在 Privileged Identity Management 中啟用我的 Azure 資源角色

使用 Microsoft Entra Privileged Identity Management (PIM),讓 Azure 資源的合格角色成員可以排程未來啟用的日期與時間。 他們也可以在最大範圍內選取特定的啟用期間 (由管理員設定)。

本文適用於需要在 Privileged Identity Management 中啟動其 Azure AD 資源角色的成員。

注意

自 2023 年 3 月起,您現在可以在 Azure 入口網站中,直接從 PIM 外部的刀鋒視窗啟用指派並檢視您的存取權。 您可以在這裡深入了解.

重要

啟用角色時,Microsoft Entra PIM 會暫時新增該角色的作用中指派。 Microsoft Entra PIM 會在幾秒內建立作用中指派 (將使用者指派給角色)。 停用 (手動或透過啟用時間到期) 發生時,Microsoft Entra PIM 也會在幾秒鐘內移除作用中指派。

應用程式可能會根據使用者所擁有的角色來提供存取權。 在某些情況下,應用程式存取可能不會立即反映使用者獲得角色指派或已移除角色指派的事實。 如果應用程式先前快取了使用者沒有獲得角色指派的事實,當使用者再次嘗試存取應用程式時,則可能不會獲得存取權。 同樣地,如果應用程式先前快取了使用者具有角色的事實 – 當角色停用時,使用者仍可能會取得存取權。 特定情況取決於應用程式的架構。 對於某些應用程式,登出後重新登入可能有助於新增或移除存取權。

必要條件

啟用角色

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

當您需要擔任某個 Azure 資源角色時,您可以在 Privileged Identity Management 中使用 [我的角色] 導覽選項來要求啟用。

注意

適用於 Microsoft Entra ID 和 Azure 資源角色的 Azure 行動應用程式 (iOS | Android) 現在可以使用 PIM。 輕鬆啟用符合資格的指派、針對即將到期的指派要求更新,或檢查擱置要求的狀態。 閱讀下面的更多內容 (部分機器翻譯)

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理] > [Privileged Identity Management] > [我的角色]

    此螢幕擷取畫面顯示 [我的角色] 頁面,其中顯示您可以啟用的角色。

  3. 選取 [Azure 資源角色] 以查看符合資格的 Azure 資源角色清單。

    此螢幕擷取畫面顯示 [我的角色] - [Azure 資源角色] 頁面。

  4. 在 [Azure 資源角色] 清單中,尋找您要啟用的角色。

    此螢幕擷取畫面顯示 [Azure 資源角色] - [我的合格角色] 清單。

  5. 選取 [啟用] 以開啟 [啟用] 窗格。

    此螢幕擷取畫面顯示開啟的 [啟用] 窗格,其中含有範圍、開始時間、持續時間和原因。

  6. 如果您的角色需要多重要素驗證,請選取 [先驗證您的身分識別再繼續]。 每個工作階段僅需驗證一次。

  7. 選取 [驗證我的身分識別],然後遵循指示提供其他安全性驗證。

    此螢幕擷取畫面顯示如何提供安全性驗證,例如 PIN 碼。

  8. 如果您想要指定縮小的範圍,請選取 [範圍] 開啟 [資源] 篩選窗格。

    最佳做法是僅要求存取您需要的資源。 在 [資源] 篩選窗格中,您可以指定資源群組或您需要存取的群組。

    此螢幕擷取畫面顯示 [啟用] - [資源篩選] 窗格以指定範圍。

  9. 如有必要,請指定自訂啟用開始時間。 成員會在選取的時間後啟用。

  10. 在 [原因] 方塊中輸入此啟用要求的原因。

  11. 選取啟用

    注意

    如果角色需要核准才能啟用,通知會出現在瀏覽器右上角,通知您要求正在等待核准。

使用 ARM API 啟用角色

Privileged Identity Management 支援 Azure Resource Manager (ARM) API 命令管理 Azure 資源角色 (如 PIM ARM API 參考中所述)。 如需使用 PIM API 所需的許可權,請參閱了解 Privileged Identity Management API

若要啟動合格的 Azure 角色指派,並取得已啟動的存取權,請使用角色指派排程要求 - 建立 REST API 來建立新的要求,並指定安全性主體、角色定義、requestType = SelfActivate 和範圍。 若要呼叫此 API,您必須在範圍上擁有合格的角色指派。

