在 Privileged Identity Management 中指派 Azure 資源角色

透過 Azure AD Privileged Identity Management (Azure AD PIM) (屬於 Microsoft Entra),您可以管理內建的 Azure 資源角色及自訂角色,包括 (但不限於):

  • 擁有者
  • 使用者存取系統管理員
  • 參與者
  • 安全性系統管理員
  • 安全性管理員

注意

指派給擁有者或使用者存取管理員訂用帳戶角色的群組使用者或成員,以及在 Azure AD 中啟用訂用帳戶管理的 Azure AD 全域管理員,預設具有資源管理員權限。 這些管理員可以使用 Privileged Identity Management,為 Azure 資源指派角色、進行角色設定及檢閱存取權。 如果沒有資源管理員權限,使用者就無法管理資源的 Privileged Identity Management。 檢視 Azure 內建角色的清單。

Privileged Identity Management 支援內建和自訂 Azure 角色。 如需 Azure 自訂角色的詳細資訊,請參閱 Azure 自訂角色

角色指派條件

您可以使用 Azure 屬性型存取控制 (Azure ABAC),針對 Azure 資源使用 Azure AD PIM 來為合格角色指派新增條件。 透過 Azure AD PIM,您的終端使用者必須啟用合格的角色指派,才能取得執行特定動作的權限。 在 Azure AD PIM 中使用條件,不僅可讓您使用更精細的條件來限制使用者對資源的角色權限,還可以使用 Azure AD PIM,透過時限設定、核准工作流程、稽核線索等來保護角色指派。

注意

當指派角色時,指派:

  • 無法在五分鐘內指派
  • 無法在指派的五分鐘內移除

目前,下列內建角色可以新增條件:

如需詳細資訊,請參閱什麼是 Azure 屬性型存取控制 (Azure ABAC)

指派角色

請遵循下列步驟來讓使用者有資格獲派 Azure 資源角色。

  1. 使用「擁有者」或「使用者存取系統管理員」角色權限登入 Azure 入口網站

  2. 開啟 [Azure AD Privileged Identity Management]。

  3. 選取 [Azure 資源]。

  4. 選取您想要管理的資源類型。 例如,資源資源群組。 然後選取您要管理的資源,以開啟其概觀頁面。

    螢幕擷取畫面:顯示如何選取 Azure 資源。

  5. 在 [管理] 下方選取 [角色],以查看 Azure 資源角色的清單。

  6. 選取 [新增指派] 以開啟 [新增指派] 窗格。

    Azure 資源角色的螢幕擷取畫面。

  7. 選取您想要指派的 [角色]。

  8. 選取 [未選取任何成員] 連結以開啟 [選取成員或群組] 窗格。

    新指派窗格的螢幕擷取畫面。

  9. 選取您想要指派給角色的成員或群組,然後選擇 [選取]。

    螢幕擷取畫面:顯示如何選取成員或群組窗格

  10. 在 [設定]索引標籤中的 [指派類型] 清單,選取 [合格] 或 [有效]。

    新增指派設定窗格的螢幕擷取畫面。

    適用於 Azure 資源的 Azure AD PIM 提供兩種不同的指派類型:

    • 合格的指派要求成員要先啟用角色才能加以使用。 管理員可能需要角色成員在角色啟用之前執行特定動作,其中可能包括執行多重要素驗證 (MFA) 檢查、供應業務理由,或向指定的核准者要求核准。

    • 作用中的指派不需要成員在使用前先啟用角色。 指派為有效的成員具有指派的權限可供使用。 此類型的指派也適用於未使用 Azure AD PIM 的客戶。

  11. 若要指定特定的指派持續時間,請變更開始和結束日期和時間。

  12. 如果角色已定義了允許有條件指派給該角色的動作,您可以選取 [新增條件],根據屬於指派的主體使用者和資源屬性來新增條件。

    新指派條件窗格的螢幕擷取畫面。

    條件可以在運算式建立器中輸入。

    螢幕擷取畫面:透過運算式所建立的新指派條件。

  13. 完成後,選取 [指派]。

  14. 建立新的角色指派之後,即會顯示狀態通知。

    新指派通知的螢幕擷取畫面。

使用 ARM API 指派角色

Privileged Identity Management 支援 Azure Resource Manager (ARM) API 命令管理 Azure 資源角色 (如 PIM ARM API 參考中所述)。 如需使用 PIM API 所需的許可權,請參閱瞭解 Privileged Identity Management API

以下是針對 Azure 角色啟用合格指派的 HTTP 要求範例。

要求

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6?api-version=2020-10-01-preview

Request body

{
  "properties": {
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

回應

狀態碼:201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

更新或移除現有角色指派

請遵循下列步驟來更新或移除現有角色指派。

  1. 開啟 [Azure AD Privileged Identity Management]。

  2. 選取 [Azure 資源]。

  3. 選取您想要管理的資源類型。 例如,資源資源群組。 然後選取您要管理的資源,以開啟其概觀頁面。

    螢幕擷取畫面:顯示如何選取要更新的 Azure 資源。

  4. 在 [管理] 下方選取 [角色],以查看 Azure 資源角色的清單。 下列螢幕擷取畫面會列出 Azure 儲存體帳戶的角色。 選取要更新或移除的角色。

    螢幕擷取畫面:顯示 Azure 儲存體帳戶的角色。

  5. 在 [合格角色] 或 [有效角色] 索引標籤上尋找角色指派。

    螢幕擷取畫面:顯示如何更新或移除角色指派。

  6. 若要新增或更新條件以精簡 Azure 資源存取,請在角色指派的 [條件] 欄中選取 [新增] 或 [檢視/編輯]。 目前,Azure AD PIM 中的儲存體 Blob 資料擁有者、儲存體 Blob 資料讀者及儲存體 Blob 資料參與者角色是唯一可以新增條件的角色。

  7. 選取 [新增運算式] 或 [刪除] 以更新運算式。 您也可以選取 [新增條件],將新條件新增至您的角色。

    螢幕擷取畫面:顯示如何更新或移除角色指派的屬性。

    如需有關延長角色指派的相關資訊,請參閱在 Privileged Identity Management 中延長或更新 Azure 資源角色

後續步驟