Redigera

Dela via

Aktivera en Microsoft Entra-roll i PIM

  • Så här gör du

Microsoft Entra Privileged Identity Management (PIM) förenklar hur företag hanterar privilegierad åtkomst till resurser i Microsoft Entra-ID och andra Microsoft-onlinetjänster som Microsoft 365 eller Microsoft Intune.

Om du har blivit berättigad till en administrativ roll måste du aktivera rolltilldelningen när du behöver utföra privilegierade åtgärder. Om du till exempel ibland hanterar Microsoft 365-funktioner kanske organisationens privilegierade rolladministratörer inte gör dig till permanent global administratör, eftersom den rollen också påverkar andra tjänster. I stället skulle de göra dig berättigad till Microsoft Entra-roller, till exempel Exchange Online-administratör. Du kan begära att aktivera rollen när du behöver dess behörigheter och sedan ha administratörskontroll för en fördefinierad tidsperiod.

Den här artikeln är avsedd för administratörer som behöver aktivera sin Microsoft Entra-roll i Privileged Identity Management. Även om alla användare kan skicka en begäran om den roll de behöver via PIM utan att ha rollen Privilegierad rolladministratör (PRA), krävs den här rollen för att hantera och tilldela roller till andra inom organisationen.

Viktigt!

När en roll aktiveras lägger Microsoft Entra PIM tillfälligt till aktiv tilldelning för rollen. Microsoft Entra PIM skapar aktiv tilldelning (tilldelar användare till en roll) inom några sekunder. När inaktivering (manuell eller genom aktiveringstid upphör att gälla) tar Microsoft Entra PIM bort den aktiva tilldelningen även inom några sekunder.

Programmet kan ge åtkomst baserat på den roll som användaren har. I vissa situationer kanske programåtkomsten inte omedelbart återspeglar det faktum att användaren fick rollen tilldelad eller borttagen. Om programmet tidigare cachelagrade det faktum att användaren inte har någon roll – när användaren försöker komma åt programmet igen kanske inte åtkomst tillhandahålls. På samma sätt, om programmet tidigare cachelagrade det faktum att användaren har en roll – när rollen inaktiveras kan användaren fortfarande få åtkomst. Den specifika situationen beror på programmets arkitektur. För vissa program kan det hjälpa att logga ut och logga in igen för att få åtkomst till eller borttagen.

Förutsättningar

Ingen

Aktivera en roll

När du behöver anta en Microsoft Entra-roll kan du begära aktivering genom att öppna Mina roller i Privileged Identity Management.

Kommentar

PIM är nu tillgängligt i Azure-mobilappen (iOS | Android) för Microsoft Entra-ID och Azure-resursroller. Aktivera enkelt berättigade tilldelningar, begära förnyelser för dem som upphör att gälla eller kontrollera statusen för väntande begäranden. Läs mer nedan

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsstyrning>Privileged Identity Management>Mina roller. Information om hur du lägger till panelen Privileged Identity Management på instrumentpanelen finns i Börja använda Privileged Identity Management.

  3. Välj Microsoft Entra-roller för att se en lista över dina berättigade Microsoft Entra-roller.

    Sidan Mina roller som visar roller som du kan aktivera

  4. I listan Med Microsoft Entra-roller hittar du den roll som du vill aktivera.

    Microsoft Entra-roller – lista över mina berättigade roller

  5. Välj Aktivera för att öppna fönstret Aktivera.

    Microsoft Entra-roller – aktiveringssidan innehåller varaktighet och omfång

  6. Välj Ytterligare verifiering krävs och följ anvisningarna för att tillhandahålla säkerhetsverifiering. Du måste bara autentisera en gång per session.

    Skärm för att tillhandahålla säkerhetsverifiering, till exempel en PIN-kod

  7. Efter multifaktorautentisering väljer du Aktivera innan du fortsätter.

    Verifiera min identitet med MFA innan rollen aktiveras

  8. Om du vill ange ett reducerat omfång väljer du Omfång för att öppna filterfönstret. I filterfönstret kan du ange de Microsoft Entra-resurser som du behöver åtkomst till. Det är bästa praxis att begära åtkomst till de minst resurser som du behöver.

