Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью идентификатора Microsoft Entra глобальный администратор может выполнять постоянные назначения ролей администратора Microsoft Entra. Эти назначения ролей можно создать с помощью Центра администрирования Microsoft Entra или с помощью команд PowerShell.
Служба Microsoft Entra управление привилегированными пользователями (PIM) также позволяет администраторам привилегированных ролей выполнять назначения ролей постоянного администратора. Кроме того, администраторы привилегированных ролей могут сделать пользователей подходящими для ролей администратора Microsoft Entra. Такой разрешенный администратор может активировать роль при необходимости. Срок действия его разрешений истекает, когда роль больше не требуется ему для работы.
управление привилегированными пользователями поддерживают как встроенные, так и пользовательские роли Microsoft Entra. Дополнительные сведения о пользовательских ролях Microsoft Entra см. в разделе "Управление доступом на основе ролей" в идентификаторе Microsoft Entra.
Примечание.
При назначении роли назначение:
- не может быть назначено на период менее пяти минут;
- не может быть удалено в течение пяти минут после назначения.
Назначение роли
Выполните следующие действия, чтобы сделать пользователя подходящим для роли администратора Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к управлению идентификацией>управлению привилегированными удостоверениями>ролям Microsoft Entra.
Выберите роли, чтобы просмотреть список ролей для разрешений Microsoft Entra.
Выберите Добавить назначения, чтобы открыть страницу Добавление назначений.
Нажмите Выбрать роль, чтобы открыть страницу Выбор роли.
Выберите роль, которую нужно назначить, и участника, которому нужно назначить роль, а затем нажмите кнопку Далее.
Вы можете выбрать пользователей, группы или идентификаторы агентов. Список ролей, которые можно назначить удостоверениям агента, см. в разделе "Авторизация в Microsoft Entra Agent ID".
Примечание.
Если вы назначаете встроенную роль Microsoft Entra гостевого пользователя, гостевой пользователь получит те же разрешения, что и пользователь-участник. Сведения о разрешениях участника и гостевого пользователя по умолчанию см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra?
В списке Тип назначения в области Параметры членства выберите значение Допустимое или Активное.
Назначение допустимой роли означает, что участник роли должен выполнить определенное действие для использования этой роли. Действия могут включать выполнение проверки многофакторной проверки подлинности (MFA), предоставление бизнес-обоснования или запрос утверждения от назначенных утверждающих.
Назначение активной роли не предусматривает дополнительных действий члена для использования роли. Члены, назначенные активными, всегда имеют права, назначенные ролию.
Чтобы задать определенную длительность назначения, добавьте дату и время начала и окончания. По завершении нажмите кнопку Назначить, чтобы создать назначение роли.
Постоянные назначения не имеют даты окончания срока действия. Используйте этот параметр для постоянных сотрудников, которым часто требуются разрешения ролей.
Срочные задания истекают в конце указанного периода. Используйте этот параметр для временных или контрактных сотрудников, например, для которых известны дата и время окончания проекта.
Примечание.
Активное назначение ролей с привязкой к времени для роли глобального администратора не удаляется во время истечения срока действия, если для глобального администратора отсутствуют другие назначенные активные назначения ролей. Другими словами, если она назначена последней активной роли для роли глобального администратора, она останется. Аналогичным образом назначение ролей с привязкой к времени для роли глобального администратора не удаляется во время истечения срока действия, если для роли глобального администратора нет других назначений ролей глобального администратора, то есть, если это последнее назначение роли глобального администратора. Это делается, чтобы свести к минимуму риск того, что администраторы заблокируют себя из клиента случайно.
После назначения роли отобразится уведомление о состоянии назначения.
Выполните назначение роли с ограниченной областью
Для некоторых ролей область действия предоставленных разрешений может быть ограничена одной административной единицей, субъектом-службой или приложением. Эта процедура является примерной при назначении роли с областью административной единицы. Список ролей, которые поддерживают область действия через административную единицу, см. в разделе Назначение ролей в пределах административной единицы. Эта функция в настоящее время развертывается в организациях Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к Entra ID>Роли и администраторы.
Выберите Администратор пользователей.
Щелкните Добавить назначения.
На странице Добавить назначения можно выполнить следующие действия:
- Выбрать пользователя или группу, которым будет назначена роль.
- Выбрать область роли (в данном случае административные единицы).
- Выбрать административную единицу для области.
Если вы пытаетесь назначить пользовательскую роль, совместимую с административными единицами, вы не сможете назначить роль с областью административной единицы, начиная с страницы "Роли и администраторы ". Чтобы назначить настраиваемую роль с областью администрирования, необходимо сначала открыть административную единицу, а затем назначить роль. Дополнительные сведения см. в разделе "Назначение ролей с областью администрирования". Сведения о создании административных единиц см. в разделе "Создание или удаление административных единиц".
Назначение роли с помощью API Microsoft Graph
Дополнительные сведения об API-интерфейсах Microsoft Graph для PIM см. в разделе Общие сведения об управлении ролями с помощью API управления привилегированными пользователями (PIM).
Разрешения, необходимые для использования API PIM, приведены в статье Общие сведения об интерфейсах API Privileged Identity Management.
Назначение без даты окончания
В этом примере показан HTTP-запрос для создания подходящего назначения без даты окончания. Дополнительные сведения о командах API, включая примеры запросов на C# и JavaScript, см. в разделе Создание roleEligibilityScheduleRequests.
HTTP-запрос
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json
{
"action": "adminAssign",
"justification": "Permanently assign the Global Reader to the auditor",
"roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "noExpiration"
}
}
}
HTTP-ответ
В этом примере показан ответ. Объект ответа, показанный здесь, может быть сокращен для удобства.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
"id": "42159c11-45a9-4631-97e4-b64abdd42c25",
"status": "Provisioned",
"createdDateTime": "2022-05-13T13:40:33.2364309Z",
"completedDateTime": "2022-05-13T13:40:34.6270851Z",
"approvalId": null,
"customData": null,
"action": "adminAssign",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
"justification": "Permanently assign the Global Reader to the auditor",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T13:40:34.6270851Z",
"recurrence": null,
"expiration": {
"type": "noExpiration",
"endDateTime": null,
"duration": null
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Активное и временное
В примере показан HTTP-запрос для создания активного назначения с привязкой времени. Дополнительные сведения о командах API, включая примеры запросов на C# и JavaScript, см. в разделе Создание roleAssignmentScheduleRequests.
HTTP-запрос
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminAssign",
"justification": "Assign the Exchange Recipient Administrator to the mail admin",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
HTTP-ответ
В этом примере показан ответ. Объект ответа, показанный здесь, может быть сокращен для удобства.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
"status": "Provisioned",
"createdDateTime": "2022-05-13T14:01:48.0145711Z",
"completedDateTime": "2022-05-13T14:01:49.8589701Z",
"approvalId": null,
"customData": null,
"action": "adminAssign",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
"justification": "Assign the Exchange Recipient Administrator to the mail admin",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T14:01:49.8589701Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Обновление или удаление существующего назначения роли
Выполните следующие действия, чтобы обновить или удалить существующее назначение роли.
Вы не можете удалить последнее активное назначение ролей для глобальных администраторов. Рекомендуется иметь учетную запись аварийного доступа с активным назначением постоянных ролей для роли глобального администратора. Дополнительные сведения см. в разделе "Дополнительные сведения".
Вы не можете удалить соответствующее назначение ролей для глобальных администраторов, если для роли глобального администратора слева не назначены назначения ролей.
Это делается для минимизации рисков администраторов, блокируя себя из клиента непреднамеренно.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к управлению идентификацией>управлению привилегированными удостоверениями>ролям Microsoft Entra.
Выберите роли , чтобы просмотреть список ролей для идентификатора Microsoft Entra.
Щелкните роль, которую нужно обновить или удалить.
Найдите назначение роли на вкладках Доступные роли или Активные роли.
Нажмите кнопку Обновить или Удалить, чтобы обновить или удалить назначение роли.
Удаление соответствующего назначения посредством API Microsoft Graph
В этом примере показан HTTP-запрос на отзыв правомочного назначения роли от основного субъекта. Дополнительные сведения о командах API, включая примеры запросов на C# и JavaScript, см. в разделе Создание roleEligibilityScheduleRequests.
Запросить
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
{
"action": "AdminRemove",
"justification": "abcde",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
Ответ
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
"id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de",
"status": "Revoked",
"createdDateTime": "2021-07-15T20:23:23.85453Z",
"completedDateTime": null,
"approvalId": null,
"customData": null,
"action": "AdminRemove",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": null,
"justification": "test",
"scheduleInfo": null,
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}