Modifica

Condividi tramite

Attivare i ruoli delle risorse di Azure in Privileged Identity Management

  • Procedure

Usare Microsoft Entra Privileged Identity Management (PIM) per consentire ai membri del ruolo idonei per le risorse di Azure di pianificare l'attivazione per una data e un'ora future. Possono anche selezionare una durata di attivazione specifica entro il massimo (configurato dagli amministratori).

Questo articolo è destinato ai membri che devono attivare il ruolo delle risorse di Azure in Privileged Identity Management.

Nota

A partire da marzo 2023, è ora possibile attivare le assegnazioni e visualizzare l'accesso direttamente dai pannelli esterni a PIM nel portale di Azure. Altre qui.

Importante

Quando viene attivato un ruolo, Microsoft Entra PIM aggiunge temporaneamente l'assegnazione attiva per il ruolo. Microsoft Entra PIM crea un'assegnazione attiva (assegna l'utente a un ruolo) entro pochi secondi. Quando si verifica la disattivazione (manuale o con scadenza dell'attivazione), Microsoft Entra PIM rimuove anche l'assegnazione attiva entro pochi secondi.

L'applicazione può fornire l'accesso in base al ruolo dell'utente. In alcune situazioni, l'accesso alle applicazioni potrebbe non riflettere immediatamente il fatto che l'utente abbia ricevuto o rimosso il ruolo. Se in precedenza l'applicazione memorizzava nella cache il fatto che l'utente non ha un ruolo, quando l'utente tenta di accedere di nuovo all'applicazione, l'accesso potrebbe non essere fornito. Analogamente, se l'applicazione in precedenza memorizzava nella cache il fatto che l'utente ha un ruolo: quando il ruolo viene disattivato, l'utente potrebbe comunque ottenere l'accesso. La situazione specifica dipende dall'architettura dell'applicazione. Per alcune applicazioni, la disconnessione e l'accesso possono aiutare a ottenere l'accesso aggiunto o rimosso.

Prerequisiti

None

Attivare un ruolo

Mancia

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Quando è necessario assumere un ruolo risorsa di Azure, è possibile richiedere l'attivazione usando l'opzione di spostamento ruoli personali in Privileged Identity Management.

Nota

PIM è ora disponibile nell'app per dispositivi mobili di Azure (iOS | Android) per microsoft Entra ID e ruoli delle risorse di Azure. Attivare facilmente assegnazioni idonee, richiedere rinnovi per quelli in scadenza o controllare lo stato delle richieste in sospeso. Altre informazioni di seguito

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore del ruolo con privilegi .

  2. Passare a Identity Governance>Privileged Identity Management>Ruoli personali.

    screenshot della pagina dei ruoli personali che mostra i ruoli che è possibile attivare.

  3. Selezionare ruoli delle risorse di Azure per visualizzare un elenco dei ruoli delle risorse di Azure idonei.

    schermata dei ruoli personali - Pagina ruoli delle risorse di Azure.

  4. Nell'elenco ruoli delle risorse di Azure individuare il ruolo da attivare.

    Screenshot dei ruoli delle risorse di Azure - Elenco dei ruoli idonei.

  5. Selezionare Attiva per aprire la pagina Attiva.

    Screenshot del riquadro Attivazione aperto con ambito, ora di inizio, durata e motivo.

  6. Se il ruolo richiede l'autenticazione a più fattori, selezionare Verificare l'identità prima di procedere. È necessario eseguire l'autenticazione una sola volta per sessione.

  7. Selezionare Verificare l'identità e seguire le istruzioni per fornire una verifica aggiuntiva di sicurezza.

    Screenshot della schermata per fornire la verifica di sicurezza, ad esempio un codice PIN.

  8. Per specificare un ambito ridotto, selezionare Ambito per aprire il riquadro Filtro risorse.

    È consigliabile richiedere solo l'accesso alle risorse necessarie. Nel riquadro Filtro risorse è possibile specificare i gruppi di risorse o le risorse a cui è necessario accedere.

    Screenshot dell'attivazione - Riquadro Filtro risorse per specificare l'ambito.

  9. Se necessario, specificare un'ora di inizio dell'attivazione personalizzata. Il membro verrà attivato dopo l'ora selezionata.

  10. Nella casella Motivo immettere il motivo della richiesta di attivazione.

  11. Selezionare Attiva.

    Nota

    Se il ruolo richiede l'approvazione per l'attivazione, verrà visualizzata una notifica nell'angolo superiore destro del browser che informa che la richiesta è in attesa di approvazione.

Attivare un ruolo con l'API di Azure Resource Manager

Privileged Identity Management supporta i comandi api di Azure Resource Manager per gestire i ruoli delle risorse di Azure, come documentato nella guida di riferimento all'API ARM di PIM. Per le autorizzazioni necessarie per usare l'API PIM, vedere Informazioni sulle API di Privileged Identity Management.

