在 PIM 中啟用 Microsoft Entra 角色

Microsoft Entra Privileged Identity Management (PIM) 簡化了企業管理以特殊權限身分存取 Microsoft Entra ID 中的資源和其他 Microsoft 線上服務 (如 Microsoft 365 或 Microsoft Intune) 的方式。

如果您已擁有管理角色的資格,則當您需要執行特殊權限的動作時,必須啟動角色指派。 例如,如果您偶爾會管理 Microsoft 365 功能,則組織的特殊權限角色管理員可能不會讓您成為永久全域管理員,因為該角色也會影響其他服務。 他們反而會讓您符合 Microsoft Entra 角色 (例如 Exchange Online 管理員) 的資格。 您可以在需要權限時,要求啟用該角色,然後在預定的時段內擁有系統管理員控制權。

本文適用於需要在 Privileged Identity Management 中啟動其 Microsoft Entra 角色的系統管理員。 雖然任何使用者都可以透過 PIM 提交所需角色的要求,而無需擁有特殊權限角色管理員 (PRA) 角色,但此角色是管理和向組織內其他人指派角色所必需的。

重要

啟用角色時,Microsoft Entra PIM 會暫時新增該角色的作用中指派。 Microsoft Entra PIM 會在幾秒內建立作用中指派 (將使用者指派給角色)。 停用 (手動或透過啟用時間到期) 發生時,Microsoft Entra PIM 也會在幾秒鐘內移除作用中指派。

應用程式可能會根據使用者所擁有的角色來提供存取權。 在某些情況下,應用程式存取可能不會立即反映使用者獲得角色指派或已移除角色指派的事實。 如果應用程式先前快取了使用者沒有獲得角色指派的事實,當使用者再次嘗試存取應用程式時,則可能不會獲得存取權。 同樣地,如果應用程式先前快取了使用者具有角色的事實 – 當角色停用時,使用者仍可能會取得存取權。 特定情況取決於應用程式的架構。 對於某些應用程式,登出後重新登入可能有助於新增或移除存取權。

必要條件

啟用角色

當您需要擔任 Microsoft Entra 角色時,您可以在 Privileged Identity Management 中開啟 [我的角色] 來要求啟用。

注意

適用於 Microsoft Entra ID 和 Azure 資源角色的 Azure 行動應用程式 (iOS | Android) 現在可以使用 PIM。 輕鬆啟用符合資格的指派、針對即將到期的指派要求更新,或檢查擱置要求的狀態。 閱讀下面的更多內容 (部分機器翻譯)

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理]>[Privileged Identity Management]>[我的角色]。 如需如何將 Privileged Identity Management 磚新增至儀表板的詳細資訊,請參閱開始使用 Privileged Identity Management

  3. 選取 [Microsoft Entra 角色],查看符合資格的 Microsoft Entra 角色清單。

    [我的角色] 頁面,其中顯示您可以啟用的角色

  4. 在 [Microsoft Entra 角色] 清單中,尋找您要啟用的角色。

    Microsoft Entra 角色 - 我的合格角色清單

  5. 選取 [啟動] 以開啟 [啟動] 窗格。

    Microsoft Entra 角色 - 啟用頁面包含持續時間和範圍

  6. 選取 [需要其他驗證],並遵循指示來提供安全性驗證。 您的每個工作階段只需驗證一次。

    畫面:提供安全性驗證,例如 PIN 代碼

  7. 多重要素驗證之後,選取 [啟動然後再繼續]

    在啟用角色之前,使用 MFA 驗證我的身分識別

  8. 如果您想要指定縮小的範圍,請選取 [範圍] 以開啟篩選窗格。 在 [篩選] 窗格上,您可以指定需要存取的 Microsoft Entra 資源。 最佳做法是要求存取您所需的最少資源。

  9. 如有必要,請指定自訂啟用開始時間。 Microsoft Entra 角色會在選取的時間之後啟動。

  10. 在 [原因] 方塊中輸入此啟用要求的原因。

  11. 選取啟用

    角色需要核准才能啟用,便會在瀏覽器右上角顯示通知,提示您要求正在等待核准。

    啟用要求正在等待核准通知

    使用 Microsoft Graph API 啟動角色

    如需適用於 PIM 的 Microsoft Graph API 詳細資訊,請參閱透過 Privileged Identity Management (PIM) API 來管理角色的概觀

