Изменить

Поделиться через

Активация ролей ресурсов Azure в управление привилегированными пользователями

  • Практическое руководство

Используйте microsoft Entra управление привилегированными пользователями (PIM), чтобы разрешить соответствующим членам роли для ресурсов Azure планировать активацию для будущей даты и времени. Кроме того, они могут выбирать конкретную продолжительность активации в пределах максимума (заданного администраторами).

Эта статья предназначена для членов, которым нужно активировать свои роли ресурсов Azure в PIM.

Примечание.

По состоянию на март 2023 г. вы можете активировать назначения и просмотреть доступ непосредственно из колонки за пределами PIM в портал Azure. Дополнительные сведения см. здесь.

Внимание

При активации роли Microsoft Entra PIM временно добавляет активное назначение для роли. Microsoft Entra PIM создает активное назначение (назначает пользователя роли) в течение секунд. При деактивации (вручную или через истечение срока действия активации) Microsoft Entra PIM также удаляет активное назначение в течение секунд.

Приложение может предоставить доступ на основе роли пользователя. В некоторых ситуациях доступ к приложению может не сразу отразить тот факт, что пользователь получил роль, назначенную или удаленную. Если приложение ранее кэшировало тот факт, что пользователь не имеет роли , когда пользователь пытается получить доступ к приложению снова, доступ может не предоставляться. Аналогичным образом, если приложение ранее кэшировало тот факт, что у пользователя есть роль — когда роль деактивирована, пользователь может получить доступ. Конкретная ситуация зависит от архитектуры приложения. Для некоторых приложений выход и вход в систему могут помочь получить доступ к добавлению или удалению.

Необходимые компоненты

нет

Активация роли

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Когда вам потребуется какая-либо роль ресурса Azure, вы можете запросить ее активацию с помощью параметра Мои роли в области навигации в Azure AD Privileged Identity Management.

Примечание.

PIM теперь доступен в мобильном приложении Azure (iOS | Android) для ролей ресурсов Microsoft Entra ID и Ресурсов Azure. Легко активировать подходящие назначения, продлить запросы для тех, которые истекают, или проверка состояние ожидающих запросов. Дополнительные сведения см. ниже

  1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

  2. Перейдите к ролям управления удостоверениями> управление привилегированными пользователями> Ми.

    Снимок экрана: страница ролей с ролями, которые можно активировать.

  3. Выберите Роли ресурсов Azure, чтобы просмотреть список доступных ролей ресурсов Azure.

    Снимок экрана: страница ролей ресурсов Azure.

  4. В списке Роли службы ресурсов Azure найдите роль, которую необходимо активировать.

    Снимок экрана: роли ресурсов Azure — список соответствующих ролей.

  5. Выберите Активировать, чтобы открыть страницу "Активация".

    Снимок экрана: открытая панель активации с область, временем начала, длительностью и причиной.

  6. Если для роли требуется многофакторная проверка подлинности, перед продолжением нажмите кнопку "Проверить удостоверение". Проверка подлинности выполняется один раз за сеанс.

  7. Выберите Подтверждение вашей личности и следуйте инструкциям для настройки дополнительной проверки безопасности.

    Снимок экрана: проверка безопасности, например ПИН-код.

  8. Если вы хотите указать меньшую область, выберите Область, чтобы открыть область "Фильтр ресурсов".

    Рекомендуется запрашивать доступ только к тем ресурсам, которые вам нужны. В области "Фильтр ресурсов" можно указать группы ресурсов или ресурсы, доступ к которым вам нужен.

    Снимок экрана: панель

  9. При необходимости укажите время начала настраиваемой активации. Участник будет активирован по прошествии установленного времени.

  10. В поле Причина введите основание для запроса активации.

  11. Выберите Активировать.

    Примечание.

    Если роль требует утверждения для активации, в правом верхнем углу браузера появится уведомление о том, что запрос ожидает утверждения.

Активация роли с помощью API ARM

Azure Active Directory Privileged Identity Management поддерживает команды API Azure Resource Manager (ARM) для управления ролями ресурсов Azure, как описано в справочнике по API ARM для PIM. Разрешения, необходимые для использования API PIM, см. в статье Общие сведения об интерфейсах API Privileged Identity Management.

