Édition

Partage via

Activer mes rôles de ressources Azure dans Privileged Identity Management

  • Procédures

Utilisez Microsoft Entra Privileged Identity Management (PIM) pour autoriser les membres de rôle éligibles pour les ressources Azure à planifier l’activation pour une date et une heure ultérieures. Ils peuvent également sélectionner une durée d’activation spécifique au maximum (configurée par les administrateurs).

Cet article concerne les membres qui doivent activer leur rôle de ressource Azure dans Privileged Identity Management.

Note

À compter de mars 2023, vous pouvez maintenant activer vos affectations et afficher votre accès directement à partir des panneaux en dehors de PIM dans le portail Azure. En savoir plus ici.

Important

Lorsqu’un rôle est activé, Microsoft Entra PIM ajoute temporairement une attribution active pour le rôle. Microsoft Entra PIM crée une attribution active (affecte l’utilisateur à un rôle) en quelques secondes. Lorsque la désactivation (manuelle ou via l’expiration du délai d’activation) se produit, Microsoft Entra PIM supprime également l’affectation active en quelques secondes.

L’application peut fournir un accès en fonction du rôle dont dispose l’utilisateur. Dans certains cas, l’accès aux applications peut ne pas refléter immédiatement le fait que l’utilisateur a obtenu le rôle attribué ou supprimé. Si l’application a précédemment mis en cache le fait que l’utilisateur n’a pas de rôle : lorsque l’utilisateur tente à nouveau d’accéder à l’application, l’accès peut ne pas être fourni. De même, si l’application a précédemment mis en cache le fait que l’utilisateur a un rôle : lorsque le rôle est désactivé, l’utilisateur peut toujours obtenir l’accès. La situation spécifique dépend de l’architecture de l’application. Pour certaines applications, la déconnexion et la connexion peuvent aider à obtenir l’accès ajouté ou supprimé.

Prérequis

Aucun

Activer un rôle

Pourboire

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail à partir duquel vous commencez.

Lorsque vous devez prendre un rôle de ressource Azure, vous pouvez demander l’activation à l’aide de l’option de navigation Mes rôles dans Privileged Identity Management.

Note

PIM est désormais disponible dans l’application mobile Azure (iOS | Android) pour les rôles de ressources Microsoft Entra et Microsoft Entra. Activez facilement les affectations éligibles, les renouvellements de demandes pour ceux qui arrivent à expiration ou vérifiez l’état des demandes en attente. En savoir plus ci-dessous

  1. Connectez-vous au centre d’administration Microsoft Entra au moins un administrateur de rôle privilégié .

  2. Accédez à gouvernance des identités>Privileged Identity Management>Mes rôles.

    capture d’écran de la page mes rôles montrant les rôles que vous pouvez activer.

  3. Sélectionnez rôles de ressources Azure pour afficher la liste de vos rôles de ressources Azure éligibles.

    Capture d’écran de mes rôles - page Rôles de ressources Azure.

  4. Dans les rôles de ressources Azure liste, recherchez le rôle que vous souhaitez activer.

    Capture d’écran des rôles de ressources Azure - Ma liste de rôles éligibles.

  5. Sélectionnez Activer pour ouvrir la page Activer.

    Capture d’écran du volet Activer ouvert avec étendue, heure de début, durée et raison.

  6. Si votre rôle nécessite une authentification multifacteur, sélectionnez Vérifier votre identité avant de continuer. Il vous suffit de vous authentifier une seule fois par session.

  7. Sélectionnez Vérifier mon d’identité et suivez les instructions pour fournir une vérification de sécurité supplémentaire.

    Capture d’écran de l’écran pour fournir une vérification de sécurité telle qu’un code CONFIDENTIEL.

  8. Si vous souhaitez spécifier une étendue réduite, sélectionnez Étendue pour ouvrir le volet Filtre de ressources.

    Il est recommandé de demander uniquement l’accès aux ressources dont vous avez besoin. Dans le volet Filtre de ressources, vous pouvez spécifier les groupes de ressources ou les ressources auxquels vous avez besoin d’accéder.

    Capture d’écran de l’activation - Volet Filtre de ressources pour spécifier l’étendue.

  9. Si nécessaire, spécifiez une heure de début d’activation personnalisée. Le membre est activé après l’heure sélectionnée.

  10. Dans la zone Motif, entrez la raison de la demande d’activation.

  11. Sélectionnez Activer.

    Note

    Si le rôle nécessite l’approbation à activer, une notification s’affiche dans le coin supérieur droit de votre navigateur pour vous informer que la demande est en attente d’approbation.

Activer un rôle avec l’API Azure Resource Manager

Privileged Identity Management prend en charge les commandes d’API Azure Resource Manager pour gérer les rôles de ressources Azure, comme documenté dans la référence de l’API PIM ARM . Pour connaître les autorisations requises pour utiliser l’API PIM, consultez Comprendre les API Privileged Identity Management.

