Поделиться через

Активация ролей ресурсов Azure в службе "Управление привилегированными пользователями"

  • Практическое руководство

Используйте Microsoft Entra Privileged Identity Management (PIM), чтобы разрешить соответствующим членам роли для ресурсов Azure планировать активацию для будущих дат и времени. Они также могут выбрать определенную длительность активации в пределах максимальной (настроенной администраторами).

Эта статья предназначена для участников, которым необходимо активировать роль ресурса Azure в службе "Управление привилегированными пользователями".

Заметка

По состоянию на март 2023 г. вы можете активировать назначения и просмотреть доступ непосредственно из колонки за пределами PIM на портале Azure. Дополнительные сведения см. здесь.

Важный

При активации роли Microsoft Entra PIM временно добавляет активное назначение для роли. Microsoft Entra PIM создает активное назначение (назначает пользователя роли) в течение секунд. При деактивации (вручную или через истечение срока действия активации) Microsoft Entra PIM также удаляет активное назначение в течение секунд.

Приложение может предоставить доступ на основе роли пользователя. В некоторых ситуациях доступ к приложению может не сразу отразить тот факт, что пользователь получил роль, назначенную или удаленную. Если приложение ранее кэшировало тот факт, что пользователь не имеет роли , когда пользователь пытается получить доступ к приложению снова, доступ может не предоставляться. Аналогичным образом, если приложение ранее кэшировало тот факт, что у пользователя есть роль — когда роль деактивирована, пользователь может получить доступ. Конкретная ситуация зависит от архитектуры приложения. Для некоторых приложений выход и вход в систему могут помочь получить доступ к добавлению или удалению.

Необходимые компоненты

нет

Активация роли

Если вам нужно принять роль ресурса Azure, вы можете запросить активацию с помощью параметра навигации "Мои роли " в privileged Identity Management.

Заметка

PIM теперь доступен в мобильном приложении Azure (iOS | Android) для ролей ресурсов Microsoft Entra ID и Ресурсов Azure. Легко активировать подходящие назначения, продлить запросы для тех, которые истекают, или проверить состояние ожидающих запросов. Дополнительные сведения см. ниже

  1. Войдите в Центр администрирования Microsoft Entra.

  2. Перейдите к ролямуправления привилегированными удостоверениями управления>>идентификаторами.

    Снимок экрана: страница ролей с ролями, которые можно активировать.

  3. Выберите роли ресурсов Azure , чтобы просмотреть список соответствующих ролей ресурсов Azure.

    Снимок экрана: страница ролей ресурсов Azure.

  4. В списке ролей ресурсов Azure найдите роль, которую вы хотите активировать.

    Снимок экрана: роли ресурсов Azure — список соответствующих ролей.

  5. Выберите "Активировать" , чтобы открыть страницу "Активировать".

    Снимок экрана: открытая область активации с областью, временем начала, длительностью и причиной.

  6. Если для роли требуется многофакторная проверка подлинности, перед продолжением нажмите кнопку "Проверить удостоверение". Необходимо пройти проверку подлинности только один раз на сеанс.

  7. Выберите "Проверить мое удостоверение" и следуйте инструкциям, чтобы предоставить дополнительную проверку безопасности.

    Снимок экрана: проверка безопасности, например ПИН-код.

  8. Если вы хотите указать уменьшенную область, выберите область , чтобы открыть область фильтра ресурсов.

    Рекомендуется запрашивать доступ только к нужным ресурсам. В области фильтра ресурсов можно указать группы ресурсов или ресурсы, к которым требуется доступ.

    Снимок экрана: область

  9. При необходимости укажите пользовательское время начала активации. Элемент будет активирован после выбранного времени.

  10. В поле причина введите причину запроса на активацию.

  11. Выберите "Активировать".

    Заметка

    Если для активации роли требуется утверждение , в правом верхнем углу браузера появится уведомление, информирующее о том, что запрос ожидает утверждения.

Активация роли с помощью API Azure Resource Manager

Управление привилегированными удостоверениями поддерживает команды API Azure Resource Manager для управления ролями ресурсов Azure, как описано в справочнике по API PIM ARM. Разрешения, необходимые для использования API PIM, см. в разделе "Общие сведения об API управления привилегированными пользователями".

