Aracılığıyla paylaş


Privileged Identity Management'ta Microsoft Entra rolleri atama

Microsoft Entra Kimliği ile Genel Yönetici kalıcı Microsoft Entra yönetici rolü atamaları yapabilir. Bu rol atamaları Microsoft Entra yönetim merkezi veya PowerShell komutları kullanılarak oluşturulabilir.

Microsoft Entra Privileged Identity Management (PIM) hizmeti, Privileged Role Administrators'ın kalıcı yönetici rolü atamaları yapmasına da olanak tanır. Ayrıca, Ayrıcalıklı Rol Yöneticileri kullanıcıları Microsoft Entra yönetici rolleri için uygun hale getirebilir. Uygun bir yönetici, ihtiyacı olduğunda rolü etkinleştirebilir ve ardından izinleri tamamlandıktan sonra sona erer.

Privileged Identity Management hem yerleşik hem de özel Microsoft Entra rollerini destekler. Microsoft Entra özel rolleri hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de rol tabanlı erişim denetimi.

Not

Bir rol atandığında, atama:

  • Beş dakikadan kısa bir süre için atanamaz
  • Atandıktan sonra beş dakika içinde kaldırılamaz

Rol atama

Kullanıcıyı Microsoft Entra yönetici rolüne uygun hale getirmek için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  2. Kimlik idaresi>Privileged Identity Management>Microsoft Entra rolleri'ne göz atın.

  3. Microsoft Entra izinlerinin rol listesini görmek için Roller'i seçin.

    Atama ekle eyleminin seçili olduğu Roller sayfasının ekran görüntüsü.

  4. Ödev ekle'yi seçerek Atama ekle sayfasını açın.

  5. Rol seçin'i seçerek Rol seçin sayfasını açın.

    Yeni atama bölmesini gösteren ekran görüntüsü.

  6. Atamak istediğiniz rolü seçin, role atamak istediğiniz bir üyeyi seçin ve ardından İleri'yi seçin.

    Not

    Konuk kullanıcıya Microsoft Entra yerleşik rolü atarsanız, konuk kullanıcı üye kullanıcıyla aynı izinlere sahip olacak şekilde yükseltilir. Üye ve konuk kullanıcı varsayılan izinleri hakkında bilgi için bkz . Microsoft Entra Id'de varsayılan kullanıcı izinleri nelerdir?

  7. Üyelik ayarları bölmesindeki Atama türü listesinde Uygun veya Etkin'i seçin.

    • Uygun atamalar, rolün üyesinin rolü kullanmak için bir eylem gerçekleştirmesini gerektirir. Eylemler arasında çok faktörlü kimlik doğrulaması (MFA) denetimi gerçekleştirme, iş gerekçesi sağlama veya belirlenen onaylayanlardan onay isteme yer alabilir.

    • Etkin atamalar, üyenin rolü kullanmak için herhangi bir eylem gerçekleştirmesini gerektirmez. Etkin olarak atanan üyeler, role her zaman atanmış ayrıcalıklara sahiptir.

  8. Belirli bir atama süresini belirtmek için başlangıç ve bitiş tarihi ve saat kutuları ekleyin. bitirdiğinizde, yeni rol atamasını oluşturmak için Ata'yı seçin.

    • Kalıcı atamaların son kullanma tarihi yoktur. Rol izinlerine sık ihtiyaç duyan kalıcı çalışanlar için bu seçeneği kullanın.

    • Zamana bağlı atamaların süresi belirtilen sürenin sonunda dolacak. Bu seçeneği, örneğin proje bitiş tarihi ve saati bilinen geçici veya sözleşmeli çalışanlarla kullanın.

    Üyelik ayarları - tarih ve saati gösteren ekran görüntüsü.

  9. Rol atandıktan sonra bir atama durumu bildirimi görüntülenir.

    Yeni atama bildirimini gösteren ekran görüntüsü.

Kısıtlı kapsamlı bir rol atama

Belirli roller için verilen izinlerin kapsamı tek bir yönetici birimi, hizmet sorumlusu veya uygulamayla sınırlandırılabilir. Bu yordam, bir yönetim biriminin kapsamına sahip bir rol atanıyorsa bir örnektir. Yönetim birimi aracılığıyla kapsamı destekleyen rollerin listesi için bkz . Yönetim birimine kapsamlı roller atama. Bu özellik şu anda Microsoft Entra kuruluşlarına dağıtılmaktadır.

  1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  2. Kimlik>Rolleri ve yöneticiler>Rolleri ve yöneticiler'e göz atın.

