Bearbeiten

Freigeben über

Aktivieren meiner Azure-Ressourcenrollen in Privileged Identity Management

  • Vorgehensweise

Verwenden Sie Microsoft Entra Privileged Identity Management (PIM), um berechtigten Rollenmitgliedern für Azure-Ressourcen die Planung der Aktivierung für ein zukünftiges Datum und eine zukünftige Uhrzeit zu ermöglichen. Sie können auch eine bestimmte Aktivierungsdauer innerhalb des Maximums (konfiguriert durch Administratoren) auswählen.

Dieser Artikel richtet sich an Mitglieder, die ihre Azure-Ressourcenrolle in Privileged Identity Management aktivieren müssen.

Anmerkung

Ab März 2023 können Sie ihre Aufgaben jetzt aktivieren und Ihren Zugriff direkt von Blatten außerhalb von PIM im Azure-Portal anzeigen. Lesen Sie mehr hier.

Wichtig

Wenn eine Rolle aktiviert wird, fügt Microsoft Entra PIM vorübergehend aktive Zuordnung für die Rolle hinzu. Microsoft Entra PIM erstellt innerhalb von Sekunden aktive Zuweisung (weist einen Benutzer einer Rolle zu). Wenn die Deaktivierung (manuell oder durch Aktivierungszeitablauf) erfolgt, entfernt Microsoft Entra PIM die aktive Zuordnung auch innerhalb von Sekunden.

Die Anwendung kann basierend auf der Rolle, die der Benutzer hat, Zugriff gewähren. In einigen Fällen spiegelt der Anwendungszugriff möglicherweise nicht sofort die Tatsache wider, dass der Benutzer die Rolle zugewiesen oder entfernt hat. Wenn die Anwendung zuvor die Tatsache zwischengespeichert hat, dass der Benutzer keine Rolle hat – wenn der Benutzer erneut versucht, auf die Anwendung zuzugreifen, wird der Zugriff möglicherweise nicht bereitgestellt. Wenn die Anwendung zuvor die Tatsache zwischengespeichert hat, dass der Benutzer über eine Rolle verfügt – wenn die Rolle deaktiviert wird, erhält der Benutzer möglicherweise weiterhin Zugriff. Die spezifische Situation hängt von der Architektur der Anwendung ab. Bei einigen Anwendungen kann das Abmelden und das Erneute Anmelden dazu beitragen, dass Der Zugriff hinzugefügt oder entfernt wird.

Voraussetzungen

Keine

Aktivieren einer Rolle

Trinkgeld

Die Schritte in diesem Artikel können je nach Dem Portal, von dem Sie beginnen, geringfügig variieren.

Wenn Sie eine Azure-Ressourcenrolle übernehmen müssen, können Sie die Aktivierung anfordern, indem Sie die "Meine Rollen" Navigationsoption in Privileged Identity Management verwenden.

Anmerkung

PIM ist jetzt in der mobilen Azure-App (iOS | Android) für Microsoft Entra-ID und Azure-Ressourcenrollen. Aktivieren Sie berechtigte Zuordnungen ganz einfach, fordern Sie Verlängerungen an, die ablaufen, oder überprüfen Sie den Status der ausstehenden Anforderungen. Weiter unten

  1. Melden Sie sich beim Microsoft Entra Admin Center als Privilegierte Rollenadministrator-an.

  2. Navigieren Sie zu Identitätsgovernance>Privileged Identity Management>Meine Rollen.

    Screenshot meiner Rollenseite mit Rollen, die Sie aktivieren können.

  3. Wählen Sie Azure-Ressourcenrollen aus, um eine Liste Ihrer berechtigten Azure-Ressourcenrollen anzuzeigen.

    Screenshot meiner Rollen – Seite

  4. Suchen Sie in der Liste Azure-Ressourcenrollen die Rolle, die Sie aktivieren möchten.

    Screenshot der Azure-Ressourcenrollen – Liste

  5. Wählen Sie Aktivieren aus, um die Seite "Aktivieren" zu öffnen.

    Screenshot des geöffneten Bereichs

  6. Wenn Ihre Rolle eine mehrstufige Authentifizierung erfordert, wählen Sie Überprüfen Ihrer Identität aus, bevor Siefortfahren. Sie müssen sich nur einmal pro Sitzung authentifizieren.

