Freigeben über

Zuweisen von Azure-Ressourcenrollen in Privileged Identity Management

  • Artikel

Mit Microsoft Entra Privileged Identity Management (PIM) können Sie die integrierten Azure-Ressourcenrollen und benutzerdefinierte Rollen verwalten, einschließlich (aber nicht beschränkt auf):

  • Besitzer
  • Benutzerzugriffsadministrator
  • Beitragender
  • Sicherheitsadministrator
  • Sicherheits-Manager

Anmerkung

Benutzer oder Mitglieder einer Gruppe, die den Abonnementrollen "Besitzer" oder "Benutzerzugriffsadministrator" zugewiesen sind, und globale Microsoft Entra-Administratoren, die die Abonnementverwaltung in Microsoft Entra ID aktivieren, verfügen standardmäßig über Ressourcenadministratorberechtigungen. Diese Administratoren können Rollen zuweisen, Rolleneinstellungen konfigurieren und den Zugriff mithilfe von Privileged Identity Management für Azure-Ressourcen überprüfen. Ein Benutzer kann Privileged Identity Management für Ressourcen nicht ohne Ressourcenadministratorberechtigungen verwalten. Zeigen Sie die Liste der integrierten Azure-Rollen an.

Privileged Identity Management unterstützt sowohl integrierte als auch benutzerdefinierte Azure-Rollen. Weitere Informationen zu benutzerdefinierten Azure-Rollen finden Sie unter benutzerdefinierte Azure-Rollen.

Bedingungen für Rollenzuweisungen

Sie können die Azure-attributbasierte Zugriffssteuerung (Azure ABAC) verwenden, um Bedingungen für berechtigte Rollenzuweisungen mithilfe von Microsoft Entra PIM für Azure-Ressourcen zu definieren. Mit Microsoft Entra PIM müssen Ihre Endbenutzer eine berechtigte Rollenzuweisung aktivieren, um die Berechtigung zum Ausführen bestimmter Aktionen zu erhalten. Mithilfe von Bedingungen in Microsoft Entra PIM können Sie nicht nur die Rollenberechtigungen eines Benutzers auf eine Ressource beschränken, sondern auch Microsoft Entra PIM verwenden, um die Rollenzuweisung mit einer zeitgebundenen Einstellung, einem Genehmigungsworkflow, einem Audit-Trail usw. zu sichern.

Anmerkung

Wenn eine Rolle zugewiesen wird, gilt Folgendes für die Zuweisung:

  • Sie kann für eine Dauer von weniger als fünf Minuten nicht zugewiesen werden.
  • Sie kann nicht innerhalb von fünf Minuten nach der Zuweisung entfernt werden.

Derzeit können den folgenden integrierten Rollen Bedingungen hinzugefügt werden:

Weitere Informationen finden Sie unter Was ist die attributbasierte Azure-Zugriffssteuerung (Azure ABAC).

Zuweisen einer Rolle

Führen Sie die folgenden Schritte aus, um einen Benutzer für eine Azure-Ressourcenrolle zu qualifizieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Benutzerzugriffsadministratoran.

  2. Navigieren Sie zu Identitätsgovernance>Privileged Identity Management>Azure-Ressourcen.

  3. Wählen Sie den Ressourcentyp aus, den Sie verwalten möchten. Wählen Sie in einer der Dropdownlisten Verwaltung oder Abonnements nach Bedarf Ressourcengruppen oder Ressourcen aus. Wählen Sie die Schaltfläche "Auswählen" für die Ressource aus, die Sie verwalten möchten, um die Zugehörige Übersichtsseite zu öffnen.

    Screenshot, der zeigt, wie Azure-Ressourcen ausgewählt werden.

  4. Wählen Sie unter Verwalten den Eintrag Rollen aus, um die Liste der Rollen für Azure-Ressourcen anzuzeigen.

  5. Wählen Sie Aufgaben hinzufügen aus, um den Bereich Aufgaben hinzufügen zu öffnen.

    Screenshot der Azure-Ressourcenrollen.

  6. Wählen Sie eine Rolle aus, die Sie zuweisen möchten.

  7. Wählen Sie den Link Kein Mitglied ausgewählt aus, um den Bereich Mitglied oder Gruppe auswählen zu öffnen.

    Screenshot: Bereich für neue Zuweisung.

  8. Wählen Sie ein Mitglied oder eine Gruppe aus, das Sie der Rolle zuweisen möchten, und wählen Sie dann Wählen Sieaus.

    Screenshot: Bereich zum Auswählen eines Mitglieds oder eines Gruppenbereichs.

  9. Wählen Sie auf der Registerkarte Einstellungen in der Liste Zuweisungstyp entweder Berechtigt oder Aktiv aus.

    Screenshot des Einstellungsbereichs zum Hinzufügen von Aufgaben.

