在 Privileged Identity Management 中設定 Azure AD 角色設定

特殊權限角色管理員可以自訂其 Azure Active Directory (Azure AD) 組織中的 Privileged Identity Management (PIM),包括變更啟用合格角色指派使用者的體驗。 如需觸發通知的 PIM 事件以及哪些系統管理員收到通知的相關資訊,請參閱 Privileged Identity Management 中的電子郵件通知

開啟角色設定

請依照下列步驟開啟 Azure AD 角色的設定。

  1. 特殊權限角色管理員角色的使用者身分,登入 Azure 入口網站

  2. 開啟 [Azure AD Privileged Identity Management]>[Azure AD 角色]>[角色設定]。

    列出 Azure AD 角色的角色設定頁面

  3. 選取您想要設定其設定的角色。

    列出多個指派和啟用設定的角色設定詳細資料頁面

  4. 選取 [編輯] 以開啟 [角色設定] 頁面。

    編輯角色設定頁面,其中包含更新指派和啟用設定的選項

    在每個角色的 [角色設定] 窗格上,有許多您可以設定的設定。

指派持續時間

當您進行角色的設定時,每個指派類型 (合格和有效) 都有兩個指派持續時間選項可選擇。 將使用者指派給 Privileged Identity Management 中的角色後,這些選項就會變成預設的最長持續時間。

您可以從下列合格指派持續時間選項中選擇一個:

設定 Description
允許永久合格的指派 全域管理員和特殊權限角色管理員可以指派永久合格的指派。
合格指派的有效期限 全域管理員和特殊權限角色管理員,可以要求所有符合資格的指派都具有指定的開始和結束日期。

此外,您可以從下列有效指派持續時間選項中選擇一個:

設定 Description
允許永久有效的指派 全域系統管理員和特殊權限角色管理員可以指派永久的有效指派。
有效指派的有效期限 全域管理員和特殊權限角色管理員,可以要求所有使用中的指派都必須有指定的開始和結束日期。

注意

全域管理員和特殊權限角色管理員,可以更新具有指定結束日期的所有指派。 此外,使用者員可以將自助服務要求初始化,以延長或更新角色指派

需要多重要素驗證

Privileged Identity Management 可在啟用和主動指派時強制執行 Azure AD Multi-Factor Authentication。

啟用時

您可以要求符合角色資格的使用者,證明他們使用 Azure AD 多重要素驗證之後才能啟動。 多重要素驗證可確保合理確定使用者是他們所聲稱的人員。 在使用者帳戶可能受到危害的情況下,強制執行這個選項可保護重要資源。

若要要求多重要素驗證以啟用角色指派,請在 [編輯角色設定] 的 [啟用] 索引標籤中選取 [啟用時,需要 Azure MFA] 選項。

作用中指派時

此選項要求管理員必須先完成多重要素驗證,才能建立作用中的 (而非合格的) 角色指派。 Privileged Identity Management 無法在使用者使用其角色指派時強制執行多重要素驗證,因為從指派角色起,他們就已具備有效的角色。

若要在建立作用中角色指派時要求多重要素驗證,請在 [編輯角色設定] 的 [指派] 索引標籤中選取 [需要使用 Azure Multi-Factor Authentication 進行中指派] 選項。

如需詳細資訊,請參閱多重要素驗證和 Privileged Identity Management

啟用持續時間上限

使用 [啟用持續時間上限] 滑桿來設定角色指派的啟用要求在過期之前保持作用中狀態的最長時間 (以小時為單位)。 此值可以是 1 到 24 小時。

需要理由

您可以要求使用者在啟動時輸入業務理由。 若要要求提供理由,請核取 [進行有效指派時需要提供理由] 方塊,或核取 [啟用時需要提供理由] 方塊。

需要啟用的相關票證資訊

如果您的組織使用票證系統來追蹤服務中心專案或變更環境的要求,您可以選取 [啟用時需要票證資訊] 方塊,要求提高權限要求以包含票證系統的名稱 (選擇性,如果您的組織使用多個系統) 以及提示需要啟用角色的票證號碼。

需要核准才可啟用

如果設定多個核准者,則當其中一名核准者核准或拒絕時,即完成核准。 您無法讓第二或後續的核准者強制核准。 若要在啟用角色前先經過核准,請遵循下列步驟。

  1. 請核取 [需要核准才可啟用] 核取方塊。

  2. 選取 [選取核准者]。

    選取使用者或群組窗格以選取核准者

  3. 選取至少一個使用者後,按一下 [選取]。 至少選取一個應用程式。 若未選取特定的核准者,特殊權限角色管理員和全域管理員就會成為預設的核准者。

    注意

    核准者本身不需要擁有 Azure AD 管理角色。 他們可以是一般使用者,例如 IT 主管。

  4. 選取 [更新] 以儲存您的變更。

透過 Microsoft Graph 管理角色設定

若要透過 Microsoft Graph 管理 Azure AD 角色的設定,請使用 unifiedRoleManagementPolicy 資源類型和相關方法

在 Microsoft Graph 中,角色設定就是指規則,可透過容器原則指派給 Azure AD 角色。 每個 Azure AD 角色都會被指派特定的原則物件。 您可以擷取範圍設為 Azure AD 角色的所有原則,並透過 $expand 查詢參數針對每個原則擷取相關聯的規則集合。 要求的語法如下:

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules

規則會分組至容器中。 容器會進一步細分為由唯一識別碼識別的規則定義,以便管理。 例如,unifiedRoleManagementPolicyEnablementRule 容器會公開下列唯一識別碼所識別的三個規則定義。

  • Enablement_Admin_Eligibility - 請求系統管理員對角色資格執行作業的規則。 例如,是否需要理由,以及是否適用於所有作業 (例如更新、啟用或停用),還是僅適用於特定作業。
  • Enablement_Admin_Assignment - 請求系統管理員對角色指派執行作業的規則。 例如,是否需要理由,以及是否適用於所有作業 (例如更新、停用或延伸),還是僅適用於特定作業。
  • Enablement_EndUser_Assignment - 請求委託人啟用其指派的規則。 例如,是否需要多重要素驗證。

若要更新這些規則定義,請使用更新規則 API。 例如,下列要求會指定空的 enabledRules 集合,因此停用原則已啟用的規則,例如多重要素驗證、票證資訊和理由。

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_cab01047-8ad9-4792-8e42-569340767f1b_70c808b5-0d35-4863-a0ba-07888e99d448/rules/Enablement_EndUser_Assignment
{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyEnablementRule",
    "id": "Enablement_EndUser_Assignment",
    "enabledRules": [],
    "target": {
        "caller": "EndUser",
        "operations": [
            "all"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

您可以透過 unifiedroleManagementPolicyAssignment 資源類型和相關方法,擷取套用至所有 Azure AD 角色或特定 Azure AD 角色的規則集合。 例如,下列要求會使用 $expand 查詢參數來擷取套用至 roleDefinitionIdtemplateId62e90394-69f5-4237-9190-012177145e10 所識別之 Azure AD 角色的規則。

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicyAssignments?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole' and roleDefinitionId eq '62e90394-69f5-4237-9190-012177145e10'&$expand=policy($expand=rules)

如需透過 PIM 管理角色設定的詳細資訊,請參閱角色設定和 PIM

後續步驟