Per attivare un'assegnazione di ruolo di Azure idonea e ottenere l'accesso attivato, usare le richieste di pianificazione dell'assegnazione di ruolo - Creare un'API REST per creare una nuova richiesta e specificare l'entità di sicurezza, la definizione del ruolo, requestType = SelfActivate e l'ambito. Per chiamare questa API, è necessario avere un'assegnazione di ruolo idonea nell'ambito.

Usare uno strumento GUID per generare un identificatore univoco per l'identificatore di assegnazione di ruolo. L'identificatore ha il formato 000000000-0000-0000-0000-0000000000000000.

Sostituire {roleAssignmentScheduleRequestName} nella richiesta PUT con l'identificatore GUID dell'assegnazione di ruolo.

Per altre informazioni sui ruoli idonei per la gestione delle risorse di Azure, vedere esercitazione sull'API ARM di PIM.

Si tratta di una richiesta HTTP di esempio per attivare un'assegnazione idonea per un ruolo di Azure.

Richiesta

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Corpo della richiesta

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Risposta

Codice di stato: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Visualizzare lo stato delle richieste

È possibile visualizzare lo stato delle richieste in sospeso da attivare.

  1. Aprire Microsoft Entra Privileged Identity Management.

  2. Selezionare Richieste personali per visualizzare un elenco delle richieste del ruolo Microsoft Entra e del ruolo delle risorse di Azure.

    Screenshot delle richieste personali - Pagina delle risorse di Azure che mostra le richieste in sospeso.

  3. Scorrere verso destra per visualizzare la colonna Stato richiesta.

Annullare una richiesta in sospeso

Se non è necessaria l'attivazione di un ruolo che richiede l'approvazione, è possibile annullare una richiesta in sospeso in qualsiasi momento.

  1. Aprire Microsoft Entra Privileged Identity Management.

  2. Selezionare Richieste personali.

  3. Per il ruolo che si desidera annullare, selezionare il collegamento Annulla .

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Screenshot dell'elenco di richieste con l'opzione Annulla evidenziata.

Disattivare un'assegnazione di ruolo

Quando viene attivata un'assegnazione di ruolo, viene visualizzata un'opzione Disattiva nel portale PIM per l'assegnazione di ruolo. Inoltre, non è possibile disattivare un'assegnazione di ruolo entro cinque minuti dall'attivazione.

Attivare con il portale di Azure

L'attivazione del ruolo Privileged Identity Management è integrata nelle estensioni Di fatturazione e controllo di accesso (AD) all'interno del portale di Azure. I collegamenti alle sottoscrizioni (fatturazione) e al controllo di accesso (AD) consentono di attivare i ruoli PIM direttamente da questi pannelli.

Nel pannello Sottoscrizioni selezionare "Visualizza sottoscrizioni idonee" nel menu dei comandi orizzontale per controllare le assegnazioni idonee, attive e scadute. Da qui è possibile attivare un'assegnazione idonea nello stesso riquadro.

Screenshot della visualizzazione delle sottoscrizioni idonee nella pagina Sottoscrizioni.

Screenshot della visualizzazione delle sottoscrizioni idonee nella pagina Gestione costi: Integration Service.

In Controllo di accesso (IAM) per una risorsa è ora possibile selezionare "Visualizza l'accesso" per visualizzare le assegnazioni di ruolo attualmente attive e idonee e attivarsi direttamente.

Screenshot delle assegnazioni di ruolo correnti nella pagina Misurazione.

Integrando le funzionalità pim in diversi pannelli del portale di Azure, questa nuova funzionalità consente di ottenere l'accesso temporaneo per visualizzare o modificare più facilmente sottoscrizioni e risorse.

Attivare i ruoli PIM usando l'app per dispositivi mobili di Azure

PIM è ora disponibile nelle app per dispositivi mobili Microsoft Entra ID e ruoli delle risorse di Azure sia in iOS che in Android.

  1. Per attivare un'assegnazione di ruolo Microsoft Entra idonea, iniziare scaricando l'app per dispositivi mobili di Azure (iOS | Android). È anche possibile scaricare l'app selezionando Apri nel per dispositivi mobili da Privileged Identity Management > Ruoli personali > ruoli Di Microsoft Entra.

    Screenshot mostra come scaricare l'app per dispositivi mobili.

  2. Aprire l'app per dispositivi mobili di Azure ed eseguire l'accesso. Fare clic sulla scheda "Privileged Identity Management" e selezionare Ruoli risorse di Azure personali per visualizzare le assegnazioni di ruolo idonee e attive.

    Screenshot dell'app per dispositivi mobili che mostra privileged identity management e i ruoli dell'utente.

  3. Selezionare l'assegnazione di ruolo e fare clic su Azione > Attiva nei dettagli dell'assegnazione di ruolo. Completare i passaggi per attivare e compilare i dettagli necessari prima di fare clic su Attiva nella parte inferiore.

    Screenshot dell'app per dispositivi mobili che mostra il processo di convalida completato. L'immagine mostra un pulsante Attiva.

  4. Visualizzare lo stato delle richieste di attivazione e delle assegnazioni di ruolo in "Ruoli risorse personali di Azure".

    Screenshot dell'app per dispositivi mobili che mostra il messaggio di attivazione in corso.

Contenuto correlato