在 Privileged Identity Management 中激活 Azure 资源角色

需要承担 Azure 资源角色时，可以使用 Privileged Identity Management 中的 “我的角色” 导航选项来请求激活。

1. 以至少 特权角色管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到 标识治理>Privileged Identity Management>“我的角色”。

   

3. 选择 Azure 资源角色 以查看符合条件的 Azure 资源角色的列表。

   

4. 在 Azure 资源角色 列表中，找到要激活的角色。

   

5. 选择 “激活 以打开”激活“页。

   

6. 如果角色需要多重身份验证，请在继续之前选择 验证身份。 每个会话只需进行身份验证一次。

7. 选择 验证身份，并按照说明提供其他安全验证。

   

8. 如果要指定缩小范围，请选择 范围 打开“资源筛选器”窗格。

   最佳做法是仅请求对所需资源的访问权限。 在“资源筛选器”窗格中，可以指定需要访问的资源组或资源。

   

9. 如有必要，请指定自定义激活开始时间。 成员将在所选时间后激活。

10. 在 原因 框中，输入激活请求的原因。

11. 选择 激活。

    注意

    如果 角色需要审批 才能激活，浏览器右上角会显示一条通知，告知请求正在等待审批。

Privileged Identity Management 支持 Azure 资源管理器 API 命令来管理 Azure 资源角色，如 PIM ARM API 参考中所述。 有关使用 PIM API 所需的权限，请参阅 了解 privileged Identity Management API。

若要激活符合条件的 Azure 角色分配并获取激活的访问权限，请使用 角色分配计划请求 - 创建 REST API 创建新的请求，并指定安全主体、角色定义、requestType = SelfActivate 和范围。 若要调用此 API，必须在范围上分配符合条件的角色。

使用 GUID 工具为角色分配标识符生成唯一标识符。 标识符的格式为：00000000-0000-0000-0000-0000000000000。

将 PUT 请求中的 {roleAssignmentScheduleRequestName} 替换为角色分配的 GUID 标识符。

有关 Azure 资源管理的合格角色的详细信息，请参阅 PIM ARM API 教程。

这是一个用于激活 Azure 角色的合格分配的示例 HTTP 请求。

请求

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

请求正文

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
} 

响应

状态代码：201

可以查看要激活的挂起请求的状态。

1. 打开Microsoft Entra Privileged Identity Management。

2. 选择 “我的请求” 以查看Microsoft Entra 角色和 Azure 资源角色请求的列表。

   

3. 滚动到右侧以查看 请求状态 列。

如果不需要激活需要审批的角色，可以随时取消挂起的请求。

1. 打开Microsoft Entra Privileged Identity Management。

2. 选择 “我的请求”。

3. 对于要取消的角色，请选择 “取消” 链接。

   When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
   

   

激活角色分配后，可在 PIM 门户中看到一个 停用角色分配 选项。 此外，激活后五分钟内无法停用角色分配。

使用 Azure 门户激活

Privileged Identity Management 角色激活已集成到 Azure 门户中的计费和访问控制（AD）扩展中。 订阅（计费）和访问控制（AD）的快捷方式允许直接从这些边栏选项卡激活 PIM 角色。

在“订阅”边栏选项卡中，选择水平命令菜单中的“查看符合条件的订阅”，以检查符合条件的、活动和过期的分配。 在此处，可以在同一窗格中激活符合条件的分配。

在资源的访问控制（IAM）中，现在可以选择“查看我的访问权限”，查看当前处于活动状态和符合条件的角色分配并直接激活。

通过将 PIM 功能集成到不同的 Azure 门户边栏选项卡中，此新功能使你可以更轻松地获得查看或编辑订阅和资源的临时访问权限。

使用 Azure 移动应用激活 PIM 角色

PIM 现在可在 iOS 和 Android 中的 Microsoft Entra ID 和 Azure 资源角色移动应用中使用。

1. 若要激活符合条件的Microsoft Entra 角色分配，请首先下载 Azure 移动应用（iOS | Android）。 还可以从 Privileged Identity Management >“我的角色”> Microsoft Entra 角色中选择 “在移动 中打开”来下载应用。

   

2. 打开 Azure 移动应用并登录。 单击“Privileged Identity Management”卡，然后选择 “我的 Azure 资源角色” 以查看符合条件的活动角色分配。

   

3. 选择角色分配，然后单击角色分配详细信息下 操作 > 激活。 在单击底部 激活 之前，请完成活动并填写任何所需详细信息的步骤。

   

4. 在“我的 Azure 资源角色”下查看激活请求的状态和角色分配。