Упражнение назначение ролей Microsoft Entra в управление привилегированными пользователями

  • 10 мин

С помощью идентификатора Microsoft Entra глобальный администратор может выполнять постоянные назначения ролей администратора Microsoft Entra. Эти назначения ролей можно создать с помощью портала Azure или команд PowerShell.

Служба Microsoft Entra управление привилегированными пользователями (PIM) также позволяет администраторам привилегированных ролей выполнять назначения ролей постоянного администратора. Кроме того, администраторы привилегированных ролей могут сделать пользователей подходящими для ролей администратора Microsoft Entra. Такой разрешенный администратор может активировать роль при необходимости. Срок действия его разрешений истекает, когда роль больше не требуется ему для работы.

Назначение роли

Выполните следующие действия, чтобы сделать пользователя подходящим для роли администратора Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra от имени администратора клиента.

  2. Найдите и выберите Microsoft Entra управление привилегированными пользователями.

  3. На экране управление привилегированными пользователями в области навигации слева выберите роли Microsoft Entra.

  4. На странице быстрого запуска в области навигации слева выберите Роли.

  5. В меню сверху выберите + Добавить приложения.

    Screenshot of the Microsoft Entra roles with Add assignments menu highlighted.

  6. На панели добавления назначений проверьте параметры, представленные на вкладке Членство.

  7. В меню Выбор роли выберите пункт Администратор соответствия. Для поиска роли можно использовать фильтр Поиск роли по имени.

  8. В разделе Выбор участников выберите Нет выбранных участников.

  9. На панели выбора участника выберите учетную запись администратора и нажмите Выбрать.

    Screenshot of the select a member pane with a selected member highlighted.

  10. На экране добавления назначений щелкните Далее.

  11. Во вкладке Параметры в разделе Тип назначенияпроверьте доступные параметры. Для этой задачи необходимо использовать значение по умолчанию.

    • Назначение допустимой роли означает, что участник роли должен выполнить определенное действие для использования этой роли. Действия могут включать выполнение многофакторной проверки подлинности (MFA) проверка, предоставление бизнес-обоснования или запрос утверждения от назначенных утверждающих лиц.
    • Назначение активной роли не предусматривает дополнительных действий члена для использования роли. Пользователи, назначенные в роли активных пользователей, имеют все полномочия, присвоенные роли.

  12. Просмотрите остальные параметры и нажмите кнопку Назначить.

Активация ролей Microsoft Entra

Если необходимо принять роль Microsoft Entra, вы можете запросить активацию, открыв мои роли в управление привилегированными пользователями.

  1. На экране управления привилегированными пользователями выберите Мои роли в области навигации слева.

  2. На панели "Мои роли" проверьте список доступных назначений.

    Screenshot of the My roles with eligible role assignments highlighted. Pick the role you need.

  3. В строке "Роль администратора" соответствия выберите Активировать.

  4. В области "Активация — администратор соответствия" выберите Дополнительная проверка, а затем следуйте указаниям по обеспечению дополнительной проверки безопасности. Проверка подлинности выполняется только один раз за сеанс.

    Screenshot of a popup to activate the compliance administrator.

  5. Завершив проверку безопасности в области активации для администратора соответствия, введите обоснование для активации этой роли в поле Причина.

  6. Выберите Активировать.

Выполните назначение роли с ограниченной областью

Для некоторых ролей область действия предоставленных разрешений может быть ограничена одной административной единицей, субъектом-службой или приложением. Эта процедура является примерной при назначении роли с областью административной единицы.

  1. Перейдите к экрану управление привилегированными пользователями и в меню навигации слева выберите роли Microsoft Entra.

  2. На панели ролей в верхнем меню выберите Добавить назначения.

  3. На экране добавления назначений выберите в меню Выбрать роль пункт Администратор пользователей.

  4. Выберите меню Тип области и проверьте доступные параметры. В настоящий момент вы будете использовать тип области Каталог.

    Совет

    Перейдите к разделу "Управление административными единицами" в идентификаторе Microsoft Entra, чтобы найти дополнительные сведения о типе административной единицы область.

  5. Аналогично назначению роли без ограниченной области действия. Добавьте членов и заполните параметры. Теперь нажмите Отмена.

Обновление или удаление существующего назначения роли

Выполните следующие действия, чтобы обновить или удалить существующее назначение роли.

  1. На экране "Открыть Microsoft Entra" управление привилегированными пользователями затем на экране ролей Microsoft Entra в области навигации слева выберите "Назначения".

  2. В списке Назначения для параметра администратор соответствия проверьте параметры в столбце Действие.

    Screenshot of the options listed in the action column of the Compliance Administrator.

  3. Выберите Обновить и проверьте параметры, доступные в области параметры членства. По завершении закройте панель.

  4. Выберите Удалить.

  5. В диалоговом окне удаления просмотрите сведения и нажмите Да.