Edytuj

Aktywowanie ról zasobów platformy Azure w usłudze Privileged Identity Management

  • Porady

Użyj usługi Microsoft Entra Privileged Identity Management (PIM), aby umożliwić uprawnionym członkom roli dla zasobów platformy Azure zaplanowanie aktywacji dla przyszłej daty i godziny. Mogą również wybrać określony czas trwania aktywacji w ramach maksymalnej wartości (skonfigurowanej przez administratorów).

Ten artykuł jest przeznaczony dla członków, którzy chcą aktywować swoją rolę usługi Azure AD w usłudze Privileged Identity Management.

Uwaga

Od marca 2023 r. możesz teraz aktywować swoje przypisania i wyświetlać dostęp bezpośrednio z bloków spoza usługi PIM w witrynie Azure Portal. Przeczytaj więcej tutaj.

Ważne

Po aktywowaniu roli usługa Microsoft Entra PIM tymczasowo dodaje aktywne przypisanie roli. Usługa Microsoft Entra PIM tworzy aktywne przypisanie (przypisuje użytkownika do roli) w ciągu kilku sekund. W przypadku dezaktywacji (ręcznej lub za pośrednictwem czasu aktywacji) firma Microsoft Entra PIM usuwa aktywne przypisanie w ciągu kilku sekund.

Aplikacja może zapewnić dostęp na podstawie roli, jaką ma użytkownik. W niektórych sytuacjach dostęp do aplikacji może nie odzwierciedlać natychmiast faktu, że użytkownik otrzymał przypisaną lub usuniętą rolę. Jeśli aplikacja wcześniej buforował fakt, że użytkownik nie ma roli — gdy użytkownik spróbuje ponownie uzyskać dostęp do aplikacji, może nie zostać podany dostęp. Podobnie, jeśli aplikacja wcześniej buforowała fakt, że użytkownik ma rolę — gdy rola jest dezaktywowana, użytkownik może nadal uzyskiwać dostęp. Konkretna sytuacja zależy od architektury aplikacji. W przypadku niektórych aplikacji wylogowanie się i ponowne zalogowanie może pomóc w dodaniu lub usunięciu dostępu.

Wymagania wstępne

Brak

Aktywowanie roli

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Jeśli musisz podjąć rolę zasobu platformy Azure, możesz zażądać aktywacji przy użyciu opcji nawigacji Moje role w usłudze Privileged Identity Management.

Uwaga

Usługa PIM jest teraz dostępna w aplikacji mobilnej platformy Azure (iOS | Android) dla ról zasobów Microsoft Entra ID i Azure. Łatwe aktywowanie kwalifikujących się przypisań, żądanie odnowienia dla wygasających żądań lub sprawdzenie stanu oczekujących żądań. Przeczytaj więcej poniżej

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.

  2. Przejdź do zarządzania tożsamościami>Privileged Identity Management>Moje role.

    Zrzut ekranu przedstawiający stronę moich ról z rolami, które można aktywować.

  3. Wybierz pozycję Role zasobów platformy Azure, aby wyświetlić listę kwalifikujących się ról zasobów platformy Azure.

    Zrzut ekranu przedstawiający stronę moich ról — role zasobów platformy Azure.

  4. Na liście Role zasobów platformy Azure znajdź rolę, którą chcesz aktywować.

    Zrzut ekranu przedstawiający role zasobów platformy Azure — lista Moich kwalifikujących się ról.

  5. Wybierz pozycję Aktywuj , aby otworzyć stronę Aktywuj.

    Zrzut ekranu przedstawiający otwarte okienko Aktywuj z zakresem, czasem rozpoczęcia, czasem trwania i przyczyną.

  6. Jeśli twoja rola wymaga uwierzytelniania wieloskładnikowego, wybierz pozycję Sprawdź swoją tożsamość przed kontynuowaniem. Musisz uwierzytelnić tylko raz na sesję.

  7. Wybierz pozycję Weryfikuj moją tożsamość i postępuj zgodnie z instrukcjami, aby zapewnić dodatkową weryfikację zabezpieczeń.

    Zrzut ekranu przedstawiający ekran zapewniający weryfikację zabezpieczeń, taką jak kod PIN.

  8. Jeśli chcesz określić ograniczony zakres, wybierz pozycję Zakres , aby otworzyć okienko Filtr zasobów.

    Najlepszym rozwiązaniem jest zażądanie dostępu tylko do potrzebnych zasobów. W okienku Filtr zasobów można określić grupy zasobów lub zasoby, do których potrzebujesz dostępu.

    Zrzut ekranu przedstawiający aktywowanie — okienko filtru zasobów w celu określenia zakresu.

  9. W razie potrzeby określ niestandardowy czas rozpoczęcia aktywacji. Element członkowski zostanie aktywowany po wybranym czasie.

  10. W polu Przyczyna wprowadź przyczynę żądania aktywacji.

  11. Wybierz Aktywuj.

    Uwaga

    Jeśli rola wymaga zatwierdzenia, w prawym górnym rogu przeglądarki zostanie wyświetlone powiadomienie informujące o oczekiwaniu na zatwierdzenie żądania.

Aktywowanie roli przy użyciu interfejsu API usługi ARM

Usługa Privileged Identity Management obsługuje polecenia interfejsu API usługi Azure Resource Manager (ARM) do zarządzania rolami zasobów platformy Azure, zgodnie z opisem w dokumentacji interfejsu API usługi ARM usługi PIM. Aby uzyskać uprawnienia wymagane do korzystania z interfejsu API usługi PIM, zobacz Omówienie interfejsów API usługi Privileged Identity Management.

