Attivare i ruoli delle risorse di Azure in Privileged Identity Management

Usare Privileged Identity Management (PIM) in Azure Active Directory (Azure AD), parte di Microsoft Entra, per consentire ai membri del ruolo idonei per le risorse di Azure di pianificare l'attivazione per una data e un'ora future. Possono anche selezionare una durata specifica dell'attivazione entro il valore massimo configurato dagli amministratori.

Questo articolo è indirizzato ai membri che devono attivare il proprio ruolo risorsa di Azure in Privileged Identity Management.

Attivare un ruolo

Quando è necessario assumere un ruolo risorsa di Azure, è possibile richiedere l'attivazione usando l'opzione di spostamento Ruoli personali in Privileged Identity Management.

  1. Accedere al portale di Azure.

  2. Aprire Azure AD Privileged Identity Management. Per informazioni su come aggiungere il riquadro Privileged Identity Management al dashboard, vedere Iniziare a usare Privileged Identity Management.

  3. Selezionare Ruoli personali.

    Pagina Ruoli personali che mostra i ruoli che è possibile attivare

  4. Selezionare Ruoli delle risorse di Azure per visualizzare un elenco dei ruoli delle risorse di Azure idonei.

    Ruoli personali - Pagina Ruoli delle risorse di Azure

  5. Nell'elenco dei ruoli delle risorse di Azure trovare il ruolo da attivare.

    Ruoli delle risorse di Azure - Elenco dei ruoli idonei

  6. Selezionare Attiva per aprire la pagina Attiva.

    Riquadro Attivazione aperto con ambito, ora di inizio, durata e motivo

  7. Se il ruolo richiede l'autenticazione a più fattori, fare clic su Verificare la propria identità prima di procedere. È sufficiente eseguire l'autenticazione una volta per sessione.

  8. Selezionare Verifica identità personale e seguire le istruzioni per fornire una verifica aggiuntiva di sicurezza.

    Schermata per fornire la verifica di sicurezza, ad esempio un codice PIN

  9. Per specificare un ambito ridotto, selezionare Ambito per aprire il riquadro Filtro risorse.

    È consigliabile richiedere solo l'accesso alle risorse necessarie. Nel riquadro Filtro della risorsa, è possibile specificare i gruppi di risorse o le risorse a cui è necessario accedere.

    Attiva - Riquadro Filtro risorse per specificare l'ambito

  10. Se necessario, specificare un'ora di inizio di attivazione personalizzata. Il membro verrà attivato dopo l'ora selezionata.

  11. Nella casella Motivo immettere il motivo della richiesta di attivazione.

  12. Selezionare Attiva.

    Nota

    Se il ruolo richiede l'approvazione per l'attivazione, nell'angolo superiore destro del browser verrà visualizzata una notifica che informa che la richiesta è in attesa di approvazione.

Attivare un ruolo con l'API ARM

Privileged Identity Management supporta i comandi api di Azure Resource Manager (ARM) per gestire i ruoli delle risorse di Azure, come documentato nella guida di riferimento all'API ARM di PIM. Per le autorizzazioni necessarie per usare l'API PIM, vedere Informazioni sulle API di Privileged Identity Management.

Di seguito è riportata una richiesta HTTP di esempio per attivare un'assegnazione idonea per un ruolo di Azure.

Richiesta

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045?api-version=2020-10-01

Corpo della richiesta

{ 
"properties": { 
   "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
   "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
   "requestType": "SelfActivate", 
   "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
   "scheduleInfo": { 
       "startDateTime": "2020-09-09T21:35:27.91Z", 
       "expiration": { 
           "type": "AfterDuration", 
           "endDateTime": null, 
           "duration": "PT8H" 
       } 
   }, 
   "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
   "conditionVersion": "1.0" 
 } 
} 

Risposta

Codice di stato: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
} 

Attivare un ruolo con PowerShell

È disponibile anche un'opzione per attivare Privileged Identity Management tramite PowerShell. Per altre informazioni, vedere l'articolo PowerShell per i ruoli di Azure AD PIM.

Di seguito è riportato uno script di esempio per l'attivazione dei ruoli delle risorse di Azure tramite PowerShell.

$managementgroupID = "<management group ID" # Tenant Root Group
$guid = (New-Guid)
$startTime = Get-Date -Format o
$userObjectID = "<user object ID"
$RoleDefinitionID = "b24988ac-6180-42a0-ab88-20f7382dd24c" # Contributor
$scope = "/providers/Microsoft.Management/managementGroups/$managementgroupID"
New-AzRoleAssignmentScheduleRequest -Name $guid -Scope $scope -ExpirationDuration PT8H -ExpirationType AfterDuration -PrincipalId $userObjectID -RequestType SelfActivate -RoleDefinitionId /providersproviders/Microsoft.Management/managementGroups/$managementgroupID/providers/Microsoft.Authorization/roleDefinitions/$roledefinitionId -ScheduleInfoStartDateTime $startTime -Justification work

Visualizzare lo stato della richiesta da attivare

È possibile visualizzare lo stato delle richieste in attesa da attivare.

  1. Aprire Azure AD Privileged Identity Management.

  2. Selezionare Richieste personali per visualizzare un elenco dei ruoli di Azure AD e delle richieste di ruolo delle risorse di Azure.

    Richieste personali - Pagina delle risorse di Azure che mostra le richieste in sospeso

  3. Scorrere verso destra per visualizzare la colonna Stato richiesta.

Annullare una richiesta in sospeso

Nel caso in cui non è richiesta l'attivazione di un ruolo che richiede l'approvazione, è possibile annullare una richiesta in sospeso in qualsiasi momento.

  1. Aprire Azure AD Privileged Identity Management.

  2. Selezionare Richieste personali.

  3. Per il ruolo da annullare, selezionare il collegamento Annulla .

    Quando si seleziona Annulla, la richiesta verrà annullata. Per attivare nuovamente il ruolo, è necessario inviare una nuova richiesta per l'attivazione.

    Elenco delle richieste con l'azione Annulla evidenziata

Disattivare un'assegnazione di ruolo

Quando viene attivata un'assegnazione di ruolo, verrà visualizzata un'opzione Disattiva nel portale PIM per l'assegnazione di ruolo. Quando si seleziona Disattiva, si verifica un breve intervallo di tempo prima che il ruolo venga disattivato. Inoltre, non è possibile disattivare un'assegnazione di ruolo entro cinque minuti dall'attivazione.

Risolvere problemi

Le autorizzazioni non vengono concesse dopo l'attivazione di un ruolo

Quando si attiva un ruolo in Privileged Identity Management, l'attivazione potrebbe non propagarsi immediatamente a tutti i portali che richiedono il ruolo con privilegi. In alcuni casi, anche se la modifica viene propagata, la memorizzazione nella cache Web in un portale può comportare che la modifica non abbia effetto immediato. Se l'attivazione è ritardata, ecco le operazioni da eseguire.

  1. Disconnettersi dal portale di Azure e quindi eseguire nuovamente l'accesso.
  2. In Privileged Identity Management verificare di essere elencati come membri del ruolo.

Passaggi successivi