在 Privileged Identity Management 中啟用我的 Azure 資源角色

當您需要擔任某個 Azure 資源角色時，您可以在 Privileged Identity Management 中使用 [我的角色] 導覽選項來要求啟用。

1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別治理] > [Privileged Identity Management] > [我的角色]。

   

3. 選取 [Azure 資源角色] 以查看符合資格的 Azure 資源角色清單。

   

4. 在 [Azure 資源角色] 清單中，尋找您要啟用的角色。

   

5. 選取 [啟用] 以開啟 [啟用] 窗格。

   

6. 如果您的角色需要多重要素驗證，請選取 [先驗證您的身分識別再繼續]。 每個工作階段僅需驗證一次。

7. 選取 [驗證我的身分識別]，然後遵循指示提供其他安全性驗證。

   

8. 如果您想要指定縮小的範圍，請選取 [範圍] 開啟 [資源] 篩選窗格。

   最佳做法是僅要求存取您需要的資源。 在 [資源] 篩選窗格中，您可以指定資源群組或您需要存取的群組。

   

9. 如有必要，請指定自訂啟用開始時間。 成員會在選取的時間後啟用。

10. 在 [原因] 方塊中輸入此啟用要求的原因。

11. 選取啟用。

    注意

    如果角色需要核准才能啟用，通知會出現在瀏覽器右上角，通知您要求正在等待核准。

Privileged Identity Management 支援 Azure Resource Manager (ARM) API 命令管理 Azure 資源角色 (如 PIM ARM API 參考中所述)。 如需使用 PIM API 所需的許可權，請參閱了解 Privileged Identity Management API。

若要啟動合格的 Azure 角色指派，並取得已啟動的存取權，請使用角色指派排程要求 - 建立 REST API 來建立新的要求，並指定安全性主體、角色定義、requestType = SelfActivate 和範圍。 若要呼叫此 API，您必須在範圍上擁有合格的角色指派。

使用 GUID 工具來產生將用於角色指派識別碼的唯一識別碼。 識別碼的格式為：00000000-0000-0000-0000-000000000000。

將下列 PUT 要求中的 {roleAssignmentScheduleRequestName} 取代為角色指派的 GUID 識別碼。

如需管理 Azure 資源合格角色的詳細資料，請參閱此 PIM ARM API 教學課程。

以下是針對 Azure 角色啟用合格指派的 HTTP 要求範例。

Request

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

要求本文

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
} 

回應

狀態碼：201

您可以檢視要啟用的擱置要求狀態。

1. 開啟 Microsoft Entra Privileged Identity Management。

2. 選取 [我的要求] 以查看您的 Microsoft Entra 角色和 Azure 資源角色要求清單。

   

3. 捲動至右側可檢視 [要求狀態] 欄。

如果您不需要啟用需要核准的角色，您可以隨時取消擱置要求。

1. 開啟 Microsoft Entra Privileged Identity Management。

2. 選取 [我的要求]。

3. 針對要取消的角色，選取 [取消] 連結。

   When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
   

   

啟動角色指派之後，PIM 入口網站中的該角色指派會顯示 [停用] 選項。 此外，您無法在啟動後的五分鐘內停用角色指派。

使用 Azure 入口網站啟用

Privileged Identity Management 角色啟用已整合到 Azure 入口網站中的計費和存取控制 (AD) 延伸模組。 訂用帳戶 (計費) 和存取控制 (AD) 捷徑可讓您直接從這些刀鋒視窗啟用 PIM 角色。

從 [訂用帳戶] 刀鋒視窗，選取水平命令功能表中的 [檢視合格訂用帳戶]，以檢查您的合格、作用中和過期的指派。 您可以從該刀鋒視窗，在相同窗格中啟用合格指派。

在資源的存取控制 (IAM) 中，您現在可以選取 [檢視我的存取權]，以查看您目前作用中和合格的角色指派，並直接啟用。

將 PIM 功能整合到不同的 Azure 入口網站刀鋒視窗後，這項新功能可讓您更輕鬆地取得檢視或編輯訂用帳戶和資源的暫時存取權。

使用 Azure 行動應用程式啟用 PIM 角色

iOS 和 Android 中 Microsoft Entra ID 和 Azure 資源角色行動應用程式現在可以使用 PIM。

1. 若要啟用合格的 Microsoft Entra 角色指派，請從下載 Azure 行動應用程式 (iOS | Android) 開始。 您也可以下載應用程式，請從 [Privileged Identity Management] > [我的角色] > [Microsoft Entra 角色] 中選取 [在行動裝置中開啟]。

   

2. 開啟 Azure 行動應用程式並登入。 按一下 [Privileged Identity Management] 卡片，然後選取[我的 Azure 資源角色]，以檢視您的合格和作用中角色指派。

   

3. 選取角色指派，然後按一下角色指派詳細資料底下的 [動作] > [啟用]。 請先完成啟用步驟，並填寫任何必要的詳細資料，然後才在底部按一下 [啟用]。

   

4. 在 [我的 Azure 資源角色] 下方，檢視啟用要求的狀態和您的角色指派。