Aktywowanie roli Microsoft Entra w usłudze PIM

Usługa Microsoft Entra Privileged Identity Management (PIM) upraszcza sposób zarządzania uprzywilejowanym dostępem do zasobów w usłudze Microsoft Entra ID i innych Usługi online firmy Microsoft, takich jak Microsoft 365 lub Microsoft Intune.

Jeśli masz uprawnienia do roli administracyjnej, musisz aktywować przypisanie roli, gdy musisz wykonać akcje uprzywilejowane. Na przykład jeśli od czasu do czasu zarządzasz funkcjami platformy Microsoft 365, administratorzy ról uprzywilejowanych w organizacji mogą nie sprawić, że jesteś stałym administratorem globalnym, ponieważ ta rola również ma wpływ na inne usługi. Zamiast tego będą oni kwalifikować się do ról firmy Microsoft Entra, takich jak Administrator usługi Exchange Online. Możesz poprosić o aktywowanie tej roli, gdy potrzebujesz jej uprawnień, a następnie mieć kontrolę administratora dla wstępnie określonego okresu.

Ten artykuł jest przeznaczony dla administratorów, którzy chcą aktywować swoją rolę usługi Microsoft Entra w usłudze Privileged Identity Management. Mimo że każdy użytkownik może przesłać żądanie dotyczące roli potrzebnej przez usługę PIM bez posiadania roli Administrator ról uprzywilejowanych (PRA), ta rola jest wymagana do zarządzania rolami i przypisywania ich innym osobom w organizacji.

Ważne

Po aktywowaniu roli usługa Microsoft Entra PIM tymczasowo dodaje aktywne przypisanie roli. Usługa Microsoft Entra PIM tworzy aktywne przypisanie (przypisuje użytkownika do roli) w ciągu kilku sekund. W przypadku dezaktywacji (ręcznej lub za pośrednictwem czasu aktywacji) firma Microsoft Entra PIM usuwa aktywne przypisanie w ciągu kilku sekund.

Aplikacja może zapewnić dostęp na podstawie roli, jaką ma użytkownik. W niektórych sytuacjach dostęp do aplikacji może nie odzwierciedlać natychmiast faktu, że użytkownik otrzymał przypisaną lub usuniętą rolę. Jeśli aplikacja wcześniej buforował fakt, że użytkownik nie ma roli — gdy użytkownik spróbuje ponownie uzyskać dostęp do aplikacji, może nie zostać podany dostęp. Podobnie, jeśli aplikacja wcześniej buforowała fakt, że użytkownik ma rolę — gdy rola jest dezaktywowana, użytkownik może nadal uzyskiwać dostęp. Konkretna sytuacja zależy od architektury aplikacji. W przypadku niektórych aplikacji wylogowanie się i ponowne zalogowanie może pomóc w dodaniu lub usunięciu dostępu.

Wymagania wstępne

Brak

Aktywowanie roli

Jeśli musisz założyć rolę Entra firmy Microsoft, możesz zażądać aktywacji, otwierając pozycję Moje role w usłudze Privileged Identity Management.

Uwaga

Usługa PIM jest teraz dostępna w aplikacji mobilnej platformy Azure (iOS | Android) dla ról zasobów Microsoft Entra ID i Azure. Łatwe aktywowanie kwalifikujących się przypisań, żądanie odnowienia dla wygasających żądań lub sprawdzenie stanu oczekujących żądań. Przeczytaj więcej poniżej

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako użytkownik, który ma kwalifikujące się przypisanie roli.

  2. Przejdź do zarządzania tożsamościami>Privileged Identity Management>Moje role. Aby uzyskać informacje na temat dodawania kafelka Usługi Privileged Identity Management do pulpitu nawigacyjnego, zobacz Rozpoczynanie korzystania z usługi Privileged Identity Management.

