Sdílet prostřednictvím

Přiřazení rolí prostředků Azure ve službě Privileged Identity Management

  • Článek

Pomocí služby Microsoft Entra Privileged Identity Management (PIM) můžete spravovat předdefinované role prostředků Azure a vlastní role, včetně (mimo jiné):

  • Vlastník
  • Správce uživatelského přístupu
  • Přispěvatel
  • Správce zabezpečení
  • Správce zabezpečení

Poznámka:

Uživatelé nebo členové skupiny přiřazené k rolím předplatného Vlastník nebo Uživatelský přístup Správa istrator a globální správci Microsoft Entra, kteří umožňují správu předplatného v Microsoft Entra ID, mají ve výchozím nastavení oprávnění správce prostředků. Tito správci můžou přiřazovat role, konfigurovat nastavení rolí a kontrolovat přístup pomocí Privileged Identity Management pro prostředky Azure. Uživatel nemůže spravovat Privileged Identity Management pro prostředky bez oprávnění správce prostředků. Zobrazení seznamu předdefinovaných rolí Azure

Privileged Identity Management podporuje předdefinované i vlastní role Azure. Další informace o vlastních rolích Azure najdete v tématu Vlastní role Azure.

Podmínky přiřazení role

Pomocí řízení přístupu na základě atributů Azure (Azure ABAC) můžete přidat podmínky pro oprávněná přiřazení rolí pomocí Microsoft Entra PIM pro prostředky Azure. U Microsoft Entra PIM musí koncoví uživatelé aktivovat oprávněné přiřazení role, aby získali oprávnění k provádění určitých akcí. Použití podmínek v nástroji Microsoft Entra PIM umožňuje nejen omezit oprávnění role uživatele na prostředek pomocí jemně odstupňovaných podmínek, ale také pomocí nástroje Microsoft Entra PIM zabezpečit přiřazení role s nastavením časového limitu, pracovním postupem schválení, záznamem auditu atd.

Poznámka:

Když je přiřazená role, přiřazení:

  • Nedá se přiřadit po dobu kratší než pět minut.
  • Nejde odebrat během pěti minut od přiřazení.

V současné době můžou být přidány následující předdefinované role:

Další informace najdete v tématu Co je řízení přístupu na základě atributů Azure (Azure ABAC).

Přiřazení role

Pokud chcete, aby uživatel nárok na roli prostředku Azure, postupujte podle těchto kroků.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň uživatelský přístup Správa istrator.

  2. Přejděte k prostředkům Azure s oprávněními k zásadám správného řízení>identit>.

  3. Vyberte typ prostředku, který chcete spravovat. Začněte v rozevíracím seznamu Skupiny pro správu nebo v rozevíracím seznamu Předplatná a podle potřeby dále vyberte skupiny prostředků nebo prostředky. Kliknutím na tlačítko Vybrat pro prostředek, který chcete spravovat, otevřete stránku přehledu.

    Snímek obrazovky znázorňující výběr prostředků Azure

  4. V části Spravovat vyberte Role a zobrazte seznam rolí pro prostředky Azure.

  5. Výběrem možnosti Přidat zadání otevřete podokno Přidat zadání.

    Snímek obrazovky s rolemi prostředků Azure

  6. Vyberte roli, kterou chcete přiřadit.

  7. Výběrem odkazu Vybrat člena nebo skupinu otevřete podokno Vybrat člena nebo skupinu .

    Snímek obrazovky s novým podoknem přiřazení

  8. Vyberte člena nebo skupinu, kterou chcete přiřadit k roli, a pak zvolte Vybrat.

    Snímek obrazovky znázorňuje, jak vybrat člena nebo podokno skupiny

  9. Na kartě Nastavení vyberte v seznamu Typů zadání možnost Způsobilé nebo Aktivní.

    Snímek obrazovky s podoknem přidat nastavení přiřazení

    Microsoft Entra PIM pro prostředky Azure poskytuje dva různé typy přiřazení:

    • Způsobilá přiřazení vyžadují, aby člen před použitím roli aktivoval. Správa istrator může vyžadovat, aby člen role provedl určité akce před aktivací role, což může zahrnovat provedení kontroly vícefaktorového ověřování (MFA), poskytnutí obchodního odůvodnění nebo vyžádání schválení od určených schvalovatelů.

