Bewerken

Delen via

Een Microsoft Entra-rol activeren in PIM

  • Uitleg

Microsoft Entra Privileged Identity Management (PIM) vereenvoudigt de wijze waarop ondernemingen bevoorrechte toegang tot resources in Microsoft Entra ID en andere Microsoft onlineservices, zoals Microsoft 365 of Microsoft Intune, beheren.

Als u in aanmerking komt voor een beheerdersrol, moet u de roltoewijzing activeren wanneer u bevoegde acties moet uitvoeren. Als u bijvoorbeeld af en toe Microsoft 365-functies beheert, maken beheerders van bevoorrechte rollen van uw organisatie u mogelijk geen permanente globale beheerder, omdat die rol ook van invloed is op andere services. In plaats daarvan komen ze in aanmerking voor Microsoft Entra-rollen, zoals Exchange Online-beheerder. U kunt aanvragen om die rol te activeren wanneer u de bevoegdheden ervan nodig hebt en vervolgens beheerdersbeheer voor een vooraf bepaalde periode hebben.

Dit artikel is bedoeld voor beheerders die hun Microsoft Entra-rol moeten activeren in Privileged Identity Management. Hoewel elke gebruiker een aanvraag kan indienen voor de rol die hij nodig heeft via PIM zonder de pra-rol (Privileged Role Administrator), is deze rol vereist voor het beheren en toewijzen van rollen aan anderen binnen de organisatie.

Belangrijk

Wanneer een rol wordt geactiveerd, voegt Microsoft Entra PIM tijdelijk actieve toewijzingen toe voor de rol. Microsoft Entra PIM maakt binnen enkele seconden actieve toewijzing (wijst een gebruiker toe aan een rol). Wanneer deactivering (handmatig of via verlooptijd van de activeringstijd) plaatsvindt, verwijdert Microsoft Entra PIM ook binnen enkele seconden de actieve toewijzing.

De toepassing kan toegang bieden op basis van de rol die de gebruiker heeft. In sommige situaties is toepassingstoegang mogelijk niet direct van toepassing dat de gebruiker een rol heeft toegewezen of verwijderd. Als de toepassing eerder het feit dat de gebruiker geen rol heeft in de cache heeft opgeslagen. Wanneer de gebruiker opnieuw probeert toegang te krijgen tot de toepassing, wordt er mogelijk geen toegang geboden. Als de toepassing eerder het feit dat de gebruiker een rol heeft in de cache opgeslagen, kan de gebruiker nog steeds toegang krijgen wanneer de rol wordt gedeactiveerd. Specifieke situatie is afhankelijk van de architectuur van de toepassing. Voor sommige toepassingen kan het afmelden en weer aanmelden helpen bij het toevoegen of verwijderen van toegang.

Vereisten

Geen

Een rol activeren

Wanneer u een Microsoft Entra-rol wilt aannemen, kunt u activering aanvragen door Mijn rollen te openen in Privileged Identity Management.

Notitie

PIM is nu beschikbaar in de mobiele Azure-app (iOS | Android) voor Microsoft Entra ID en Azure-resourcerollen. Activeer eenvoudig in aanmerking komende toewijzingen, aanvraagvernieuwingen voor aanvragen die verlopen of controleer de status van aanvragen die in behandeling zijn. Meer informatie hieronder

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

  2. Blader naar Privileged Identity Management>Mijn rollen voor identiteitsbeheer.> Raadpleeg Aan de slag met Privileged Identity Management voor meer informatie over het toevoegen van de tegel Privileged Identity Management aan uw dashboard.

  3. Selecteer Microsoft Entra-rollen om een lijst weer te geven met uw in aanmerking komende Microsoft Entra-rollen.

    Pagina Mijn rollen met de rollen die u kunt activeren

  4. Zoek in de lijst met Microsoft Entra-rollen de rol die u wilt activeren.

    Microsoft Entra-rollen - Lijst met in aanmerking komende rollen

  5. Selecteer Activeren om het deelvenster Activeren te openen.

    Microsoft Entra-rollen - activeringspagina bevat duur en bereik

  6. Selecteer Aanvullende verificatie vereist en volg de instructies voor het opgeven van beveiligingsverificatie. U moet slechts één keer per sessie verifiëren.

    Scherm voor de beveiligingsverificatie zoals een PIN-code

  7. Na De meervoudige verificatie selecteert u Activeren voordat u doorgaat.

    Mijn identiteit verifiëren met meervoudige verificatie voor de rol wordt geactiveerd

  8. Als u een beperkt bereik wilt opgeven, selecteert u Bereik om het filtervenster te openen. In het filtervenster kunt u de Microsoft Entra-resources opgeven waartoe u toegang nodig hebt. Het is een best practice toegang te vragen tot het laagste aantal resources dat u nodig hebt.