  7. Wählen Sie Überprüfen meiner Identität aus, und folgen Sie den Anweisungen, um eine zusätzliche Sicherheitsüberprüfung bereitzustellen.

    Screenshot des Bildschirms, um eine Sicherheitsüberprüfung wie z. B. einen PIN-Code bereitzustellen.

  8. Wenn Sie einen reduzierten Bereich angeben möchten, wählen Sie Bereich aus, um den Ressourcenfilterbereich zu öffnen.

    Es empfiehlt sich, nur den Zugriff auf die benötigten Ressourcen anzufordern. Im Bereich "Ressourcenfilter" können Sie die Ressourcengruppen oder Ressourcen angeben, auf die Sie Zugriff benötigen.

    Screenshot der Aktivierung – Ressourcenfilterbereich zum Angeben des Bereichs.

  9. Geben Sie bei Bedarf eine benutzerdefinierte Startzeit für die Aktivierung an. Das Element würde nach dem ausgewählten Zeitpunkt aktiviert werden.

  10. Geben Sie im Feld Grund den Grund für die Aktivierungsanforderung ein.

  11. Wählen Sie aktivieren aus.

    Anmerkung

    Wenn die Rolle die Genehmigung zum Aktivieren erfordert, wird in der oberen rechten Ecke Des Browsers eine Benachrichtigung angezeigt, in der Sie darüber informiert werden, dass die Anforderung aussteht.

Aktivieren einer Rolle mit der Azure Resource Manager-API

Privileged Identity Management unterstützt Azure Resource Manager-API-Befehle zum Verwalten von Azure-Ressourcenrollen, wie in der PIM ARM-API-Referenzdokumentiert. Informationen zu den Berechtigungen, die für die Verwendung der PIM-API erforderlich sind, finden Sie unter Grundlegendes zu den Privileged Identity Management-APIs.

Um eine berechtigte Azure-Rollenzuweisung zu aktivieren und den aktivierten Zugriff zu erhalten, verwenden Sie die Rollenzuweisungsplanungsanforderungen – Erstellen sie REST-API-, um eine neue Anforderung zu erstellen und den Sicherheitsprinzipal, die Rollendefinition, den RequestType = SelfActivate und den Bereich anzugeben. Um diese API aufzurufen, müssen Sie über eine berechtigte Rollenzuweisung im Bereich verfügen.

Verwenden Sie ein GUID-Tool, um einen eindeutigen Bezeichner für den Rollenzuweisungsbezeichner zu generieren. Der Bezeichner hat das Format: 0000000-0000-0000-0000-000000000000.

Ersetzen Sie {roleAssignmentScheduleRequestName} in der PUT-Anforderung durch den GUID-Bezeichner der Rollenzuweisung.

Weitere Informationen zu berechtigten Rollen für die Azure-Ressourcenverwaltung finden Sie im Lernprogramm PIM ARM-API.

Dies ist eine Beispiel-HTTP-Anforderung zum Aktivieren einer berechtigten Zuweisung für eine Azure-Rolle.

Bitten

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Anforderungstext

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Antwort

Statuscode: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Anzeigen des Status Ihrer Anforderungen

Sie können den Status Ihrer ausstehenden Anforderungen zum Aktivieren anzeigen.

  1. Öffnen Sie Microsoft Entra Privileged Identity Management.

  2. Wählen Sie Meine Anforderungen aus, um eine Liste Ihrer Microsoft Entra-Rollen- und Azure-Ressourcenrollenanforderungen anzuzeigen.

    Screenshot meiner Anforderungen – Azure-Ressourcenseite mit Ihren ausstehenden Anforderungen.

