Допустимые и привязанные к времени назначения ролей в Azure RBAC

Если у вас есть лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, Microsoft Entra управление привилегированными пользователями (PIM) интегрирована в шаги назначения ролей. Например, можно назначить роли пользователям в течение ограниченного периода времени. Вы также можете сделать пользователей подходящими для назначений ролей, чтобы они должны активировать эту роль, например утверждение запроса. Допустимые назначения ролей предоставляют JIT-доступ к роли в течение ограниченного периода времени.

В этой статье описывается интеграция управления доступом на основе ролей Azure (Azure RBAC) и Microsoft Entra управление привилегированными пользователями (PIM) для создания подходящих и привязанных к времени назначений ролей.

Функции PIM

Если у вас есть PIM, вы можете создать подходящие и привязанные к времени назначения ролей с помощью страницы управления доступом (IAM) в портал Azure. Вы можете создавать подходящие назначения ролей для пользователей, но нельзя создавать соответствующие назначения ролей для приложений, субъектов-служб или управляемых удостоверений, так как они не могут выполнять действия активации. На странице управления доступом (IAM) можно создать соответствующие назначения ролей в группе управления, подписке и области группы ресурсов, но не в области ресурсов.

Ниже приведен пример вкладки "Тип назначения" при добавлении назначения роли с помощью страницы управления доступом (IAM). Эта возможность развертывается на этапах, поэтому она может быть недоступна в клиенте или интерфейсе может выглядеть иначе.

Параметры типа назначения, доступные для вас, могут отличаться в зависимости от политики PIM. Например, политика PIM определяет, можно ли создавать постоянные назначения, максимальную длительность назначения с привязкой к времени, требования к активации ролей (утверждение, многофакторную проверку подлинности или контекст проверки подлинности условного доступа) и другие параметры. Дополнительные сведения см. в разделе "Настройка параметров роли ресурсов Azure" в управление привилегированными пользователями.

У пользователей с соответствующими назначениями по времени и (или) должна быть действительная лицензия. Если вы не хотите использовать функцию PIM, выберите тип активного назначения и параметры длительности постоянного назначения. Эти параметры создают назначение ролей, где субъект всегда имеет разрешения в роли.

Чтобы лучше понять PIM, ознакомьтесь со следующими условиями.

Термин или понятие	Категория назначения ролей	Description
допустимое	Тип	Назначение роли, в соответствии с которым пользователь должен выполнить одно или несколько действий для использования роли. Назначение роли пользователю означает, что он может активировать роль, когда ему необходимо выполнить привилегированные задачи. Доступы, предоставленные пользователю с постоянной ролью и пользователю с временной ролью, ничем не отличаются. Единственное различие состоит в том, что второму типу пользователей доступ не требуется постоянно.
active	Тип	Назначение роли, которое не требует от пользователя выполнения каких-либо действий для ее использования. Пользователи, назначенные в качестве активных, имеют все полномочия, присвоенные роли.
активировать		Процесс выполнения одного или нескольких действий для использования роли, на которую имеет право пользователь. Действия могут включать выполнение проверки многофакторной проверки подлинности (MFA), предоставление бизнес-обоснования или запрос утверждения от назначенных утверждающих.
постоянное допустимое	Duration	Назначение роли, где пользователь всегда имеет право активировать роль.
постоянное активное	Duration	Назначение роли, где пользователь всегда может использовать роль, не выполняя каких-либо действий.
допустимое ограничение по времени	Duration	Назначение роли, когда пользователь может активировать роль в только в период между указанными датами начала и окончания.
активное ограничение по времени	Duration	Назначение роли, когда пользователь может использовать роль в только в период между указанными датами начала и окончания.
JIT-доступ		Это модель, в которой пользователи получают временные разрешения для выполнения привилегированных задач, что не позволяет злоумышленникам или неавторизованным пользователям получить доступ по истечении срока действия разрешения. Доступ предоставляется только в том случае, если он необходим пользователю.
Принцип доступа с минимальными привилегиями		Рекомендуемый метод обеспечения безопасности, когда каждому пользователю предоставляются только минимальные привилегии, необходимые для выполнения задач, которые ему разрешено выполнять. Такой подход позволяет свести к минимуму количество глобальных администраторов. Вместо этого используются определенные роли администратора для конкретных сценариев.