    • Aktivní přiřazení nevyžadují, aby člen aktivoval roli před použitím. Členové přiřazení jako aktivní mají přiřazená oprávnění připravená k použití. Tento typ přiřazení je také k dispozici zákazníkům, kteří nepoužívají Microsoft Entra PIM.

  10. Pokud chcete zadat konkrétní dobu trvání přiřazení, změňte počáteční a koncové datum a časy.

  11. Pokud byla role definována pomocí akcí, které umožňují přiřazení k této roli s podmínkami, můžete vybrat Přidat podmínku a přidat podmínku na základě atributů hlavního uživatele a zdroje, které jsou součástí přiřazení.

    Snímek obrazovky s podoknem nové podmínky přiřazení

    Podmínky lze zadat v tvůrci výrazů.

    Snímek obrazovky s novou podmínkou přiřazení vytvořenou z výrazu

  12. Po dokončení vyberte Přiřadit.

  13. Po vytvoření nového přiřazení role se zobrazí oznámení o stavu.

    Snímek obrazovky s oznámením o novém přiřazení

Přiřazení role pomocí rozhraní ARM API

Privileged Identity Management podporuje příkazy rozhraní API Azure Resource Manageru (ARM) ke správě rolí prostředků Azure, jak je uvedeno v referenčních informacích k rozhraní API ARM PIM. Oprávnění potřebná k používání rozhraní PIM API najdete v tématu Vysvětlení rozhraní API služby Privileged Identity Management.

Následující příklad je ukázkový požadavek HTTP, který vytvoří způsobilé přiřazení pro roli Azure.

Žádost

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6?api-version=2020-10-01-preview

Request body

{
  "properties": {
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "/subscriptions/aaaaaaaa-bbbb-cccc-1111-222222222222/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

Reakce

Stavový kód: 201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

Aktualizace nebo odebrání existujícího přiřazení role

Pokud chcete aktualizovat nebo odebrat existující přiřazení role, postupujte podle těchto kroků.

  1. Otevřete Microsoft Entra Privileged Identity Management.

  2. Vyberte prostředky Azure.

  3. Vyberte typ prostředku, který chcete spravovat. Začněte v rozevíracím seznamu Skupiny pro správu nebo v rozevíracím seznamu Předplatná a podle potřeby dále vyberte skupiny prostředků nebo prostředky. Kliknutím na tlačítko Vybrat pro prostředek, který chcete spravovat, otevřete stránku přehledu.

    Snímek obrazovky znázorňující, jak vybrat prostředky Azure, které se mají aktualizovat

  4. V části Spravovat vyberte Role a vypíšete role pro prostředky Azure. Následující snímek obrazovky obsahuje role účtu Azure Storage. Vyberte roli, kterou chcete aktualizovat nebo odebrat.

    Snímek obrazovky znázorňující role účtu Azure Storage

  5. Najděte přiřazení role na kartách Opravňující role nebo Aktivní role .

    Snímek obrazovky ukazuje, jak aktualizovat nebo odebrat přiřazení role.

  6. Pokud chcete přidat nebo aktualizovat podmínku pro upřesnění přístupu k prostředkům Azure, vyberte přidat nebo zobrazit nebo upravit ve sloupci Podmínka pro přiřazení role. V současné době jsou role Vlastník dat objektů blob služby Storage, Čtenář dat objektů blob úložiště a Přispěvatel dat objektů blob služby Storage v Microsoft Entra PIM jediné role, které můžou mít přidané podmínky.

  7. Vyberte Přidat výraz nebo Odstranit a aktualizujte výraz. Můžete také vybrat Přidat podmínku a přidat do své role novou podmínku.

    Snímek obrazovky, který ukazuje, jak aktualizovat nebo odebrat atributy přiřazení role

    Informace o rozšíření přiřazení role naleznete v tématu Rozšíření nebo obnovení rolí prostředků Azure v Privileged Identity Management.

Další kroky