  9. Geef indien nodig een aangepaste begintijd voor activering op. De Microsoft Entra-rol wordt geactiveerd na de geselecteerde tijd.

  10. Voer in het vak Reden de reden voor de activeringsaanvraag in.

  11. Selecteer Activeren.

    Als voor de rol goedkeuring is vereist om te activeren, wordt rechtsboven in uw browser een melding weergegeven waarin u wordt geïnformeerd dat de aanvraag in behandeling is.

    De aanvraag voor activering wacht op goedkeuring

    Een rol activeren met behulp van Microsoft Graph API

    Raadpleeg Overzicht van rolbeheer via Privileged Identity Management (PIM-API) voor meer informatie over Microsoft Graph/API's voor PIM.

    Alle in aanmerking komende rollen ophalen die u kunt activeren

    Wanneer de rol van een gebruiker in aanmerking komt via het lidmaatschap van een groep retourneert deze Microsoft Graph-aanvraag niet de geschiktheid.

    HTTP-aanvraag

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

    HTTP-antwoord

    Als u ruimte wilt besparen, wordt alleen het antwoord voor één rol weergegeven, maar alle in aanmerking komende roltoewijzingen die u kunt activeren, worden weergegeven.

    {
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

    De geschiktheid van een rol zelf-activeren met een reden

    HTTP-aanvraag

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

    HTTP-antwoord

    HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

De status van activeringsaanvragen weergeven

U kunt de status raadplegen van uw aanvragen die in behandeling zijn om te activeren.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

  2. Blader naar Privileged Identity Management>Mijn aanvragen voor identiteitsbeheer.>

  3. Wanneer u Mijn aanvragen selecteert, ziet u een lijst met uw Microsoft Entra-rol- en Azure-resourcerolaanvragen.

    Schermopname van de pagina Mijn aanvragen - Microsoft Entra-id met uw aanvragen die in behandeling zijn

  4. Schuif naar rechts om de kolom Aanvraagstatus weer te geven.

Een aanvraag annuleren die in behandeling is voor een nieuwe versie

Als u geen activering van een rol nodig hebt waarvoor goedkeuring is vereist, kunt u op elk gewenst moment een aanvraag annuleren die in behandeling is.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

  2. Blader naar Privileged Identity Management>Mijn aanvragen voor identiteitsbeheer.>

  3. Selecteer de koppeling Annuleren voor de rol die u wilt annuleren.

    Wanneer u Annuleren selecteert, wordt de aanvraag geannuleerd. Als u de rol opnieuw wilt activeren, moet u een nieuwe aanvraag indienen voor activering.

    Mijn lijst met aanvragen met de actie Annuleren gemarkeerd

Een roltoewijzing deactiveren

Wanneer een roltoewijzing is geactiveerd, ziet u de optie Deactiveren in de PIM-portal voor de roltoewijzing. U kunt een roltoewijzing ook niet binnen vijf minuten na de activering deactiveren.

PIM-rollen activeren met behulp van de mobiele Azure-app

PIM is nu beschikbaar in de mobiele apps microsoft Entra ID en Azure-resourcerollen in zowel iOS als Android.

  1. Als u een in aanmerking komende Microsoft Entra-roltoewijzing wilt activeren, downloadt u eerst de mobiele Azure-app (iOS | Android). U kunt de app ook downloaden door 'Openen in mobiel' te selecteren in Privileged Identity Management > Mijn rollen Microsoft Entra-rollen > .

    Schermopname van het downloaden van de mobiele app.

  2. Open de mobiele Azure-app en meld u aan. Selecteer de kaart Privileged Identity Management en selecteer Mijn Microsoft Entra-rollen om uw in aanmerking komende en actieve roltoewijzingen weer te geven.

    Schermopnamen van de mobiele app die laat zien hoe een gebruiker beschikbare rollen zou weergeven.

  3. Selecteer de roltoewijzing en klik op Actie > activeren onder de details van de roltoewijzing. Voer de stappen uit om te activeren en vul de vereiste gegevens in voordat u onderaan op Activeren klikt.

    Schermopname van de mobiele app waarin wordt getoond hoe een gebruiker de vereiste gegevens invult

  4. Bekijk de status van uw activeringsaanvragen en uw roltoewijzingen onder Mijn Microsoft Entra-rollen.

    Schermopname van de mobiele app met de rolstatus van de gebruiker.

Gerelateerde inhoud