Дополнительные сведения см. в разделе "Что такое Microsoft Entra управление привилегированными пользователями?".

Перечисление подходящих и привязанных к времени назначений ролей

Если вы хотите узнать, какие пользователи используют функцию PIM, ниже приведены варианты перечисления подходящих и привязанных к времени назначений ролей.

Вариант 1. Список с помощью портал Azure

1. Войдите на портал Azure, откройте страницу управления доступом (IAM) и перейдите на вкладку "Назначения ролей".

2. Отфильтруйте подходящие и привязанные к времени назначения ролей.

   Вы можете группировать и отсортировать по состоянию и искать назначения ролей, которые не являются постоянным типом Active.

   

Вариант 2. Перечисление с помощью PowerShell

Существует не одна команда PowerShell, которая может перечислять как подходящие, так и активные назначения ролей с привязкой к времени. Чтобы вывести список подходящих назначений ролей, используйте команду Get-AzRoleEligibilitySchedule . Чтобы вывести список активных назначений ролей, используйте команду Get-AzRoleAssignmentSchedule .

В этом примере показано, как вывести список подходящих и привязанных к времени назначений ролей в подписке, включающую следующие типы назначений ролей:

• Допустимый постоянный
• Допустимые сроки
• Активная привязка к времени

Команда Where-Object фильтрует активные постоянные назначения ролей, доступные с помощью функций Azure RBAC без PIM.

Get-AzRoleEligibilitySchedule -Scope /subscriptions/<subscriptionId> 
Get-AzRoleAssignmentSchedule -Scope /subscriptions/<subscriptionId> | Where-Object {$_.EndDateTime -ne $null }

Сведения о том, как создаются области, см. в разделе "Общие сведения о области" для Azure RBAC.

Преобразование допустимых и привязанных к времени назначений ролей в активные постоянные

Если у вашей организации есть причины обработки или соответствия требованиям, чтобы ограничить использование PIM, ниже приведены варианты преобразования этих назначений ролей в активный постоянный.

Вариант 1. Преобразование с помощью портал Azure

1. В портал Azure на вкладке "Назначения ролей" и столбце "Состояние" выберите подходящие постоянные, соответствующие сроку и активные ссылки с привязкой к времени для каждого назначения роли, который требуется преобразовать.

2. В области "Изменить назначение" выберите "Активный" для типа назначения и "Постоянная" в течение длительности назначения.

   Дополнительные сведения см. в разделе "Изменение назначения".

   

3. После завершения выберите Сохранить.

   Обновления могут занять некоторое время, чтобы обрабатываться и отражаться на портале.

4. Повторите эти действия для всех назначений ролей в области групп управления, подписки и групп ресурсов, которые необходимо преобразовать.

   Если у вас есть назначения ролей в области ресурсов, которую вы хотите преобразовать, необходимо внести изменения непосредственно в PIM.

Вариант 2. Преобразование с помощью PowerShell

Нет команды или API для непосредственного преобразования назначений ролей в другое состояние или тип, поэтому вместо этого можно выполнить следующие действия.

Внимание

Удаление назначений ролей может привести к сбоям в среде. Перед выполнением этих действий убедитесь, что вы понимаете влияние.

1. Извлеките и сохраните список всех соответствующих и привязанных к времени назначений ролей в безопасном расположении, чтобы предотвратить потерю данных.

   Внимание

   Важно сохранить список подходящих и привязанных к времени назначений ролей, так как эти действия требуют удаления этих назначений ролей перед созданием таких назначений ролей, как активные постоянные.

2. Используйте команду New-AzRoleEligibilityScheduleRequest, чтобы удалить соответствующие назначения ролей.

   В этом примере показано, как удалить соответствующее назначение ролей.

   $guid = New-Guid
   New-AzRoleEligibilityScheduleRequest -Name $guid -Scope <Scope> -PrincipalId <PrincipalId> -RoleDefinitionId <RoleDefinitionId> -RequestType AdminRemove
   

3. Используйте команду New-AzRoleAssignmentScheduleRequest, чтобы удалить активные назначения ролей с привязкой к времени.

