Bewerken

Delen via

Mijn Azure-resourcerollen activeren in Privileged Identity Management

  • Uitleg

Gebruik Microsoft Entra Privileged Identity Management (PIM) om in aanmerking komende rolleden voor Azure-resources toe te staan activering te plannen voor een toekomstige datum en tijd. Ze kunnen ook een specifieke activeringsduur selecteren binnen het maximum (geconfigureerd door beheerders).

Dit artikel is bedoeld voor leden die hun Azure-resourcerol moeten activeren in Privileged Identity Management.

Notitie

Vanaf maart 2023 kunt u uw toewijzingen activeren en uw toegang rechtstreeks vanuit blades buiten PIM weergeven in Azure Portal. Lees hier meer .

Belangrijk

Wanneer een rol wordt geactiveerd, voegt Microsoft Entra PIM tijdelijk actieve toewijzingen toe voor de rol. Microsoft Entra PIM maakt binnen enkele seconden actieve toewijzing (wijst een gebruiker toe aan een rol). Wanneer deactivering (handmatig of via verlooptijd van de activeringstijd) plaatsvindt, verwijdert Microsoft Entra PIM ook binnen enkele seconden de actieve toewijzing.

De toepassing kan toegang bieden op basis van de rol die de gebruiker heeft. In sommige situaties is toepassingstoegang mogelijk niet direct van toepassing dat de gebruiker een rol heeft toegewezen of verwijderd. Als de toepassing eerder het feit dat de gebruiker geen rol heeft in de cache heeft opgeslagen. Wanneer de gebruiker opnieuw probeert toegang te krijgen tot de toepassing, wordt er mogelijk geen toegang geboden. Als de toepassing eerder het feit dat de gebruiker een rol heeft in de cache opgeslagen, kan de gebruiker nog steeds toegang krijgen wanneer de rol wordt gedeactiveerd. Specifieke situatie is afhankelijk van de architectuur van de toepassing. Voor sommige toepassingen kan het afmelden en weer aanmelden helpen bij het toevoegen of verwijderen van toegang.

Vereisten

Geen

Een rol activeren

Fooi

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Wanneer u een Azure-resourcerol moet uitvoeren, kunt u activering aanvragen met behulp van de Mijn rollen navigatieoptie in Privileged Identity Management.

Notitie

PIM is nu beschikbaar in de mobiele Azure-app (iOS | Android) voor Microsoft Entra ID en Azure-resourcerollen. Activeer eenvoudig in aanmerking komende toewijzingen, aanvraagvernieuwingen voor aanvragen die verlopen of controleer de status van aanvragen die in behandeling zijn. Meer informatie hieronder

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een beheerder van bevoorrechte rol.

  2. Blader naar Identiteitsbeheer>Privileged Identity Management>Mijn rollen.

    Schermopname van mijn rollenpagina met rollen die u kunt activeren.

  3. Selecteer Azure-resourcerollen om een lijst weer te geven met uw in aanmerking komende Azure-resourcerollen.

    Schermopname van mijn rollen - pagina Azure-resourcerollen.

  4. Zoek in de Azure-resourcerollen lijst de rol die u wilt activeren.

    Schermopname van Azure-resourcerollen- Mijn lijst met in aanmerking komende rollen.

  5. Selecteer activeren om de pagina Activeren te openen.

    Schermopname van het geopende deelvenster Activeren met bereik, begintijd, duur en reden.

  6. Als voor uw rol meervoudige verificatie is vereist, selecteert u Uw identiteit controleren voordat u doorgaat. U hoeft slechts één keer per sessie te verifiëren.

  7. Selecteer Mijn identiteit controleren en volg de instructies om aanvullende beveiligingsverificatie te bieden.

    schermopname van het scherm om beveiligingsverificatie te bieden, zoals een pincode.

  8. Als u een beperkt bereik wilt opgeven, selecteert u Bereik om het deelvenster Resourcefilter te openen.

    Het is een best practice om alleen toegang te vragen tot de resources die u nodig hebt. In het deelvenster Resourcefilter kunt u de resourcegroepen of resources opgeven waartoe u toegang nodig hebt.

    Schermopname van activeren : deelvenster Resourcefilter om het bereik op te geven.

  9. Geef indien nodig een aangepaste begintijd voor activering op. Het lid wordt geactiveerd na de geselecteerde tijd.

  10. Voer in het vak Reden de reden voor de activeringsaanvraag in.

  11. Selecteer activeren.

    Notitie

    Als voor de rol goedkeuring is vereist om te activeren, wordt er in de rechterbovenhoek van uw browser een melding weergegeven waarin wordt opgegeven dat de aanvraag in behandeling is.

Een rol activeren met Azure Resource Manager-API

Privileged Identity Management biedt ondersteuning voor Azure Resource Manager API-opdrachten voor het beheren van Azure-resourcerollen, zoals beschreven in de PIM ARM API-verwijzing. Zie Inzicht in de Privileged Identity Management-API'svoor de machtigingen die zijn vereist voor het gebruik van de PIM-API.