  9. Om det behövs anger du en anpassad aktiveringsstarttid. Microsoft Entra-rollen aktiveras efter den valda tiden.

  10. I rutan Orsak anger du orsaken till aktiveringsbegäran.

  11. Välj aktivera.

    Om rollen kräver godkännande för att aktiveras visas ett meddelande i det övre högra hörnet i webbläsaren som informerar dig om att begäran väntar på godkännande.

    Aktiveringsbegäran väntar på godkännandemeddelande

    Aktivera en roll med hjälp av Microsoft Graph API

    Mer information om Microsoft Graph-API:er för PIM finns i Översikt över rollhantering via PIM-API:et (Privileged Identity Management).

    Hämta alla kvalificerade roller som du kan aktivera

    När en användare får sin rollberättigande via gruppmedlemskap returnerar inte den här Microsoft Graph-begäran deras behörighet.

    HTTP-begäran

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

    HTTP-svar

    För att spara utrymme visar vi bara svaret för en roll, men alla kvalificerade rolltilldelningar som du kan aktivera visas.

    {
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

    Självaktivera en rollberättigande med motivering

    HTTP-begäran

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

    HTTP-svar

    HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Visa status för aktiveringsbegäranden

Du kan visa status för väntande begäranden som ska aktiveras.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsstyrning>Privileged Identity Management>Mina begäranden.

  3. När du väljer Mina begäranden visas en lista över dina microsoft entra-roll- och Azure-resursrollsbegäranden.

    Skärmbild av sidan Mina begäranden – Microsoft Entra-ID som visar dina väntande begäranden

  4. Rulla åt höger för att visa kolumnen Begärandestatus .

Avbryt en väntande begäran om ny version

Om du inte behöver aktivering av en roll som kräver godkännande kan du avbryta en väntande begäran när som helst.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsstyrning>Privileged Identity Management>Mina begäranden.

  3. För den roll som du vill avbryta väljer du länken Avbryt .

    När du väljer Avbryt avbryts begäran. Om du vill aktivera rollen igen måste du skicka en ny begäran om aktivering.

    Min begärandelista med åtgärden Avbryt markerad

Inaktivera en rolltilldelning

När en rolltilldelning aktiveras visas alternativet Inaktivera i PIM-portalen för rolltilldelningen. Du kan inte heller inaktivera en rolltilldelning inom fem minuter efter aktiveringen.

Aktivera PIM-roller med hjälp av Azure-mobilappen

PIM är nu tillgängligt i Microsoft Entra-ID:t och Azure-resursrollerna mobilappar i både iOS och Android.

  1. Om du vill aktivera en berättigad Microsoft Entra-rolltilldelning börjar du med att ladda ned Azure-mobilappen (iOS | Android). Du kan också ladda ned appen genom att välja "Öppna i mobil" från Privileged Identity Management > Mina roller > Microsoft Entra-roller.

    Skärmbild som visar hur du laddar ned mobilappen.

  2. Öppna Azure-mobilappen och logga in. Välj kortet Privileged Identity Management (Privilegierad identitetshantering) och välj Mina Microsoft Entra-roller för att visa dina berättigade och aktiva rolltilldelningar.

    Skärmbilder av mobilappen som visar hur en användare skulle visa tillgängliga roller.

  3. Välj rolltilldelningen och klicka på Åtgärd > Aktivera under rolltilldelningsinformationen. Slutför stegen för att aktivera och fyll i nödvändig information innan du klickar på Aktivera längst ned.

    Skärmbild av mobilappen som visar en användare hur man fyller i nödvändig information

  4. Visa status för dina aktiveringsbegäranden och dina rolltilldelningar under Mina Microsoft Entra-roller.

    Skärmbild av mobilappen som visar användarens rollstatus.

Relaterat innehåll