  3. Scrollen Sie nach rechts, um die Spalte Anforderungsstatus anzuzeigen.

Abbrechen einer ausstehenden Anforderung

Wenn Sie keine Aktivierung einer Rolle erfordern, die eine Genehmigung erfordert, können Sie eine ausstehende Anforderung jederzeit abbrechen.

  1. Öffnen Sie Microsoft Entra Privileged Identity Management.

  2. Wählen Sie Meine Anforderungenaus.

  3. Wählen Sie für die Rolle, die Sie abbrechen möchten, den Link Abbrechen aus.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Screenshot meiner Anforderungsliste mit hervorgehobener Aktion

Deaktivieren einer Rollenzuweisung

Wenn eine Rollenzuweisung aktiviert wird, wird eine option Deaktivieren im PIM-Portal für die Rollenzuweisung angezeigt. Außerdem können Sie eine Rollenzuweisung innerhalb von fünf Minuten nach der Aktivierung nicht deaktivieren.

Aktivieren mit Dem Azure-Portal

Die Rollenaktivierung der Privileged Identity Management-Rolle ist in die Ad-Erweiterungen (Billing and Access Control) im Azure-Portal integriert. Mit Verknüpfungen zu Abonnements (Abrechnung) und Zugriffssteuerung (AD) können Sie PIM-Rollen direkt von diesen Blades aktivieren.

Wählen Sie auf dem Blatt "Abonnements" im horizontalen Befehlsmenü "Berechtigte Abonnements anzeigen" aus, um Ihre berechtigten, aktiven und abgelaufenen Aufgaben zu überprüfen. Von dort aus können Sie eine berechtigte Aufgabe im selben Bereich aktivieren.

Screenshot der Ansicht berechtigter Abonnements auf der Seite

Screenshot der Ansicht berechtigter Abonnements auf der Seite

In access control (IAM) for a resource, you can now select "View my access" to see your currently active and eligible role assignments and activate directly.

Screenshot der aktuellen Rollenzuweisungen auf der Seite

Durch die Integration von PIM-Funktionen in verschiedene Azure-Portalblätter können Sie mit diesem neuen Feature temporären Zugriff erhalten, um Abonnements und Ressourcen einfacher anzuzeigen oder zu bearbeiten.

Aktivieren von PIM-Rollen mithilfe der mobilen Azure-App

PIM ist jetzt in den mobilen Microsoft Entra-ID- und Azure-Ressourcenrollen sowohl in iOS als auch in Android verfügbar.

  1. Um eine berechtigte Microsoft Entra-Rollenzuweisung zu aktivieren, laden Sie zunächst die mobile Azure-App herunter (iOS | Android). Sie können die App auch herunterladen, indem Sie "In mobiler öffnen" > "Meine Rollen" > Microsoft Entra-Rollen auswählen.

    Screenshot zeigt, wie Sie die mobile App herunterladen.

  2. Öffnen Sie die mobile Azure-App, und melden Sie sich an. Klicken Sie auf die Karte "Privileged Identity Management", und wählen Sie "Meine Azure-Ressourcenrollen" aus, um Ihre berechtigten und aktiven Rollenzuweisungen anzuzeigen.

    Screenshot der mobilen App mit privilegierter Identitätsverwaltung und den Rollen des Benutzers.

  3. Wählen Sie die Rollenzuweisung aus, und klicken Sie unter den Rollenzuweisungsdetails auf Aktion > Aktivieren. Führen Sie die Schritte aus, um die erforderlichen Details zu aktivieren und auszufüllen, bevor Sie unten auf Aktivieren klicken.

    Screenshot der mobilen App, in der der Überprüfungsprozess abgeschlossen ist. Die Abbildung zeigt eine Schaltfläche

  4. Zeigen Sie den Status Ihrer Aktivierungsanforderungen und Ihre Rollenzuweisungen unter "Meine Azure-Ressourcenrollen" an.

    Screenshot der mobilen App mit der in Bearbeitungsmeldung angezeigten Aktivierung.

Zugehöriger Inhalt