  3. Wybierz pozycję Role entra firmy Microsoft, aby wyświetlić listę kwalifikujących się ról firmy Microsoft Entra.

    Strona Moje role przedstawiająca role, które można aktywować

  4. Na liście Ról entra firmy Microsoft znajdź rolę, którą chcesz aktywować.

    Role entra firmy Microsoft — lista moich kwalifikujących się ról

  5. Wybierz pozycję Aktywuj , aby otworzyć okienko Aktywuj.

    Role entra firmy Microsoft — strona aktywacji zawiera czas trwania i zakres

  6. Wybierz pozycję Wymagana dodatkowa weryfikacja i postępuj zgodnie z instrukcjami, aby zapewnić weryfikację zabezpieczeń. Wymagane jest uwierzytelnienie tylko raz na sesję.

    Ekran przedstawiający weryfikację zabezpieczeń, taką jak kod PIN

  7. Po uwierzytelnieniu wieloskładnikowym wybierz pozycję Aktywuj przed kontynuowaniem.

    Weryfikowanie tożsamości za pomocą uwierzytelniania wieloskładnikowego przed aktywowaniem roli

  8. Jeśli chcesz określić ograniczony zakres, wybierz pozycję Zakres , aby otworzyć okienko filtru. W okienku filtru możesz określić zasoby firmy Microsoft Entra, do których potrzebujesz dostępu. Najlepszym rozwiązaniem jest zażądanie dostępu do najmniejszych potrzebnych zasobów.

  9. W razie potrzeby określ niestandardowy czas rozpoczęcia aktywacji. Rola Microsoft Entra zostanie aktywowana po wybranym czasie.

  10. W polu Przyczyna wprowadź przyczynę żądania aktywacji.

  11. Wybierz Aktywuj.

    Jeśli rola wymaga zatwierdzenia, w prawym górnym rogu przeglądarki zostanie wyświetlone powiadomienie informujące o oczekiwaniu na zatwierdzenie żądania.

    Żądanie aktywacji oczekuje na powiadomienie o zatwierdzeniu

    Aktywowanie roli przy użyciu interfejsu API programu Microsoft Graph

    Aby uzyskać więcej informacji na temat interfejsów API programu Microsoft Graph dla usługi PIM, zobacz Omówienie zarządzania rolami za pomocą interfejsu API zarządzania tożsamościami uprzywilejowanymi (PIM).

    Uzyskaj wszystkie kwalifikujące się role, które można aktywować

    Gdy użytkownik uzyska uprawnienia do roli za pośrednictwem członkostwa w grupie, to żądanie programu Microsoft Graph nie zwraca uprawnień.

    Żądanie systemu HTTP

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  
    

    Odpowiedź HTTP

    Aby zaoszczędzić miejsce, zostanie wyświetlona tylko odpowiedź dla jednej roli, ale zostaną wyświetlone wszystkie kwalifikujące się przypisania ról, które można aktywować.

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
        "value": [
            {
                "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
                "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "status": "Provisioned",
                "createdDateTime": "2022-04-12T18:26:08.843Z",
                "completedDateTime": "2022-04-12T18:26:08.89Z",
                "approvalId": null,
                "customData": null,
                "action": "adminAssign",
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
                "directoryScopeId": "/",
                "appScopeId": null,
                "isValidationOnly": false,
                "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "justification": "Assign Attribute Assignment Admin eligibility to myself",
                "createdBy": {
                    "application": null,
                    "device": null,
                    "user": {
                        "displayName": null,
                        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                    }
                },
                "scheduleInfo": {
                    "startDateTime": "2022-04-12T18:26:08.8911834Z",
                    "recurrence": null,
                    "expiration": {
                        "type": "afterDateTime",
                        "endDateTime": "2024-04-10T00:00:00Z",
                        "duration": null
                    }
                },
                "ticketInfo": {
                    "ticketNumber": null,
                    "ticketSystem": null
                }
            }
        ]
    }
    

    Samodzielna aktywacja uprawnień do roli z uzasadnieniem

    Żądanie systemu HTTP

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
    
    {
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00.000Z",
            "expiration": {
                "type": "AfterDuration",
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

