Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Con Microsoft Entra Privileged Identity Management (PIM), è possibile gestire i ruoli predefiniti delle risorse di Azure e i ruoli personalizzati, tra cui (ma non limitato a):
- Proprietario
- Amministratore dell'accesso degli utenti
- Contributore
- Amministratore della sicurezza
- Gestione sicurezza
Annotazioni
Gli utenti o i membri di un gruppo assegnati ai ruoli di sottoscrizione Proprietario o Amministratore accesso utenti e Gli amministratori globali di Microsoft Entra che abilitano la gestione delle sottoscrizioni in Microsoft Entra ID dispongono delle autorizzazioni di amministratore delle risorse per impostazione predefinita. Questi amministratori possono assegnare ruoli, configurare le impostazioni dei ruoli ed esaminare l'accesso usando Privileged Identity Management per le risorse di Azure. Un utente non può gestire Privileged Identity Management per le risorse senza autorizzazioni di amministratore delle risorse. Visualizzare l'elenco dei ruoli predefiniti di Azure.
Privileged Identity Management supporta ruoli predefiniti e personalizzati di Azure. Per altre informazioni sui ruoli personalizzati di Azure, vedere Ruoli personalizzati di Azure.
Condizioni di assegnazione dei ruoli
È possibile usare il controllo degli accessi in base all'attributo di Azure per aggiungere condizioni alle assegnazioni di ruolo idonee usando Microsoft Entra PIM per le risorse di Azure. Con Microsoft Entra PIM, gli utenti finali devono attivare un'assegnazione di ruolo idonea per ottenere l'autorizzazione per eseguire determinate azioni. L'uso delle condizioni in Microsoft Entra PIM consente non solo di limitare le autorizzazioni del ruolo di un utente a una risorsa usando condizioni con granularità fine, ma anche di usare Microsoft Entra PIM per proteggere l'assegnazione di ruolo con un'impostazione a tempo limitato, un flusso di lavoro di approvazione, un audit trail e così via.
Annotazioni
Quando un ruolo viene assegnato, l'incarico:
- Non può essere assegnata per una durata inferiore a cinque minuti
- Non può essere rimossa entro cinque minuti dall'assegnazione
Attualmente, i ruoli predefiniti seguenti possono avere condizioni aggiunte:
- Collaboratore ai dati dei BLOB di archiviazione
- Proprietario dei dati del BLOB di archiviazione
- Lettore di dati dei BLOB di archiviazione
Per altre informazioni, vedere Informazioni sul controllo degli accessi in base agli attributi di Azure.
Assegnare un ruolo
Seguire questa procedura per rendere un utente idoneo per un ruolo risorsa di Azure.
Accedi al centro di amministrazione di Microsoft Entra come amministratore dell'accesso utenti o superiore.
Passare a ID Governance>Gestione delle Identità Privilegiate> delle risorse Azure.
Selezionare il tipo di risorsa che si vuole gestire. Iniziare dall'elenco a discesa Gruppo di gestione o dall'elenco a discesa Sottoscrizioni e quindi selezionare ulteriormente Gruppi di risorse o Risorse in base alle esigenze. Selezionare il pulsante Seleziona per la risorsa che si vuole gestire per aprire la relativa pagina di panoramica.
In Gestisci selezionare Ruoli per visualizzare l'elenco dei ruoli per le risorse di Azure.
Selezionare Aggiungi assegnazioni per aprire il riquadro Aggiungi assegnazioni .
Selezionare un ruolo da assegnare.
Selezionare il collegamento Nessun membro selezionato per aprire il riquadro Selezionare un membro o un gruppo.
Selezionare un membro o un gruppo da assegnare al ruolo e quindi scegliere Seleziona.
Nell'elenco Tipo di assegnazione della scheda Impostazioni selezionare Idoneo o Attivo.
Microsoft Entra PIM per le risorse di Azure offre due tipi di assegnazione distinti:
Le assegnazioni idonee richiedono al membro di attivare il ruolo prima di usarlo. L'amministratore può richiedere al membro del ruolo di eseguire determinate azioni prima dell'attivazione del ruolo, che potrebbe includere l'esecuzione di un controllo di autenticazione a più fattori (MFA), fornire una giustificazione aziendale o richiedere l'approvazione da responsabili approvazione designati.
