Изменить

Поделиться через

Активация ролей ресурсов Azure в службе "Управление привилегированными пользователями"

  • Практическое руководство

Используйте Microsoft Entra Privileged Identity Management (PIM), чтобы разрешить соответствующим членам роли для ресурсов Azure планировать активацию для будущих дат и времени. Они также могут выбрать определенную длительность активации в пределах максимальной (настроенной администраторами).

Эта статья предназначена для участников, которым необходимо активировать роль ресурса Azure в службе "Управление привилегированными пользователями".

Заметка

По состоянию на март 2023 г. вы можете активировать назначения и просмотреть доступ непосредственно из колонки за пределами PIM на портале Azure. Дополнительные здесь.

Важный

При активации роли Microsoft Entra PIM временно добавляет активное назначение для роли. Microsoft Entra PIM создает активное назначение (назначает пользователя роли) в течение секунд. При деактивации (вручную или через истечение срока действия активации) Microsoft Entra PIM также удаляет активное назначение в течение секунд.

Приложение может предоставить доступ на основе роли пользователя. В некоторых ситуациях доступ к приложению может не сразу отразить тот факт, что пользователь получил роль, назначенную или удаленную. Если приложение ранее кэшировало тот факт, что пользователь не имеет роли , когда пользователь пытается получить доступ к приложению снова, доступ может не предоставляться. Аналогичным образом, если приложение ранее кэшировало тот факт, что у пользователя есть роль — когда роль деактивирована, пользователь может получить доступ. Конкретная ситуация зависит от архитектуры приложения. Для некоторых приложений выход и вход в систему могут помочь получить доступ к добавлению или удалению.

Необходимые компоненты

нет

Активация роли

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Если вам нужно принять роль ресурса Azure, вы можете запросить активацию с помощью параметра навигации "Мои роли" в службе "Управление привилегированными пользователями".

Заметка

PIM теперь доступен в мобильном приложении Azure (iOS | Android) для ролей ресурсов Microsoft Entra ID и Ресурсов Azure. Легко активировать подходящие назначения, продлить запросы для тех, которые истекают, или проверить состояние ожидающих запросов. Подробнее ниже

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к управлению удостоверениями>Привилегированное управление удостоверениями>Мои роли.

    снимок экрана страницы ролей с ролями, которые можно активировать.

  3. Выберите роли ресурсов Azure, чтобы просмотреть список соответствующих ролей ресурсов Azure.

    снимок экрана: страница ролей ресурсов Azure.

  4. В списке роли ресурсов Azure найдите роль, которую требуется активировать.

    снимок экрана с ролями ресурсов Azure — список соответствующих ролей.

  5. Выберите Активировать, чтобы открыть страницу "Активировать".

    снимок экрана: открытая область активации с областью, временем начала, длительностью и причиной.

  6. Если для роли требуется многофакторная проверка подлинности, выберите Проверить удостоверение, прежде чем продолжить. Необходимо пройти проверку подлинности только один раз на сеанс.

  7. Выберите Проверить удостоверение и следуйте инструкциям, чтобы предоставить дополнительную проверку безопасности.

    снимок экрана, чтобы обеспечить проверку безопасности, например ПИН-код.

  8. Если вы хотите указать сокращенную область, выберите область, чтобы открыть область фильтра ресурсов.

    Рекомендуется запрашивать доступ только к нужным ресурсам. В области фильтра ресурсов можно указать группы ресурсов или ресурсы, к которым требуется доступ.

    снимок экрана активации — область фильтра ресурсов для указания области.

  9. При необходимости укажите пользовательское время начала активации. Элемент будет активирован после выбранного времени.

  10. В поле причина введите причину запроса на активацию.

  11. Выберите Активировать.

    Заметка

    Если для активации роли требуется утверждения, в правом верхнем углу браузера появится уведомление, информирующее о том, что запрос ожидает утверждения.

Активация роли с помощью API Azure Resource Manager

Управление привилегированными пользователями поддерживает команды API Azure Resource Manager для управления ролями ресурсов Azure, как описано в справочнике по API PIM PIM. Сведения о разрешениях, необходимых для использования API PIM, см. в статье Общие сведения об API управления привилегированными пользователями.

