PIM'de Microsoft Entra rolünü etkinleştirme

  • Nasıl yapılır

Microsoft Entra Privileged Identity Management (PIM), kuruluşların Microsoft Entra Id ve Microsoft 365 veya Microsoft Intune gibi diğer Microsoft çevrimiçi hizmetler kaynaklara ayrıcalıklı erişimi yönetme şeklini basitleştirir.

Yönetici rolü için uygun hale getirildiyseniz, ayrıcalıklı eylemler gerçekleştirmeniz gerektiğinde rol atamasını etkinleştirmeniz gerekir. Örneğin, microsoft 365 özelliklerini zaman zaman yönetiyorsanız, kuruluşunuzun Ayrıcalıklı Rol Yöneticileri sizi kalıcı bir Genel Yönetici yapamayabilir çünkü bu rol diğer hizmetleri de etkileyebilir. Bunun yerine, sizi Exchange Online Yöneticisi gibi Microsoft Entra rollerine uygun hale getirir. Ayrıcalıklarına ihtiyacınız olduğunda bu rolü etkinleştirmeyi isteyebilir ve ardından önceden belirlenmiş bir zaman aralığı için yönetici denetimine sahip olabilirsiniz.

Bu makale Privileged Identity Management’ta Microsoft Entra rolünü etkinleştirmesi gereken yöneticilere yöneliktir. Herhangi bir kullanıcı, Ayrıcalıklı Rol Yöneticisi (PRA) rolüne sahip olmadan PIM aracılığıyla ihtiyaç duyduğu rol için bir istek gönderese de, bu rol kuruluştaki diğer kullanıcılara rolleri yönetmek ve atamak için gereklidir.

Önemli

Bir rol etkinleştirildiğinde, Microsoft Entra PIM rol için geçici olarak etkin atama ekler. Microsoft Entra PIM, saniyeler içinde etkin atama oluşturur (kullanıcıyı bir role atar). Devre dışı bırakma (el ile veya etkinleştirme süresi sona erdiğinde), Microsoft Entra PIM etkin atamayı saniyeler içinde de kaldırır.

Uygulama, kullanıcının sahip olduğu role göre erişim sağlayabilir. Bazı durumlarda uygulama erişimi, kullanıcının rol atandığı veya kaldırıldığı gerçeğini hemen yansıtmayabilir. Uygulama daha önce kullanıcının bir rolü olmadığı gerçeğini önbelleğe aldıysa ; kullanıcı uygulamaya yeniden erişmeye çalıştığında erişim sağlanmayabilir. Benzer şekilde, uygulama daha önce kullanıcının bir rolü olduğu gerçeğini önbelleğe aldıysa ; rol devre dışı bırakıldığında, kullanıcı yine de erişim alabilir. Belirli bir durum uygulamanın mimarisine bağlıdır. Bazı uygulamalarda oturumu kapatıp yeniden oturum açmak, erişimin eklenmesine veya kaldırılmasına yardımcı olabilir.

Önkoşullar

Hiçbiri

Rolü etkinleştirme

Microsoft Entra rolünü üstlenmeniz gerektiğinde, Privileged Identity Management'ta Rollerim'i açarak etkinleştirme isteğinde bulunabilirsiniz.

Not

PIM artık Azure mobil uygulamasında (iOS | Android), Microsoft Entra Id ve Azure kaynak rolleri için. Uygun atamaları kolayca etkinleştirin, süresi dolanlar için yenileme isteyin veya bekleyen isteklerin durumunu denetleyin. Aşağıda daha fazla bilgi bulabilirsiniz

  1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  2. Kimlik idaresi>Ayrıcalıklı Kimlik Yönetimi>Rollerim'e göz atın. Privileged Identity Management kutucuğunu panonuza ekleme hakkında bilgi için bkz . Privileged Identity Management'ı kullanmaya başlama.

  3. Uygun Microsoft Entra rollerinizin listesini görmek için Microsoft Entra rollerini seçin.

    Etkinleştirebileceğiniz rolleri gösteren Rollerim sayfası

  4. Microsoft Entra rolleri listesinde etkinleştirmek istediğiniz rolü bulun.

    Microsoft Entra rolleri - Uygun roller listem

  5. Etkinleştir bölmesini açmak için Etkinleştir'i seçin.

    Microsoft Entra rolleri - etkinleştirme sayfası süre ve kapsam içerir

  6. Ek doğrulama gerekli'yi seçin ve güvenlik doğrulaması sağlamak için yönergeleri izleyin. Oturum başına yalnızca bir kez kimlik doğrulaması yapmanız gerekir.

    PIN kodu gibi güvenlik doğrulaması sağlayan ekran

  7. Çok faktörlü kimlik doğrulamasının ardından devam etmeden önce Etkinleştir'i seçin.

    Rol etkinleştirilmeden önce kimliğimi MFA ile doğrulama

  8. Azaltılmış bir kapsam belirtmek istiyorsanız Kapsam'ı seçerek filtre bölmesini açın. Filtre bölmesinde, erişmeniz gereken Microsoft Entra kaynaklarını belirtebilirsiniz. İhtiyacınız olan en az kaynağa erişim istemek en iyi yöntemdir.