Le assegnazioni attive non richiedono al membro di attivare il ruolo prima dell'utilizzo. I membri assegnati come attivi hanno i privilegi assegnati pronti per l'uso. Questo tipo di assegnazione è disponibile anche per i clienti che non usano Microsoft Entra PIM.
Per specificare una durata di assegnazione specifica, modificare le date e le ore di inizio e di fine.
Se il ruolo è stato definito con azioni che consentono assegnazioni a tale ruolo con condizioni, è possibile selezionare Aggiungi condizione per aggiungere una condizione in base agli attributi dell'utente principale e della risorsa che fanno parte dell'assegnazione.
Le condizioni possono essere immesse nel generatore di espressioni.
Al termine, selezionare Assegna.
Dopo aver creato la nuova assegnazione di ruolo, viene visualizzata una notifica di stato.
Assegnare un ruolo usando l'API di Azure Resource Manager
Privileged Identity Management supporta i comandi api di Azure Resource Manager (ARM) per gestire i ruoli delle risorse di Azure, come documentato nelle informazioni di riferimento sulle API di Azure Resource Manager di PIM. Per le autorizzazioni necessarie per l'uso dell'API PIM, vedere Informazioni sulle API di Privileged Identity Management.
L'esempio seguente è una richiesta HTTP di esempio per creare un'assegnazione idonea per un ruolo di Azure.
Richiesta
PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e?api-version=2020-10-01-preview
Testo della richiesta
{
"properties": {
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"requestType": "AdminAssign",
"scheduleInfo": {
"startDateTime": "2022-07-05T21:00:00.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "P365D"
}
},
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0"
}
}
Risposta
Codice di stato: 201
{
"properties": {
"targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
"targetRoleEligibilityScheduleInstanceId": null,
"scope": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalType": "User",
"requestType": "AdminAssign",
"status": "Provisioned",
"approvalId": null,
"scheduleInfo": {
"startDateTime": "2022-07-05T21:00:00.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "P365D"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
},
"justification": null,
"requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"createdOn": "2022-07-05T21:00:45.91Z",
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0",
"expandedProperties": {
"scope": {
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"displayName": "Pay-As-You-Go",
"type": "subscription"
},
"roleDefinition": {
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"displayName": "Contributor",
"type": "BuiltInRole"
},
"principal": {
"id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"displayName": "User Account",
"email": "[email protected]",
"type": "User"
}
}
},
"name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
"id": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests64caffb6-55c0-4deb-a585-68e948ea1ad6",
"type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}
Aggiornare o rimuovere un'assegnazione di ruolo esistente
Seguire questa procedura per aggiornare o rimuovere un'assegnazione di ruolo esistente.
Aprire Microsoft Entra Privileged Identity Management.
Selezionare le risorse di Azure .
Selezionare il tipo di risorsa che si vuole gestire. Iniziare dall'elenco a discesa Gruppo di gestione o dall'elenco a discesa Sottoscrizioni e quindi selezionare ulteriormente Gruppi di risorse o Risorse in base alle esigenze. Selezionare il pulsante Seleziona per la risorsa che si vuole gestire per aprire la relativa pagina di panoramica.
In Gestisci selezionare Ruoli per elencare i ruoli per le risorse di Azure. Lo screenshot seguente elenca i ruoli di un account di archiviazione di Azure. Selezionare il ruolo da aggiornare o rimuovere.
Trovare l'assegnazione di ruolo nelle schede Ruoli idonei o Ruoli attivi .
Per aggiungere o aggiornare una condizione per perfezionare l'accesso alle risorse di Azure, selezionare Aggiungi o Visualizza/Modifica nella colonna Condizione per l'assegnazione di ruolo.
Selezionare Aggiungi espressione o Elimina per aggiornare l'espressione. È anche possibile selezionare Aggiungi condizione per aggiungere una nuova condizione al ruolo.
Per informazioni sull'estensione di un'assegnazione di ruolo, vedere Estendere o rinnovare i ruoli delle risorse di Azure in Privileged Identity Management.