Als u een in aanmerking komende Azure-roltoewijzing wilt activeren en geactiveerde toegang wilt krijgen, gebruikt u de Aanvragen voor roltoewijzingsplanning - REST API- maken om een nieuwe aanvraag te maken en de beveiligingsprincipaal, roldefinitie, requestType = SelfActivate en scope op te geven. Als u deze API wilt aanroepen, moet u een in aanmerking komende roltoewijzing voor het bereik hebben.

Gebruik een GUID-hulpprogramma om een unieke id te genereren voor de roltoewijzings-id. De id heeft de indeling: 00000000-0000-0000-0000-0000000000000000.

Vervang {roleAssignmentScheduleRequestName} in de PUT-aanvraag door de GUID-id van de roltoewijzing.

Zie PIM ARM API-zelfstudievoor meer informatie over in aanmerking komende rollen voor Azure-resourcesbeheer.

Dit is een http-voorbeeldaanvraag om een in aanmerking komende toewijzing voor een Azure-rol te activeren.

Verzoek

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Aanvraagbody

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Antwoord

Statuscode: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

De status van uw aanvragen weergeven

U kunt de status bekijken van uw aanvragen die in behandeling zijn om te activeren.

  1. Open Microsoft Entra Privileged Identity Management.

  2. Selecteer Mijn aanvragen om een lijst met uw Microsoft Entra-rol en Azure-resourcerolaanvragen weer te geven.

    Schermopname van mijn aanvragen- Azure-resourcepagina met uw aanvragen die in behandeling zijn.

  3. Schuif naar rechts om de kolom Aanvraagstatus weer te geven.

Een aanvraag in behandeling annuleren

Als u geen activering van een rol nodig hebt waarvoor goedkeuring is vereist, kunt u een aanvraag die in behandeling is op elk gewenst moment annuleren.

  1. Open Microsoft Entra Privileged Identity Management.

  2. Selecteer Mijn aanvragen.

  3. Selecteer de koppeling Annuleren voor de rol die u wilt annuleren.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Schermopname van mijn aanvraaglijst met de actie Annuleren gemarkeerd.

Een roltoewijzing deactiveren

Wanneer een roltoewijzing is geactiveerd, ziet u een optie Deactiveren in de PIM-portal voor de roltoewijzing. U kunt een roltoewijzing ook niet binnen vijf minuten na de activering deactiveren.

Activeren met Azure Portal

Privileged Identity Management-rolactivering is geïntegreerd in de extensies voor facturering en toegangsbeheer (AD) in Azure Portal. Met snelkoppelingen naar abonnementen (facturering) en toegangsbeheer (AD) kunt u PIM-rollen rechtstreeks vanaf deze blades activeren.

Selecteer op de blade Abonnementen in het horizontale opdrachtmenu 'In aanmerking komende abonnementen weergeven' om uw in aanmerking komende, actieve en verlopen toewijzingen te controleren. Hier kunt u een in aanmerking komende toewijzing in hetzelfde deelvenster activeren.

Schermopname van in aanmerking komende abonnementen weergeven op de pagina Abonnementen.

Schermopname van in aanmerking komende abonnementen weergeven op de pagina Cost Management: Integration Service.

In Toegangsbeheer (IAM) voor een resource kunt u nu 'Mijn toegang weergeven' selecteren om uw huidige actieve en in aanmerking komende roltoewijzingen te bekijken en rechtstreeks te activeren.

Schermopname van huidige roltoewijzingen op de pagina Meting.

Door PIM-mogelijkheden te integreren in verschillende Azure Portal-blades, kunt u met deze nieuwe functie tijdelijk toegang krijgen om abonnementen en resources gemakkelijker weer te geven of te bewerken.

PIM-rollen activeren met behulp van de mobiele Azure-app

PIM is nu beschikbaar in de mobiele apps microsoft Entra ID en Azure-resourcerollen in zowel iOS als Android.

  1. Als u een in aanmerking komende Microsoft Entra-roltoewijzing wilt activeren, downloadt u eerst de mobiele Azure-app (iOS- | Android-). U kunt de app ook downloaden door Openen in mobiele te selecteren in Privileged Identity Management > Mijn rollen > Microsoft Entra-rollen.

    Schermopname laat zien hoe u de mobiele app downloadt.

  2. Open de mobiele Azure-app en meld u aan. Klik op de kaart Privileged Identity Management en selecteer Mijn Azure-resourcerollen om uw in aanmerking komende en actieve roltoewijzingen weer te geven.

    Schermopname van de mobiele app met privileged identity management en de rollen van de gebruiker.

  3. Selecteer de roltoewijzing en klik op Actie > Activeer onder de details van de roltoewijzing. Voer de stappen uit om actief te zijn en vul de vereiste gegevens in voordat u onderaan op Activeren klikt.

    Schermopname van de mobiele app waarin het validatieproces is voltooid. In de afbeelding ziet u een knop Activeren.

  4. Bekijk de status van uw activeringsaanvragen en uw roltoewijzingen onder Mijn Azure-resourcerollen.

    Schermopname van de mobiele app met het bericht dat de activering wordt uitgevoerd.

Gerelateerde inhoud