Чтобы активировать соответствующее назначение ролей Azure и получить активированный доступ, используйте запросы расписания назначения ролей. Создайте REST API для создания нового запроса и укажите субъект безопасности, определение роли, requestType = SelfActivate и область. Чтобы вызвать этот API, необходимо иметь соответствующее назначение роли в области.

Используйте средство GUID для создания уникального идентификатора для идентификатора назначения роли. Идентификатор имеет формат: 0000000000-0000-0000-0000-0000000000000000.

Замените {roleAssignmentScheduleRequestName} в запросе PUT идентификатором GUID назначения роли.

Дополнительные сведения о соответствующих ролях для управления ресурсами Azure см. в руководстве по API PIM ARM.

Это пример HTTP-запроса для активации подходящего назначения для роли Azure.

Просьба

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Текст запроса

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Ответ

Код состояния: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "[email protected]", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Просмотр состояния запросов

Вы можете просмотреть состояние ожидающих запросов для активации.

  1. Откройте Microsoft Entra Privileged Identity Management.

  2. Выберите "Мои запросы ", чтобы просмотреть список запросов на роль Microsoft Entra и роль ресурсов Azure.

    Снимок экрана: страница ресурсов Azure с ожидающих запросов.

  3. Прокрутите страницу справа, чтобы просмотреть столбец состояния запроса.

Отмена ожидающего запроса

Если вам не требуется активация роли, требующей утверждения, вы можете отменить ожидающий запрос в любое время.

  1. Откройте Microsoft Entra Privileged Identity Management.

  2. Выберите "Мои запросы".

  3. Для роли, которую требуется отменить, выберите ссылку "Отмена ".

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Снимок экрана: список запросов с выделенным действием

Деактивация назначения роли

При активации назначения роли на портале PIM отображается параметр деактивации для назначения ролей. Кроме того, вы не можете отключить назначение роли в течение пяти минут после активации.

Активация с помощью портала Azure

Активация роли управления привилегированными пользователями интегрирована в расширения управления выставлением счетов и доступом (AD) на портале Azure. Сочетания клавиш для подписок (выставления счетов) и управления доступом (AD) позволяют активировать роли PIM непосредственно из этих колонк.

В колонке "Подписки" выберите "Просмотреть соответствующие подписки" в горизонтальном меню команд, чтобы проверить соответствующие, активные и просроченные назначения. Оттуда можно активировать соответствующее назначение в той же области.

Снимок экрана: просмотр соответствующих подписок на странице

Снимок экрана: просмотр соответствующих подписок на странице

В элементе управления доступом (IAM) для ресурса теперь можно выбрать "Просмотреть мой доступ", чтобы просмотреть текущие активные и соответствующие назначения ролей и активировать напрямую.

Снимок экрана: текущие назначения ролей на странице измерения.

Интеграция возможностей PIM в разные колонки портала Azure позволяет получить временный доступ к просмотру или редактированию подписок и ресурсов.

Активация ролей PIM с помощью мобильного приложения Azure

PIM теперь доступен в мобильных приложениях Microsoft Entra ID и Azure resource role в iOS и Android.

  1. Чтобы активировать соответствующее назначение ролей Microsoft Entra, начните с скачивания мобильного приложения Azure (iOS | Android). Кроме того, вы можете скачать приложение, выбрав "Открыть в мобильном устройстве" из ролей "Управление > привилегированными пользователями" ролей > Microsoft Entra.

    Снимок экрана: скачивание мобильного приложения.

  2. Откройте мобильное приложение Azure и войдите в систему. Щелкните карточку "Управление привилегированными пользователями" и выберите роли "Мой ресурс Azure ", чтобы просмотреть соответствующие и активные назначения ролей.

    Снимок экрана: мобильное приложение с привилегированным управлением удостоверениями и ролями пользователя.

  3. Выберите назначение роли и нажмите кнопку "Активировать действие>" в разделе сведений о назначении роли. Выполните действия, чтобы активировать и заполнить все необходимые сведения, прежде чем нажать кнопку "Активировать " в нижней части экрана.

    Снимок экрана: мобильное приложение с завершением процесса проверки. На изображении показана кнопка

  4. Просмотрите состояние запросов активации и назначений ролей в разделе "Мои роли ресурсов Azure".

    Снимок экрана: мобильное приложение с сообщением о активации.

Связанный контент