Aby aktywować kwalifikujące się przypisanie roli platformy Azure i uzyskać aktywowany dostęp, użyj żądań harmonogramu przypisań ról — utwórz interfejs API REST, aby utworzyć nowe żądanie i określić jednostkę zabezpieczeń, definicję roli, typ żądania = SelfActivate i zakres. Aby wywołać ten interfejs API, musisz mieć kwalifikujące się przypisanie roli w zakresie.

Użyj narzędzia GUID, aby wygenerować unikatowy identyfikator, który będzie używany dla identyfikatora przypisania roli. Identyfikator ma format: 0000000000-0000-0000-0000-000000000000000.

Zastąp element {roleAssignmentScheduleRequestName} w poniższym żądaniu PUT identyfikatorem GUID przypisania roli.

Aby uzyskać więcej informacji na temat zarządzania uprawnionymi rolami dla zasobów platformy Azure, zobacz ten samouczek dotyczący interfejsu API usługi ARM usługi PIM.

Poniżej przedstawiono przykładowe żądanie HTTP dotyczące aktywowania kwalifikującego się przypisania roli platformy Azure.

Żądanie

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Request body

{ 
"properties": { 
  "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
  "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Response

Kod stanu: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Wyświetlanie stanu żądań

Możesz wyświetlić stan oczekujących żądań do aktywowania.

  1. Otwórz program Microsoft Entra Privileged Identity Management.

  2. Wybierz pozycję Moje żądania , aby wyświetlić listę żądań roli firmy Microsoft Entra i roli zasobów platformy Azure.

    Zrzut ekranu przedstawiający stronę moich żądań — zasób platformy Azure przedstawiający oczekujące żądania.

  3. Przewiń w prawo, aby wyświetlić kolumnę Stan żądania.

Anulowanie oczekującego żądania

Jeśli nie potrzebujesz aktywacji roli wymagającej zatwierdzenia, możesz anulować oczekujące żądanie w dowolnym momencie.

  1. Otwórz program Microsoft Entra Privileged Identity Management.

  2. Wybierz pozycję Moje żądania.

  3. W przypadku roli, którą chcesz anulować, wybierz link Anuluj .

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Zrzut ekranu przedstawiający moją listę żądań z wyróżnioną akcją Anuluj.

Dezaktywowanie przypisania roli

Po aktywowaniu przypisania roli w portalu PIM zostanie wyświetlona opcja Dezaktywuj dla przypisania roli. Ponadto po aktywacji nie można dezaktywować przypisania roli w ciągu pięciu minut.

Aktywowanie za pomocą witryny Azure Portal

Aktywacja roli usługi Privileged Identity Management została zintegrowana z rozszerzeniami rozliczeń i kontroli dostępu (AD) w witrynie Azure Portal. Skróty do subskrypcji (rozliczeń) i kontroli dostępu (AD) umożliwiają aktywowanie ról USŁUGI PIM bezpośrednio z tych bloków.

W bloku Subskrypcje wybierz pozycję "Wyświetl kwalifikujące się subskrypcje" w menu poleceń poziomych, aby sprawdzić kwalifikujące się, aktywne i wygasłe przypisania. Z tego miejsca możesz aktywować kwalifikujące się przypisanie w tym samym okienku.

Zrzut ekranu przedstawiający wyświetlanie kwalifikujących się subskrypcji na stronie Subskrypcje.

Zrzut ekranu przedstawiający wyświetlanie kwalifikujących się subskrypcji na stronie Zarządzanie kosztami: usługa integracji.

W obszarze Kontrola dostępu (Zarządzanie dostępem i tożsamościami) dla zasobu możesz teraz wybrać pozycję "Wyświetl mój dostęp", aby wyświetlić aktualnie aktywne i kwalifikujące się przypisania ról i aktywować je bezpośrednio.

Zrzut ekranu przedstawiający bieżące przypisania ról na stronie Miara.

Dzięki integracji możliwości usługi PIM z różnymi blokami witryny Azure Portal ta nowa funkcja umożliwia uzyskanie tymczasowego dostępu do wyświetlania lub edytowania subskrypcji i zasobów.

Aktywowanie ról usługi PIM przy użyciu aplikacji mobilnej platformy Azure

Usługa PIM jest teraz dostępna w aplikacjach mobilnych Microsoft Entra ID i Azure resource roles w systemach iOS i Android.

  1. Aby aktywować kwalifikujące się przypisanie roli Firmy Microsoft Entra, zacznij od pobrania aplikacji mobilnej platformy Azure (iOS | Android). Możesz również pobrać aplikację, wybierając pozycję Otwórz w aplikacji mobilnej w usłudze Privileged Identity Management > Moje role > Microsoft Entra.

    Zrzut ekranu przedstawiający sposób pobierania aplikacji mobilnej.

  2. Otwórz aplikację mobilną platformy Azure i zaloguj się. Kliknij kartę "Privileged Identity Management" i wybierz pozycję Moje role zasobów platformy Azure, aby wyświetlić kwalifikujące się i aktywne przypisania ról.

    Zrzut ekranu aplikacji mobilnej przedstawiający zarządzanie tożsamościami uprzywilejowanymi i role użytkownika.

  3. Wybierz przypisanie roli i kliknij pozycję Akcja > Aktywuj w obszarze szczegółów przypisania roli. Przed kliknięciem przycisku Aktywuj w dolnej części wykonaj kroki, aby uaktywnić i wypełnić wymagane szczegóły.

    Zrzut ekranu aplikacji mobilnej przedstawiający ukończony proces weryfikacji. Obraz przedstawia przycisk Aktywuj.

  4. Wyświetl stan żądań aktywacji i przypisań ról w obszarze "Moje role zasobów platformy Azure".

    Zrzut ekranu przedstawiający aplikację mobilną z komunikatem o postępie aktywacji.

Powiązana zawartość