    Odpowiedź HTTP

    HTTP/1.1 201 Created
    Content-Type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
        "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "status": "Granted",
        "createdDateTime": "2022-04-13T08:52:32.6485851Z",
        "completedDateTime": "2022-04-14T00:00:00Z",
        "approvalId": null,
        "customData": null,
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "appScopeId": null,
        "isValidationOnly": false,
        "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "createdBy": {
            "application": null,
            "device": null,
            "user": {
                "displayName": null,
                "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
            }
        },
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00Z",
            "recurrence": null,
            "expiration": {
                "type": "afterDuration",
                "endDateTime": null,
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

Wyświetlanie stanu żądań aktywacji

Możesz wyświetlić stan oczekujących żądań do aktywowania.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Przejdź do zarządzania tożsamościami>Privileged Identity Management>Moje żądania.

  3. Po wybraniu pozycji Moje żądania zostanie wyświetlona lista żądań roli Firmy Microsoft Entra i roli zasobów platformy Azure.

    Zrzut ekranu przedstawiający stronę Moje żądania — identyfikator Entra firmy Microsoft z oczekującymi żądaniami

  4. Przewiń w prawo, aby wyświetlić kolumnę Stan żądania.

Anulowanie oczekującego żądania dla nowej wersji

Jeśli nie potrzebujesz aktywacji roli wymagającej zatwierdzenia, możesz anulować oczekujące żądanie w dowolnym momencie.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Przejdź do zarządzania tożsamościami>Privileged Identity Management>Moje żądania.

  3. W przypadku roli, którą chcesz anulować, wybierz link Anuluj .

    Po wybraniu pozycji Anuluj żądanie zostanie anulowane. Aby ponownie aktywować rolę, musisz przesłać nowe żądanie aktywacji.

    Moja lista żądań z wyróżnioną akcją Anuluj

Dezaktywowanie przypisania roli

Po aktywowaniu przypisania roli w portalu USŁUGI PIM zostanie wyświetlona opcja Dezaktywuj dla przypisania roli. Ponadto po aktywacji nie można dezaktywować przypisania roli w ciągu pięciu minut.

Aktywowanie ról usługi PIM przy użyciu aplikacji mobilnej platformy Azure

Usługa PIM jest teraz dostępna w aplikacjach mobilnych Microsoft Entra ID i Azure resource roles w systemach iOS i Android.

  1. Aby aktywować kwalifikujące się przypisanie roli Firmy Microsoft Entra, zacznij od pobrania aplikacji mobilnej platformy Azure (iOS | Android). Możesz również pobrać aplikację, wybierając pozycję "Otwórz w urządzeniach przenośnych" w obszarze Privileged Identity Management > My roles Microsoft Entra roles (Moje role > firmy Microsoft).

    Zrzut ekranu przedstawiający sposób pobierania aplikacji mobilnej.

  2. Otwórz aplikację mobilną platformy Azure i zaloguj się. Wybierz kartę Privileged Identity Management i wybierz pozycję Moje role firmy Microsoft, aby wyświetlić kwalifikujące się i aktywne przypisania ról.

    Zrzuty ekranu aplikacji mobilnej przedstawiające sposób wyświetlania dostępnych ról przez użytkownika.

  3. Wybierz przypisanie roli i kliknij pozycję Akcja > Aktywuj w obszarze szczegółów przypisania roli. Przed kliknięciem pozycji "Aktywuj" u dołu wykonaj kroki, aby uaktywnić i wypełnić wymagane szczegóły.

    Zrzut ekranu aplikacji mobilnej przedstawiający użytkownika, jak wypełnić wymagane informacje

  4. Wyświetl stan żądań aktywacji i przypisań ról w obszarze Moje role firmy Microsoft Entra.

    Zrzut ekranu aplikacji mobilnej przedstawiający stan roli użytkownika.