Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare Microsoft Entra Privileged Identity Management (PIM) per consentire ai membri del ruolo idonei per le risorse di Azure di pianificare l'attivazione per una data e un'ora future. Possono anche selezionare una durata di attivazione specifica entro il massimo (configurato dagli amministratori).
Questo articolo è destinato ai membri che devono attivare il ruolo delle risorse di Azure in Privileged Identity Management.
Nota
A partire da marzo 2023, è ora possibile attivare le assegnazioni e visualizzare l'accesso direttamente dai pannelli esterni a PIM nel portale di Azure. Altre qui.
Importante
Quando viene attivato un ruolo, Microsoft Entra PIM aggiunge temporaneamente l'assegnazione attiva per il ruolo. Microsoft Entra PIM crea un'assegnazione attiva (assegna l'utente a un ruolo) entro pochi secondi. Quando si verifica la disattivazione (manuale o con scadenza dell'attivazione), Microsoft Entra PIM rimuove anche l'assegnazione attiva entro pochi secondi.
L'applicazione può fornire l'accesso in base al ruolo dell'utente. In alcune situazioni, l'accesso alle applicazioni potrebbe non riflettere immediatamente il fatto che l'utente abbia ricevuto o rimosso il ruolo. Se in precedenza l'applicazione memorizzava nella cache il fatto che l'utente non ha un ruolo, quando l'utente tenta di accedere di nuovo all'applicazione, l'accesso potrebbe non essere fornito. Analogamente, se l'applicazione in precedenza memorizzava nella cache il fatto che l'utente ha un ruolo: quando il ruolo viene disattivato, l'utente potrebbe comunque ottenere l'accesso. La situazione specifica dipende dall'architettura dell'applicazione. Per alcune applicazioni, la disconnessione e l'accesso possono aiutare a ottenere l'accesso aggiunto o rimosso.
Prerequisiti
Attivare un ruolo
Quando è necessario assumere un ruolo risorsa di Azure, è possibile richiedere l'attivazione usando l'opzione di spostamento ruoli personali in Privileged Identity Management.
Nota
PIM è ora disponibile nell'app per dispositivi mobili di Azure (iOS | Android) per microsoft Entra ID e ruoli delle risorse di Azure. Attivare facilmente assegnazioni idonee, richiedere rinnovi per quelli in scadenza o controllare lo stato delle richieste in sospeso. Altre informazioni di seguito
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore del ruolo con privilegi .
Passare a Identity Governance>Privileged Identity Management>Ruoli personali.
Selezionare ruoli delle risorse di Azure per visualizzare un elenco dei ruoli delle risorse di Azure idonei.
Nell'elenco
ruoli delle risorse di Azure individuare il ruolo da attivare. Selezionare Attiva per aprire la pagina Attiva.
Se il ruolo richiede l'autenticazione a più fattori, selezionare Verificare l'identità prima di procedere. È necessario eseguire l'autenticazione una sola volta per sessione.
Selezionare Verificare l'identità e seguire le istruzioni per fornire una verifica aggiuntiva di sicurezza.
Per specificare un ambito ridotto, selezionare Ambito per aprire il riquadro Filtro risorse.
È consigliabile richiedere solo l'accesso alle risorse necessarie. Nel riquadro Filtro risorse è possibile specificare i gruppi di risorse o le risorse a cui è necessario accedere.
Se necessario, specificare un'ora di inizio dell'attivazione personalizzata. Il membro verrà attivato dopo l'ora selezionata.
Nella casella Motivo
immettere il motivo della richiesta di attivazione. Selezionare Attiva.
Nota
Se il ruolo richiede l'approvazione per l'attivazione, verrà visualizzata una notifica nell'angolo superiore destro del browser che informa che la richiesta è in attesa di approvazione.
Attivare un ruolo con l'API di Azure Resource Manager
Privileged Identity Management supporta i comandi api di Azure Resource Manager per gestire i ruoli delle risorse di Azure, come documentato nella guida di riferimento all'API ARM di PIM. Per le autorizzazioni necessarie per usare l'API PIM, vedere Informazioni sulle API di Privileged Identity Management.
Per attivare un'assegnazione di ruolo di Azure idonea e ottenere l'accesso attivato, usare le richieste di pianificazione dell'assegnazione di ruolo - Creare un'API REST per creare una nuova richiesta e specificare l'entità di sicurezza, la definizione del ruolo, requestType = SelfActivate e l'ambito. Per chiamare questa API, è necessario avere un'assegnazione di ruolo idonea nell'ambito.
Usare uno strumento GUID per generare un identificatore univoco per l'identificatore di assegnazione di ruolo. L'identificatore ha il formato 000000000-0000-0000-0000-0000000000000000.
