Назначение ролей Microsoft Entra в управлении привилегированными идентификациями (PIM)

Обзор

С помощью идентификатора Microsoft Entra глобальный администратор может выполнять постоянные назначения ролей администратора Microsoft Entra. Эти назначения ролей можно создать с помощью Центра администрирования Microsoft Entra или с помощью команд PowerShell.

Служба Microsoft Entra управление привилегированными идентичностями (PIM) также позволяет администраторам привилегированных ролей выполнять постоянные назначения ролей администратора. Кроме того, администраторы привилегированных ролей могут сделать пользователей подходящими для ролей администратора Microsoft Entra. Правомочный администратор может активировать роль, когда это необходимо. Затем его полномочия истекают, когда он завершает работу с ролью.

Управление привилегированными доступами поддерживает как встроенные, так и настраиваемые роли Microsoft Entra. Дополнительные сведения о пользовательских ролях Microsoft Entra см. в разделе "Управление доступом на основе ролей" в идентификаторе Microsoft Entra.

Примечание.

При назначении роли назначение:

  • не может быть назначено на период менее пяти минут;
  • невозможно удалить в течение пяти минут после назначения.

Назначение роли

Выполните следующие действия, чтобы сделать пользователя подходящим для роли администратора Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора Привилегированных Ролей.

  2. Перейдите к управлению идентификацией>управлению привилегированными удостоверениями>ролям Microsoft Entra.

  3. Выберите роли, чтобы просмотреть список ролей для разрешений Microsoft Entra.

    Снимок экрана: страница

  4. Выберите Добавить назначения, чтобы открыть страницу Добавление назначений.

  5. Нажмите Выбрать роль, чтобы открыть страницу Выбор роли.

    Снимок экрана: новая область назначения.

  6. Выберите роль, которую вы хотите назначить, выберите участника, который вы хотите назначить роли, а затем нажмите кнопку "Далее".

    Вы можете выбрать пользователей, группы или идентификаторы агентов. Список ролей, которые можно назначить удостоверениям агента, см. в разделе "Авторизация в Microsoft Entra ID для агентов".

    Примечание.

    Если вы назначаете встроенную роль Microsoft Entra гостевого пользователя, гостевой пользователь получит те же разрешения, что и пользователь-участник. Сведения о разрешениях участника и гостевого пользователя по умолчанию см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra?

  7. В списке Тип назначения в области Параметры членства выберите значение Допустимое или Активное.

    • Назначение допустимой роли означает, что участник роли должен выполнить определенное действие для использования этой роли. Действия могут включать выполнение проверки многофакторной аутентификации (MFA), предоставление бизнес-обоснования или запрос на утверждение от назначенных утверждающих.

    • Назначения активных ролей не требуют, чтобы член выполнял какие-либо действия для использования роли. Члены, назначенные активными, всегда имеют права, назначенные ролию.

  8. Чтобы задать определенную длительность назначения, добавьте дату и время начала и окончания. По завершении нажмите кнопку Назначить, чтобы создать назначение новой роли.

    • Постоянные назначения не имеют даты окончания срока действия. Используйте этот параметр для постоянных сотрудников, которым часто требуются разрешения ролей.

    • Срочные задания истекают в конце указанного периода. Используйте этот параметр для временных или контрактных сотрудников, например, для которых известны дата и время окончания проекта.

    Примечание.

    Активное назначение ролей с привязкой к времени для роли глобального администратора не удаляется во время истечения срока действия, если для глобального администратора отсутствуют другие назначенные активные назначения ролей. Другими словами, если это последнее назначение активной роли для роли глобального администратора, оно останется. Аналогичным образом, назначение роли глобального администратора с ограничением по времени не удаляется после истечения срока действия, если больше нет других назначений на эту роль, то есть, если это последнее назначение на роль глобального администратора. Это делается, чтобы свести к минимуму риск того, что администраторы заблокируют себя из клиента случайно.

    Снимок экрана: параметры членства — дата и время.

  9. После назначения роли отобразится уведомление о состоянии назначения.

    Снимок экрана: новое уведомление о назначении.

Назначьте роль с ограниченным охватом

Для некоторых ролей область действия предоставленных разрешений может быть ограничена одной административной единицей, субъектом-службой или приложением. Эта процедура является примером назначения роли, которая имеет область действия административной единицы. Список ролей, которые поддерживают область действия через административную единицу, см. в разделе Назначение ролей в пределах административной единицы. Эта функция в настоящее время развертывается в организациях Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора Привилегированных Ролей.

