編輯

在 PIM 中啟用 Microsoft Entra 角色

  • 作法

Microsoft Entra Privileged Identity Management (PIM) 可簡化企業如何管理對 Microsoft Entra ID 和其他 Microsoft 線上服務,例如 Microsoft 365 或 Microsoft Intune 中資源的特殊許可權存取。

如果您已符合 系統管理角色的資格 ,則必須 在需要執行特殊許可權動作時啟用 角色指派。 例如,如果您偶爾管理 Microsoft 365 功能,貴組織的特殊許可權角色系統管理員可能不會讓您成為永久的全域 管理員 管理員,因為該角色也會影響其他服務。 相反地,他們會讓您符合 Exchange Online 管理員 istrator 等 Microsoft Entra 角色的資格。 您可以要求在需要該角色的許可權時啟動該角色,然後在預先決定的時段內擁有系統管理員控制。

本文適用於需要在 Privileged Identity Management 中啟動其 Microsoft Entra 角色的系統管理員。

重要

啟動角色時,Microsoft Entra PIM 會暫時新增角色的作用中指派。 Microsoft Entra PIM 會在幾秒鐘內建立作用中指派(將使用者指派給角色)。 當停用時(手動或透過啟用時間到期)發生時,Microsoft Entra PIM 也會在幾秒鐘內移除使用中的指派。

應用程式可能會根據用戶擁有的角色提供存取權。 在某些情況下,應用程式存取可能不會立即反映用戶獲指派或移除角色的事實。 如果應用程式先前快取用戶沒有角色的事實 – 當使用者再次嘗試存取應用程式時,可能無法提供存取權。 同樣地,如果應用程式先前快取了使用者具有角色的事實 – 當角色停用時,使用者仍可能會取得存取權。 特定情況取決於應用程式的架構。 對於某些應用程式,註銷和重新登入可能有助於新增或移除存取權。

必要條件

啟動角色

當您需要擔任 Microsoft Entra 角色時,您可以在 Privileged Identity Management 中開啟 [我的角色] 來要求啟用。

注意

PIM 現已可在 Azure 行動裝置應用程式中使用 (iOS |Android) 適用於 Microsoft Entra ID 和 Azure 資源角色。 輕鬆啟用符合資格的指派、針對即將到期的指派要求更新,或檢查擱置要求的狀態。 閱讀下列詳細資訊

  1. 以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別治理>特殊許可權身分識別管理>我的角色]。 如需如何將 Privileged Identity Management 圖格新增至儀錶板的資訊,請參閱 開始使用 Privileged Identity Management

  3. 選取 [Microsoft Entra 角色 ],以查看您合格 Microsoft Entra 角色的清單。

    顯示您可以啟用角色的 [我的角色] 頁面

  4. Microsoft Entra 角色 清單中,尋找您想要啟用的角色。

    Microsoft Entra 角色 - 我的合格角色列表

  5. 選取 [ 啟用 ] 以開啟 [啟用] 窗格。

    Microsoft Entra 角色 - 啟用頁面包含持續時間和範圍

  6. 選取 [需要 其他驗證],然後依照指示提供安全性驗證。 每個會話只需要驗證一次。

    提供安全性驗證的畫面,例如 PIN 碼

  7. 多重要素驗證之後,請先選取 [ 啟用],再繼續進行

    在角色啟用之前,先使用 MFA 驗證我的身分識別

  8. 如果您想要指定縮減的範圍,請選取 [範圍 ] 以開啟篩選窗格。 在篩選窗格中,您可以指定您需要存取的 Microsoft Entra 資源。 最佳作法是要求存取您所需的最少資源。

  9. 如有必要,請指定自定義啟用開始時間。 Microsoft Entra 角色會在選取的時間之後啟動。

  10. 在 [ 原因] 方塊中,輸入啟用要求的原因。

  11. 選取啟用

    如果角色需要核准才能啟用,瀏覽器右上角會出現通知,通知您要求擱置核准。

    啟用要求擱置核准通知

    使用 Microsoft Graph API 啟動角色

    如需適用於 PIM 的 Microsoft Graph API 的詳細資訊,請參閱 透過特殊許可權身分識別管理 (PIM) API 的角色管理概觀。

    取得您可以啟用的所有合格角色

    當使用者透過群組成員資格取得其角色資格時,此 Microsoft Graph 要求不會傳回其資格。

    HTTP 要求

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

    HTTP 回應

    為了節省空間,我們只顯示一個角色的回應,但您可以啟用的所有合格角色指派都會列出。

    {
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

    以理由自我啟用角色資格

    HTTP 要求

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

    HTTP 回應

    HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

檢視啟用要求的狀態

您可以檢視要啟動之擱置要求的狀態。

  1. 以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別控管>特殊許可權身分識別管理>我的要求]。

  3. 當您選取 [我的要求 ] 時,您會看到 Microsoft Entra 角色和 Azure 資源角色要求的清單。

    [我的要求 - Microsoft Entra 標識符] 頁面的螢幕快照,其中顯示擱置的要求

  4. 捲動至右側以檢視 [要求狀態 ] 數據行。

取消新版本的擱置要求

如果您不需要啟用需要核准的角色,您可以隨時取消擱置的要求。

  1. 以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別控管>特殊許可權身分識別管理>我的要求]。

  3. 針對您要取消的角色,選取 [ 取消] 連結。

    當您選取 [取消] 時,會取消要求。 若要再次啟用角色,您必須提交新的啟用要求。

    已醒目提示 [取消] 動作的要求清單

停用角色指派

啟用角色指派時,您會在 PIM 入口網站中看到角色 指派的 [停用 ] 選項。 此外,您無法在啟用后的五分鐘內停用角色指派。

使用 Azure 行動應用程式啟用 PIM 角色

PIM 現在可在 iOS 和 Android 的 Microsoft Entra ID 和 Azure 資源角色行動裝置應用程式中取得。

  1. 若要啟用合格的 Microsoft Entra 角色指派,請從下載 Azure 行動應用程式 (iOS | Android) 開始。 您也可以從 Privileged Identity Management > My roles Microsoft Entra 角色 > 中選取 [在行動裝置中開啟] 來下載應用程式。

    顯示如何下載行動應用程式的螢幕快照。

  2. 開啟 Azure 行動應用程式並登入。 選取 [ 特殊許可權身分識別管理 ] 卡片,然後選取 [我的 Microsoft Entra 角色 ],以檢視您的合格且作用中的角色指派。

    行動應用程式的螢幕快照,其中顯示使用者如何檢視可用的角色。

  3. 選取角色指派,然後按兩下角色指派詳細資料底下的 [ 動作 > 啟用 ]。 請先完成使用中的步驟,然後在底部按兩下 [啟用] 之前填入任何必要詳細數據。

    行動應用程式的螢幕快照,其中顯示使用者如何填寫必要資訊

  4. 檢視啟用要求的狀態,以及 [我的 Microsoft Entra 角色] 底下的角色指派。

    顯示使用者角色狀態的行動應用程式螢幕快照。

相關內容