Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Entra управление привилегированными пользователями (PIM) упрощает управление привилегированным доступом к ресурсам в идентификаторе Microsoft Entra и других веб-службы Майкрософт, таких как Microsoft 365 или Microsoft Intune.
Если вы получили право на административную роль, необходимо активировать назначение роли, когда необходимо выполнить привилегированные действия. Например, если вы иногда управляете функциями Microsoft 365, администраторы привилегированных ролей вашей организации могут не сделать вас постоянным глобальным администратором, так как эта роль влияет на другие службы. Вместо этого они сделают вас подходящими для ролей Microsoft Entra, таких как администратор Exchange Online. Вы можете запросить активацию этой роли, если требуется его привилегии, а затем иметь управление администратором в течение предопределенного периода времени.
Эта статья предназначена для администраторов, которым требуется активировать свои роли в компоненте управления привилегированными пользователями Microsoft Entra. Хотя любой пользователь может отправить запрос на роль, необходимую через PIM, без роли администратора привилегированных ролей (PRA), эта роль необходима для управления ролями и назначения ролей другим пользователям в организации.
Внимание
При активации роли Microsoft Entra PIM временно добавляет активное назначение для роли. Microsoft Entra PIM создает активное назначение (назначает пользователя роли) в течение секунд. При деактивации (вручную или через истечение срока действия активации) Microsoft Entra PIM также удаляет активное назначение в течение секунд.
Приложение может предоставить доступ на основе роли пользователя. В некоторых ситуациях доступ к приложению может не сразу отразить тот факт, что пользователь получил роль, назначенную или удаленную. Если приложение ранее кэшировало тот факт, что пользователь не имеет роли , когда пользователь пытается получить доступ к приложению снова, доступ может не предоставляться. Аналогичным образом, если приложение ранее кэшировало тот факт, что у пользователя есть роль — когда роль деактивирована, пользователь может получить доступ. Конкретная ситуация зависит от архитектуры приложения. Для некоторых приложений выход и вход в систему могут помочь получить доступ к добавлению или удалению.
Внимание
Если пользователь, активировав административную роль, вошел в Microsoft Teams на мобильном устройстве, он получит уведомление от приложения Teams с сообщением "Открыть Teams для продолжения получения уведомлений по <адресу> электронной почты" или "<адрес> электронной почты должен войти в систему, чтобы просмотреть уведомления". Пользователю потребуется открыть приложение Teams для продолжения получения уведомлений. Это поведение является намеренным.
Необходимые компоненты
нет
Активация роли
Если необходимо принять роль Microsoft Entra, вы можете запросить активацию, открыв мои роли в Службе управления привилегированными пользователями.
Примечание.
PIM теперь доступен в мобильном приложении Azure (iOS | Android) для ролей ресурсов Microsoft Entra ID и Ресурсов Azure. Легко активировать подходящие назначения, продлить запросы для тех, которые истекают, или проверить состояние ожидающих запросов. Подробнее
Войдите в Центр администрирования Microsoft Entra в качестве пользователя, имеющего соответствующее назначение ролей.
Перейдите к ролямуправления привилегированными удостоверениями управления>>идентификаторами. Сведения о добавлении плитки "Управление привилегированными пользователями" на панель мониторинга см. в статье "Начало работы с привилегированным управлением удостоверениями".
Выберите роли Microsoft Entra , чтобы просмотреть список соответствующих ролей Microsoft Entra.
В списке ролей Microsoft Entra найдите роль, которую вы хотите активировать.
Нажмите кнопку "Активировать" , чтобы открыть панель активации.
Выберите дополнительную проверку и следуйте инструкциям, чтобы обеспечить проверку безопасности. Проверка подлинности требуется лишь один раз за сеанс.
После многофакторной проверки подлинности нажмите кнопку "Активировать", прежде чем продолжить.
Если вы хотите указать сокращенную область, выберите область , чтобы открыть область фильтра. На панели фильтров можно указать ресурсы Microsoft Entra, к которым требуется доступ. Рекомендуется запрашивать доступ к, возможно, меньшему количеству ресурсов, которые вам нужны.
При необходимости укажите время начала настраиваемой активации. Роль Microsoft Entra будет активирована после выбранного времени.
В поле причина
введите причину запроса на активацию. Выберите "Активировать".
Если роль требует утверждения для активации, в правом верхнем углу браузера появится уведомление, информирующее о том, что запрос ожидает утверждения.
Активация роли с помощью API Microsoft Graph
Дополнительные сведения об API Microsoft Graph для PIM см. в обзоре управления ролями с помощью API управления привилегированными удостоверениями (PIM).
