Upravit

Sdílet prostřednictvím

Aktivace rolí prostředků Azure ve službě Privileged Identity Management

  • Postupy

Použijte Microsoft Entra Privileged Identity Management (PIM), abyste umožnili oprávněným členům rolí pro prostředky Azure naplánovat aktivaci pro budoucí datum a čas. Můžou také vybrat konkrétní dobu aktivace v rámci maximálního počtu (nakonfigurovaných správci).

Tento článek je určený pro členy, kteří potřebují aktivovat svou roli prostředků Azure ve službě Privileged Identity Management.

Poznámka

Od března 2023 teď můžete svá zadání aktivovat a zobrazit přístup přímo z oken mimo PIM na webu Azure Portal. Přečtěte si další zde.

Důležitý

Při aktivaci role microsoft Entra PIM dočasně přidá aktivní přiřazení pro tuto roli. Microsoft Entra PIM vytvoří aktivní přiřazení (přiřadí uživatele k roli) během několika sekund. Když dojde k deaktivaci (ruční nebo prostřednictvím vypršení platnosti doby aktivace), Microsoft Entra PIM odebere aktivní přiřazení během sekund.

Aplikace může poskytnout přístup na základě role, která má uživatel. V některých situacích nemusí přístup k aplikacím okamžitě odrážet skutečnost, že uživatel získal přiřazenou nebo odebranou roli. Pokud aplikace dříve ukážela skutečnost, že uživatel nemá roli – když se uživatel pokusí znovu získat přístup k aplikaci, nemusí být poskytnut přístup. Podobně platí, že pokud aplikace dříve ukážela do mezipaměti skutečnost, že uživatel má roli – když je role deaktivována, může uživatel stále získat přístup. Konkrétní situace závisí na architektuře aplikace. U některých aplikací může přihlášení a přihlášení pomoct získat přístup přidaný nebo odebraný.

Požadavky

Nic

Aktivace role

Pokud potřebujete převzít roli prostředku Azure, můžete požádat o aktivaci pomocí možnosti Moje role navigace ve službě Privileged Identity Management.

Poznámka

PIM je teď k dispozici v mobilní aplikaci Azure (iOS | Android) pro Microsoft Entra ID a role prostředků Azure. Můžete snadno aktivovat opravňující přiřazení, požádat o prodloužení platnosti těch, kterým vyprší platnost, nebo zkontrolovat stav nevyřízených žádostí. Další informace najdete níže

  1. Přihlaste se do centra pro správu Microsoft Entra alespoň jakosprávce privilegovaných rolí .

  2. Přejděte na zásady správného řízení identit>Privileged Identity Management>Moje role.

    Snímek obrazovky se stránkou moje role zobrazující role, které můžete aktivovat

  3. Výběrem rolí prostředků Azure zobrazíte seznam vašich oprávněných rolí prostředků Azure.

    snímek obrazovky s mými rolemi – stránka Role prostředků Azure

  4. V seznamu rolí prostředků Azure vyhledejte roli, kterou chcete aktivovat.

    Snímek obrazovky s rolemi prostředků Azure – Seznam oprávněných rolí

  5. Výběrem Aktivovat otevřete stránku Aktivovat.

    Snímek obrazovky otevřeného podokna Aktivovat s oborem, časem spuštění, dobou trvání a důvodem

  6. Pokud vaše role vyžaduje vícefaktorové ověřování, vyberte Před pokračovánímověřte svoji identitu . Pro každou relaci stačí provést ověření jenom jednou.

  7. Vyberte Ověření identity a podle pokynů poskytněte další ověření zabezpečení.

    snímek obrazovky pro zajištění ověření zabezpečení, jako je kód PIN.

  8. Pokud chcete zadat omezený obor, vyberte Obor a otevřete podokno Filtr prostředků.

    Osvědčeným postupem je požádat pouze o přístup k potřebným prostředkům. V podokně Filtr prostředků můžete zadat skupiny prostředků nebo prostředky, ke kterým potřebujete přístup.

    Snímek obrazovky s aktivací – podokno filtru prostředků pro zadání oboru

  9. V případě potřeby zadejte vlastní počáteční čas aktivace. Člen by se aktivoval po vybraném čase.

  10. Do pole Důvod zadejte důvod žádosti o aktivaci.

  11. Vyberte Aktivovat.

    Poznámka

    Pokud role vyžaduje aktivaci schválení, zobrazí se v pravém horním rohu prohlížeče oznámení s informací, že žádost čeká na schválení.

Aktivace role pomocí rozhraní API Azure Resource Manageru

Privileged Identity Management podporuje příkazy rozhraní API Azure Resource Manageru ke správě rolí prostředků Azure, jak je uvedeno v referenčních informacích k rozhraní PIM ARM API. Informace o oprávněních potřebných k používání rozhraní API PIM najdete v tématu Vysvětlení rozhraní API služby Privileged Identity Management.

