Активация соответствующих назначений ролей Azure

Допустимые назначения ролей Azure предоставляют JIT-доступ к роли в течение ограниченного периода времени. Активация роли Microsoft Entra управление привилегированными пользователями (PIM) была интегрирована на страницу управления доступом (IAM) в портал Azure. Если вы получили право на роль Azure, вы можете активировать эту роль с помощью портал Azure. Эта возможность развертывается на этапах, поэтому она может быть недоступна в клиенте или интерфейсе может выглядеть иначе.

Необходимые компоненты

• Лицензия microsoft Entra ID P2 или лицензия Управление идентификацией Microsoft Entra
• Назначение соответствующих ролей
• Microsoft.Authorization/roleAssignments/read разрешение, например читатель

Активация членства в группах (при необходимости)

Если вы получили право на группу (PIM для групп) и эта группа имеет право на назначение ролей, необходимо сначала активировать членство в группе, прежде чем вы увидите соответствующее назначение ролей для группы. Для этого сценария необходимо активировать дважды — сначала для группы, а затем для роли.

Инструкции по активации членства в группе см. в разделе "Активация членства в группе" или "владение" в управление привилегированными пользователями.

Активация роли с помощью портал Azure

В этих шагах описывается активация подходящего назначения ролей с помощью портал Azure.

1. Войдите на портал Azure.

2. Щелкните все службы и выберите область. Например, можно выбрать группы управления, подписки или группы ресурсов.

   На странице управления доступом (IAM) можно активировать соответствующие назначения ролей в группе управления, подписке и области группы ресурсов, но не в области ресурсов.

3. Щелкните конкретный ресурс.

4. Выберите Управление доступом (IAM).

   

5. В столбце "Действие " нажмите кнопку "Активировать " для роли, которую требуется активировать.

   Откроется панель активации с параметрами активации.

6. На вкладке "Активировать" укажите время начала, длительность и причину. Если вы хотите настроить время начала активации, установите флажок "Пользовательское время начала активации".

   

7. (Необязательно) Перейдите на вкладку "Область", чтобы указать область назначения роли.

   Если назначение ролей было определено в более высокой области, можно выбрать более низкую область, чтобы сузить доступ. Например, если у вас есть соответствующее назначение ролей в области подписки, вы можете выбрать группы ресурсов в подписке, чтобы сузить область.

   

8. По завершении нажмите кнопку "Активировать ", чтобы активировать роль с выбранными параметрами.

   Сообщения о ходе выполнения отображаются для указания состояния активации.

   

   После завершения активации появится сообщение о том, что роль была успешно активирована.

   После активации соответствующего назначения роли он будет указан как активное назначение ролей с привязкой к времени на вкладках "Проверка доступа" и "Назначения ролей". Дополнительные сведения см. в разделе "Список назначений ролей Azure" с помощью портал Azure.

Следующие шаги

• Допустимые и привязанные к времени назначения ролей в Azure RBAC
• Активация ролей ресурсов Azure в управление привилегированными пользователями