Tilldela Microsoft Entra-roller i Privileged Identity Management

  • Artikel

Med Microsoft Entra-ID kan en global administratör göra permanenta administratörsrolltilldelningar för Microsoft Entra. Dessa rolltilldelningar kan skapas med hjälp av administrationscentret för Microsoft Entra eller med hjälp av PowerShell-kommandon.

Tjänsten Microsoft Entra Privileged Identity Management (PIM) gör det också möjligt för privilegierade rolladministratörer att göra permanenta administratörsrolltilldelningar. Dessutom kan privilegierade rolladministratörer göra användare berättigade till Microsoft Entra-administratörsroller. En berättigad administratör kan aktivera rollen när de behöver den och sedan upphör deras behörigheter att gälla när de är klara.

Privileged Identity Management stöder både inbyggda och anpassade Microsoft Entra-roller. Mer information om anpassade Microsoft Entra-roller finns i Rollbaserad åtkomstkontroll i Microsoft Entra-ID.

Kommentar

När en roll tilldelas tilldelas tilldelningen:

  • Det går inte att tilldelas under en varaktighet på mindre än fem minuter
  • Det går inte att ta bort det inom fem minuter efter att det har tilldelats

Tilldela en roll

Följ de här stegen för att göra en användare berättigad till en Administratörsroll för Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Microsoft Entra-roller för identitetsstyrning>Privileged Identity Management.>

  3. Välj Roller för att se listan över roller för Microsoft Entra-behörigheter.

    Screenshot of the

  4. Välj Lägg till tilldelningar för att öppna sidan Lägg till tilldelningar .

  5. Välj Välj en roll för att öppna sidan Välj en roll .

    New assignment pane

  6. Välj en roll som du vill tilldela, välj en medlem som du vill tilldela rollen till och välj sedan Nästa.

  7. I listan Tilldelningstyp i fönstret Medlemskapsinställningar väljer du Berättigad eller Aktiv.

    • Berättigade tilldelningar kräver att rollens medlem utför en åtgärd för att använda rollen. Det kan vara åtgärder som att utföra en kontroll av multifaktorautentisering (MFA), ange en affärsmotivering eller begära godkännande från utnämnda godkännare.

    • Aktiva tilldelningar kräver inte att medlemmen utför någon åtgärd för att använda rollen. Medlemmar som har tilldelats som aktiva har behörigheter tilldelade till rollen hela tiden.

  8. Om du vill ange en viss tilldelningstid lägger du till rutorna start- och slutdatum och tid. När du är klar väljer du Tilldela för att skapa den nya rolltilldelningen.

    • Permanenta tilldelningar har inget förfallodatum. Använd det här alternativet för fast anställda som ofta behöver rollbehörigheterna.

    • Tidsbundna tilldelningar upphör att gälla i slutet av en angiven period. Använd det här alternativet med tillfälligt anställda eller kontraktsanställda, till exempel vars projektslutdatum och tid är kända.

    Memberships settings - date and time

  9. När rollen har tilldelats visas ett meddelande om tilldelningsstatus.

    New assignment - Notification

Tilldela en roll med begränsat omfång

För vissa roller kan omfattningen av de beviljade behörigheterna begränsas till en enda administratörsenhet, tjänstens huvudnamn eller program. Den här proceduren är ett exempel om du tilldelar en roll som har omfånget för en administrativ enhet. En lista över roller som stöder omfång via administrativ enhet finns i Tilldela begränsade roller till en administrativ enhet. Den här funktionen distribueras för närvarande till Microsoft Entra-organisationer.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identity Roles admins Roles admins ( Identity>Roles & admins ).&>

  3. Välj Användaradministratör.

    The Add assignment command is available when you open a role in the portal

  4. Välj Lägg till tilldelningar.

    When a role supports scope, you can select a scope

  5. På sidan Lägg till tilldelningar kan du:

    • Välj en användare eller grupp som ska tilldelas rollen
    • Välj rollomfånget (i det här fallet administrativa enheter)
    • Välj en administrativ enhet för omfånget

Mer information om hur du skapar administrativa enheter finns i Lägga till och ta bort administrativa enheter.

Tilldela en roll med hjälp av Microsoft Graph API

Mer information om Microsoft Graph-API:er för PIM finns i Översikt över rollhantering via PIM-API:et (Privileged Identity Management).

Behörigheter som krävs för att använda PIM-API :et finns i Förstå API:erna för privileged Identity Management.

Berättigande utan slutdatum

Följande är en HTTP-exempelbegäran för att skapa en berättigad tilldelning utan slutdatum. Mer information om API-kommandona, inklusive begärandeexempel på språk som C# och JavaScript, finns i Skapa roleEligibilityScheduleRequests.

HTTP-begäran

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Permanently assign the Global Reader to the auditor",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

HTTP-svar

Följande är ett exempel på svaret. Svarsobjektet som visas här kan förkortas för läsbarhet.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T13:40:33.2364309Z",
    "completedDateTime": "2022-05-13T13:40:34.6270851Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "justification": "Permanently assign the Global Reader to the auditor",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T13:40:34.6270851Z",
        "recurrence": null,
        "expiration": {
            "type": "noExpiration",
            "endDateTime": null,
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Aktiv och tidsbunden

Följande är en HTTP-exempelbegäran för att skapa en aktiv tilldelning som är tidsbunden. Mer information om API-kommandona, inklusive begärandeexempel på språk som C# och JavaScript, finns i Skapa roleAssignmentScheduleRequests.

HTTP-begäran

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "adminAssign",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP-svar

Följande är ett exempel på svaret. Svarsobjektet som visas här kan förkortas för läsbarhet.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T14:01:48.0145711Z",
    "completedDateTime": "2022-05-13T14:01:49.8589701Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T14:01:49.8589701Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Uppdatera eller ta bort en befintlig rolltilldelning

Följ de här stegen för att uppdatera eller ta bort en befintlig rolltilldelning. Microsoft Entra ID P2 eller Microsoft Entra ID Governance licensierade kunder endast: Tilldela inte en grupp som aktiv till en roll via både Microsoft Entra ID och Privileged Identity Management (PIM). En detaljerad förklaring finns i Kända problem.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Microsoft Entra-roller för identitetsstyrning>Privileged Identity Management.>

  3. Välj Roller för att se listan över roller för Microsoft Entra-ID.

  4. Välj den roll som du vill uppdatera eller ta bort.

  5. Leta upp rolltilldelningen på flikarna Berättigade roller eller Aktiva roller .

    Update or remove role assignment

  6. Välj Uppdatera eller ta bort för att uppdatera eller ta bort rolltilldelningen.

Ta bort berättigad tilldelning via Microsoft Graph API

Följande är en HTTP-exempelbegäran för att återkalla en berättigad tilldelning till en roll från ett huvudnamn. Mer information om API-kommandona, inklusive begärandeexempel på språk som C# och JavaScript, finns i Skapa roleEligibilityScheduleRequests.

Begär

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests 

{ 
    "action": "AdminRemove", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b" 
}

Svar

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de", 
    "status": "Revoked", 
    "createdDateTime": "2021-07-15T20:23:23.85453Z", 
    "completedDateTime": null, 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminRemove", 
    "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": null, 
    "justification": "test", 
    "scheduleInfo": null, 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
}

Nästa steg