Aktivera mina Azure-resursroller i Privileged Identity Management

  • Artikel

Använd Microsoft Entra Privileged Identity Management (PIM) för att tillåta berättigade rollmedlemmar för Azure-resurser att schemalägga aktivering för ett framtida datum och tid. De kan också välja en viss aktiveringstid inom det maximala (konfigurerat av administratörer).

Den här artikeln är avsedd för medlemmar som behöver aktivera sin Azure-resursroll i Privileged Identity Management.

Kommentar

Från och med mars 2023 kan du nu aktivera dina tilldelningar och visa din åtkomst direkt från blad utanför PIM i Azure-portalen. Läs mer här.

Viktigt!

När en roll aktiveras lägger Microsoft Entra PIM tillfälligt till aktiv tilldelning för rollen. Microsoft Entra PIM skapar aktiv tilldelning (tilldelar användare till en roll) inom några sekunder. När inaktivering (manuell eller genom aktiveringstid upphör att gälla) tar Microsoft Entra PIM bort den aktiva tilldelningen även inom några sekunder.

Programmet kan ge åtkomst baserat på den roll som användaren har. I vissa situationer kanske programåtkomsten inte omedelbart återspeglar det faktum att användaren fick rollen tilldelad eller borttagen. Om programmet tidigare cachelagrade det faktum att användaren inte har någon roll – när användaren försöker komma åt programmet igen kanske inte åtkomst tillhandahålls. På samma sätt, om programmet tidigare cachelagrade det faktum att användaren har en roll – när rollen inaktiveras kan användaren fortfarande få åtkomst. Den specifika situationen beror på programmets arkitektur. För vissa program kan det hjälpa att logga ut och logga in igen för att få åtkomst till eller borttagen.

Aktivera en roll

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

När du behöver ta på dig en Azure-resursroll kan du begära aktivering med navigeringsalternativet Mina roller i Privileged Identity Management.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsstyrning>Privileged Identity Management>Mina roller.

    My roles page showing roles you can activate

  3. Välj Azure-resursroller för att se en lista över dina berättigade Azure-resursroller.

    My roles - Azure resource roles page

  4. Leta reda på den roll som du vill aktivera i listan Över Azure-resursroller .

    Azure resource roles - My eligible roles list

  5. Välj Aktivera för att öppna sidan Aktivera.

    The opened Activate pane with scope, start time, duration, and reason

  6. Om din roll kräver multifaktorautentisering väljer du Verifiera din identitet innan du fortsätter. Du behöver bara autentisera en gång per session.

  7. Välj Verifiera min identitet och följ anvisningarna för att tillhandahålla ytterligare säkerhetsverifiering.

    Screen to provide security verification such as a PIN code

  8. Om du vill ange ett reducerat omfång väljer du Omfång för att öppna fönstret Resursfilter.

    Det är en bra idé att bara begära åtkomst till de resurser du behöver. I fönstret Resursfilter kan du ange de resursgrupper eller resurser som du behöver åtkomst till.

    Activate - Resource filter pane to specify scope

  9. Om det behövs anger du en anpassad aktiveringsstarttid. Medlemmen aktiveras efter den valda tiden.

  10. I rutan Orsak anger du orsaken till aktiveringsbegäran.

  11. Välj Aktivera.

    Kommentar

    Om rollen kräver godkännande för att aktiveras visas ett meddelande i det övre högra hörnet i webbläsaren som informerar dig om att begäran väntar på godkännande.

Aktivera en roll med ARM API

Privileged Identity Management har stöd för API-kommandon i Azure Resource Manager (ARM) för att hantera Azure-resursroller, enligt beskrivningen i PIM ARM API-referensen. De behörigheter som krävs för att använda PIM-API :et finns i Förstå API:erna för privileged Identity Management.

Om du vill aktivera en berättigad Azure-rolltilldelning och få aktiverad åtkomst använder du schemabegäranden för rolltilldelning – Skapa REST API för att skapa en ny begäran och ange säkerhetsobjekt, rolldefinition, requestType = SelfActivate och omfång. Om du vill anropa det här API:et måste du ha en berättigad rolltilldelning i omfånget.

Använd ett GUID-verktyg för att generera en unik identifierare som ska användas för rolltilldelningsidentifieraren. Identifieraren har formatet: 00000000-0000-0000-0000-000000000000000.

Ersätt {roleAssignmentScheduleRequestName} i PUT-begäran nedan med GUID-identifieraren för rolltilldelningen.

Mer information om hur du hanterar berättigade roller för Azure-resurser finns i den här PIM ARM API-självstudien.

Följande är en HTTP-exempelbegäran för att aktivera en berättigad tilldelning för en Azure-roll.

Begär

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Request body

{ 
"properties": { 
   "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
   "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
   "requestType": "SelfActivate", 
   "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
   "scheduleInfo": { 
       "startDateTime": "2020-09-09T21:35:27.91Z", 
       "expiration": { 
           "type": "AfterDuration", 
           "endDateTime": null, 
           "duration": "PT8H" 
       } 
   }, 
   "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
   "conditionVersion": "1.0" 
 } 
}

Response

Statuskod: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Visa status för dina begäranden

Du kan visa status för väntande begäranden som ska aktiveras.

  1. Öppna Microsoft Entra Privileged Identity Management.

  2. Välj Mina begäranden om du vill se en lista över dina Microsoft Entra-roll- och Azure-resursrollsbegäranden.

    My requests - Azure resource page showing your pending requests

  3. Rulla åt höger för att visa kolumnen Begärandestatus .

Avbryt en väntande begäran

Om du inte behöver aktivering av en roll som kräver godkännande kan du avbryta en väntande begäran när som helst.

  1. Öppna Microsoft Entra Privileged Identity Management.

  2. Välj Mina begäranden.

  3. För den roll som du vill avbryta väljer du länken Avbryt .

    När du väljer Avbryt avbryts begäran. Om du vill aktivera rollen igen måste du skicka en ny begäran om aktivering.

    My request list with Cancel action highlighted

Inaktivera en rolltilldelning

När en rolltilldelning aktiveras visas alternativet Inaktivera i PIM-portalen för rolltilldelningen. Du kan inte heller inaktivera en rolltilldelning inom fem minuter efter aktiveringen.

Aktivera med Azure-portalen

Rollaktivering av privilegierad identitetshantering har integrerats i AD-tilläggen (Fakturering och åtkomstkontroll) i Azure-portalen. Med genvägar till prenumerationer (fakturering) och åtkomstkontroll (AD) kan du aktivera PIM-roller direkt från dessa blad.

På bladet Prenumerationer väljer du "Visa berättigade prenumerationer" på den vågräta kommandomenyn för att kontrollera dina berättigade, aktiva och utgångna tilldelningar. Därifrån kan du aktivera en berättigad tilldelning i samma fönster.

Screenshot of view eligible subscriptions on the Subscriptions page.

Screenshot of view eligible subscriptions on the Cost Management: Integration Service page.

I Åtkomstkontroll (IAM) för en resurs kan du nu välja "Visa min åtkomst" för att se dina aktiva och berättigade rolltilldelningar och aktivera direkt.

Screenshot of current role assignments on the Measurement page.

Genom att integrera PIM-funktioner i olika Azure-portalblad kan du med den här nya funktionen få tillfällig åtkomst för att visa eller redigera prenumerationer och resurser enklare.

Nästa steg