在 Privileged Identity Management 中指派 Azure 資源角色

使用 Microsoft Entra Privileged Identity Management (PIM),您可以管理內建的 Azure 資源角色和自訂角色,包括(但不限於):

  • 擁有者
  • 使用者存取系統管理員
  • 參與者
  • 安全性系統管理員
  • 安全性管理員

注意

指派給擁有者或使用者存取管理員istrator 訂用帳戶角色之群組的使用者或成員,以及預設在 Microsoft Entra ID 中啟用訂用帳戶管理的 Microsoft Entra 全域管理員具有資源管理員許可權。 這些系統管理員可以使用 Azure 資源的 Privileged Identity Management 來指派角色、設定角色設定,以及檢閱存取權。 使用者無法在沒有資源管理員許可權的情況下管理資源的 Privileged Identity Management。 檢視 Azure 內建角色 的清單

Privileged Identity Management 同時支援內建和自訂 Azure 角色。 如需 Azure 自訂角色的詳細資訊,請參閱 Azure 自訂角色

角色指派條件

您可以使用適用于 Azure 資源的 Microsoft Entra PIM,使用 Azure 屬性型存取控制 (Azure ABAC) 來新增合格角色指派的條件。 使用 Microsoft Entra PIM,您的終端使用者必須啟用合格的角色指派,才能取得執行特定動作的許可權。 在 Microsoft Entra PIM 中使用條件,不僅可讓您使用細部條件限制使用者的角色許可權給資源,還可以使用 Microsoft Entra PIM 來保護具有時間限制設定、核准工作流程、稽核線索等的角色指派。

注意

指派角色時,指派:

  • 在 5 分鐘內無法指派
  • 無法在指派的五分鐘內移除

目前,下列內建角色可以新增條件:

如需詳細資訊,請參閱 什麼是 Azure 屬性型存取控制(Azure ABAC)。

指派角色

請遵循下列步驟來讓使用者有資格成為 Azure 資源角色。

  1. 至少以使用者存取管理員istrator 身分 登入 Microsoft Entra 系統管理中心

  2. 流覽至 [ 身分識別治理 > Privileged Identity Management > Azure 資源]。

  3. 選取您要管理的資源類型 。 例如,例如 資源 資源群組 。 然後選取您想要管理的資源以開啟其概觀頁面。

    Screenshot that shows how to select Azure resources.

  4. 在 [管理] 下,選取 [ 角色 ] 以查看 Azure 資源的角色清單。

  5. 選取 [新增指派 ] 以開啟 [ 新增指派] 窗格。

    Screenshot of Azure resources roles.

  6. 選取您要指派的角色

  7. 選取 [未選取 成員] 連結以開啟 [ 選取成員或群組 ] 窗格。

    Screenshot of the new assignment pane.

  8. 選取您想要指派給角色的成員或群組,然後選擇 [ 選取 ]。

    Screenshots that demonstrates how to select a member or group pane

  9. 在 [設定] 索引卷 標的 [ 指派類型 ] 清單中,選取 [合格 ] 或 [ 作用中 ]。

    Screenshot of add assignments settings pane.

    適用于 Azure 資源的 Microsoft Entra PIM 提供兩種不同的指派類型:

    • 合格的指派需要成員在使用它之前啟動角色。 管理員istrator 可能需要角色成員在角色啟用之前執行特定動作,這可能包括執行多重要素驗證 (MFA) 檢查、提供業務理由,或向指定的核准者要求核准。

    • 使用 中指派不需要成員在使用之前啟動角色。 指派為作用中的成員具有已指派可供使用的許可權。 這種類型的指派也適用于不使用 Microsoft Entra PIM 的客戶。

  10. 若要指定特定的指派持續時間,請變更開始和結束日期和時間。

  11. 如果角色已使用允許指派給具有條件之角色的動作定義,您可以選取 [新增條件 ] 以根據指派所屬主體使用者和資源屬性來新增條件。

    Screenshot of the new assignment conditions pane.

    條件可以在運算式產生器中輸入。

    Screenshot of the new assignment condition built from an expression.

  12. 完成後,選取 [指派]

  13. 建立新的角色指派之後,即會顯示狀態通知。

    Screenshot of a new assignment notification.

使用 ARM API 指派角色

Privileged Identity Management 支援 Azure Resource Manager (ARM) API 命令來管理 Azure 資源角色,如 PIM ARM API 參考 中所述 。 如需使用 PIM API 所需的許可權,請參閱 瞭解 Privileged Identity Management API

下列範例是建立 Azure 角色合格指派的 HTTP 要求範例。

要求

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6?api-version=2020-10-01-preview

要求本文

{
  "properties": {
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

回應

狀態碼:201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

更新或移除現有角色指派

請遵循下列步驟來更新或移除現有角色指派。

  1. 開啟 Microsoft Entra Privileged Identity Management

  2. 選取 [Azure 資源]

  3. 選取您要管理的資源類型 。 例如,例如 資源 資源群組 。 然後選取您想要管理的資源以開啟其概觀頁面。

    Screenshot that shows how to select Azure resources to update.

  4. 在 [管理] 底下 ,選取 [ 角色 ] 以列出 Azure 資源 的角色。 下列螢幕擷取畫面列出Azure 儲存體帳戶的角色。 選取您要更新或移除的角色。

    Screenshot that shows the roles of an Azure Storage account.

  5. 在 [合格角色] 或 [ 作用中角色 ] 索引標籤上尋找角色指派。

    Screenshot demonstrates how to update or remove role assignment.

  6. 若要新增或更新條件以精簡 Azure 資源存取,請在角色指派的 [條件] 資料行中選取 [新增 ] 或 [檢視/編輯 ]。 目前,儲存體 Blob 資料擁有者、儲存體 Blob 資料讀取器,以及 Microsoft Entra PIM 中儲存體 Blob 資料參與者角色是唯一可以新增條件的角色。

  7. 選取 [新增運算式 ] 或 [ 刪除] 以更新運算式。 您也可以選取 [ 新增條件],將新條件 新增至您的角色。

    Screenshot that demonstrates how to update or remove attributes of a role assignment.

    如需擴充角色指派的相關資訊,請參閱 Privileged Identity Management 中的擴充或更新 Azure 資源角色。

下一步