Aktivace role Microsoft Entra v PIM

  • Postupy

Microsoft Entra Privileged Identity Management (PIM) zjednodušuje správu privilegovaného přístupu k prostředkům v Microsoft Entra ID a dalších online služby Microsoftu, jako je Microsoft 365 nebo Microsoft Intune.

Pokud máte nárok na roli správce, musíte přiřazení role aktivovat , když potřebujete provádět privilegované akce. Pokud například občas spravujete funkce Microsoftu 365, správci privilegovaných rolí vaší organizace vás nemusí stát trvalým globálním správcem, protože tato role má vliv i na jiné služby. Místo toho by vám způsobily role Microsoft Entra, jako je správce Exchange Online. Můžete požádat o aktivaci této role, pokud potřebujete její oprávnění, a pak mít kontrolu nad správcem pro předem určené časové období.

Tento článek je určený pro správce, kteří potřebují aktivovat svoji roli Microsoft Entra ve službě Privileged Identity Management. I když každý uživatel může odeslat žádost o roli, kterou potřebuje, prostřednictvím PIM bez role Správce privilegovaných rolí (PRA), tato role se vyžaduje ke správě a přiřazování rolí ostatním uživatelům v organizaci.

Důležité

Při aktivaci role microsoft Entra PIM dočasně přidá aktivní přiřazení pro tuto roli. Microsoft Entra PIM vytvoří aktivní přiřazení (přiřadí uživatele k roli) během několika sekund. Když dojde k deaktivaci (ruční nebo prostřednictvím vypršení platnosti doby aktivace), Microsoft Entra PIM odebere aktivní přiřazení během sekund.

Aplikace může poskytnout přístup na základě role, která má uživatel. V některých situacích nemusí přístup k aplikacím okamžitě odrážet skutečnost, že uživatel získal přiřazenou nebo odebranou roli. Pokud aplikace dříve ukážela skutečnost, že uživatel nemá roli – když se uživatel pokusí znovu získat přístup k aplikaci, nemusí být poskytnut přístup. Podobně platí, že pokud aplikace dříve ukážela do mezipaměti skutečnost, že uživatel má roli – když je role deaktivována, může uživatel stále získat přístup. Konkrétní situace závisí na architektuře aplikace. U některých aplikací může přihlášení a přihlášení pomoct získat přístup přidaný nebo odebraný.

Požadavky

Nic

Aktivace role

Pokud potřebujete předpokládat roli Microsoft Entra, můžete požádat o aktivaci otevřením mých rolí ve službě Privileged Identity Management.

Poznámka:

PIM je teď k dispozici v mobilní aplikaci Azure (iOS | Android) pro Microsoft Entra ID a role prostředků Azure. Můžete snadno aktivovat opravňující přiřazení, požádat o prodloužení platnosti těch, kterým vyprší platnost, nebo zkontrolovat stav nevyřízených žádostí. Další informace najdete níže.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Přejděte do části Zásady správného řízení>identit Privileged Identity Management>Moje role. Informace o tom, jak přidat dlaždici Privileged Identity Management na řídicí panel, najdete v tématu Začínáme používat Privileged Identity Management.

  3. Výběrem rolí Microsoft Entra zobrazíte seznam vašich oprávněných rolí Microsoft Entra.

    Stránka Moje role zobrazující role, které můžete aktivovat

  4. V seznamu rolí Microsoft Entra vyhledejte roli, kterou chcete aktivovat.

    Role Microsoft Entra – Seznam oprávněných rolí

  5. Výběrem možnosti Aktivovat otevřete podokno Aktivovat.

    Role Microsoft Entra – aktivační stránka obsahuje dobu trvání a rozsah

  6. Vyberte Další požadované ověření a postupujte podle pokynů k ověření zabezpečení. Ověření se vyžaduje jenom jednou pro každou relaci.

    Obrazovka pro zajištění ověření zabezpečení, jako je kód PIN

  7. Po vícefaktorové ověřování vyberte Aktivovat, než budete pokračovat.

    Ověření identity pomocí vícefaktorového ověřování před aktivací role

  8. Pokud chcete zadat omezený obor, otevřete podokno filtru výběrem možnosti Obor . V podokně filtru můžete zadat prostředky Microsoft Entra, ke kterým potřebujete přístup. Osvědčeným postupem je požádat o přístup k nejmenším prostředkům, které potřebujete.

