Bewerken

Mijn Azure-resourcerollen activeren in Privileged Identity Management

  • Uitleg

Gebruik Microsoft Entra Privileged Identity Management (PIM) om in aanmerking komende rolleden voor Azure-resources toe te staan activering te plannen voor een toekomstige datum en tijd. Ze kunnen ook een specifieke activeringsduur selecteren binnen het maximum (geconfigureerd door beheerders).

Dit artikel is bedoeld voor leden die hun Azure AD-resourcerol moeten activeren in Privileged Identity Management.

Notitie

Vanaf maart 2023 kunt u uw toewijzingen activeren en uw toegang rechtstreeks vanuit blades buiten PIM weergeven in Azure Portal. Meer informatie is hier beschikbaar.

Belangrijk

Wanneer een rol wordt geactiveerd, voegt Microsoft Entra PIM tijdelijk actieve toewijzingen toe voor de rol. Microsoft Entra PIM maakt binnen enkele seconden actieve toewijzing (wijst een gebruiker toe aan een rol). Wanneer deactivering (handmatig of via verlooptijd van de activeringstijd) plaatsvindt, verwijdert Microsoft Entra PIM ook binnen enkele seconden de actieve toewijzing.

De toepassing kan toegang bieden op basis van de rol die de gebruiker heeft. In sommige situaties is toepassingstoegang mogelijk niet direct van toepassing dat de gebruiker een rol heeft toegewezen of verwijderd. Als de toepassing eerder het feit dat de gebruiker geen rol heeft in de cache heeft opgeslagen. Wanneer de gebruiker opnieuw probeert toegang te krijgen tot de toepassing, wordt er mogelijk geen toegang geboden. Als de toepassing eerder het feit dat de gebruiker een rol heeft in de cache opgeslagen, kan de gebruiker nog steeds toegang krijgen wanneer de rol wordt gedeactiveerd. Specifieke situatie is afhankelijk van de architectuur van de toepassing. Voor sommige toepassingen kan het afmelden en weer aanmelden helpen bij het toevoegen of verwijderen van toegang.

Vereisten

Geen

Een rol activeren

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Wanneer u een Azure-resourcerol moet uitvoeren, kunt u activering aanvragen met behulp van de navigatieoptie Mijn rollen in Privileged Identity Management.

Notitie

PIM is nu beschikbaar in de mobiele Azure-app (iOS | Android) voor Microsoft Entra ID en Azure-resourcerollen. Activeer eenvoudig in aanmerking komende toewijzingen, aanvraagvernieuwingen voor aanvragen die verlopen of controleer de status van aanvragen die in behandeling zijn. Meer informatie hieronder

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.

  2. Blader naar Privileged Identity Management>Mijn rollen voor identiteitsbeheer.>

    Schermopname van mijn rollenpagina met rollen die u kunt activeren.

  3. Selecteer Azure-resourcerollen om een lijst weer te geven met uw in aanmerking komende Azure-resourcerollen.

    Schermopname van de pagina Azure-resourcerollen.

  4. Zoek in de lijst met Azure-resourcerollen de rol die u wilt activeren.

    Schermopname van azure-resourcerollen - Lijst met in aanmerking komende rollen.

  5. Selecteer Activeren om de pagina Activeren te openen.

    Schermopname van het geopende deelvenster Activeren met bereik, begintijd, duur en reden.

  6. Als voor uw rol meervoudige verificatie is vereist, selecteert u Uw identiteit verifiëren voordat u doorgaat. U hoeft slechts één keer per sessie te verifiëren.

  7. Selecteer Mijn identiteit verifiëren en volg de instructies om aanvullende beveiligingsverificatie te bieden.

    Schermopname van het scherm voor beveiligingsverificatie, zoals een pincode.

  8. Als u een beperkt bereik wilt opgeven, selecteert u Bereik om het filtervenster Resource te openen.

    Het is een best practice om alleen toegang te vragen tot de resources die u nodig hebt. In het deelvenster Resourcefilter kunt u de resourcegroepen of resources opgeven waartoe u toegang nodig hebt.

    Schermopname van activeren : deelvenster Resourcefilter om het bereik op te geven.

  9. Geef indien nodig een aangepaste begintijd voor activering op. Het lid wordt na de geselecteerde tijd geactiveerd.

  10. Voer in het vak Reden de reden voor de activeringsaanvraag in.

  11. Selecteer Activeren.

    Notitie

    Als de rol een goedkeuring vereist om te activeren, wordt rechtsboven in uw browser een melding weergegeven waarin wordt opgegeven dat de aanvraag in behandeling is.

Een rol activeren met ARM-API

Privileged Identity Management ondersteunt API-opdrachten van Azure Resource Manager (ARM) voor het beheren van Azure-resourcerollen, zoals beschreven in de Naslaginformatie over de ARM-API van PIM. Zie Informatie over de Privileged Identity Management-API's voor machtigingen die zijn vereist voor het gebruik van de PIM-API.

