Redigera

Dela via


Aktivera mina Azure-resursroller i Privileged Identity Management

Använd Microsoft Entra Privileged Identity Management (PIM) för att tillåta berättigade rollmedlemmar för Azure-resurser att schemalägga aktivering för ett framtida datum och tid. De kan också välja en viss aktiveringstid inom det maximala (konfigurerat av administratörer).

Den här artikeln är avsedd för medlemmar som behöver aktivera sin Azure-resursroll i Privileged Identity Management.

Kommentar

Från och med mars 2023 kan du nu aktivera dina tilldelningar och visa din åtkomst direkt från blad utanför PIM i Azure-portalen. Läs mer här.

Viktigt!

När en roll aktiveras lägger Microsoft Entra PIM tillfälligt till aktiv tilldelning för rollen. Microsoft Entra PIM skapar aktiv tilldelning (tilldelar användare till en roll) inom några sekunder. När inaktivering (manuell eller genom aktiveringstid upphör att gälla) tar Microsoft Entra PIM bort den aktiva tilldelningen även inom några sekunder.

Programmet kan ge åtkomst baserat på den roll som användaren har. I vissa situationer kanske programåtkomsten inte omedelbart återspeglar det faktum att användaren fick rollen tilldelad eller borttagen. Om programmet tidigare cachelagrade det faktum att användaren inte har någon roll – när användaren försöker komma åt programmet igen kanske inte åtkomst tillhandahålls. På samma sätt, om programmet tidigare cachelagrade det faktum att användaren har en roll – när rollen inaktiveras kan användaren fortfarande få åtkomst. Den specifika situationen beror på programmets arkitektur. För vissa program kan det hjälpa att logga ut och logga in igen för att få åtkomst till eller borttagen.

Förutsättningar

Ingen

Aktivera en roll

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

När du behöver ta på dig en Azure-resursroll kan du begära aktivering med navigeringsalternativet Mina roller i Privileged Identity Management.

Kommentar

PIM är nu tillgängligt i Azure-mobilappen (iOS | Android) för Microsoft Entra-ID och Azure-resursroller. Aktivera enkelt berättigade tilldelningar, begära förnyelser för dem som upphör att gälla eller kontrollera statusen för väntande begäranden. Läs mer nedan

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsstyrning>Privileged Identity Management>Mina roller.

    Skärmbild av min rollsida som visar roller som du kan aktivera.

  3. Välj Azure-resursroller för att se en lista över dina berättigade Azure-resursroller.

    Skärmbild av mina roller – sidan Azure-resursroller.

  4. Leta reda på den roll som du vill aktivera i listan Över Azure-resursroller .

    Skärmbild av azure-resursroller – listan Mina berättigade roller.

  5. Välj Aktivera för att öppna sidan Aktivera.

    Skärmbild av det öppnade fönstret Aktivera med omfång, starttid, varaktighet och orsak.

  6. Om din roll kräver multifaktorautentisering väljer du Verifiera din identitet innan du fortsätter. Du behöver bara autentisera en gång per session.

  7. Välj Verifiera min identitet och följ anvisningarna för att tillhandahålla ytterligare säkerhetsverifiering.

    Skärmbild av skärmen för att tillhandahålla säkerhetsverifiering, till exempel en PIN-kod.

  8. Om du vill ange ett reducerat omfång väljer du Omfång för att öppna fönstret Resursfilter.

    Det är en bra idé att bara begära åtkomst till de resurser du behöver. I fönstret Resursfilter kan du ange de resursgrupper eller resurser som du behöver åtkomst till.

    Skärmbild av aktivera – fönstret Resursfilter för att ange omfång.

  9. Om det behövs anger du en anpassad aktiveringsstarttid. Medlemmen aktiveras efter den valda tiden.

  10. I rutan Orsak anger du orsaken till aktiveringsbegäran.

  11. Välj aktivera.

    Kommentar

    Om rollen kräver godkännande för att aktiveras visas ett meddelande i det övre högra hörnet i webbläsaren som informerar dig om att begäran väntar på godkännande.

Aktivera en roll med ARM API

Privileged Identity Management har stöd för API-kommandon i Azure Resource Manager (ARM) för att hantera Azure-resursroller, enligt beskrivningen i PIM ARM API-referensen. De behörigheter som krävs för att använda PIM-API :et finns i Förstå API:erna för privileged Identity Management.

