personali per visualizzare un elenco delle richieste di ruolo di Azure AD e dei ruoli delle risorse di Azure.

    Richieste personali - Pagina azure AD che mostra le richieste in sospeso

  3. Scorrere verso destra per visualizzare la colonna Stato richiesta.

Annullare una richiesta in sospeso per la nuova versione

Se non si richiede l'attivazione di un ruolo che richiede l'approvazione, è possibile annullare una richiesta in sospeso in qualsiasi momento.

  1. Aprire Azure AD Privileged Identity Management.

  2. Selezionare Richieste personali.

  3. Per il ruolo da annullare, selezionare il collegamento Annulla .

    Quando si seleziona Annulla, la richiesta verrà annullata. Per attivare di nuovo il ruolo, sarà necessario inviare una nuova richiesta di attivazione.

    Elenco delle richieste con l'azione Annulla evidenziata

Disattivare un'assegnazione di ruolo

Quando viene attivata un'assegnazione di ruolo, verrà visualizzata un'opzione Disattiva nel portale PIM per l'assegnazione di ruolo. Quando si seleziona Disattiva, il ritardo di tempo è breve prima che il ruolo venga disattivato. Inoltre, non è possibile disattivare un'assegnazione di ruolo entro cinque minuti dall'attivazione.

Risolvere i problemi relativi al ritardo del portale

Le autorizzazioni non vengono concesse dopo l'attivazione di un ruolo

Quando si attiva un ruolo in Privileged Identity Management, l'attivazione potrebbe non propagare immediatamente a tutti i portali che richiedono il ruolo con privilegi. A volte, anche se la modifica viene propagata, la memorizzazione nella cache Web in un portale può causare un ritardo prima dell'effetto della modifica. Se l'attivazione è ritardata, disconnettersi dal portale che si sta tentando di eseguire l'azione e quindi accedere nuovamente. Nella portale di Azure PIM ti disconnette e torna automaticamente.

Passaggi successivi