Als u een in aanmerking komende Azure-roltoewijzing wilt activeren en geactiveerde toegang wilt krijgen, gebruikt u de aanvragen voor roltoewijzingsplanning - REST API maken om een nieuwe aanvraag te maken en de beveiligingsprincipaal, roldefinitie, requestType = SelfActivate en bereik op te geven. Als u deze API wilt aanroepen, moet u een in aanmerking komende roltoewijzing voor het bereik hebben.

Gebruik een GUID-hulpprogramma om een unieke id te genereren die wordt gebruikt voor de roltoewijzings-id. De id heeft de indeling: 00000000-0000-0000-0000-0000000000000000.

Vervang {roleAssignmentScheduleRequestName} in de onderstaande PUT-aanvraag door de GUID-id van de roltoewijzing.

Zie deze ZELFSTUDIE OVER PIM ARM API voor meer informatie over het beheren van in aanmerking komende rollen voor Azure-resources.

Het volgende is een voorbeeld van een HTTP-aanvraag voor het activeren van een in aanmerking komende toewijzing voor een Azure-rol.

Aanvraag

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Aanvraagtekst

{ 
"properties": { 
  "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
  "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

De respons

Statuscode: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

De status van uw aanvragen weergeven

U kunt de status raadplegen van uw aanvragen die in behandeling zijn om te activeren.

  1. Open Microsoft Entra Privileged Identity Management.

  2. Selecteer Mijn aanvragen om een lijst met uw Microsoft Entra-rol en Azure-resourcerolaanvragen weer te geven.

    Schermopname van mijn aanvragen - Azure-resourcepagina met uw aanvragen die in behandeling zijn.

  3. Schuif naar rechts om de kolom Aanvraagstatus weer te geven.

Een aanvraag in behandeling annuleren

Als u geen activering van een rol nodig hebt waarvoor goedkeuring is vereist, kunt u op elk gewenst moment een aanvraag annuleren die in behandeling is.

  1. Open Microsoft Entra Privileged Identity Management.

  2. Selecteer Mijn aanvragen.

  3. Selecteer de koppeling Annuleren voor de rol die u wilt annuleren.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Schermopname van mijn aanvraaglijst met de actie Annuleren gemarkeerd.

Een roltoewijzing deactiveren

Wanneer een roltoewijzing is geactiveerd, ziet u de optie Deactiveren in de PIM-portal voor de roltoewijzing. U kunt een roltoewijzing ook niet binnen vijf minuten na de activering deactiveren.

Activeren met Azure Portal

Activering van bevoorrechte identiteitsbeheerrollen is geïntegreerd in de extensies voor facturering en toegangsbeheer (AD) in Azure Portal. Met snelkoppelingen naar abonnementen (facturering) en toegangsbeheer (AD) kunt u PIM-rollen rechtstreeks vanaf deze blades activeren.

Selecteer op de blade Abonnementen in het horizontale opdrachtmenu 'In aanmerking komende abonnementen weergeven' om uw in aanmerking komende, actieve en verlopen toewijzingen te controleren. Hier kunt u een in aanmerking komende toewijzing in hetzelfde deelvenster activeren.

Schermopname van het weergeven van in aanmerking komende abonnementen op de pagina Abonnementen.

Schermopname van het weergeven van in aanmerking komende abonnementen op de pagina Cost Management: Integration Service.

In Toegangsbeheer (IAM) voor een resource kunt u nu 'Mijn toegang weergeven' selecteren om uw huidige actieve en in aanmerking komende roltoewijzingen te bekijken en rechtstreeks te activeren.

Schermopname van huidige roltoewijzingen op de pagina Meting.

Door PIM-mogelijkheden te integreren in verschillende Azure Portal-blades, kunt u met deze nieuwe functie tijdelijk toegang krijgen om abonnementen en resources gemakkelijker weer te geven of te bewerken.

PIM-rollen activeren met behulp van de mobiele Azure-app

PIM is nu beschikbaar in de mobiele apps microsoft Entra ID en Azure-resourcerollen in zowel iOS als Android.

  1. Als u een in aanmerking komende Microsoft Entra-roltoewijzing wilt activeren, downloadt u eerst de mobiele Azure-app (iOS | Android). U kunt de app ook downloaden door Openen in mobiel te selecteren in Privileged Identity Management > Mijn rollen Microsoft Entra-rollen>.

    Schermopname van het downloaden van de mobiele app.

  2. Open de mobiele Azure-app en meld u aan. Klik op de kaart Privileged Identity Management en selecteer Mijn Azure-resourcerollen om uw in aanmerking komende en actieve roltoewijzingen weer te geven.

    Schermopname van de mobiele app met privileged identity management en de rollen van de gebruiker.

  3. Selecteer de roltoewijzing en klik op Actie > activeren onder de details van de roltoewijzing. Voer de stappen uit om te activeren en vul de vereiste gegevens in voordat u onderaan op Activeren klikt.

    Schermopname van de mobiele app waarin het validatieproces is voltooid. In de afbeelding ziet u een knop Activeren.

  4. Bekijk de status van uw activeringsaanvragen en uw roltoewijzingen onder Mijn Azure-resourcerollen.

    Schermopname van de mobiele app met het bericht dat de activering wordt uitgevoerd.

Gerelateerde inhoud