   В этом примере показано, как удалить активное назначение ролей с привязкой к времени.

   $guid = New-Guid
   New-AzRoleAssignmentScheduleRequest -Name $guid -Scope <Scope> -PrincipalId <PrincipalId> -RoleDefinitionId <RoleDefinitionId> -RequestType AdminRemove
   

4. Используйте команду Get-AzRoleAssignment, чтобы проверить наличие существующего назначения ролей и использовать команду New-AzRoleAssignment, чтобы создать активное назначение постоянной роли с помощью Azure RBAC для каждого подходящего и ограниченного времени назначения ролей.

   В этом примере показано, как проверить наличие существующего назначения ролей и создать активное назначение постоянной роли с помощью Azure RBAC.

   $result = Get-AzRoleAssignment -ObjectId $RA.PrincipalId -RoleDefinitionName $RA.RoleDefinitionDisplayName -Scope $RA.Scope;
   if($result -eq $null) {
   New-AzRoleAssignment -ObjectId $RA.PrincipalId -RoleDefinitionName $RA.RoleDefinitionDisplayName -Scope $RA.Scope
   }
   

Как ограничить создание подходящих или привязанных к времени назначений ролей

Если у вашей организации есть причины обработки или соответствия требованиям, чтобы ограничить использование PIM, можно использовать Политика Azure, чтобы ограничить создание подходящих или привязанных к времени назначений ролей. Дополнительные сведения см. в статье Что такое служба "Политика Azure".

Ниже приведен пример политики, ограничивающей создание подходящих и привязанных к времени назначений ролей, за исключением определенного списка удостоверений. Дополнительные параметры и проверки можно добавить для других условий разрешения.

{
  "properties": {
    "displayName": "Limit eligible and active time-bound role assignments except for allowed principal IDs",
    "policyType": "Custom",
    "mode": "All",
    "metadata": {
      "createdBy": "aaaaaaaa-bbbb-cccc-1111-222222222222",
      "createdOn": "2024-11-05T02:31:25.1246591Z",
      "updatedBy": "aaaaaaaa-bbbb-cccc-1111-222222222222",
      "updatedOn": "2024-11-06T07:58:17.1699721Z"
    },
    "version": "1.0.0",
    "parameters": {
      "allowedPrincipalIds": {
        "type": "Array",
        "metadata": {
          "displayName": "Allowed Principal IDs",
          "description": "A list of principal IDs that can receive PIM role assignments."
        },
        "defaultValue": []
      }
    },
    "policyRule": {
      "if": {
        "anyof": [
          {
            "allOf": [
              {
                "field": "type",
                "equals": "Microsoft.Authorization/roleEligibilityScheduleRequests"
              },
              {
                "not": {
                  "field": "Microsoft.Authorization/roleEligibilityScheduleRequests/principalId",
                  "in": "[parameters('allowedPrincipalIds')]"
                }
              }
            ]
          },
          {
            "allOf": [
              {
                "field": "type",
                "equals": "Microsoft.Authorization/roleAssignmentScheduleRequests"
              },
              {
                "not": {
                  "field": "Microsoft.Authorization/roleAssignmentScheduleRequests/principalId",
                  "in": "[parameters('allowedPrincipalIds')]"
                }
              }
            ]
          }
        ]
      },
      "then": {
        "effect": "deny"
      }
    },
    "versions": [
      "1.0.0"
    ]
  },
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4ef/providers/Microsoft.Authorization/policyDefinitions/1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
  "systemData": {
    "createdBy": "test1@contoso.com",
    "createdByType": "User",
    "createdAt": "2024-11-05T02:31:25.0836273Z",
    "lastModifiedBy": "test1@contoso.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2024-11-06T07:58:17.1651655Z"
  }
}

Сведения о свойствах ресурсов PIM см. в следующих документах REST API:

• RoleEligibilityScheduleRequest
• RoleAssignmentScheduleRequest

Сведения о назначении Политика Azure с параметрами см. в руководстве по созданию политик и управлению ими для обеспечения соответствия требованиям.

Следующие шаги

• Назначение ролей Azure с помощью портала Azure
• Что такое управление привилегированными пользователями Microsoft Entra?