Modifica

Attivare i ruoli delle risorse di Azure in Privileged Identity Management

  • Procedure

Usare Microsoft Entra Privileged Identity Management (PIM) per consentire ai membri del ruolo idonei per le risorse di Azure di pianificare l'attivazione per una data e un'ora future. Possono anche selezionare una durata specifica dell'attivazione entro il valore massimo configurato dagli amministratori.

Questo articolo è indirizzato ai membri che devono attivare il proprio ruolo risorsa di Azure in Privileged Identity Management.

Nota

A partire da marzo 2023, è ora possibile attivare le assegnazioni e visualizzare l'accesso direttamente dai pannelli esterni a PIM nella portale di Azure. Altre informazioni sono disponibili qui.

Importante

Quando viene attivato un ruolo, Microsoft Entra PIM aggiunge temporaneamente l'assegnazione attiva per il ruolo. Microsoft Entra PIM crea un'assegnazione attiva (assegna l'utente a un ruolo) entro pochi secondi. Quando si verifica la disattivazione (manuale o con scadenza dell'attivazione), Microsoft Entra PIM rimuove anche l'assegnazione attiva entro pochi secondi.

L'applicazione può fornire l'accesso in base al ruolo dell'utente. In alcune situazioni, l'accesso alle applicazioni potrebbe non riflettere immediatamente il fatto che l'utente abbia ricevuto o rimosso il ruolo. Se in precedenza l'applicazione memorizzava nella cache il fatto che l'utente non ha un ruolo, quando l'utente tenta di accedere di nuovo all'applicazione, l'accesso potrebbe non essere fornito. Analogamente, se l'applicazione in precedenza memorizzava nella cache il fatto che l'utente ha un ruolo: quando il ruolo viene disattivato, l'utente potrebbe comunque ottenere l'accesso. La situazione specifica dipende dall'architettura dell'applicazione. Per alcune applicazioni, la disconnessione e l'accesso possono aiutare a ottenere l'accesso aggiunto o rimosso.

Prerequisiti

Nessuno

Attivare un ruolo

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Quando è necessario assumere un ruolo risorsa di Azure, è possibile richiedere l'attivazione usando l'opzione di spostamento Ruoli personali in Privileged Identity Management.

Nota

PIM è ora disponibile nell'app per dispositivi mobili di Azure (iOS | Android) per microsoft Entra ID e ruoli delle risorse di Azure. Attivare facilmente assegnazioni idonee, richiedere rinnovi per quelli in scadenza o controllare lo stato delle richieste in sospeso. Per altre informazioni, vedere di seguito

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Identity Governance>Privileged Identity Management>Ruoli personali.

    Screenshot della pagina ruoli personali che mostra i ruoli che è possibile attivare.

  3. Selezionare Ruoli delle risorse di Azure per visualizzare un elenco dei ruoli delle risorse di Azure idonei.

    Screenshot della pagina ruoli personali - Ruoli delle risorse di Azure.

  4. Nell'elenco dei ruoli delle risorse di Azure trovare il ruolo da attivare.

    Screenshot dei ruoli delle risorse di Azure - Elenco dei ruoli idonei.

  5. Selezionare Attiva per aprire la pagina Attiva .

    Screenshot del riquadro Attiva aperto con ambito, ora di inizio, durata e motivo.

  6. Se il ruolo richiede l'autenticazione a più fattori, selezionare Verifica l'identità prima di procedere. È sufficiente eseguire l'autenticazione una volta per sessione.

  7. Selezionare Verifica identità personale e seguire le istruzioni per fornire una verifica aggiuntiva di sicurezza.

    Screenshot della schermata per fornire la verifica di sicurezza, ad esempio un codice PIN.

  8. Per specificare un ambito ridotto, selezionare Ambito per aprire il riquadro Filtro risorse.

    È consigliabile richiedere solo l'accesso alle risorse necessarie. Nel riquadro Filtro della risorsa, è possibile specificare i gruppi di risorse o le risorse a cui è necessario accedere.

    Screenshot dell'attivazione - Riquadro Filtro risorse per specificare l'ambito.

  9. Se necessario, specificare un'ora di inizio di attivazione personalizzata. Il membro verrà attivato dopo l'ora selezionata.

  10. Nella casella Motivo immettere il motivo della richiesta di attivazione.

  11. Selezionare Attiva.

    Nota

    Se il ruolo richiede l'approvazione per l'attivazione, nell'angolo superiore destro del browser verrà visualizzata una notifica che informa che la richiesta è in attesa di approvazione.

Attivare un ruolo con l'API ARM

Privileged Identity Management supporta i comandi api di Azure Resource Manager (ARM) per gestire i ruoli delle risorse di Azure, come documentato nelle informazioni di riferimento sull'API ARM di PIM. Per le autorizzazioni necessarie per l'uso dell'API PIM, vedere Informazioni sulle API di Privileged Identity Management.

Per attivare un'assegnazione di ruolo di Azure idonea e ottenere l'accesso attivato, usare le richieste di pianificazione dell'assegnazione di ruolo - Creare un'API REST per creare una nuova richiesta e specificare l'entità di sicurezza, la definizione del ruolo, requestType = SelfActivate e l'ambito. Per chiamare questa API, è necessario avere un'assegnazione di ruolo idonea nell'ambito.

