Изменить

Поделиться через

Активация роли Microsoft Entra в PIM

  • Практическое руководство

Microsoft Entra управление привилегированными пользователями (PIM) упрощает управление привилегированным доступом к ресурсам в идентификаторе Microsoft Entra и других веб-службы Майкрософт, таких как Microsoft 365 или Microsoft Intune.

Если вам назначена роль администратора, вы должны активировать это назначение роли, когда вам потребуется выполнить привилегированные задачи. Например, если вы иногда управляете функциями Microsoft 365, администраторы привилегированных ролей вашей организации могут не сделать вас постоянным глобальным администратором, так как эта роль влияет на другие службы. Вместо этого они сделают вас подходящими для ролей Microsoft Entra, таких как администратор Exchange Online. Вы можете запросить активацию этой роли, если требуется его привилегии, а затем иметь управление администратором в течение предопределенного периода времени.

Эта статья предназначена для администраторов, которым требуется активировать свои роли в компоненте управления привилегированными пользователями Microsoft Entra. Хотя любой пользователь может отправить запрос на роль, необходимую через PIM, без роли администратора привилегированных ролей (PRA), эта роль необходима для управления ролями и назначения ролей другим пользователям в организации.

Внимание

При активации роли Microsoft Entra PIM временно добавляет активное назначение для роли. Microsoft Entra PIM создает активное назначение (назначает пользователя роли) в течение секунд. При деактивации (вручную или через истечение срока действия активации) Microsoft Entra PIM также удаляет активное назначение в течение секунд.

Приложение может предоставить доступ на основе роли пользователя. В некоторых ситуациях доступ к приложению может не сразу отразить тот факт, что пользователь получил роль, назначенную или удаленную. Если приложение ранее кэшировало тот факт, что пользователь не имеет роли , когда пользователь пытается получить доступ к приложению снова, доступ может не предоставляться. Аналогичным образом, если приложение ранее кэшировало тот факт, что у пользователя есть роль — когда роль деактивирована, пользователь может получить доступ. Конкретная ситуация зависит от архитектуры приложения. Для некоторых приложений выход и вход в систему могут помочь получить доступ к добавлению или удалению.

Необходимые компоненты

нет

Активация роли

Если необходимо принять роль Microsoft Entra, вы можете запросить активацию, открыв мои роли в управление привилегированными пользователями.

Примечание.

PIM теперь доступен в мобильном приложении Azure (iOS | Android) для ролей ресурсов Microsoft Entra ID и Ресурсов Azure. Легко активировать подходящие назначения, продлить запросы для тех, которые истекают, или проверить состояние ожидающих запросов. Дополнительные сведения см. ниже

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к ролям управления удостоверениями> управление привилегированными пользователями> Ми. Сведения о том, как добавить плитку "Управление привилегированными пользователями" на панель мониторинга, см. в статье Начало работы с управлением привилегированными пользователями.

  3. Выберите роли Microsoft Entra, чтобы просмотреть список соответствующих ролей Microsoft Entra.

    Страница

  4. В списке ролей Microsoft Entra найдите роль, которую вы хотите активировать.

    Роли Microsoft Entra — список соответствующих ролей

  5. Выберите Активировать, чтобы открыть панель "Активация".

    Роли Microsoft Entra — страница активации содержит длительность и область действия

  6. Выберите Требуется дополнительная проверка и следуйте инструкциям для настройки проверки безопасности. Проверка подлинности требуется лишь один раз за сеанс.

    Экран для ввода информации для проверки безопасности, например ПИН-кода

  7. После многофакторной проверки подлинности выберите Активировать, прежде чем продолжить.

    Проверка удостоверения с помощью MFA перед активацией роли

  8. Если вы хотите указать меньшую область, выберите Область, чтобы открыть панель "Фильтр". На панели фильтров можно указать ресурсы Microsoft Entra, к которым требуется доступ. Рекомендуется запрашивать доступ к, возможно, меньшему количеству ресурсов, которые вам нужны.

  9. При необходимости укажите время начала настраиваемой активации. Роль Microsoft Entra будет активирована после выбранного времени.

  10. В поле Причина введите основание для запроса активации.

  11. Выберите Активировать.

    Если роль требует утверждения для активации, в правом верхнем углу браузера появится уведомление, информирующее о том, что запрос ожидает утверждения.

    Запрос на активацию с уведомлением об ожидании утверждения

    Активация роли с помощью API Microsoft Graph

    Дополнительные сведения об API-интерфейсах Microsoft Graph для PIM см. в разделе Общие сведения об управлении ролями с помощью API управления привилегированными пользователями (PIM).

    Получение всех подходящих ролей, которые можно активировать

    Когда пользователь получает право на членство в группе, этот запрос Microsoft Graph не возвращает его права.

    HTTP-запрос

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

    HTTP-ответ

    Для экономии места мы показываем в ответе только одну роль, но здесь будут перечислены все подходящие назначения ролей, которые вы можете активировать.

    {
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

    Самостоятельная активация права на роль с помощью подачи обоснования

    HTTP-запрос

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

    HTTP-ответ

    HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Просмотр состояния запросов активации

Вы можете просмотреть состояние запросов, ожидающих активации.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> Мые запросы.

  3. При выборе "Мои запросы" отображается список запросов роли Microsoft Entra и роли ресурсов Azure.

    Снимок экрана: страница

  4. Прокрутите вправо, чтобы увидеть столбец Состояние запроса.

Отмена ожидающего запроса для новой версии

Если вам не нужна активация роли, требующая утверждения, вы можете в любой момент отменить такой запрос.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> Мые запросы.

  3. Выберите ссылку Отмена для роли, которую хотите отменить.

    При нажатии кнопки "Отмена" запрос отменяется. Чтобы снова активировать роль, необходимо отправить новый запрос на активацию.

    Список

Деактивация назначения роли

При активации назначения роли на портале PIM отображается параметр деактивации для назначения ролей. Кроме того, невозможно деактивировать назначение роли в течение пяти минут после активации.

Активация ролей PIM с помощью мобильного приложения Azure

PIM теперь доступен в мобильных приложениях Microsoft Entra ID и Azure resource role в iOS и Android.

  1. Чтобы активировать соответствующее назначение ролей Microsoft Entra, начните с скачивания мобильного приложения Azure (iOS | Android). Вы также можете скачать приложение, выбрав "Открыть в мобильном режиме" из управление привилегированными пользователями > мои роли > Microsoft Entra.

    Снимок экрана: скачивание мобильного приложения.

  2. Откройте мобильное приложение Azure и войдите в систему. Выберите карточку управление привилегированными пользователями и выберите роли "Мои записи Майкрософт", чтобы просмотреть соответствующие и активные назначения ролей.

    Снимок экрана мобильного приложения, показывающий, как пользователь будет просматривать доступные роли.

  3. Выберите назначение роли и нажмите кнопку "Активировать действие>" в разделе сведений о назначении роли. Выполните действия, чтобы активировать и заполнить все необходимые сведения, прежде чем нажать кнопку "Активировать" в нижней части экрана.

    Снимок экрана: мобильное приложение с указанием пользователя, как заполнить необходимые сведения

  4. Просмотрите состояние запросов на активацию и назначения ролей в ролях My Microsoft Entra.

    Снимок экрана: мобильное приложение с состоянием роли пользователя.

Связанный контент