Назначение ролей Microsoft Entra в управление привилегированными пользователями
С помощью идентификатора Microsoft Entra глобальный администратор может выполнять постоянные назначения ролей администратора Microsoft Entra. Эти назначения ролей можно создать с помощью Центра администрирования Microsoft Entra или с помощью команд PowerShell.
Служба Microsoft Entra управление привилегированными пользователями (PIM) также позволяет администраторам привилегированных ролей выполнять назначения ролей постоянного администратора. Кроме того, администраторы привилегированных ролей могут сделать пользователей подходящими для ролей администратора Microsoft Entra. Такой разрешенный администратор может активировать роль при необходимости. Срок действия его разрешений истекает, когда роль больше не требуется ему для работы.
управление привилегированными пользователями поддерживают как встроенные, так и пользовательские роли Microsoft Entra. Дополнительные сведения о пользовательских ролях Microsoft Entra см. в разделе "Управление доступом на основе ролей" в идентификаторе Microsoft Entra.
Примечание.
При назначении роли назначение:
- не может быть назначено на период менее пяти минут;
- не может быть удалено в течение пяти минут после назначения.
Назначение роли
Выполните следующие действия, чтобы сделать пользователя подходящим для роли администратора Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям Управления удостоверениями> управление привилегированными пользователями> Microsoft Entra.
Выберите роли, чтобы просмотреть список ролей для разрешений Microsoft Entra.
Выберите Добавить назначения, чтобы открыть страницу Добавление назначений.
Нажмите Выбрать роль, чтобы открыть страницу Выбор роли.
Выберите роль, которую нужно назначить, и участника, которому нужно назначить роль, а затем нажмите кнопку Далее.
Примечание.
Если вы назначаете встроенную роль Microsoft Entra гостевого пользователя, гостевой пользователь получит те же разрешения, что и пользователь-участник. Сведения о разрешениях участника и гостевого пользователя по умолчанию см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra?
В списке Тип назначения в области Параметры членства выберите значение Допустимое или Активное.
Назначение допустимой роли означает, что участник роли должен выполнить определенное действие для использования этой роли. Действия могут включать выполнение многофакторной проверки подлинности (MFA) проверка, предоставление бизнес-обоснования или запрос утверждения от назначенных утверждающих лиц.
Назначение активной роли не предусматривает дополнительных действий члена для использования роли. Члены, назначенные в качестве активных, постоянно имеют все полномочия, присвоенные роли.
Чтобы задать определенную длительность назначения, добавьте дату и время начала и окончания. По завершении нажмите кнопку Назначить, чтобы создать назначение роли.
Постоянные назначения не имеют даты окончания срока действия. Используйте этот параметр для постоянных сотрудников, которым часто требуются разрешения ролей.
Срок действия временных назначений истекает по завершении указанного периода. Используйте этот параметр для временных или контрактных сотрудников, например, для которых известны дата и время окончания проекта.
После назначения роли отобразится уведомление о состоянии назначения.
Выполните назначение роли с ограниченной областью
Для некоторых ролей область действия предоставленных разрешений может быть ограничена одной административной единицей, субъектом-службой или приложением. Эта процедура является примерной при назначении роли с областью административной единицы. Список ролей, поддерживающих назначение областей на основе административных единиц, см. в статье Назначение ролей с заданной областью административной единице. Эта функция в настоящее время развертывается в организациях Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям удостоверений>и администраторам.>
Выберите Администратор пользователей.
Щелкните Добавить назначения.
На странице Добавить назначения можно выполнить следующие действия:
- Выбрать пользователя или группу, которым будет назначена роль.
- Выбрать область роли (в данном случае административные единицы).
- Выбрать административную единицу для области.
Дополнительные сведения о создании административных единиц см. в статье Добавление и удаление административных единиц.
Назначение роли с помощью API Microsoft Graph
Дополнительные сведения об API-интерфейсах Microsoft Graph для PIM см. в разделе Общие сведения об управлении ролями с помощью API управления привилегированными пользователями (PIM).
Разрешения, необходимые для использования API PIM, приведены в статье Общие сведения об интерфейсах API Privileged Identity Management.
Назначение без даты окончания
Ниже приведен пример HTTP-запроса для создания соответствующего назначения без даты окончания. Дополнительные сведения о командах API, включая примеры запросов на C# и JavaScript, см. в разделе Создание roleEligibilityScheduleRequests.
HTTP-запрос
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json
{
"action": "adminAssign",
"justification": "Permanently assign the Global Reader to the auditor",
"roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
"directoryScopeId": "/",
"principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "noExpiration"
}
}
}
HTTP-ответ
Ниже приведен пример отклика. Объект ответа, показанный здесь, может быть сокращен для удобства.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
"id": "42159c11-45a9-4631-97e4-b64abdd42c25",
"status": "Provisioned",
"createdDateTime": "2022-05-13T13:40:33.2364309Z",
"completedDateTime": "2022-05-13T13:40:34.6270851Z",
"approvalId": null,
"customData": null,
"action": "adminAssign",
"principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
"roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
"justification": "Permanently assign the Global Reader to the auditor",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T13:40:34.6270851Z",
"recurrence": null,
"expiration": {
"type": "noExpiration",
"endDateTime": null,
"duration": null
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Активное и временное
Ниже приведен пример HTTP-запроса для создания активного назначения с ограниченным сроком действия. Дополнительные сведения о командах API, включая примеры запросов на C# и JavaScript, см. в разделе Создание roleAssignmentScheduleRequests.
HTTP-запрос
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminAssign",
"justification": "Assign the Exchange Recipient Administrator to the mail admin",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
HTTP-ответ
Ниже приведен пример отклика. Объект ответа, показанный здесь, может быть сокращен для удобства.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
"status": "Provisioned",
"createdDateTime": "2022-05-13T14:01:48.0145711Z",
"completedDateTime": "2022-05-13T14:01:49.8589701Z",
"approvalId": null,
"customData": null,
"action": "adminAssign",
"principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
"justification": "Assign the Exchange Recipient Administrator to the mail admin",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T14:01:49.8589701Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Обновление или удаление существующего назначения роли
Выполните следующие действия, чтобы обновить или удалить существующее назначение роли. Идентификатор Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra лицензированных клиентов: не назначайте группу в качестве активной роли с помощью идентификатора Microsoft Entra ID и управление привилегированными пользователями (PIM). Подробности см. в разделе Известные проблемы.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям Управления удостоверениями> управление привилегированными пользователями> Microsoft Entra.
Выберите роли , чтобы просмотреть список ролей для идентификатора Microsoft Entra.
Щелкните роль, которую нужно обновить или удалить.
Найдите назначение роли на вкладках Доступные роли или Активные роли.
Нажмите кнопку Обновить или Удалить, чтобы обновить или удалить назначение роли.
Удаление соответствующего назначения посредством API Microsoft Graph
Ниже приведен пример HTTP-запроса, который отменяет соответствующее назначение роли для участника. Дополнительные сведения о командах API, включая примеры запросов на C# и JavaScript, см. в разделе Создание roleEligibilityScheduleRequests.
Запросить
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
{
"action": "AdminRemove",
"justification": "abcde",
"directoryScopeId": "/",
"principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
Response
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
"id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de",
"status": "Revoked",
"createdDateTime": "2021-07-15T20:23:23.85453Z",
"completedDateTime": null,
"approvalId": null,
"customData": null,
"action": "AdminRemove",
"principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": null,
"justification": "test",
"scheduleInfo": null,
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}