使用 Microsoft Entra Privileged Identity Management (PIM),您可以管理內建的 Azure 資源角色和自定義角色,包括(但不限於):
- 所有者
- 使用者存取系統管理員
- 撰稿人
- 安全性系統管理員
- 安全性管理員
備註
指派為「擁有者」或「使用者存取管理員」訂用帳戶角色的群組中的用戶或成員,以及在 Microsoft Entra ID 中啟用訂用帳戶管理的 Microsoft Entra 全域管理員,預設均具有資源管理員許可權。 這些系統管理員可以使用 Azure 資源的 Privileged Identity Management 來指派角色、設定角色設定,以及檢閱存取權。 如果沒有資源管理員權限,用戶無法管理資源的身分特權管理。 檢視 Azure 內建角色的清單。
Privileged Identity Management 同時支援內建和自定義 Azure 角色。 如需 Azure 自定義角色的詳細資訊,請參閱 Azure 自定義角色。
角色指派條件
您可以使用 Azure 屬性型訪問控制(Azure ABAC),透過 Microsoft Entra PIM 為 Azure 資源的合格角色指派新增條件。 透過Microsoft Entra PIM,您的終端用戶必須啟用合格的角色指派,才能取得執行特定動作的許可權。 使用 Microsoft Entra PIM 中的條件,不僅可讓您使用細部條件限制使用者的角色許可權給資源,還可以使用 Microsoft Entra PIM 來保護具有時間限制設定、核准工作流程、稽核線索等的角色指派。
備註
當指派角色時,指派:
- 無法在五分鐘內指派
- 無法在指派後的五分鐘內移除
目前,下列內建角色可以新增條件:
如需詳細資訊,請參閱什麼是 Azure 屬性型訪問控制(Azure ABAC)。
指派角色
請遵循下列步驟,讓使用者符合 Azure 資源角色的資格。
以至少一個使用者存取系統管理員身分登入 Microsoft Entra 系統管理中心 。
流覽至 身份治理>特權身份管理>Azure 資源。
選取您想要管理 的資源類型 。 從 [ 管理群組 ] 下拉式清單或 [ 訂 用帳戶] 下拉式列表開始,然後視需要進一步選取 [資源群組 ] 或 [ 資源 ]。 針對您想要管理的資源選取 [選取] 按鈕,以開啟其概觀頁面。
在 [管理] 底下,選取 [ 角色 ] 以查看 Azure 資源的角色清單。
選取 [新增指派 ] 以開啟 [ 新增指派] 窗格。
選取您要指派 的角色 。
選取 [未選取成員 ] 鏈接以開啟 [ 選取成員或群組 ] 窗格。
選取您想要指派給角色的成員或群組,然後選擇 [ 選取]。
在 [ 設定] 索引標籤的 [ 指派類型 ] 清單中,選取 [ 合格 ] 或 [ 作用中]。
![[新增指派設定] 窗格的螢幕快照。](media/pim-resource-roles-assign-roles/resources-membership-settings-type.png)
Microsoft Azure 資源的 Entra PIM 提供兩種不同的指派類型:
合格的 指派要求成員在使用之前啟動該職務。 系統管理員可能需要角色成員在角色啟用之前執行特定動作,這可能包括執行多重要素驗證 (MFA) 檢查、提供業務理由,或向指定的核准者要求核准。
主動 指派不需要成員在使用前啟用角色。 被指定為活動中的成員可立即使用其已分配的權限。 這種類型的指派也適用於不使用 Microsoft Entra PIM 的客戶。
若要指定特定的指派持續時間,請變更開始和結束日期和時間。
如果角色已被定義為包含允許該角色指派時包含條件的動作,那麼您可以選擇 [ 新增條件 ] 來根據指派中包含的主要使用者和資源屬性來新增條件。
條件可以在表達式產生器中輸入。
完成後,選取 [ 指派]。
建立新的角色指派之後,就會顯示狀態通知。
使用 Azure Resource Manager API 指派角色
Privileged Identity Management 支援 Azure Resource Manager (ARM) API 命令來管理 Azure 資源角色,如 PIM Azure Resource Manager API 參考中所述。 如需使用 PIM API 所需的許可權,請參閱 瞭解 Privileged Identity Management API。
下列範例是建立 Azure 角色合格指派的 HTTP 要求範例。
請求
PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e?api-version=2020-10-01-preview
請求主體
{
"properties": {
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"requestType": "AdminAssign",
"scheduleInfo": {
"startDateTime": "2022-07-05T21:00:00.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "P365D"
}
},
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0"
}
}
回應
狀態代碼:201
{
"properties": {
"targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
"targetRoleEligibilityScheduleInstanceId": null,
"scope": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalType": "User",
"requestType": "AdminAssign",
"status": "Provisioned",
"approvalId": null,
"scheduleInfo": {
"startDateTime": "2022-07-05T21:00:00.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "P365D"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
},
"justification": null,
"requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"createdOn": "2022-07-05T21:00:45.91Z",
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0",
"expandedProperties": {
"scope": {
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"displayName": "Pay-As-You-Go",
"type": "subscription"
},
"roleDefinition": {
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"displayName": "Contributor",
"type": "BuiltInRole"
},
"principal": {
"id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"displayName": "User Account",
"email": "user@my-tenant.com",
"type": "User"
}
}
},
"name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
"id": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests64caffb6-55c0-4deb-a585-68e948ea1ad6",
"type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}
更新或移除現有的角色指派
請遵循下列步驟來更新或移除現有的角色指派。
開啟 Microsoft Entra Privileged Identity Management。
選取 [Azure 資源]。
選取您想要管理 的資源類型 。 從 [ 管理群組 ] 下拉式清單或 [ 訂 用帳戶] 下拉式列表開始,然後視需要進一步選取 [資源群組 ] 或 [ 資源 ]。 針對您想要管理的資源選取 [選取] 按鈕,以開啟其概觀頁面。
在 [管理] 底下,選取 [ 角色 ] 以列出 Azure 資源的角色。 下列螢幕快照列出 Azure 記憶體帳戶的角色。 選取要更新或移除的角色。
在 [合格角色] 或 [有效角色] 索引標籤上尋找角色指派。
若要新增或更新條件以精簡 Azure 資源存取,請在角色指派的 [條件] 資料行中選取 [新增] 或 [檢視/編輯]。
選取 [新增運算式 ] 或 [ 刪除] 以更新表示式。 您也可以選取 [ 新增條件 ],將新條件新增至您的角色。
如需擴充角色指派的相關信息,請參閱 Privileged Identity Management 中的擴充或更新 Azure 資源角色。