    取得您可以啟動的所有合格角色

    當使用者透過群組成員資格取得其角色資格時,此 Microsoft Graph 要求並不會傳回其資格。

    HTTP 要求

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  
    

    HTTP 回應

    為了節省空間,我們只會顯示一個角色的回應,但會列出您可以啟動的所有合格角色指派。

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
        "value": [
            {
                "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
                "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "status": "Provisioned",
                "createdDateTime": "2022-04-12T18:26:08.843Z",
                "completedDateTime": "2022-04-12T18:26:08.89Z",
                "approvalId": null,
                "customData": null,
                "action": "adminAssign",
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
                "directoryScopeId": "/",
                "appScopeId": null,
                "isValidationOnly": false,
                "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "justification": "Assign Attribute Assignment Admin eligibility to myself",
                "createdBy": {
                    "application": null,
                    "device": null,
                    "user": {
                        "displayName": null,
                        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                    }
                },
                "scheduleInfo": {
                    "startDateTime": "2022-04-12T18:26:08.8911834Z",
                    "recurrence": null,
                    "expiration": {
                        "type": "afterDateTime",
                        "endDateTime": "2024-04-10T00:00:00Z",
                        "duration": null
                    }
                },
                "ticketInfo": {
                    "ticketNumber": null,
                    "ticketSystem": null
                }
            }
        ]
    }
    

    透過理由自我啟用角色資格

    HTTP 要求

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
    
    {
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00.000Z",
            "expiration": {
                "type": "AfterDuration",
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

    HTTP 回應

    HTTP/1.1 201 Created
    Content-Type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
        "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "status": "Granted",
        "createdDateTime": "2022-04-13T08:52:32.6485851Z",
        "completedDateTime": "2022-04-14T00:00:00Z",
        "approvalId": null,
        "customData": null,
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "appScopeId": null,
        "isValidationOnly": false,
        "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "createdBy": {
            "application": null,
            "device": null,
            "user": {
                "displayName": null,
                "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
            }
        },
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00Z",
            "recurrence": null,
            "expiration": {
                "type": "afterDuration",
                "endDateTime": null,
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

檢視啟動要求的狀態

您可以檢視要啟用的擱置要求狀態。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理]>[Privileged Identity Management]>[我的要求]

  3. 當您選取 [我的要求] 時,會看到您的 Microsoft Entra 角色和 Azure 資源角色要求清單。

    此螢幕擷取畫面顯示 [我的要求 - Microsoft Entra ID] 頁面,其中顯示您的擱置中要求

  4. 捲動至右側可檢視 [要求狀態] 欄。

取消新版本的擱置中要求

如果您不需要啟動需要核准的角色,您可以隨時取消擱置中的要求。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理]>[Privileged Identity Management]>[我的要求]

  3. 針對要取消的角色,選取 [取消] 連結。

    選取 [取消] 時,即會取消要求。 若要再次啟用角色,您必須提交新的啟用要求。

    [我的要求] 清單,其中反白顯示了 [取消] 動作

停用角色指派

啟用角色指派之後,PIM 入口網站中的該角色指派會顯示 [停用] 選項。 此外,您無法在啟動後的五分鐘內停用角色指派。

使用 Azure 行動應用程式啟用 PIM 角色

iOS 和 Android 中 Microsoft Entra ID 和 Azure 資源角色行動應用程式現在可以使用 PIM。

  1. 若要啟用合格的 Microsoft Entra 角色指派,請從下載 Azure 行動應用程式 (iOS | Android) 開始。 您也可以下載應用程式,請從 [Privileged Identity Management]>[我的角色]>[Microsoft Entra 角色] 中選取 [在行動裝置中開啟]。

    此螢幕擷取畫面顯示如何下載行動應用程式。

  2. 開啟 Azure 行動應用程式並登入。 選取 [Privileged Identity Management] 卡片,然後選取[我的 Microsoft Entra 角色],以檢視您的合格和作用中角色指派。

    行動應用程式的螢幕擷取畫面,其中顯示使用者如檢視可用的角色。

  3. 選取角色指派,然後按一下角色指派詳細資料底下的 [動作]>[啟用]。 請先完成啟用步驟,並填寫任何必要的詳細資料,然後才按一下在底部 [啟用]。

    行動應用程式的螢幕擷取畫面,其中顯示使用者如何填寫必要的資訊

  4. 在 [我的 Microsoft Entra 角色] 下方,檢視啟用要求的狀態和您的角色指派。

    行動應用程式的螢幕擷取畫面,其中顯示使用者的角色狀態。