Чтобы активировать соответствующее назначение ролей Azure и получить активированный доступ, используйте запросы расписания назначения ролей . Создание REST API для создания нового запроса и указания субъекта безопасности, определения роли, requestType = SelfActivate и области. Чтобы вызвать этот API, необходимо иметь соответствующее назначение роли в области.

Используйте средство GUID для создания уникального идентификатора для идентификатора назначения роли. Идентификатор имеет формат: 0000000000-0000-0000-0000-0000000000000000.

Замените {roleAssignmentScheduleRequestName} в запросе PUT идентификатором GUID назначения роли.

Дополнительные сведения о соответствующих ролях для управления ресурсами Azure см. в руководстве по API PIM ARM.

Это пример HTTP-запроса для активации подходящего назначения для роли Azure.

Просьба

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Текст запроса

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Ответ

Код состояния: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Просмотр состояния запросов

Вы можете просмотреть состояние ожидающих запросов для активации.

  1. Откройте Microsoft Entra Privileged Identity Management.

  2. Выберите Мои запросы, чтобы просмотреть список запросов на роль Microsoft Entra и роль ресурсов Azure.

    снимок экрана: страница ресурсов Azure с ожидающих запросов.

  3. Прокрутите страницу справа, чтобы просмотреть столбец состояния запроса.

Отмена ожидающего запроса

Если вам не требуется активация роли, требующей утверждения, вы можете отменить ожидающий запрос в любое время.

  1. Откройте Microsoft Entra Privileged Identity Management.

  2. Выберите "Мои запросы".

  3. Для роли, которую вы хотите отменить, выберите ссылку Отмена.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    снимок экрана со списком запросов с выделенным действием

Деактивация назначения роли

При активации назначения роли вы увидите параметр Деактивировать на портале PIM для назначения ролей. Кроме того, вы не можете отключить назначение роли в течение пяти минут после активации.

Активация с помощью портала Azure

Активация роли управления привилегированными пользователями интегрирована в расширения управления выставлением счетов и доступом (AD) на портале Azure. Сочетания клавиш для подписок (выставления счетов) и управления доступом (AD) позволяют активировать роли PIM непосредственно из этих колонк.

В колонке "Подписки" выберите "Просмотреть соответствующие подписки" в горизонтальном меню команд, чтобы проверить соответствующие, активные и просроченные назначения. Оттуда можно активировать соответствующее назначение в той же области.

снимок экрана: просмотр допустимых подписок на странице

снимок экрана: просмотр подходящих подписок на странице

В элементе управления доступом (IAM) для ресурса теперь можно выбрать "Просмотреть мой доступ", чтобы просмотреть текущие активные и соответствующие назначения ролей и активировать напрямую.

снимок экрана: текущие назначения ролей на странице измерения.

Интеграция возможностей PIM в разные колонки портала Azure позволяет получить временный доступ к просмотру или редактированию подписок и ресурсов.

Активация ролей PIM с помощью мобильного приложения Azure

PIM теперь доступен в мобильных приложениях Microsoft Entra ID и Azure resource role в iOS и Android.

  1. Чтобы активировать соответствующее назначение ролей Microsoft Entra, начните с скачивания мобильного приложения Azure (iOS | Android). Вы также можете скачать приложение, выбрав Открыть в мобильных из привилегированного управления удостоверениями > мои роли > роли Microsoft Entra.

    снимок экрана: скачивание мобильного приложения.

  2. Откройте мобильное приложение Azure и войдите в систему. Щелкните карточку "Управление привилегированными пользователями" и выберите роли ресурсов Azure, чтобы просмотреть соответствующие и активные назначения ролей.

    снимок экрана мобильного приложения с привилегированным управлением удостоверениями и ролями пользователя.

  3. Выберите назначение роли и щелкните действие > Активировать в разделе сведений о назначении ролей. Выполните действия, чтобы активировать и заполнить все необходимые сведения, прежде чем щелкнуть Активировать внизу.

    снимок экрана мобильного приложения с завершением процесса проверки. На изображении показана кнопка

  4. Просмотрите состояние запросов активации и назначений ролей в разделе "Мои роли ресурсов Azure".

    снимок экрана мобильного приложения с сообщением о активации.

Связанный контент