  2. Перейдите к Entra ID>Роли и администраторы.

  3. Выберите Администратор пользователей.

    Снимок экрана: команда

  4. Щелкните Добавить назначения.

    Снимок экрана, показывающий, когда роль поддерживает область, можно выбрать область.

  5. На странице Добавить назначения можно выполнить следующие действия:

    • Выберите пользователя или группу, чтобы назначить их на роль.
    • Выберите область роли (в данном случае административные единицы).
    • Выберите административную единицу для рамок действия.

Если вы пытаетесь назначить пользовательскую роль, совместимую с административными единицами, вы не сможете назначить роль с областью административной единицы, начиная с страницы "Роли и администраторы ". Чтобы назначить настраиваемую роль в пределах административной единицы, сначала необходимо открыть административную единицу, а затем назначить роль. Дополнительные сведения см. в разделе "Назначение ролей в рамках области администрирования". Сведения о создании административных единиц см. в разделе "Создание или удаление административных единиц".

Назначение роли с помощью API Microsoft Graph

Дополнительные сведения об API-интерфейсах Microsoft Graph для PIM см. в разделе Общие сведения об управлении ролями с помощью API управления привилегированными пользователями (PIM).

Разрешения, необходимые для использования API PIM, приведены в статье Общие сведения об интерфейсах API управление привилегированными пользователями.

Допустимо без конечной даты

В этом примере показан HTTP-запрос для создания подходящего назначения без даты окончания. Дополнительные сведения о командах API, включая примеры запросов на C# и JavaScript, см. в разделе Создание roleEligibilityScheduleRequests.

HTTP-запрос

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Permanently assign the Global Reader to the auditor",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

HTTP-ответ

В этом примере показан ответ. Объект ответа, показанный здесь, может быть сокращен для удобства.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T13:40:33.2364309Z",
    "completedDateTime": "2022-05-13T13:40:34.6270851Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "justification": "Permanently assign the Global Reader to the auditor",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T13:40:34.6270851Z",
        "recurrence": null,
        "expiration": {
            "type": "noExpiration",
            "endDateTime": null,
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Активное и ограниченное по времени

В примере показан HTTP-запрос для создания активного задания, имеющего ограничение по времени. Дополнительные сведения о командах API, включая примеры запросов на C# и JavaScript, см. в разделе Создание roleAssignmentScheduleRequests.

HTTP-запрос

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "adminAssign",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP-ответ

В этом примере показан ответ. Объект ответа, показанный здесь, может быть сокращен для удобства.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T14:01:48.0145711Z",
    "completedDateTime": "2022-05-13T14:01:49.8589701Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T14:01:49.8589701Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Обновление или удаление существующего назначения роли

Выполните следующие действия, чтобы обновить или удалить существующее назначение роли.
Вы не можете удалить последнее активное назначение ролей для глобальных администраторов. Рассмотрите возможность иметь учетную запись экстренного доступа с постоянным активным назначением роли глобального администратора. Дополнительные сведения см. в учетных записях аварийного доступа.
Вы не можете удалить назначение роли для глобальных администраторов, если для роли глобального администратора не останется назначений. Это делается для минимизации рисков непреднамеренной блокировки администраторов от учетной записи арендатора.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора Привилегированных Ролей.

  2. Перейдите к управлению идентификацией>управлению привилегированными удостоверениями>ролям Microsoft Entra.

  3. Выберите роли , чтобы просмотреть список ролей для идентификатора Microsoft Entra.

  4. Щелкните роль, которую нужно обновить или удалить.

  5. Найдите назначение роли на вкладках Доступные роли или Активные роли.

    Снимок экрана: обновление или удаление назначения ролей.

  6. Нажмите кнопку Обновить или Удалить, чтобы обновить или удалить назначение роли.

Удалить допустимое назначение через Microsoft API Graph

В этом примере показан HTTP-запрос на отзыв правомочного назначения роли от основного субъекта. Дополнительные сведения о командах API, включая примеры запросов на C# и JavaScript, см. в разделе Создание roleEligibilityScheduleRequests.

Запрос

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests 

{ 
    "action": "AdminRemove", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b" 
} 

Ответ

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de", 
    "status": "Revoked", 
    "createdDateTime": "2021-07-15T20:23:23.85453Z", 
    "completedDateTime": null, 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminRemove", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": null, 
    "justification": "test", 
    "scheduleInfo": null, 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
} 

Следующие шаги