    Microsoft Entra PIM für Azure-Ressourcen bietet zwei unterschiedliche Zuordnungstypen:

    • Berechtigte Zuweisungen erfordern, dass das Mitglied die Rolle aktiviert, bevor sie verwendet wird. Der Administrator kann von einem Rollenmitglied verlangen, bestimmte Aktionen durchzuführen, bevor die Rolle aktiviert wird. Dazu kann es gehören, eine Mehrstufige Authentifizierung (MFA) durchzuführen, eine geschäftliche Begründung anzugeben oder die Genehmigung von benannten Genehmigern anzufordern.

    • Aktive Zuweisungen erfordern nicht, dass das Mitglied die Rolle aktiviert, bevor sie verwendet wird. Bei als aktiv zugewiesenen Mitgliedern sind die Berechtigungen sofort einsatzbereit. Diese Art von Zuweisung ist auch für Kunden verfügbar, die Microsoft Entra PIM nicht verwenden.

  10. Wenn Sie eine bestimmte Zuweisungsdauer angeben möchten, ändern Sie das Start- und Enddatum sowie die Zeitfelder.

  11. Wenn die Rolle mit Aktionen definiert wurde, die Zuweisungen zu dieser Rolle mit Bedingungen ermöglichen, können Sie Bedingung hinzufügen auswählen, um eine Bedingung basierend auf dem Prinzipal (Benutzer) und den Ressourcenattributen hinzuzufügen, die Teil der Zuordnung sind.

    Screenshot des Bereichs

    Bedingungen können im Ausdrucks-Generator eingegeben werden.

    Screenshot der neuen Zuordnungsbedingung, die aus einem Ausdruck erstellt wurde.

  12. Wählen Sie abschließend Zuweisen aus.

  13. Nachdem die neue Rollenzuweisung erstellt wurde, wird eine Statusbenachrichtigung angezeigt.

    Screenshot einer neuen Zuweisungsbenachrichtigung.

Zuweisen einer Rolle mithilfe der Azure Resource Manager-API

Privileged Identity Management unterstützt Azure Resource Manager (ARM)-API-Befehle zum Verwalten von Azure-Ressourcenrollen, wie in der PIM Azure Resource Manager-API-Referenzdokumentiert. Informationen zu den Berechtigungen, die für die Verwendung der PIM-API erforderlich sind, finden Sie unter Verstehen der Privileged Identity Management-APIs.

Das folgende Beispiel ist eine Beispiel-HTTP-Anforderung zum Erstellen einer berechtigten Zuweisung für eine Azure-Rolle.

Anfrage

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e?api-version=2020-10-01-preview

Anforderungstext

{
  "properties": {
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

Antwort

Statuscode: 201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

Aktualisieren oder Entfernen einer vorhandenen Rollenzuweisung

Führen Sie die folgenden Schritte aus, um eine vorhandene Rollenzuweisung zu aktualisieren oder zu entfernen.

  1. Öffnen Sie Microsoft Entra Privileged Identity Management.

  2. Wählen Sie Azure-Ressourcen aus.

  3. Wählen Sie den Ressourcentyp aus, den Sie verwalten möchten. Wählen Sie in einer der Dropdownlisten Verwaltung oder Abonnements nach Bedarf Ressourcengruppen oder Ressourcen aus. Wählen Sie die Schaltfläche "Auswählen" für die Ressource aus, die Sie verwalten möchten, um die Zugehörige Übersichtsseite zu öffnen.

    Screenshot, der zeigt, wie Azure-Ressourcen zum Aktualisieren ausgewählt werden.

  4. Wählen Sie unter Verwalten den Eintrag Rollen aus, um die Rollen für Azure-Ressourcen aufzulisten. Der folgende Screenshot listet die Rollen eines Azure Storage-Kontos auf. Wählen Sie die Rolle aus, die Sie aktualisieren oder entfernen möchten.

    Screenshot, der die Rollen eines Azure Storage-Kontos zeigt.

  5. Suchen Sie die Rollenzuweisung auf den Registerkarten Berechtigte Rollen oder Aktive Rollen.

    Screenshot veranschaulicht, wie Rollenzuweisungen aktualisiert oder entfernt werden.

  6. Wenn Sie eine Bedingung hinzufügen oder aktualisieren möchten, um den Azure-Ressourcenzugriff zu verfeinern, wählen Sie Hinzufügen oder Ansicht/Bearbeiten in der Spalte Bedingung für die Rollenzuweisung aus. Derzeit sind die Rollen "Storage Blob Data Owner", "Storage Blob Data Reader" und "Storage Blob Data Contributor" in Microsoft Entra PIM die einzigen Rollen, denen Bedingungen hinzugefügt werden können.

  7. Wählen Sie Ausdruck hinzufügen oder Löschen aus, um den Ausdruck zu aktualisieren. Sie können auch Bedingung hinzufügen auswählen, um Ihrer Rolle eine neue Bedingung hinzuzufügen.

    Screenshot, der veranschaulicht, wie Attribute einer Rollenzuweisung aktualisiert oder entfernt werden.

    Informationen zum Erweitern einer Rollenzuweisung finden Sie unter Erweitern oder Erneuern von Azure-Ressourcenrollen in Privileged Identity Management.

Nächste Schritte