Usare uno strumento GUID per generare un identificatore univoco che verrà usato per l'identificatore dell'assegnazione di ruolo. L'identificatore ha il formato 000000000-0000-0000-0000-0000000000000000.

Sostituire {roleAssignmentScheduleRequestName} nella richiesta PUT seguente con l'identificatore GUID dell'assegnazione di ruolo.

Per altre informazioni sulla gestione dei ruoli idonei per le risorse di Azure, vedere questa esercitazione sull'API ARM di PIM.

Di seguito è riportata una richiesta HTTP di esempio per attivare un'assegnazione idonea per un ruolo di Azure.

Richiedi

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Corpo della richiesta

{ 
"properties": { 
  "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
  "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Risposta

Codice di stato: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Visualizzare lo stato delle richieste

È possibile visualizzare lo stato delle richieste in attesa da attivare.

  1. Aprire Microsoft Entra Privileged Identity Management .

  2. Selezionare Richieste personali per visualizzare un elenco delle richieste del ruolo Microsoft Entra e del ruolo delle risorse di Azure.

    Screenshot della pagina delle richieste personali - Risorsa di Azure che mostra le richieste in sospeso.

  3. Scorrere verso destra per visualizzare la colonna Stato richiesta.

Annullare una richiesta in sospeso

Nel caso in cui non è richiesta l'attivazione di un ruolo che richiede l'approvazione, è possibile annullare una richiesta in sospeso in qualsiasi momento.

  1. Aprire Microsoft Entra Privileged Identity Management .

  2. Selezionare Richieste personali.

  3. Per il ruolo che si desidera annullare, selezionare il collegamento Annulla .

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Screenshot dell'elenco delle richieste con l'opzione Annulla evidenziata.

Disattivare un'assegnazione di ruolo

Quando viene attivata un'assegnazione di ruolo, verrà visualizzata un'opzione Disattiva nel portale pim per l'assegnazione di ruolo. Inoltre, non è possibile disattivare un'assegnazione di ruolo entro cinque minuti dall'attivazione.

Attiva con portale di Azure

L'attivazione del ruolo Privileged Identity Management è stata integrata nelle estensioni Fatturazione e Controllo di accesso (AD) all'interno del portale di Azure. I collegamenti alle sottoscrizioni (fatturazione) e Controllo di accesso (AD) consentono di attivare i ruoli PIM direttamente da questi pannelli.

Nel pannello Sottoscrizioni selezionare "Visualizza sottoscrizioni idonee" nel menu dei comandi orizzontale per controllare le assegnazioni idonee, attive e scadute. Da qui è possibile attivare un'assegnazione idonea nello stesso riquadro.

Screenshot della visualizzazione delle sottoscrizioni idonee nella pagina Sottoscrizioni.

Screenshot della visualizzazione delle sottoscrizioni idonee nella pagina Gestione costi: Servizio di integrazione.

In Controllo di accesso (IAM) per una risorsa è ora possibile selezionare "Visualizza l'accesso" per visualizzare le assegnazioni di ruolo attualmente attive e idonee e attivarsi direttamente.

Screenshot delle assegnazioni di ruolo correnti nella pagina Misurazione.

Integrando le funzionalità pim in diversi pannelli di portale di Azure, questa nuova funzionalità consente di ottenere l'accesso temporaneo per visualizzare o modificare le sottoscrizioni e le risorse più facilmente.

Attivare i ruoli PIM usando l'app per dispositivi mobili di Azure

PIM è ora disponibile nelle app per dispositivi mobili Microsoft Entra ID e ruoli delle risorse di Azure sia in iOS che in Android.

  1. Per attivare un'assegnazione di ruolo Microsoft Entra idonea, iniziare scaricando l'app per dispositivi mobili di Azure (iOS | Android). È anche possibile scaricare l'app selezionando Apri per dispositivi mobili da Privileged Identity Management >> Ruoli microsoft Entra.

    Screenshot che mostra come scaricare l'app per dispositivi mobili.

  2. Aprire l'app per dispositivi mobili di Azure ed eseguire l'accesso. Fare clic sulla scheda "Privileged Identity Management" e selezionare Ruoli risorse di Azure personali per visualizzare le assegnazioni di ruolo idonee e attive.

    Screenshot dell'app per dispositivi mobili che mostra privileged identity management e i ruoli dell'utente.

  3. Selezionare l'assegnazione di ruolo e fare clic su Azione > Attiva nei dettagli dell'assegnazione di ruolo. Completare i passaggi per attivare e compilare i dettagli necessari prima di fare clic su Attiva nella parte inferiore.

    Screenshot dell'app per dispositivi mobili che mostra il processo di convalida completato. L'immagine mostra un pulsante Attiva.

  4. Visualizzare lo stato delle richieste di attivazione e delle assegnazioni di ruolo in "Ruoli risorse personali di Azure".

    Screenshot dell'app per dispositivi mobili che mostra il messaggio di attivazione in corso.

Contenuti correlati