Получение всех подходящих ролей, которые можно активировать
Когда пользователь получает право на членство в группе, этот запрос Microsoft Graph не возвращает его права.
HTTP-запрос
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')HTTP-ответ
Для экономии места мы показываем в ответе только одну роль, но здесь будут перечислены все подходящие назначения ролей, которые вы можете активировать.
{ "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)", "value": [ { "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest", "id": "50d34326-f243-4540-8bb5-2af6692aafd0", "status": "Provisioned", "createdDateTime": "2022-04-12T18:26:08.843Z", "completedDateTime": "2022-04-12T18:26:08.89Z", "approvalId": null, "customData": null, "action": "adminAssign", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4", "directoryScopeId": "/", "appScopeId": null, "isValidationOnly": false, "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0", "justification": "Assign Attribute Assignment Admin eligibility to myself", "createdBy": { "application": null, "device": null, "user": { "displayName": null, "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" } }, "scheduleInfo": { "startDateTime": "2022-04-12T18:26:08.8911834Z", "recurrence": null, "expiration": { "type": "afterDateTime", "endDateTime": "2024-04-10T00:00:00Z", "duration": null } }, "ticketInfo": { "ticketNumber": null, "ticketSystem": null } } ] }Самостоятельная активация права на роль с помощью подачи обоснования
HTTP-запрос
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests { "action": "selfActivate", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4", "directoryScopeId": "/", "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs", "scheduleInfo": { "startDateTime": "2022-04-14T00:00:00.000Z", "expiration": { "type": "AfterDuration", "duration": "PT5H" } }, "ticketInfo": { "ticketNumber": "CONTOSO:Normal-67890", "ticketSystem": "MS Project" } }HTTP-ответ
HTTP/1.1 201 Created Content-Type: application/json { "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity", "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d", "status": "Granted", "createdDateTime": "2022-04-13T08:52:32.6485851Z", "completedDateTime": "2022-04-14T00:00:00Z", "approvalId": null, "customData": null, "action": "selfActivate", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4", "directoryScopeId": "/", "appScopeId": null, "isValidationOnly": false, "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d", "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs", "createdBy": { "application": null, "device": null, "user": { "displayName": null, "id": "071cc716-8147-4397-a5ba-b2105951cc0b" } }, "scheduleInfo": { "startDateTime": "2022-04-14T00:00:00Z", "recurrence": null, "expiration": { "type": "afterDuration", "endDateTime": null, "duration": "PT5H" } }, "ticketInfo": { "ticketNumber": "CONTOSO:Normal-67890", "ticketSystem": "MS Project" } }
Просмотр состояния запросов активации
Вы можете просмотреть состояние запросов, ожидающих активации.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к запросууправления привилегированными удостоверениями управления>>идентификаторами.
При выборе "Мои запросы" отображается список запросов роли Microsoft Entra и роли ресурсов Azure.
Прокрутите страницу справа, чтобы просмотреть столбец состояния запроса.
Отмена ожидающего запроса для новой версии
Если вам не нужна активация роли, требующая утверждения, вы можете в любой момент отменить такой запрос.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к запросууправления привилегированными удостоверениями управления>>идентификаторами.
Для роли, которую требуется отменить, выберите ссылку "Отмена ".
При нажатии кнопки "Отмена" запрос отменяется. Чтобы снова активировать роль, необходимо отправить новый запрос на активацию.
Деактивация назначения роли
При активации назначения роли на портале PIM отображается параметр деактивации для назначения ролей. Кроме того, невозможно деактивировать назначение роли в течение пяти минут после активации.
Активация ролей PIM с помощью мобильного приложения Azure
PIM теперь доступен в мобильных приложениях Microsoft Entra ID и Azure resource role в iOS и Android.
Чтобы активировать соответствующее назначение ролей Microsoft Entra, начните с скачивания мобильного приложения Azure (iOS | Android). Вы также можете скачать приложение, выбрав "Открыть в мобильном режиме" из управление привилегированными пользователями > мои роли > Microsoft Entra.
Откройте мобильное приложение Azure и войдите в систему. Выберите карточку управления привилегированными пользователями и выберите роли "Мои записи Майкрософт ", чтобы просмотреть соответствующие и активные назначения ролей.
Выберите назначение роли и нажмите кнопку > действие" в разделе сведений о назначении роли. Выполните действия, чтобы активировать и заполнить все необходимые сведения, прежде чем нажать кнопку "Активировать" в нижней части экрана.
Просмотрите состояние запросов на активацию и назначения ролей в ролях My Microsoft Entra.