Pokud chcete aktivovat oprávněné přiřazení role Azure a získat aktivovaný přístup, použijte žádosti o plán přiřazení role – Vytvoření rozhraní REST API k vytvoření nového požadavku a zadání objektu zabezpečení, definice role, requestType = SelfActivate a oboru. Pokud chcete volat toto rozhraní API, musíte mít v oboru oprávněné přiřazení role.

Pomocí nástroje GUID vygenerujte jedinečný identifikátor pro identifikátor přiřazení role. Identifikátor má formát: 00000000-0000-0000-0000-0000-000000000000.

V požadavku PUT nahraďte {roleAssignmentScheduleRequestName} identifikátorem GUID přiřazení role.

Další informace o oprávněných rolích pro správu prostředků Azure najdete v kurzu k rozhraní ARM API PIM.

Toto je ukázkový požadavek HTTP pro aktivaci oprávněného přiřazení pro roli Azure.

Prosba

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Text požadavku

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Odpověď

Stavový kód: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Zobrazení stavu vašich žádostí

Můžete zobrazit stav čekajících žádostí o aktivaci.

  1. Otevřete Microsoft Entra Privileged Identity Management.

  2. Výběrem možnosti Moje požadavky zobrazíte seznam vašich rolí Microsoft Entra a žádostí o roli prostředků Azure.

    snímek obrazovky s mými požadavky – stránka prostředků Azure zobrazující čekající žádosti

  3. Posuňte se doprava a zobrazte sloupec Stav žádosti.

Zrušení čekající žádosti

Pokud nevyžadujete aktivaci role, která vyžaduje schválení, můžete žádost čekající na vyřízení kdykoli zrušit.

  1. Otevřete Microsoft Entra Privileged Identity Management.

  2. Vyberte Moje požadavky.

  3. U role, kterou chcete zrušit, vyberte odkaz Zrušit.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Snímek obrazovky se seznamem žádostí se zvýrazněnou akcí Zrušit

Deaktivace přiřazení role

Po aktivaci přiřazení role se na portálu PIM zobrazí možnost Deaktivovat pro přiřazení role. Přiřazení role také nemůžete deaktivovat během pěti minut po aktivaci.

Aktivace pomocí webu Azure Portal

Aktivace role Privileged Identity Management je integrovaná do rozšíření fakturace a řízení přístupu (AD) na webu Azure Portal. Zástupci předplatných (fakturace) a řízení přístupu (AD) umožňují aktivovat role PIM přímo z těchto oken.

V okně Předplatná vyberte v vodorovné nabídce příkazů zobrazit oprávněná předplatná a zkontrolujte, jestli máte nárok na přiřazení, která vypršela. Odsud můžete aktivovat oprávněné přiřazení ve stejném podokně.

snímek obrazovky se zobrazením oprávněných předplatných na stránce Předplatná

snímek obrazovky se zobrazením oprávněných předplatných na stránce Cost Management: Integrační služba

V řízení přístupu (IAM) pro prostředek teď můžete vybrat Zobrazit můj přístup, abyste viděli aktuálně aktivní a opravňující přiřazení rolí a aktivovali ho přímo.

Snímek obrazovky s aktuálními přiřazeními rolí na stránce Měření

Díky integraci funkcí PIM do různých oken webu Azure Portal umožňuje tato nová funkce získat dočasný přístup k zobrazení nebo úpravám předplatných a prostředků snadněji.

Aktivace rolí PIM pomocí mobilní aplikace Azure

PIM je teď k dispozici v mobilních aplikacích Microsoft Entra ID a Role prostředků Azure v iOSu i Androidu.

  1. Pokud chcete aktivovat oprávněné přiřazení role Microsoft Entra, začněte stažením mobilní aplikace Azure (iOS | Android). Aplikaci si můžete stáhnout také tak, že vyberete Otevřít v mobilním z Privileged Identity Management > Moje role > role Microsoft Entra.

    Snímek obrazovky ukazuje, jak stáhnout mobilní aplikaci.

  2. Otevřete mobilní aplikaci Azure a přihlaste se. Klikněte na kartu Privileged Identity Management a vyberte Moje role prostředků Azure, abyste zobrazili oprávněná a aktivní přiřazení rolí.

    snímek obrazovky mobilní aplikace zobrazující správu privilegovaných identit a role uživatele

  3. Vyberte přiřazení role a v podrobnostech o přiřazení role klikněte na Akce > Aktivovat. Než kliknete na Aktivovat dole, proveďte kroky k aktivaci a vyplňte všechny požadované podrobnosti.

    snímek obrazovky mobilní aplikace znázorňující dokončení procesu ověření Na obrázku je tlačítko Aktivovat.

  4. V části Moje role prostředků Azure zobrazte stav žádostí o aktivaci a přiřazení rolí.

    snímek obrazovky mobilní aplikace zobrazující probíhající aktivaci

Související obsah