  9. Gerekirse, özel bir etkinleştirme başlangıç zamanı belirtin. Microsoft Entra rolü seçilen süreden sonra etkinleştirilir.

  10. Neden kutusuna etkinleştirme isteğinin nedenini girin.

  11. Etkinleştir'i seçin.

    Rolün etkinleştirilmesi için onay gerekiyorsa, tarayıcınızın sağ üst köşesinde isteğin onay beklediğini bildiren bir bildirim görüntülenir.

    Etkinleştirme isteği onay bildirimini bekliyor

    Microsoft Graph API'sini kullanarak rolü etkinleştirme

    PIM için Microsoft Graph API'leri hakkında daha fazla bilgi için bkz . Ayrıcalıklı kimlik yönetimi (PIM) API'sini kullanarak rol yönetimine genel bakış.

    Etkinleştirebileceğiniz tüm uygun rolleri alma

    Bir kullanıcı grup üyeliği aracılığıyla rol uygunluğu aldığında, bu Microsoft Graph isteği uygunluk durumunu döndürmez.

    HTTP isteği

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

    HTTP yanıtı

    Alandan tasarruf etmek için yalnızca bir rolün yanıtını gösteriyoruz, ancak etkinleştirebileceğiniz tüm uygun rol atamaları listelenir.

    {
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

    Bir rolün uygunluğunu gerekçelendirmeyle kendi kendine etkinleştirme

    HTTP isteği

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

    HTTP yanıtı

    HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Etkinleştirme isteklerinin durumunu görüntüleme

Etkinleştirmek için bekleyen isteklerinizin durumunu görüntüleyebilirsiniz.

  1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  2. Kimlik idaresi>Ayrıcalıklı Kimlik Yönetimi>İsteklerim'e göz atın.

  3. İsteklerim'i seçtiğinizde Microsoft Entra rolünüzün ve Azure kaynak rolü isteklerinizin listesini görürsünüz.

    Bekleyen isteklerinizi gösteren İsteklerim - Microsoft Entra Id sayfasının ekran görüntüsü

  4. İstek Durumu sütununu görüntülemek için sağa kaydırın.

Yeni sürüm için bekleyen isteği iptal etme

Onay gerektiren bir rolün etkinleştirilmesini istemiyorsanız, bekleyen bir isteği istediğiniz zaman iptal edebilirsiniz.

  1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  2. Kimlik idaresi>Ayrıcalıklı Kimlik Yönetimi>İsteklerim'e göz atın.

  3. İptal etmek istediğiniz rol için İptal bağlantısını seçin.

    İptal'i seçtiğinizde istek iptal edilir. Rolü yeniden etkinleştirmek için etkinleştirme için yeni bir istek göndermeniz gerekir.

    İptal eylemi vurgulanmış istek listem

Rol atamalarını devre dışı bırakma

Rol ataması etkinleştirildiğinde, PIM portalında rol ataması için Devre Dışı Bırak seçeneğini görürsünüz. Ayrıca, etkinleştirmeden sonraki beş dakika içinde rol atamalarını devre dışı bırakamazsınız.

Azure mobil uygulamasını kullanarak PIM rollerini etkinleştirme

PIM artık hem iOS hem de Android'de Microsoft Entra Id ve Azure kaynak rolleri mobil uygulamalarında kullanılabilir.

  1. Uygun bir Microsoft Entra rol atamasını etkinleştirmek için azure mobil uygulamasını (iOS | Android) indirerek başlayın. Ayrıca Privileged Identity Management > My roles Microsoft Entra roles > bölümünden 'Mobil cihazlarda aç' seçeneğini belirleyerek de uygulamayı indirebilirsiniz.

    Mobil uygulamanın nasıl indirilmesini gösteren ekran görüntüsü.

  2. Azure mobil uygulamasını açın ve oturum açın. Uygun ve etkin rol atamalarınızı görüntülemek için Privileged Identity Management kartını seçin ve Microsoft Entra rollerim'i seçin.

    Bir kullanıcının kullanılabilir rolleri nasıl görüntüleyeceğini gösteren mobil uygulamanın ekran görüntüleri.

  3. Rol atamasını seçin ve rol ataması ayrıntılarının altında Eylem > Etkinleştir'e tıklayın. En alttaki 'Etkinleştir' seçeneğine tıklamadan önce etkin hale getirme ve gerekli ayrıntıları doldurma adımlarını tamamlayın.

    Kullanıcıya gerekli bilgileri nasıl doldurduğunu gösteren mobil uygulamanın ekran görüntüsü

  4. Etkinleştirme isteklerinizin ve rol atamalarınızın durumunu Microsoft Entra rollerim altında görüntüleyin.

    Kullanıcının rol durumunu gösteren mobil uygulamanın ekran görüntüsü.

İlgili içerik