Упражнение по назначению ролей Microsoft Entra в службе "Управление привилегированными удостоверениями"

  • 10 мин

С помощью платформы Microsoft Entra ID глобальный администратор может выполнять постоянные назначения ролей администратора в системе Microsoft Entra. Эти назначения ролей можно создавать с помощью портала Azure или с помощью команд PowerShell.

Служба Microsoft Entra Privileged Identity Management (PIM) также позволяет администраторам привилегированных ролей назначать постоянные роли администратора. Кроме того, администраторы привилегированных ролей могут сделать пользователей подходящими для ролей администратора Microsoft Entra. Уполномоченный администратор может активировать роль, когда это необходимо, а затем срок действия его разрешений истекает после завершения использования роли.

Назначение роли

Выполните следующие действия, чтобы сделать пользователя подходящим для роли администратора Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора клиента.

  2. Найдите и выберите Microsoft Entra Privileged Identity Management.

  3. На экране управления привилегированными идентификациями в области навигации слева выберите роли Microsoft Entra.

  4. На странице быстрого запуска в панели навигации слева выберите роли.

  5. В верхнем меню выберите + Добавить задания.

    Снимок экрана ролей Microsoft Entra с выделенным меню

  6. На панели "Добавление назначений", на вкладке членство, просмотрите настройки.

  7. Выберите меню Выбор роли и выберите администратора соответствия требованиям. Вы можете использовать фильтр по имени роли Search role, чтобы помочь найти роль.

  8. В разделе Выбор элементов выберите Нет выбранных элементов.

  9. В панели "Выбор участника" выберите учетную запись администратора, а затем нажмите Выбрать.

    Снимок экрана панели выбора участника с выделенным участником.

  10. На экране "Добавление назначений" выберите Далее.

  11. На вкладке "Параметры" в разделе "Тип назначения "просмотрите доступные параметры. Для этой задачи используйте параметр по умолчанию.

    • Допустимые назначения требуют, чтобы член роли предпринял действие для использования роли. Действия могут включать выполнение многофакторной проверки подлинности (MFA), предоставление бизнес-обоснования или запрос утверждения от лиц, ответственных за утверждение.
    • Активные назначения не требуют от участника выполнения каких-либо действий для использования роли. Члены, назначенные активными, всегда имеют привилегии, присвоенные роли.

  12. Просмотрите оставшиеся параметры и выберите Назначить.

Активация ролей Microsoft Entra

Если необходимо принять роль Microsoft Entra, вы можете запросить активацию, открыв Мои роли в службе управления привилегированными пользователями.

  1. На экране управления привилегированными учетными данными в меню навигации слева выберите Мои роли.

  2. В области "Мои роли" просмотрите список подходящих назначений.

    снимок экрана:

  3. В строке роли администратора соответствия выберите Активировать.

  4. В области "Активация — администратор соответствия требованиям" выберите Требуется дополнительная проверка подлинности, и следуйте инструкциям, чтобы обеспечить дополнительную проверку безопасности. Для проверки подлинности требуется только один раз за сеанс.

    снимок экрана всплывающего окна для активации администратора соответствия требованиям.

  5. После завершения проверки безопасности в области "Активация — администратор соответствия требованиям" в поле причина введите обоснование активации этой роли.

  6. Выберите Активировать.

Назначение роли с ограниченной областью

Для определенных ролей область предоставленных разрешений может быть ограничена одной административной единицей, служебным принципалом или приложением. Эта процедура служит примером назначения роли, которая имеет область действия административной единицы.

  1. Перейдите на экран "Управление привилегированными идентификациями" и в меню навигации слева выберите роли Microsoft Entra.

  2. В области ролей в верхнем меню выберите + Добавить назначения.

  3. На экране "Добавление назначений" выберите меню "Выбор роли", а затем выберите "Администратор пользователя".

  4. Выберите тип области и просмотрите доступные параметры. Теперь вы будете использовать тип области каталога.

    Совет

    Перейдите к разделу Управление административными единицами в идентификаторе Microsoft Entra, чтобы найти дополнительные сведения о типе области применения.

  5. Похоже на назначение роли без ограниченного диапазона действий. Добавьте участников и заполните параметры. Теперь выберите Отмена.

Обновление или удаление существующего назначения роли

Выполните следующие действия, чтобы обновить или удалить существующее назначение роли.

  1. На экране "Open Microsoft Entra Privileged Identity Management" (Управление привилегированными пользователями) в области навигации слева выберите назначения.

  2. В списке задания для администратора по соответствию просмотрите параметры в столбце действия.

    снимок экрана: параметры, перечисленные в столбце действий администратора соответствия требованиям.

  3. Выберите обновить и просмотрите параметры, доступные на панели параметров членства. По завершении закройте область.

  4. Выберите Удалить.

  5. В диалоговом окне "Удалить" просмотрите сведения и выберите Да.