使用 GUID 工具來產生將用於角色指派識別碼的唯一識別碼。 識別碼的格式為:00000000-0000-0000-0000-000000000000。

將下列 PUT 要求中的 {roleAssignmentScheduleRequestName} 取代為角色指派的 GUID 識別碼。

如需管理 Azure 資源合格角色的詳細資料,請參閱此 PIM ARM API 教學課程

以下是針對 Azure 角色啟用合格指派的 HTTP 要求範例。

Request

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

要求本文

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
} 

回應

狀態碼:201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
} 

檢視要求狀態

您可以檢視要啟用的擱置要求狀態。

  1. 開啟 Microsoft Entra Privileged Identity Management。

  2. 選取 [我的要求] 以查看您的 Microsoft Entra 角色和 Azure 資源角色要求清單。

    此螢幕擷取畫面顯示 [我的要求] - [Azure 資源] 頁面,其中顯示您的擱置要求。

  3. 捲動至右側可檢視 [要求狀態] 欄。

取消擱置要求

如果您不需要啟用需要核准的角色,您可以隨時取消擱置要求。

  1. 開啟 Microsoft Entra Privileged Identity Management。

  2. 選取 [我的要求]

  3. 針對要取消的角色,選取 [取消] 連結。

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
    

    此螢幕擷取畫面顯示 [我的要求] 清單,其中醒目提示 [取消] 動作。

停用角色指派

啟動角色指派之後,PIM 入口網站中的該角色指派會顯示 [停用] 選項。 此外,您無法在啟動後的五分鐘內停用角色指派。

使用 Azure 入口網站啟用

Privileged Identity Management 角色啟用已整合到 Azure 入口網站中的計費和存取控制 (AD) 延伸模組。 訂用帳戶 (計費) 和存取控制 (AD) 捷徑可讓您直接從這些刀鋒視窗啟用 PIM 角色。

從 [訂用帳戶] 刀鋒視窗,選取水平命令功能表中的 [檢視合格訂用帳戶],以檢查您的合格、作用中和過期的指派。 您可以從該刀鋒視窗,在相同窗格中啟用合格指派。

此螢幕擷取畫面顯示在 [訂用帳戶] 頁面上檢視合格訂用帳戶。

此螢幕擷取畫面顯示在 [成本管理:整合服務] 頁面上檢視合格訂用帳戶。

在資源的存取控制 (IAM) 中,您現在可以選取 [檢視我的存取權],以查看您目前作用中和合格的角色指派,並直接啟用。

此螢幕擷取畫面顯示 [度量] 頁面上目前的角色指派。

將 PIM 功能整合到不同的 Azure 入口網站刀鋒視窗後,這項新功能可讓您更輕鬆地取得檢視或編輯訂用帳戶和資源的暫時存取權。

使用 Azure 行動應用程式啟用 PIM 角色

iOS 和 Android 中 Microsoft Entra ID 和 Azure 資源角色行動應用程式現在可以使用 PIM。

  1. 若要啟用合格的 Microsoft Entra 角色指派,請從下載 Azure 行動應用程式 (iOS | Android) 開始。 您也可以下載應用程式,請從 [Privileged Identity Management] > [我的角色] > [Microsoft Entra 角色] 中選取 [在行動裝置中開啟]

    此螢幕擷取畫面顯示如何下載行動應用程式。

  2. 開啟 Azure 行動應用程式並登入。 按一下 [Privileged Identity Management] 卡片,然後選取[我的 Azure 資源角色],以檢視您的合格和作用中角色指派。

    行動應用程式的螢幕擷取畫面,其中顯示 Privileged Identity Management 和使用者的角色。

  3. 選取角色指派,然後按一下角色指派詳細資料底下的 [動作] > [啟用]。 請先完成啟用步驟,並填寫任何必要的詳細資料,然後才在底部按一下 [啟用]

    行動應用程式的螢幕擷取畫面,其中顯示驗證程序已完成。此圖片顯示 [啟用] 按鈕。

  4. 在 [我的 Azure 資源角色] 下方,檢視啟用要求的狀態和您的角色指派。

    行動應用程式的螢幕擷取畫面,其中顯示啟用正在進行中訊息。