  9. V případě potřeby zadejte vlastní počáteční čas aktivace. Po vybraném čase by byla aktivována role Microsoft Entra.

  10. Do pole Důvod zadejte důvod žádosti o aktivaci.

  11. Vyberte Aktivovat.

    Pokud role vyžaduje schválení k aktivaci, zobrazí se v pravém horním rohu prohlížeče oznámení s informací, že žádost čeká na schválení.

    Žádost o aktivaci čeká na schválení

    Aktivace role pomocí rozhraní Microsoft Graph API

    Další informace o rozhraních Microsoft Graph API pro PIM najdete v tématu Přehled správy rolí prostřednictvím rozhraní API pro správu privilegovaných identit (PIM).

    Získejte všechny oprávněné role, které můžete aktivovat.

    Když uživatel získá nárok na svou roli prostřednictvím členství ve skupině, tato žádost o Microsoft Graph nevrací jeho způsobilost.

    Žádost HTTP

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

    Odpověď protokolu HTTP

    Abychom ušetřili místo, zobrazujeme jenom odpověď pro jednu roli, ale všechna oprávněná přiřazení rolí, která můžete aktivovat, budou uvedená.

    {
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

    Samoobslužná aktivace nároku na roli s odůvodněním

    Žádost HTTP

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

    Odpověď protokolu HTTP

    HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Zobrazení stavu žádostí o aktivaci

Můžete zobrazit stav čekajících žádostí o aktivaci.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Přejděte do služby Identity Governance>Privileged Identity Management>Moje požadavky.

  3. Když vyberete Moje požadavky , zobrazí se seznam vaší role Microsoft Entra a žádostí o role prostředků Azure.

    Snímek obrazovky se stránkou Moje žádosti – ID Microsoft Entra zobrazující čekající žádosti

  4. Posuňte se doprava a zobrazte sloupec Stav požadavku.

Zrušení čekající žádosti o novou verzi

Pokud nevyžadujete aktivaci role, která vyžaduje schválení, můžete žádost čekající na vyřízení kdykoli zrušit.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Přejděte do služby Identity Governance>Privileged Identity Management>Moje požadavky.

  3. U role, kterou chcete zrušit, vyberte odkaz Zrušit .

    Když vyberete Zrušit, žádost se zruší. Pokud chcete roli aktivovat znovu, musíte odeslat novou žádost o aktivaci.

    Seznam žádostí se zvýrazněnou akcí Zrušit

Deaktivace přiřazení role

Po aktivaci přiřazení role se na portálu PIM pro přiřazení role zobrazí možnost Deaktivovat . Přiřazení role také nemůžete deaktivovat během pěti minut po aktivaci.

Aktivace rolí PIM pomocí mobilní aplikace Azure

PIM je teď k dispozici v mobilních aplikacích Microsoft Entra ID a Role prostředků Azure v iOSu i Androidu.

  1. Pokud chcete aktivovat oprávněné přiřazení role Microsoft Entra, začněte stažením mobilní aplikace Azure (iOS | Android). Aplikaci si můžete stáhnout také výběrem možnosti Otevřít v mobilní aplikaci z role Privileged Identity Management > My role > Microsoft Entra.

    Snímek obrazovky ukazuje, jak stáhnout mobilní aplikaci.

  2. Otevřete mobilní aplikaci Azure a přihlaste se. Vyberte kartu Privileged Identity Management a vyberte Moje role Microsoft Entra, abyste zobrazili oprávněná a aktivní přiřazení rolí.

    Snímky obrazovky mobilní aplikace ukazující, jak by uživatel zobrazil dostupné role

  3. Vyberte přiřazení role a v podrobnostech o přiřazení role klikněte na Aktivovat akci>. Před kliknutím na Aktivovat v dolní části dokončete kroky pro aktivní a vyplňte všechny požadované podrobnosti.

    Snímek obrazovky mobilní aplikace zobrazující uživatele, jak vyplnit požadované informace

  4. Podívejte se na stav žádostí o aktivaci a přiřazení rolí v části Moje role Microsoft Entra.

    Snímek obrazovky mobilní aplikace zobrazující stav role uživatele

Související obsah