  3. Kullanıcı Yöneticisi'ni seçin.

    Portalda bir rol açtığınızda Atama ekle komutunun kullanılabilir olduğunu gösteren ekran görüntüsü.

  4. Ödev ekle'yi seçin.

    Bir rol kapsamı desteklediğinde kapsam seçebileceğinizi gösteren ekran görüntüsü.

  5. Atama ekle sayfasında şunları yapabilirsiniz:

    • Role atanacak bir kullanıcı veya grup seçin
    • Rol kapsamını seçin (bu örnekte yönetim birimleri)
    • Kapsam için bir yönetim birimi seçin

Yönetim birimleri oluşturma hakkında daha fazla bilgi için bkz . Yönetim birimleri ekleme ve kaldırma.

Microsoft Graph API'sini kullanarak rol atama

PIM için Microsoft Graph API'leri hakkında daha fazla bilgi için bkz . Ayrıcalıklı kimlik yönetimi (PIM) API'sini kullanarak rol yönetimine genel bakış.

PIM API'sini kullanmak için gereken izinler için bkz . Privileged Identity Management API'lerini anlama.

Bitiş tarihi olmayan uygun

Aşağıda, bitiş tarihi olmayan uygun bir atama oluşturmaya yönelik örnek bir HTTP isteği verilmiştir. C# ve JavaScript gibi dillerde istek örnekleri de dahil olmak üzere API komutları hakkında ayrıntılı bilgi için bkz . RoleEligibilityScheduleRequests oluşturma.

HTTP isteği

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Permanently assign the Global Reader to the auditor",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

HTTP yanıtı

Aşağıda yanıta bir örnek verilmiştir. Burada gösterilen yanıt nesnesi okunabilirlik için kısaltılmış olabilir.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T13:40:33.2364309Z",
    "completedDateTime": "2022-05-13T13:40:34.6270851Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "justification": "Permanently assign the Global Reader to the auditor",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T13:40:34.6270851Z",
        "recurrence": null,
        "expiration": {
            "type": "noExpiration",
            "endDateTime": null,
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Etkin ve zamana bağlı

Aşağıda, zamana bağlı etkin bir atama oluşturmak için örnek bir HTTP isteği verilmiştir. C# ve JavaScript gibi dillerde istek örnekleri de dahil olmak üzere API komutları hakkında ayrıntılı bilgi için bkz . RoleAssignmentScheduleRequests oluşturma.

HTTP isteği

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "adminAssign",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP yanıtı

Aşağıda yanıta bir örnek verilmiştir. Burada gösterilen yanıt nesnesi okunabilirlik için kısaltılmış olabilir.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T14:01:48.0145711Z",
    "completedDateTime": "2022-05-13T14:01:49.8589701Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T14:01:49.8589701Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Mevcut rol atamasını güncelleştirme veya kaldırma

Mevcut rol atamasını güncelleştirmek veya kaldırmak için bu adımları izleyin. Yalnızca Microsoft Entra Id P2 veya Microsoft Entra Kimlik Yönetimi lisanslı müşteriler: Bir grubu hem Microsoft Entra Id hem de Privileged Identity Management (PIM) aracılığıyla bir role Etkin olarak atamayın. Ayrıntılı bir açıklama için bkz . Bilinen sorunlar.

  1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  2. Kimlik idaresi>Privileged Identity Management>Microsoft Entra rolleri'ne göz atın.

  3. Microsoft Entra Id rollerinin listesini görmek için Roller'i seçin.

  4. Güncelleştirmek veya kaldırmak istediğiniz rolü seçin.

  5. Uygun roller veya Etkin roller sekmelerinde rol atamasını bulun.

    Rol atamasını güncelleştirme veya kaldırmayı gösteren ekran görüntüsü.

  6. Rol atamasını güncelleştirmek veya kaldırmak için Güncelleştir veya Kaldır'ı seçin.

Microsoft Graph API aracılığıyla uygun atamayı kaldırma

Aşağıda, sorumludan bir role uygun atamayı iptal etmek için örnek bir HTTP isteği verilmiştir. C# ve JavaScript gibi dillerde istek örnekleri de dahil olmak üzere API komutları hakkında ayrıntılı bilgi için bkz . RoleEligibilityScheduleRequests oluşturma.

İste

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests 

{ 
    "action": "AdminRemove", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b" 
} 

Response

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de", 
    "status": "Revoked", 
    "createdDateTime": "2021-07-15T20:23:23.85453Z", 
    "completedDateTime": null, 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminRemove", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": null, 
    "justification": "test", 
    "scheduleInfo": null, 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
} 

Sonraki adımlar