Настройка параметров роли Azure AD в управлении привилегированными пользователями

Администратор привилегированных ролей может настроить компонент управления привилегированными пользователями (PIM) в своей организации Azure Active Directory (Azure AD), включая изменение среды работы для пользователей, активирующих назначения временных ролей. Сведения о событиях PIM, которые инициируют уведомления, и о том, какие администраторы их получают, см. в разделе Уведомления по электронной почте в Azure AD Privileged Identity Management

Открытие параметров роли

Чтобы открыть параметры роли AAD, выполните следующие шаги.

  1. Войдите на портал Azure под учетной записью пользователя с ролью администратора привилегированных ролей.

  2. Выберите Azure Active Directory Privileged Identity Management>Роли Azure AD>Параметры роли.

    Страница параметров роли со списком ролей Azure AD

  3. Выберите роль, параметры которой нужно настроить.

    Страница сведений о параметрах ролей со списком нескольких параметров назначения и активации

  4. Щелкните Изменить, чтобы открыть страницу Параметры роли.

    Страница изменения параметров роли с элементами для обновления параметров назначения и активации

    На панели для каждой роли есть ряд параметров, которые можно настроить.

Длительность назначений

При настройке параметров роли можно выбрать один из двух вариантов продолжительности назначения для каждого типа назначения (допустимые и активные). Эти параметры становятся максимальной продолжительностью по умолчанию при назначении пользователю роли в Privileged Identity Management.

Вы можете выбрать один из следующих допустимых вариантов продолжительности назначения:

Параметр Описание
Разрешить постоянную допустимую роль Глобальные администраторы и администраторы привилегированных ролей могут назначать постоянную допустимую роль.
Установить срок действия допустимой роли Глобальные администраторы и администраторы привилегированных ролей могут требовать, чтобы все допустимые роли имели указанную дату начала и окончания.

Вы можете выбрать один из следующих активных вариантов продолжительности назначения:

Параметр Описание
Разрешить постоянную активную роль Глобальные администраторы и администраторы привилегированных ролей могут назначать постоянную активную роль.
Установить срок действия активной роли Глобальные администраторы и администраторы привилегированных ролей могут требовать, чтобы все активные роли имели указанные дату начала и дату окончания.

Примечание

Все назначения с указанной датой окончания могут быть обновлены глобальными администраторами и администраторами привилегированных ролей. Кроме того, пользователи могут самостоятельно создавать запросы на продление или обновление назначений роли.

Требование многофакторной проверки подлинности

Privileged Identity Management обеспечивает принудительную многофакторную проверку подлинности Azure AD при активации и активном назначении.

При активации

Вы можете проверить личность пользователей, имеющих разрешение на роль, используя многофакторную проверку подлинности Azure AD, прежде чем они смогут активировать роль. Многофакторная проверка подлинности гарантирует подлинность пользователей с разумной достоверностью. Этот параметр защитит критически важные ресурсы даже при компрометации учетной записи пользователя.

Чтобы включить многофакторную проверку подлинности для активации назначения роли, выберите параметр On activation, require Azure MFA (При активации требуется Azure MFA) на вкладке "Активация" страницы Edit role setting (Изменение параметров роли).

При активном назначении

Этот параметр требует от администраторов выполнить многофакторную проверку подлинности перед созданием активного (в отличие от допустимого) назначения роли. Служба управления привилегированными пользователями не может принудительно применять многофакторную проверку подлинности, когда пользователи используют свою роль, потому что они уже активированы в роли с момента ее назначения.

Чтобы требовать многофакторную проверку подлинности при создании активного назначения роли, выберите параметр Требовать многофакторную проверку подлинности Azure для активного назначения на вкладке "Назначение" страницы Edit role setting (Изменение параметров роли).

Дополнительные сведения см. в статье о многофакторной проверке подлинности и управлении привилегированными пользователями.

Максимальная длительность активации

С помощью ползунка Максимальная длительность активации установите максимальное время в часах, когда назначение ролей остается активным до истечения срока его действия. Это значение может составлять от 1 до 24 часов.