Sostituire {roleAssignmentScheduleRequestName} nella richiesta PUT con l'identificatore GUID dell'assegnazione di ruolo.
Per altre informazioni sui ruoli idonei per la gestione delle risorse di Azure, vedere esercitazione sull'API ARM di PIM.
Si tratta di una richiesta HTTP di esempio per attivare un'assegnazione idonea per un ruolo di Azure.
Richiesta
PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01
Corpo della richiesta
{
"properties": {
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"requestType": "SelfActivate",
"linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
"scheduleInfo": {
"startDateTime": "2020-09-09T21:35:27.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "PT8H"
}
},
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0"
}
}
Risposta
Codice di stato: 201
{
"properties": {
"targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6",
"targetRoleAssignmentScheduleInstanceId": null,
"scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalType": "User",
"requestType": "SelfActivate",
"status": "Provisioned",
"approvalId": null,
"scheduleInfo": {
"startDateTime": "2020-09-09T21:35:27.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "PT8H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
},
"justification": null,
"requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"createdOn": "2020-09-09T21:35:27.91Z",
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0",
"expandedProperties": {
"scope": {
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"displayName": "Pay-As-You-Go",
"type": "subscription"
},
"roleDefinition": {
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"displayName": "Contributor",
"type": "BuiltInRole"
},
"principal": {
"id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"displayName": "User Account",
"email": "user@my-tenant.com",
"type": "User"
}
}
},
"name": "fea7a502-9a96-4806-a26f-eee560e52045",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045",
"type": "Microsoft.Authorization/RoleAssignmentScheduleRequests"
}
Visualizzare lo stato delle richieste
È possibile visualizzare lo stato delle richieste in sospeso da attivare.
Annullare una richiesta in sospeso
Se non è necessaria l'attivazione di un ruolo che richiede l'approvazione, è possibile annullare una richiesta in sospeso in qualsiasi momento.
Aprire Microsoft Entra Privileged Identity Management.
Selezionare Richieste personali.
Per il ruolo che si desidera annullare, selezionare il collegamento Annulla
. When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
Disattivare un'assegnazione di ruolo
Quando viene attivata un'assegnazione di ruolo, viene visualizzata un'opzione Disattiva nel portale PIM per l'assegnazione di ruolo. Inoltre, non è possibile disattivare un'assegnazione di ruolo entro cinque minuti dall'attivazione.
Attivare con il portale di Azure
L'attivazione del ruolo Privileged Identity Management è integrata nelle estensioni Di fatturazione e controllo di accesso (AD) all'interno del portale di Azure. I collegamenti alle sottoscrizioni (fatturazione) e al controllo di accesso (AD) consentono di attivare i ruoli PIM direttamente da questi pannelli.
Nel pannello Sottoscrizioni selezionare "Visualizza sottoscrizioni idonee" nel menu dei comandi orizzontale per controllare le assegnazioni idonee, attive e scadute. Da qui è possibile attivare un'assegnazione idonea nello stesso riquadro.
In Controllo di accesso (IAM) per una risorsa è ora possibile selezionare "Visualizza l'accesso" per visualizzare le assegnazioni di ruolo attualmente attive e idonee e attivarsi direttamente.
Integrando le funzionalità pim in diversi pannelli del portale di Azure, questa nuova funzionalità consente di ottenere l'accesso temporaneo per visualizzare o modificare più facilmente sottoscrizioni e risorse.
Attivare i ruoli PIM usando l'app per dispositivi mobili di Azure
PIM è ora disponibile nelle app per dispositivi mobili Microsoft Entra ID e ruoli delle risorse di Azure sia in iOS che in Android.
Per attivare un'assegnazione di ruolo Microsoft Entra idonea, iniziare scaricando l'app per dispositivi mobili di Azure (iOS | Android). È anche possibile scaricare l'app selezionando Apri nel per dispositivi mobili da Privileged Identity Management > Ruoli personali > ruoli Di Microsoft Entra.
Aprire l'app per dispositivi mobili di Azure ed eseguire l'accesso. Fare clic sulla scheda "Privileged Identity Management" e selezionare Ruoli risorse di Azure personali per visualizzare le assegnazioni di ruolo idonee e attive.
Selezionare l'assegnazione di ruolo e fare clic su Azione > Attiva nei dettagli dell'assegnazione di ruolo. Completare i passaggi per attivare e compilare i dettagli necessari prima di fare clic su Attiva nella parte inferiore.
Visualizzare lo stato delle richieste di attivazione e delle assegnazioni di ruolo in "Ruoli risorse personali di Azure".