Esercizio di assegnazione dei ruoli di Microsoft Entra in Privileged Identity Management
Con Microsoft Entra ID, un amministratore globale può rendere permanenti assegnazioni di ruolo di amministratore di Microsoft Entra. Queste assegnazioni di ruoli possono essere create usando il portale di Azure o i comandi di PowerShell.
Il servizio Microsoft Entra Privileged Identity Management (PIM) consente anche agli amministratori ruolo con privilegi di effettuare assegnazioni di ruolo di amministratore permanente. Gli amministratori ruolo con privilegi possono inoltre rendere gli utenti idonei per i ruoli di amministratore di Microsoft Entra. Un amministratore idoneo può attivare il ruolo quando serve, con autorizzazioni che scadono al termine delle operazioni.
Assegnare un ruolo
Seguire questa procedura per rendere un utente idoneo per un ruolo di amministratore di Microsoft Entra.
Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore tenant.
Cercare e quindi selezionare Microsoft Entra Privileged Identity Management.
Nella schermata Privileged Identity Management, nel menu di spostamento a sinistra selezionare Ruoli di Microsoft Entra.
Nella pagina Avvio rapido, nel menu di spostamento a sinistra selezionare Ruoli.
Nel menu in alto selezionare + Aggiungi assegnazioni.
Nel riquadro Aggiungi assegnazioni esaminare le impostazioni nella scheda Appartenenza.
Selezionare il menu Selezionare un ruolo e quindi scegliere Amministratore di conformità. Per individuare un ruolo, è possibile usare il filtro Cerca il ruolo per nome.
In Selezionare un membro o più membri selezionare Nessun membro selezionato.
Nel riquadro Selezionare un membro scegliere l'account amministratore e quindi fare clic su Seleziona.
Nella schermata Aggiungi assegnazioni selezionare Avanti.
Nella scheda Impostazioni, in Tipo di assegnazione esaminare le opzioni disponibili. Per questa attività, usare l'impostazione predefinita.
- Le assegnazioni di tipo Idoneo richiedono al membro del ruolo di eseguire un'azione per usare il ruolo. Le azioni possono includere l'esecuzione di un controllo di autenticazione a più fattori (MFA), l'indicazione di una giustificazione aziendale o la richiesta di approvazione da responsabili approvazione designati.
- Le assegnazioni di tipo Attivo non richiedono al membro di eseguire alcuna azione per usare il ruolo. I membri con questo tipo di assegnazione hanno i privilegi sempre assegnati al ruolo.
Esaminare le impostazioni rimanenti e quindi selezionare Assegna.
Attivare i ruoli di Microsoft Entra
Quando è necessario assumere un ruolo di Microsoft Entra, è possibile richiedere l'attivazione aprendo Ruoli personali in Privileged Identity Management.
Nella schermata Privileged Identity Management, nel menu di spostamento a sinistra selezionare Ruoli personali.
Nel riquadro Ruoli personali esaminare l'elenco di assegnazioni idonee.
Nella riga relativa al ruolo Amministratore di conformità selezionare Attiva.
Nel riquadro Attiva - Amministratore di conformità selezionare È necessaria una verifica aggiuntiva e quindi seguire le istruzioni per fornire un'ulteriore verifica di sicurezza. È necessario eseguire l'autenticazione solo una volta per sessione.
Dopo aver completato la verifica di sicurezza, nella casella Motivo del riquadro Attiva - Amministratore di conformità immettere la giustificazione per l'attivazione del ruolo.
Selezionare Attiva.
Assegnare un ruolo con ambito limitato
Per determinati ruoli, l'ambito delle autorizzazioni concesse può essere limitato a una singola unità amministrativa, entità servizio o applicazione. Questa procedura fornisce un esempio di assegnazione di un ruolo che ha come ambito un'unità amministrativa.
Passare alla schermata Privileged Identity Management e nel menu di spostamento a sinistra selezionare Ruoli di Microsoft Entra.
Nel riquadro Ruoli, nel menu in alto, selezionare + Aggiungi assegnazioni.
Nella schermata Aggiungi assegnazioni selezionare il menu Selezionare un ruolo e quindi scegliere Amministratore utenti.
Selezionare il menu Tipo di ambito ed esaminare le opzioni disponibili. Per il momento si userà il tipo di ambito Directory.
Suggerimento
Vedere Gestire le unità amministrative in Microsoft Entra ID per informazioni sul tipo di ambito unità amministrativa.
Analogo all'assegnazione di un ruolo senza ambito limitato. Aggiungere i membri e completare le opzioni delle impostazioni. Per il momento, selezionare Annulla.
Aggiornare o rimuovere un'assegnazione di ruolo esistente
Seguire questi passaggi per aggiornare o rimuovere un'assegnazione di ruolo esistente.
Nella schermata Apri Microsoft Entra Privileged Identity Management selezionare Assegnazioni nel riquadro di spostamento sinistro.
Nell'elenco Assegnazioni per Amministratore di conformità esaminare le opzioni nel menu Azione.
Selezionare Aggiorna ed esaminare le opzioni disponibili nel riquadro Impostazioni di appartenenza. Al termine, chiudere il riquadro.
Selezionare Rimuovi.
Nella finestra di dialogo Rimuovi esaminare le informazioni e quindi selezionare Sì.