Требование обоснования

Вы также можете потребовать, чтобы пользователи вводили бизнес-обоснование при активации. Чтобы требовать обоснование, установите флажки Require justification on active assignment (Требовать обоснование для активного назначения) или Require justification on activation (Требовать обоснование для активации).

Требование сведений о билете при активации

Если ваша организация использует систему билетов для отслеживания вопросов службы технической поддержки или запросов на изменение для среды, можно установить флажок Требовать сведения о билете при активации, чтобы запрос на повышение прав обязательно содержал имя системы билетов (необязательно, если ваша организация использует несколько систем) и номер билета, указывающего на необходимость активации роли.

Настройка требования утверждения для активации

Если выбрано несколько утверждающих лиц, утверждение завершается, как только один из них утверждает или отклоняет. Невозможно принудительно выполнить утверждение, поступающее от второго или последующих утверждающих. Если необходимо запросить утверждения для активации роли, выполните следующие действия.

  1. Установите флажок Require approval to activate (Требование утверждения для активации).

  2. Выберите Выбрать утверждающих.

    Выбор области пользователя или группы для выбора утверждающих

  3. Выберите по меньшей мере одного пользователя и щелкните Выбрать. Выберите по меньшей мере одного утверждающего. Если определенные утверждающие не выбраны, администраторы привилегированных ролей и глобальные администраторы становятся утверждающими по умолчанию.

    Примечание

    Утверждающему не обязательно иметь административную роль Azure AD. Это может быть обычный пользователь, например ИТ-руководитель.

  4. Чтобы сохранить изменения, нажмите Обновить.

Управление параметрами ролей с помощью Microsoft Graph

Для управления параметрами Azure AD ролей с помощью Microsoft Graph используйте тип ресурса unifiedRoleManagementPolicy и связанные методы.

В Microsoft Graph параметры ролей называются правилами и назначаются Azure AD ролям с помощью политик контейнеров. Каждой Azure AD роли назначается определенный объект политики. Вы можете получить все политики, относящиеся к Azure AD ролям и для каждой политики, получить связанную коллекцию правил с помощью $expand параметра запроса. У этого запроса следующий синтаксис:

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules

Правила группируются в контейнеры. Контейнеры также разделены на определения правил, которые идентифицируются уникальными идентификаторами для упрощения управления. Например, контейнер unifiedRoleManagementPolicyEnablementRule предоставляет три определения правил, определяемых следующими уникальными идентификаторами.

  • Enablement_Admin_Eligibility — правила, которые применяются для администраторов для выполнения операций с разрешениями на роль. Например, требуется ли обоснование и для всех операций (например, возобновление, активация или деактивация) или только для определенных операций.
  • Enablement_Admin_Assignment — правила, которые применяются для администраторов для выполнения операций с назначением ролей. Например, требуется ли обоснование и для всех операций (например, возобновление, деактивация или расширение) или только для определенных операций.
  • Enablement_EndUser_Assignment — правила, применяемые к субъектам для включения их назначений. Например, требуется ли многофакторная проверка подлинности.

Чтобы обновить эти определения правил, используйте API правил обновления. Например, следующий запрос указывает пустую коллекцию enabledRules, поэтому деактивация включенных правил для политики, таких как многофакторная проверка подлинности, сведения о билетах и обоснование.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_cab01047-8ad9-4792-8e42-569340767f1b_70c808b5-0d35-4863-a0ba-07888e99d448/rules/Enablement_EndUser_Assignment
{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyEnablementRule",
    "id": "Enablement_EndUser_Assignment",
    "enabledRules": [],
    "target": {
        "caller": "EndUser",
        "operations": [
            "all"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Вы можете получить коллекцию правил, применяемых ко всем ролям Azure AD или определенной роли Azure AD с помощью типа ресурса unifiedroleManagementPolicyAssignment и связанных методов. Например, следующий запрос использует $expand параметр запроса для получения правил, применяемых к роли Azure AD, определяемой roleDefinitionId или templateId62e90394-69f5-4237-9190-012177145e10.

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicyAssignments?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole' and roleDefinitionId eq '62e90394-69f5-4237-9190-012177145e10'&$expand=policy($expand=rules)

Дополнительные сведения об управлении параметрами ролей с помощью PIM см. в разделе Параметры роли и PIM.

Дальнейшие действия