在 Privileged Identity Management 中啟用我的 Azure 資源角色

當您需要承擔 Azure 資源角色時，可以使用 Privileged Identity Management 中的 [我的角色] 導覽選項來要求啟用。

1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分識別治理>特殊許可權身分識別管理>我的角色]。

   

3. 選取 [Azure 資源角色 ] 以查看您合格 Azure 資源角色的清單。

   

4. 在 Azure 資源角色 清單中，尋找您要啟用的角色。

   

5. 選取 [ 啟用 ] 以開啟 [啟用] 頁面。

   

6. 如果您的角色需要多重要素驗證，請在繼續之前，選取 [驗證您的身分識別]。 每個工作階段僅需驗證一次。

7. 選取 [ 驗證我的身分識別 ]，並遵循指示來提供額外的安全性驗證。

   

8. 如果您想要指定縮減的範圍，請選取 [範圍 ] 以開啟 [資源篩選] 窗格。

   最佳做法是只要求存取您所需的資源。 在 [資源篩選] 窗格中，您可以指定需要存取的資源群組或資源。

   

9. 如有必要，請指定自定義啟用開始時間。 成員會在選取的時間之後啟動。

10. 在 [ 原因] 方塊中，輸入啟用要求的原因。

11. 選取啟用。

    注意

    如果角色需要核准才能啟用，您的瀏覽器右上角會顯示通知，通知您要求擱置核准。

Privileged Identity Management 支援 Azure Resource Manager （ARM） API 命令來管理 Azure 資源角色，如 PIM ARM API 參考中所述。 如需使用 PIM API 所需的許可權，請參閱 瞭解 Privileged Identity Management API。

若要啟用合格的 Azure 角色指派並取得啟用的存取權，請使用 角色指派排程要求 - 建立 REST API 來建立新的要求，並指定安全性主體、角色定義、requestType = SelfActivate 和範圍。 若要呼叫此 API，您必須在範圍上擁有合格的角色指派。

使用 GUID 工具來產生將用於角色指派標識碼的唯一標識碼。 標識碼的格式為：00000000-0000-0000-0000-00000000000000。

將下列 PUT 要求中的 {roleAssignmentScheduleRequestName} 取代為角色指派的 GUID 標識符。

如需管理 Azure 資源合格角色的詳細資訊，請參閱此 PIM ARM API 教學課程。

以下是啟用 Azure 角色合格指派的 HTTP 要求範例。

要求

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

要求本文

{ 
"properties": { 
  "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
  "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
} 

回應

狀態碼：201

您可以檢視要啟動之擱置要求的狀態。

1. 開啟 Microsoft Entra Privileged Identity Management。

2. 選取 [我的要求 ] 以查看 Microsoft Entra 角色和 Azure 資源角色要求的清單。

   

3. 捲動至右側以檢視 [要求狀態 ] 數據行。

如果您不需要啟用需要核准的角色，您可以隨時取消擱置的要求。

1. 開啟 Microsoft Entra Privileged Identity Management。

2. 選取 [ 我的要求]。

3. 針對您要取消的角色，選取 [ 取消] 連結。

   When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
   

   

啟用角色指派時，您會 在 PIM 入口網站中看到角色指派的 [停用 ] 選項。 此外，您無法在啟用后的五分鐘內停用角色指派。

使用 Azure 入口網站 啟用

Privileged Identity Management 角色啟用已整合到 Azure 入口網站 內的計費和 存取控制 （AD） 延伸模組中。 訂用帳戶 （計費） 和 存取控制 （AD） 的快捷方式可讓您直接從這些刀鋒視窗啟用 PIM 角色。

從 [訂用帳戶] 刀鋒視窗中，選取水準命令功能表中的 [檢視合格訂用帳戶]，以檢查您的合格、作用中和過期的指派。 您可以從該處啟用相同窗格中的合格指派。

在資源的訪問控制 （IAM） 中，您現在可以選取 [檢視我的存取權]，以查看您目前的作用中和合格角色指派，並直接啟用。

藉由將 PIM 功能整合到不同的 Azure 入口網站 刀鋒視窗中，這項新功能可讓您更輕鬆地取得檢視或編輯訂用帳戶和資源的暫時存取權。

使用 Azure 行動應用程式啟用 PIM 角色

PIM 現在可在 iOS 和 Android 的 Microsoft Entra ID 和 Azure 資源角色行動裝置應用程式中取得。

1. 若要啟用合格的 Microsoft Entra 角色指派，請從下載 Azure 行動應用程式 （iOS | Android） 開始。 您也可以從 Privileged Identity Management > My 角色 Microsoft Entra 角色>選取 [在行動裝置中開啟] 來下載應用程式。

   

2. 開啟 Azure 行動應用程式並登入。 按兩下 [特殊許可權身分識別管理] 卡片，然後選取 [我的 Azure 資源角色 ]，以檢視您的合格且作用中角色指派。

   

3. 選取角色指派，然後按兩下角色指派詳細資料底下的 [ 動作 > 啟用 ]。 請先完成使用中步驟，然後在底部按兩下 [啟用 ] 之前填入任何必要詳細數據。

   

4. 在 [我的 Azure 資源角色] 底下檢視啟用要求和角色指派的狀態。