Pour activer une attribution de rôle Azure éligible et obtenir l’accès activé, utilisez les demandes de planification d’attribution de rôle - Créer une API REST pour créer une demande et spécifier le principal de sécurité, la définition de rôle, requestType = SelfActivate et l’étendue. Pour appeler cette API, vous devez disposer d’une attribution de rôle éligible sur l’étendue.

Utilisez un outil GUID pour générer un identificateur unique pour l’identificateur d’attribution de rôle. L’identificateur a le format : 0000000-0000-0000-0000-0000-000000000000000000.

Remplacez {roleAssignmentScheduleRequestName} dans la requête PUT par l’identificateur GUID de l’attribution de rôle.

Pour plus d’informations sur les rôles éligibles pour la gestion des ressources Azure, consultez didacticiel sur l’API PIM ARM.

Il s’agit d’un exemple de requête HTTP permettant d’activer une attribution éligible pour un rôle Azure.

Demander

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Corps de la demande

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Réponse

Code d’état : 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Afficher l’état de vos demandes

Vous pouvez afficher l’état de vos demandes en attente à activer.

  1. Ouvrez Microsoft Entra Privileged Identity Management.

  2. Sélectionnez Mes demandes pour afficher la liste de vos demandes de rôle Microsoft Entra et de rôle de ressource Azure.

    Capture d’écran de mes demandes : page de ressources Azure montrant vos demandes en attente.

  3. Faites défiler vers la droite pour afficher la colonne Demander l’état.

Annuler une demande en attente

Si vous n’avez pas besoin d’activer un rôle qui nécessite une approbation, vous pouvez annuler une demande en attente à tout moment.

  1. Ouvrez Microsoft Entra Privileged Identity Management.

  2. Sélectionnez Mes demandes.

  3. Pour le rôle que vous souhaitez annuler, sélectionnez le lien Annuler.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Capture d’écran de ma liste de demandes avec l’action Annuler mise en surbrillance.

Désactiver une attribution de rôle

Lorsqu’une attribution de rôle est activée, vous voyez une option Désactiver dans le portail PIM pour l’attribution de rôle. En outre, vous ne pouvez pas désactiver une attribution de rôle dans les cinq minutes après l’activation.

Activer avec le portail Azure

L’activation de rôle Privileged Identity Management est intégrée aux extensions de contrôle d’accès et de facturation (AD) dans le portail Azure. Les raccourcis vers les abonnements (facturation) et le contrôle d’accès (AD) vous permettent d’activer des rôles PIM directement à partir de ces panneaux.

Dans le panneau Abonnements, sélectionnez « Afficher les abonnements éligibles » dans le menu de commandes horizontal pour vérifier vos affectations éligibles, actives et expirées. À partir de là, vous pouvez activer une attribution éligible dans le même volet.

Capture d’écran de l’affichage des abonnements éligibles dans la page Abonnements.

Capture d’écran de l’affichage des abonnements éligibles dans la page Cost Management : Integration Service.

Dans Contrôle d’accès (IAM) pour une ressource, vous pouvez désormais sélectionner « Afficher mon accès » pour afficher vos attributions de rôles actives et éligibles et les activer directement.

Capture d’écran des attributions de rôles actuelles sur la page Mesure.

En intégrant des fonctionnalités PIM dans différents panneaux du portail Azure, cette nouvelle fonctionnalité vous permet d’accéder temporairement à l’affichage ou à la modification des abonnements et des ressources plus facilement.

Activer des rôles PIM à l’aide de l’application mobile Azure

PIM est désormais disponible dans l’ID Microsoft Entra et les rôles de ressources Azure pour les applications mobiles dans iOS et Android.

  1. Pour activer une attribution de rôle Microsoft Entra éligible, commencez par télécharger l’application mobile Azure (iOS | Android). Vous pouvez également télécharger l’application en sélectionnant Ouvrir dans les mobiles à partir de Privileged Identity Management > Mes rôles > rôles Microsoft Entra.

    Capture d’écran montrant comment télécharger l’application mobile.

  2. Ouvrez l’application mobile Azure et connectez-vous. Cliquez sur la carte « Privileged Identity Management » et sélectionnez Mes rôles de ressources Azure pour afficher vos attributions de rôles éligibles et actives.

    Capture d’écran de l’application mobile montrant la gestion des identités privilégiées et les rôles de l’utilisateur.

  3. Sélectionnez l’attribution de rôle, puis cliquez sur Action > Activer sous les détails de l’attribution de rôle. Effectuez les étapes d’activation et renseignez les détails requis avant de cliquer sur Activer en bas.

    Capture d’écran de l’application mobile montrant que le processus de validation s’est terminé. L’image montre un bouton Activer.

  4. Affichez l’état de vos demandes d’activation et de vos attributions de rôles sous « Mes rôles de ressources Azure ».

    Capture d’écran de l’application mobile montrant le message d’activation en cours.

Contenu connexe