Om du vill aktivera en berättigad Azure-rolltilldelning och få aktiverad åtkomst använder du schemabegäranden för rolltilldelning – Skapa REST API för att skapa en ny begäran och ange säkerhetsobjekt, rolldefinition, requestType = SelfActivate och omfång. Om du vill anropa det här API:et måste du ha en berättigad rolltilldelning i omfånget.

Använd ett GUID-verktyg för att generera en unik identifierare som ska användas för rolltilldelningsidentifieraren. Identifieraren har formatet: 00000000-0000-0000-0000-000000000000000.

Ersätt {roleAssignmentScheduleRequestName} i PUT-begäran nedan med GUID-identifieraren för rolltilldelningen.

Mer information om hur du hanterar berättigade roller för Azure-resurser finns i den här PIM ARM API-självstudien.

Följande är en HTTP-exempelbegäran för att aktivera en berättigad tilldelning för en Azure-roll.

Förfrågan

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Request body

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
} 

Response

Statuskod: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
} 

Visa status för dina begäranden

Du kan visa status för väntande begäranden som ska aktiveras.

  1. Öppna Microsoft Entra Privileged Identity Management.

  2. Välj Mina begäranden om du vill se en lista över dina Microsoft Entra-roll- och Azure-resursrollsbegäranden.

    Skärmbild av mina begäranden – Azure-resurssidan som visar dina väntande begäranden.

  3. Rulla åt höger för att visa kolumnen Begärandestatus .

Avbryt en väntande begäran

Om du inte behöver aktivering av en roll som kräver godkännande kan du avbryta en väntande begäran när som helst.

  1. Öppna Microsoft Entra Privileged Identity Management.

  2. Välj Mina begäranden.

  3. För den roll som du vill avbryta väljer du länken Avbryt .

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
    

    Skärmbild av min begärandelista med åtgärden Avbryt markerad.

Inaktivera en rolltilldelning

När en rolltilldelning aktiveras visas alternativet Inaktivera i PIM-portalen för rolltilldelningen. Du kan inte heller inaktivera en rolltilldelning inom fem minuter efter aktiveringen.

Aktivera med Azure-portalen

Rollaktivering av privilegierad identitetshantering har integrerats i AD-tilläggen (Fakturering och åtkomstkontroll) i Azure-portalen. Med genvägar till prenumerationer (fakturering) och åtkomstkontroll (AD) kan du aktivera PIM-roller direkt från dessa blad.

På bladet Prenumerationer väljer du "Visa berättigade prenumerationer" på den vågräta kommandomenyn för att kontrollera dina berättigade, aktiva och utgångna tilldelningar. Därifrån kan du aktivera en berättigad tilldelning i samma fönster.

Skärmbild av att visa berättigade prenumerationer på sidan Prenumerationer.

Skärmbild av att visa berättigade prenumerationer på sidan Cost Management: Integration Service.

I Åtkomstkontroll (IAM) för en resurs kan du nu välja "Visa min åtkomst" för att se dina aktiva och berättigade rolltilldelningar och aktivera direkt.

Skärmbild av aktuella rolltilldelningar på sidan Mått.

Genom att integrera PIM-funktioner i olika Azure-portalblad kan du med den här nya funktionen få tillfällig åtkomst för att visa eller redigera prenumerationer och resurser enklare.

Aktivera PIM-roller med hjälp av Azure-mobilappen

PIM är nu tillgängligt i Microsoft Entra-ID:t och Azure-resursrollerna mobilappar i både iOS och Android.

  1. Om du vill aktivera en berättigad Microsoft Entra-rolltilldelning börjar du med att ladda ned Azure-mobilappen (iOS | Android). Du kan också ladda ned appen genom att välja Öppna i mobil från Privileged Identity Management > Mina roller > Microsoft Entra-roller.

    Skärmbild som visar hur du laddar ned mobilappen.

  2. Öppna Azure-mobilappen och logga in. Klicka på kortet Privileged Identity Management och välj Mina Azure-resursroller för att visa dina berättigade och aktiva rolltilldelningar.

    Skärmbild av mobilappen som visar privilegierad identitetshantering och användarens roller.

  3. Välj rolltilldelningen och klicka på Åtgärd > Aktivera under rolltilldelningsinformationen. Slutför stegen för att aktivera och fyll i nödvändig information innan du klickar på Aktivera längst ned.

    Skärmbild av mobilappen som visar att valideringsprocessen har slutförts. Bilden visar knappen Aktivera.

  4. Visa status för dina aktiveringsbegäranden och dina rolltilldelningar under "Mina Azure-resursroller".

    Skärmbild av mobilappen som visar det pågående aktiveringsmeddelandet.