Активация роли Microsoft Entra в PIM

Microsoft Entra управление привилегированными пользователями (PIM) упрощает управление привилегированным доступом к ресурсам в идентификаторе Microsoft Entra и других веб-службы Майкрософт, таких как Microsoft 365 или Microsoft Intune.

Если вам назначена роль администратора, вы должны активировать это назначение роли, когда вам потребуется выполнить привилегированные задачи. Например, если вы управляете компонентами Microsoft 365 нерегулярно, корпоративные администраторы привилегированных ролей могут не назначить вам роль постоянного глобального администратора, так как эта роль влияет и на другие службы. Вместо этого они сделают вас подходящими для ролей Microsoft Entra, таких как Exchange Online Администратор istrator. Вы можете запросить активацию этой роли, если требуется его привилегии, а затем иметь управление администратором в течение предопределенного периода времени.

Эта статья предназначена для администраторов, которым требуется активировать свои роли в компоненте управления привилегированными пользователями Microsoft Entra.

Внимание

При активации роли Microsoft Entra PIM временно добавляет активное назначение для роли. Microsoft Entra PIM создает активное назначение (назначает пользователя роли) в течение секунд. При деактивации (вручную или через истечение срока действия активации) Microsoft Entra PIM также удаляет активное назначение в течение секунд.

Приложение может предоставить доступ на основе роли пользователя. В некоторых ситуациях доступ к приложению может не сразу отразить тот факт, что пользователь получил роль, назначенную или удаленную. Если приложение ранее кэшировало тот факт, что пользователь не имеет роли , когда пользователь пытается получить доступ к приложению снова, доступ может не предоставляться. Аналогичным образом, если приложение ранее кэшировало тот факт, что у пользователя есть роль — когда роль деактивирована, пользователь может получить доступ. Конкретная ситуация зависит от архитектуры приложения. Для некоторых приложений выход и вход в систему могут помочь получить доступ к добавлению или удалению.

Privileged Identity Management - Resource Roles - Audit (Управление привилегированными пользователями — роли ресурсов — аудит)

Если необходимо принять роль Microsoft Entra, вы можете запросить активацию, открыв мои роли в управление привилегированными пользователями.

Примечание.

PIM теперь доступен в мобильном приложении Azure (iOS | Android) для ролей ресурсов Microsoft Entra ID и Ресурсов Azure. Легко активировать подходящие назначения, продлить запросы для тех, которые истекают, или проверка состояние ожидающих запросов. Дополнительные сведения см. ниже

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к ролям управления удостоверениями> управление привилегированными пользователями> Ми. Сведения о том, как добавить плитку "Управление привилегированными пользователями" на панель мониторинга, см. в статье Начало работы с управлением привилегированными пользователями.

  3. Выберите роли Microsoft Entra, чтобы просмотреть список соответствующих ролей Microsoft Entra.

    My roles page showing roles you can activate

  4. В списке ролей Microsoft Entra найдите роль, которую вы хотите активировать.

    Microsoft Entra roles - My eligible roles list

  5. Выберите Активировать, чтобы открыть панель "Активация".

    Microsoft Entra roles - activation page contains duration and scope

  6. Выберите Требуется дополнительная проверка и следуйте инструкциям для настройки проверки безопасности. Проверка подлинности требуется лишь один раз за сеанс.

    Screen to provide security verification such as a PIN code

  7. После многофакторной проверки подлинности выберите Активировать, прежде чем продолжить.

    Verify my identity with MFA before role activates

  8. Если вы хотите указать меньшую область, выберите Область, чтобы открыть панель "Фильтр". На панели фильтров можно указать ресурсы Microsoft Entra, к которым требуется доступ. Рекомендуется запрашивать доступ к, возможно, меньшему количеству ресурсов, которые вам нужны.

  9. При необходимости укажите время начала настраиваемой активации. Роль Microsoft Entra будет активирована после выбранного времени.

  10. В поле Причина введите основание для запроса активации.

  11. Выберите Активировать.

    Если роль требует утверждения для активации, в правом верхнем углу браузера появится уведомление, информирующее о том, что запрос ожидает утверждения.

    Activation request is pending approval notification

Активация роли с помощью API Microsoft Graph

Дополнительные сведения об API-интерфейсах Microsoft Graph для PIM см. в разделе Общие сведения об управлении ролями с помощью API управления привилегированными пользователями (PIM).

Получение всех подходящих ролей, которые можно активировать

Когда пользователь получает право на членство в группе, этот запрос Microsoft Graph не возвращает его права.

HTTP-запрос

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  

HTTP-ответ

Для экономии места мы показываем в ответе только одну роль, но здесь будут перечислены все подходящие назначения ролей, которые вы можете активировать.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

Самостоятельная активация права на роль с помощью подачи обоснования

HTTP-запрос

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

HTTP-ответ

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Просмотр состояния запросов на активацию

Вы можете просмотреть состояние запросов, ожидающих активации.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> Мые запросы.

  3. При выборе "Мои запросы" отображается список запросов роли Microsoft Entra и роли ресурсов Azure.

    Screenshot of My requests - Microsoft Entra ID page showing your pending requests

  4. Прокрутите вправо, чтобы увидеть столбец Состояние запроса.

Отмена ожидающего запроса для новой версии

Если вам не нужна активация роли, требующая утверждения, вы можете в любой момент отменить такой запрос.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> Мые запросы.

  3. Выберите ссылку Отмена для роли, которую хотите отменить.

    При нажатии кнопки "Отмена" запрос отменяется. Чтобы снова активировать роль, необходимо отправить новый запрос на активацию.

    My request list with Cancel action highlighted

Деактивация назначения роли

При активации назначения роли на портале PIM отображается параметр деактивации для назначения ролей. Кроме того, невозможно деактивировать назначение роли в течение пяти минут после активации.

Активация ролей PIM с помощью мобильного приложения Azure

PIM теперь доступен в мобильных приложениях Microsoft Entra ID и Azure resource role в iOS и Android.

  1. Чтобы активировать соответствующее назначение ролей Microsoft Entra, начните с скачивания мобильного приложения Azure (iOS | Android). Вы также можете скачать приложение, выбрав "Открыть в мобильном режиме" из управление привилегированными пользователями > мои роли > Microsoft Entra.

    Screenshot shows how to download the mobile app.

  2. Откройте мобильное приложение Azure и войдите в систему. Выберите управление привилегированными пользователями карта и выберите роли "Мои записи Майкрософт", чтобы просмотреть соответствующие и активные назначения ролей.

Screenshots of the mobile app showing how a user would view available roles.

  1. Выберите назначение роли и нажмите кнопку "Активировать действие>" в разделе сведений о назначении роли. Выполните действия, чтобы активировать и заполнить все необходимые сведения, прежде чем нажать кнопку "Активировать" в нижней части экрана.

Screenshot of the mobile app showing how a user fill out the required information

  1. Просмотрите состояние запросов на активацию и назначения ролей в ролях My Microsoft Entra.

Screenshot of the mobile app showing the user's role status.

Следующие шаги