Чтобы активировать допустимое назначение ролей Azure и получить активированный доступ, используйте запросы расписания назначения ролей. Создайте REST API для создания нового запроса и укажите субъект безопасности, определение роли, requestType = SelfActivate и область. Чтобы вызвать этот API, необходимо иметь соответствующее назначение роли в область.

Используйте средство GUID для создания уникального идентификатора, который будет использоваться для назначения роли. Идентификатор имеет формат: 0000000000-0000-0000-0000-0000000000000000.

Замените {roleAssignmentScheduleRequestName} в приведенном ниже запросе PUT идентификатором GUID назначения роли.

Дополнительные сведения об управлении соответствующими ролями для ресурсов Azure см. в этом руководстве по API PIM ARM.

Ниже приведен пример HTTP-запроса для активации подходящего назначения для роли Azure.

Запросить

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Request body

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Отклик

Код состояния: 201.

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Просмотр состояния запросов

Вы можете просмотреть состояние запросов, ожидающих активации.

  1. Откройте Управление привилегированными пользователями Microsoft Entra.

  2. Выберите "Мои запросы ", чтобы просмотреть список запросов на роль Microsoft Entra и роль ресурсов Azure.

    Снимок экрана: страница ресурсов Azure с ожидающих запросов.

  3. Прокрутите вправо, чтобы увидеть столбец Состояние запроса.

Отмена ожидающего запроса

Если вы не активируете роль, требующую утверждения, вы можете в любой момент отменить запрос, ожидающий утверждения.

  1. Откройте Управление привилегированными пользователями Microsoft Entra.

  2. Выберите Мои запросы.

  3. Выберите ссылку Отмена для роли, которую хотите отменить.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Снимок экрана: список запросов с выделенным действием

Деактивация назначения роли

Пока назначение роли активировано, на портале PIM для этого назначения отображается действие Деактивировать. Кроме того, невозможно деактивировать назначение роли в течение пяти минут после активации.

Активация с помощью портал Azure

управление привилегированными пользователями активация роли была интегрирована в расширения выставления счетов и контроль доступа (AD) в портал Azure. Сочетания клавиш для подписок (выставления счетов) и контроль доступа (AD) позволяют активировать роли PIM непосредственно из этих колонк.

В колонке "Подписки" выберите "Просмотреть соответствующие подписки" в горизонтальном меню команд, чтобы проверка допустимые, активные и просроченные назначения. Оттуда можно активировать соответствующее назначение в той же области.

Снимок экрана: просмотр соответствующих подписок на странице

Снимок экрана: просмотр соответствующих подписок на странице

В элементе управления доступом (IAM) для ресурса теперь можно выбрать "Просмотреть мой доступ", чтобы просмотреть текущие активные и соответствующие назначения ролей и активировать напрямую.

Снимок экрана: текущие назначения ролей на странице измерения.

Интеграция возможностей PIM в разные колонки портал Azure позволяет получить временный доступ к просмотру или редактированию подписок и ресурсов.

Активация ролей PIM с помощью мобильного приложения Azure

PIM теперь доступен в мобильных приложениях Microsoft Entra ID и Azure resource role в iOS и Android.

  1. Чтобы активировать соответствующее назначение ролей Microsoft Entra, начните с скачивания мобильного приложения Azure (iOS | Android). Вы также можете скачать приложение, выбрав "Открыть на мобильном устройстве" из управление привилегированными пользователями > Роли Microsoft > Entra.

    Снимок экрана: скачивание мобильного приложения.

  2. Откройте мобильное приложение Azure и войдите в систему. Щелкните карта "управление привилегированными пользователями" и выберите роли "Мой ресурс Azure", чтобы просмотреть соответствующие и активные назначения ролей.

    Снимок экрана: мобильное приложение с привилегированным управлением удостоверениями и ролями пользователя.

  3. Выберите назначение роли и нажмите кнопку "Активировать действие>" в разделе сведений о назначении роли. Выполните действия, чтобы активировать и заполнить все необходимые сведения, прежде чем нажать кнопку "Активировать " в нижней части экрана.

    Снимок экрана: мобильное приложение с завершением процесса проверки. На изображении показана кнопка

  4. Просмотрите состояние запросов активации и назначений ролей в разделе "Мои роли ресурсов Azure".

    Снимок экрана: мобильное приложение с сообщением о активации.

Связанный контент