在 Privileged Identity Management 中指派 Microsoft Entra 角色
使用 Microsoft Entra 識別符,全域管理員可以永久Microsoft Entra 管理員角色指派。 您可以使用 Microsoft Entra 系統管理中心或使用 PowerShell 命令來建立這些角色指派。
Microsoft Entra Privileged Identity Management (PIM) 服務也允許特殊權限角色管理員指派永久的系統管理員角色。 此外,特殊權限角色管理員可以讓使用者有資格成為 Microsoft Entra 管理員角色。 合格管理員可以在需要時啟用角色,一旦任務結束,權限就過期。
Privileged Identity Management 支援內建和自訂 Microsoft Entra 角色。 如需有關 Microsoft Entra 自訂角色的更多資訊,請參閱 Microsoft Entra ID 中角色型存取控制。
注意
當指派角色時,指派:
- 無法在五分鐘內指派
- 無法在指派後的五分鐘內移除
指派角色
請遵循下列步驟來讓使用者有資格成為 Microsoft Entra 系統管理員角色。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管]>[Privileged Identity Management]>[Microsoft Entra 角色]。
選取 [角色] 以查看 Microsoft Entra 權限的角色清單。
![螢幕擷取畫面:已選取 [新增指派] 動作的 [角色] 頁面。](media/pim-how-to-add-role-to-user/roles-list.png)
選取 [新增指派] 以開啟 [新增指派] 頁面。
選取 [選取角色] 以開啟 [選取角色] 頁面。
選取您想要指派的角色,選取要指派給此角色的成員,然後選取 [下一步]。
注意
如果您將 Microsoft Entra 內建角色指派給來賓使用者,則會將來賓使用者提升為與成員使用者擁有相同的權限。 如需有關成員使用者和來賓使用者預設權限的資訊,請參閱 Microsoft Entra ID 中的預設使用者權限是什麼?
在 [成員資格設定] 窗格的 [指派類型] 清單中,選取 [合格] 或 [作用中]。
符合資格的指派會要求角色成員先執行某個動作才能使用此角色。 動作可能包括執行多重要素驗證 (MFA) 檢查、提供業務理由,或向指定的核准者要求核准。
使用中指派不要求成員執行任何動作,即可使用角色。 指派為有效的成員隨時具有指派給角色的權限。
若要指定特定的指派持續時間,請新增 [開始] 和 [結束日期] 和 [時間] 方塊。 完成時,選取 [指派] 以建立新的角色指派。
永久指派沒有到期日。 將此選項用於經常需要角色權限的永久背景工作角色。
時間界限將在指定期限結束時到期。 例如,對專案結束日期和時間已知的臨時或合約背景工作角色使用此選項。
指派角色之後,就會顯示指派狀態通知。
指派範圍受限的角色
針對某些角色,授與權限的範圍可限制為單一管理單位、服務主體或應用程式。 如果您要指派具有管理單位範圍的角色,可參考此範例程序。 如需透過管理單位支援範圍的角色清單,請參閱將範圍角色指派給管理單位。 此功能目前正在向 Microsoft Entra 組織推出。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[角色與系統管理員]>[角色與系統管理員]。
選取 [使用者管理員]。
![顯示當您在入口網站中開啟角色時,可以使用 [新增指派] 命令的螢幕擷取畫面。](media/pim-how-to-add-role-to-user/add-assignment.png)
選取 [新增指派]。
在 [新增指派] 頁面上,您可以:
- 選取要指派給角色的使用者或群組
- 選取角色範圍 (在此案例中為管理單位)
- 選取範圍的管理單位
如需關於建立管理單位的詳細資訊,請參閱新增和移除管理單位。
使用 Microsoft Graph API 指派角色
如需適用於 PIM 的 Microsoft Graph API 詳細資訊,請參閱透過 Privileged Identity Management (PIM) API 來管理角色的概觀。
如需使用 PIM API 所需的權限,請參閱了解 Privileged Identity Management API。
符合資格且無結束日期
以下是樣本 HTTP 要求,用於建立沒有結束日期的合格指派。 如需 API 命令 (包括 C# 和 JavaScript 等語言的要求範例) 的詳細資訊,請參閱建立 roleEligibilityScheduleRequests。
HTTP 要求
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json
{
"action": "adminAssign",
"justification": "Permanently assign the Global Reader to the auditor",
"roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "noExpiration"
}
}
}
HTTP 回應
以下是回應的範例。 為了方便閱讀,此處顯示的回應物件可能會縮短。
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
"id": "42159c11-45a9-4631-97e4-b64abdd42c25",
"status": "Provisioned",
"createdDateTime": "2022-05-13T13:40:33.2364309Z",
"completedDateTime": "2022-05-13T13:40:34.6270851Z",
"approvalId": null,
"customData": null,
"action": "adminAssign",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
"justification": "Permanently assign the Global Reader to the auditor",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T13:40:34.6270851Z",
"recurrence": null,
"expiration": {
"type": "noExpiration",
"endDateTime": null,
"duration": null
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
作用中和時間界限
以下是樣本 HTTP 要求,用於建立時間界限的作用中指派。 如需 API 命令 (包括 C# 和 JavaScript 等語言的要求範例) 的詳細資訊,請參閱建立 roleAssignmentScheduleRequests。
HTTP 要求
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminAssign",
"justification": "Assign the Exchange Recipient Administrator to the mail admin",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
HTTP 回應
以下是回應的範例。 為了方便閱讀,此處顯示的回應物件可能會縮短。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
"status": "Provisioned",
"createdDateTime": "2022-05-13T14:01:48.0145711Z",
"completedDateTime": "2022-05-13T14:01:49.8589701Z",
"approvalId": null,
"customData": null,
"action": "adminAssign",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
"justification": "Assign the Exchange Recipient Administrator to the mail admin",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T14:01:49.8589701Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
更新或移除現有角色指派
請遵循下列步驟來更新或移除現有角色指派。 Microsoft Entra ID P2 或 Microsoft Entra ID 控管授權的客戶:請勿透過 Microsoft Entra ID 和 Privileged Identity Management (PIM) 將群組指派為作用中角色。 如需詳細說明,請參閱已知問題。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管]>[Privileged Identity Management]>[Microsoft Entra 角色]。
選取 [角色] 以查看 Microsoft Entra ID 的角色清單。
選取要更新或移除的角色。
在 [合格角色] 或 [有效角色] 索引標籤上尋找角色指派。
選取 [更新] 或 [移除] 以更新或移除角色指派。
透過 Microsoft Graph API 移除合格的指派
以下 HTTP 要求範例可從主體撤銷合格的角色指派。 如需 API 命令 (包括 C# 和 JavaScript 等語言的要求範例) 的詳細資訊,請參閱建立 roleEligibilityScheduleRequests。
要求
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
{
"action": "AdminRemove",
"justification": "abcde",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
回應
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
"id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de",
"status": "Revoked",
"createdDateTime": "2021-07-15T20:23:23.85453Z",
"completedDateTime": null,
"approvalId": null,
"customData": null,
"action": "AdminRemove",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": null,
"justification": "test",
"scheduleInfo": null,
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: