Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Если у вас есть лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra ID, Microsoft Entra Управление привилегированными идентификациями (PIM) интегрировано в шаги назначения ролей. Например, можно назначить роли пользователям в течение ограниченного периода времени. Вы также можете сделать пользователей подходящими для назначений ролей, чтобы они должны активировать эту роль, например утверждение запроса. Допустимые назначения ролей предоставляют доступ к роли по запросу на ограниченное время.
В этой статье описывается интеграция управления доступом на основе ролей Azure (Azure RBAC) и Microsoft Entra управление привилегированными пользователями (PIM) для создания подходящих и привязанных к времени назначений ролей.
Функции PIM
Если у вас есть PIM, вы можете создать назначения ролей, которые соответствуют требованиям и имеют ограниченный срок действия, с помощью страницы Управление доступом (IAM) в портале Azure. Вы можете создавать доступные назначения ролей для пользователей, но нельзя создавать доступные назначения ролей для приложений, служебных принципалов или управляемых удостоверений, так как они не могут выполнять шаги активации. На странице управления доступом (IAM) можно создать назначения ролей с правом использования на уровне группы управления, подписки и группы ресурсов, но не на уровне самого ресурса.
Ниже приведен пример вкладки "Тип назначения" при добавлении назначения роли с помощью страницы управления доступом (IAM). Эта возможность развертывается поэтапно, поэтому она может быть недоступна в вашем клиенте, или ваш интерфейс может выглядеть иначе.
Параметры типа назначения, доступные для вас, могут отличаться в зависимости от политики PIM. Например, политика PIM определяет, можно ли создавать постоянные назначения, максимальную длительность назначения с привязкой к времени, требования к активации ролей (утверждение, многофакторную проверку подлинности или контекст проверки подлинности условного доступа) и другие параметры. Дополнительные сведения см. в разделе "Настройка параметров роли ресурсов Azure" в Управление привилегированными удостоверениями.
У пользователей с соответствующими и (или) ограниченными по времени назначениями должна быть действующая лицензия. Если вы не хотите использовать функцию PIM, выберите тип активного назначения и параметры длительности постоянного назначения. Эти параметры создают назначение ролей, где участник всегда обладает правами роли.
Чтобы лучше понять PIM, ознакомьтесь со следующими условиями.
| Термин или понятие | Категория назначения ролей | Описание |
|---|---|---|
| имеющий право | Тип | Назначение роли, в соответствии с которым пользователь должен выполнить одно или несколько действий для использования роли. Назначение роли пользователю означает, что он может активировать роль, когда ему необходимо выполнить привилегированные задачи. Доступы, предоставленные пользователю с постоянной ролью и пользователю с временной ролью, ничем не отличаются. Единственное различие состоит в том, что некоторым людям доступ не требуется постоянно. |
| активный | Тип | Назначение роли, которое не требует от пользователя выполнения каких-либо действий для ее использования. Пользователи, назначенные в качестве активных, имеют все полномочия, присвоенные роли. |
| активировать | Процесс выполнения одного или нескольких действий для использования роли, на которую имеет право пользователь. Действия могут включать выполнение многофакторной проверки подлинности (MFA), предоставление бизнес-обоснования или запрос утверждения от назначенных утверждающих лиц. | |
| постоянно допустимый | Продолжительность | Назначение роли, где пользователь всегда имеет право активировать роль. |
| постоянно активно | Продолжительность | Назначение роли, где пользователь всегда может использовать роль, не выполняя каких-либо действий. |
| допустимое ограничение по времени | Продолжительность | Назначение роли, когда пользователь может активировать роль только в период между указанными датами начала и окончания. |
| активный в течение ограниченного времени | Продолжительность | Назначение роли, когда пользователь может использовать роль только в течение указанных дат начала и окончания. |
| Доступ "по требованию" (JIT) | Это модель, в которой пользователи получают временные разрешения для выполнения привилегированных задач, что не позволяет злоумышленникам или неавторизованным пользователям получить доступ по истечении срока действия разрешения. Доступ предоставляется только в том случае, если он необходим пользователю. | |
| Принцип доступа с минимальными привилегиями | Рекомендуемый метод обеспечения безопасности, когда каждому пользователю предоставляются только минимальные привилегии, необходимые для выполнения задач, которые ему разрешено выполнять. Такой подход позволяет свести к минимуму количество глобальных администраторов. Вместо этого используются определенные роли администратора для конкретных сценариев. |
Дополнительные сведения см. в статье "Что такое Управление привилегированными пользователями Microsoft Entra"
Перечисление подходящих и привязанных к времени назначений ролей
Если вы хотите узнать, какие пользователи используют функцию PIM, ниже приведены варианты перечисления подходящих и привязанных к времени назначений ролей.
Вариант 1: Список с помощью портала Azure
Войдите на портал Azure, откройте страницу управления доступом (IAM) и перейдите на вкладку "Назначения ролей".
Отфильтруйте подходящие и привязанные к времени назначения ролей.
Вы можете группировать и сортировать по State, и искать назначения ролей, которые не являются типом Active permanent.
Вариант 2. Перечисление с помощью PowerShell
Существует не одна команда PowerShell, которая может перечислять как подходящие, так и активные назначения ролей с привязкой к времени. Чтобы вывести список подходящих назначений ролей, используйте команду Get-AzRoleEligibilitySchedule . Чтобы вывести список активных назначений ролей, используйте команду Get-AzRoleAssignmentSchedule .
В этом примере показано, как вывести список подходящих и привязанных к времени назначений ролей в подписке, включающую следующие типы назначений ролей:
- Допустимый постоянный
- Допустимые сроки
- Активная привязка к времени
Команда Where-Object фильтрует активные постоянные назначения ролей, доступные с помощью функций Azure RBAC без PIM.
Get-AzRoleEligibilitySchedule -Scope /subscriptions/<subscriptionId>
Get-AzRoleAssignmentSchedule -Scope /subscriptions/<subscriptionId> | Where-Object {$_.EndDateTime -ne $null }
Сведения о том, как создаются области, см. в разделе "Общие сведения о области" для Azure RBAC.
Преобразование допустимых и привязанных к времени назначений ролей в активные постоянные
Если у вашей организации есть процессные или регламентные причины для ограничения использования PIM, ниже представлены варианты преобразования этих назначений ролей в активные постоянные.
Вариант 1. Преобразование с помощью портал Azure
В портале Azure на вкладке "Назначения ролей" и в столбце "Состояние" выберите ссылки правомочные постоянные, правомочные ограниченные по времени и активные ограниченные по времени для каждого назначения роли, которые вы хотите преобразовать.
В области "Изменить назначение" выберите "Активный" для типа назначения и "Постоянная" в течение длительности назначения.
Дополнительные сведения см. в разделе "Изменение назначения".
После завершения выберите Сохранить.
Обновления могут занять некоторое время, чтобы обрабатываться и отражаться на портале.
Повторите эти действия для всех назначений ролей в области групп управления, подписки и групп ресурсов, которые необходимо преобразовать.
Если у вас есть назначения ролей в области ресурсов, которую вы хотите преобразовать, необходимо внести изменения непосредственно в PIM.
Вариант 2. Преобразование с помощью PowerShell
Нет команды или API для непосредственного преобразования назначений ролей в другое состояние или тип, поэтому вместо этого можно выполнить следующие действия.
Внимание
Удаление назначений ролей может потенциально привести к сбоям в вашей среде. Перед выполнением этих действий убедитесь, что вы понимаете влияние.
Извлеките и сохраните список всех соответствующих и привязанных к времени назначений ролей в безопасном расположении, чтобы предотвратить потерю данных.
Внимание
Важно сохранить список подходящих и привязанных к времени назначений ролей, так как эти действия требуют удаления этих назначений ролей перед созданием таких назначений ролей, как активные постоянные.
Используйте команду New-AzRoleEligibilityScheduleRequest, чтобы удалить соответствующие назначения ролей.
В этом примере показано, как удалить правомерное назначение роли.
$guid = New-Guid New-AzRoleEligibilityScheduleRequest -Name $guid -Scope <Scope> -PrincipalId <PrincipalId> -RoleDefinitionId <RoleDefinitionId> -RequestType AdminRemoveИспользуйте команду New-AzRoleAssignmentScheduleRequest, чтобы удалить активные назначения ролей с привязкой к времени.
В этом примере показано, как удалить активное назначение ролей с привязкой к времени.
$guid = New-Guid New-AzRoleAssignmentScheduleRequest -Name $guid -Scope <Scope> -PrincipalId <PrincipalId> -RoleDefinitionId <RoleDefinitionId> -RequestType AdminRemoveИспользуйте команду Get-AzRoleAssignment, чтобы проверить наличие существующего назначения ролей и использовать команду New-AzRoleAssignment, чтобы создать активное назначение постоянной роли с помощью Azure RBAC для каждого подходящего и ограниченного времени назначения ролей.
В этом примере показано, как проверить наличие существующего назначения ролей и создать активное назначение постоянной роли с помощью Azure RBAC.
$result = Get-AzRoleAssignment -ObjectId $RA.PrincipalId -RoleDefinitionName $RA.RoleDefinitionDisplayName -Scope $RA.Scope; if($result -eq $null) { New-AzRoleAssignment -ObjectId $RA.PrincipalId -RoleDefinitionName $RA.RoleDefinitionDisplayName -Scope $RA.Scope }
Как ограничить создание подходящих или привязанных к времени назначений ролей
Если у вашей организации есть причины, связанные с процессами или соблюдением требований, чтобы ограничить использование PIM, можно использовать политику Azure, чтобы ограничить создание применимых или ограниченных по времени назначений ролей. Дополнительные сведения см. в статье "Что такое политика Azure"?
Приведен пример политики, ограничивающей создание допустимых и привязанных ко времени назначений ролей, за исключением определенного списка идентичностей. Дополнительные параметры и проверки можно добавить для других условий разрешения.
{
"properties": {
"displayName": "Limit eligible and active time-bound role assignments except for allowed principal IDs",
"policyType": "Custom",
"mode": "All",
"metadata": {
"createdBy": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"createdOn": "2024-11-05T02:31:25.1246591Z",
"updatedBy": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"updatedOn": "2024-11-06T07:58:17.1699721Z"
},
"version": "1.0.0",
"parameters": {
"allowedPrincipalIds": {
"type": "Array",
"metadata": {
"displayName": "Allowed Principal IDs",
"description": "A list of principal IDs that can receive PIM role assignments."
},
"defaultValue": []
}
},
"policyRule": {
"if": {
"anyof": [
{
"allOf": [
{
"field": "type",
"equals": "Microsoft.Authorization/roleEligibilityScheduleRequests"
},
{
"not": {
"field": "Microsoft.Authorization/roleEligibilityScheduleRequests/principalId",
"in": "[parameters('allowedPrincipalIds')]"
}
}
]
},
{
"allOf": [
{
"field": "type",
"equals": "Microsoft.Authorization/roleAssignmentScheduleRequests"
},
{
"not": {
"field": "Microsoft.Authorization/roleAssignmentScheduleRequests/principalId",
"in": "[parameters('allowedPrincipalIds')]"
}
}
]
}
]
},
"then": {
"effect": "deny"
}
},
"versions": [
"1.0.0"
]
},
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4ef/providers/Microsoft.Authorization/policyDefinitions/1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"type": "Microsoft.Authorization/policyDefinitions",
"name": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"systemData": {
"createdBy": "test1@contoso.com",
"createdByType": "User",
"createdAt": "2024-11-05T02:31:25.0836273Z",
"lastModifiedBy": "test1@contoso.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2024-11-06T07:58:17.1651655Z"
}
}
Сведения о свойствах ресурсов PIM см. в следующих документах REST API:
Для получения сведений о том, как назначить политики Azure с параметрами, см. раздел Учебник: Создание и управление политиками для обеспечения соответствия.