在 Privileged Identity Management 中指派 Microsoft Entra 角色
全域管理員可以使用 Microsoft Entra ID,永久指派 Microsoft Entra 系統管理員角色。 您可以使用 Microsoft Entra 系統管理中心或使用 PowerShell 命令來建立這些角色指派。
Microsoft Entra Privileged Identity Management (PIM) 服務也允許特殊權限角色管理員指派永久的管理員角色。 此外,特殊權限角色管理員可以讓使用者有資格成為 Microsoft Entra 管理員角色。 合格管理員可以在需要時啟用角色,一旦任務結束,權限就過期。
Privileged Identity Management 支援內建和自訂 Microsoft Entra 角色。 如需有關 Microsoft Entra 自訂角色的更多資訊,請參閱 Microsoft Entra ID 中角色型存取控制。
注意
當指派角色時,指派:
- 無法在五分鐘內指派
- 無法在指派後的五分鐘內移除
指派角色
請遵循下列步驟來讓使用者有資格成為 Microsoft Entra 系統管理員角色。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管]>[Privileged Identity Management]>[Microsoft Entra 角色]。
選取 [角色] 以查看 Microsoft Entra 權限的角色清單。
選取 [新增指派] 以開啟 [新增指派] 頁面。
選取 [選取角色] 以開啟 [選取角色] 頁面。
選取您想要指派的角色,選取要指派給此角色的成員,然後選取 [下一步]。
注意
如果您將 Microsoft Entra 內建角色指派給來賓使用者,則會將來賓使用者提升為與成員使用者擁有相同的權限。 如需有關成員使用者和來賓使用者預設權限的資訊,請參閱 Microsoft Entra ID 中的預設使用者權限是什麼?
在 [成員資格設定] 窗格的 [指派類型] 清單中,選取 [合格] 或 [作用中]。
符合資格的指派會要求角色成員先執行某個動作才能使用此角色。 動作可能包括執行多重要素驗證 (MFA) 檢查、提供業務理由,或向指定的核准者要求核准。
使用中指派不要求成員執行任何動作,即可使用角色。 指派為活躍中的成員始終擁有分配給角色的權限。
若要指定特定的指派持續時間,請新增 [開始] 和 [結束日期] 和 [時間] 方塊。 完成時,選取 [指派] 以建立新的角色指派。
永久指派沒有到期日。 將此選項用於經常需要角色權限的永久背景工作角色。
有時效性的 指派在指定期間結束時到期。 例如,對專案結束日期和時間已知的臨時或合約背景工作角色使用此選項。
指派角色之後,就會顯示指派狀態通知。
指派範圍受限的角色
針對某些角色,授與權限的範圍可限制為單一管理單位、服務主體或應用程式。 如果您要指派具有管理單位範圍的角色,可參考此範例程序。 如需透過管理單位支援範圍的角色清單,請參閱將範圍角色指派給管理單位。 此功能目前正在向 Microsoft Entra 組織推出。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[角色與系統管理員]>[角色與系統管理員]。
選取 [使用者管理員]。
選取 [新增指派]。
在 [新增指派] 頁面上,您可以:
- 選取要指派給角色的使用者或群組
- 選取角色範圍 (在此案例中為管理單位)
- 選取範圍的管理單位
如需關於建立管理單位的詳細資訊,請參閱新增和移除管理單位。
使用 Microsoft Graph API 指派角色
如需適用於 PIM 的 Microsoft Graph API 詳細資訊,請參閱透過 Privileged Identity Management (PIM) API 來管理角色的概觀。
如需使用 PIM API 所需的權限,請參閱了解 Privileged Identity Management API。
符合資格且無結束日期
此範例顯示如何透過 HTTP 請求建立沒有結束日期的符合條件指派。 如需 API 命令 (包括 C# 和 JavaScript 等語言的要求範例) 的詳細資訊,請參閱建立 roleEligibilityScheduleRequests。
HTTP 要求
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json
{
"action": "adminAssign",
"justification": "Permanently assign the Global Reader to the auditor",
"roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "noExpiration"
}
}
}
HTTP 回應
此範例顯示回應。 為了方便閱讀,此處顯示的回應物件可能會縮短。
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
"id": "42159c11-45a9-4631-97e4-b64abdd42c25",
"status": "Provisioned",
"createdDateTime": "2022-05-13T13:40:33.2364309Z",
"completedDateTime": "2022-05-13T13:40:34.6270851Z",
"approvalId": null,
"customData": null,
"action": "adminAssign",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
"justification": "Permanently assign the Global Reader to the auditor",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T13:40:34.6270851Z",
"recurrence": null,
"expiration": {
"type": "noExpiration",
"endDateTime": null,
"duration": null
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
作用中和時間界限
此範例顯示一個建立時限內有效指派的 HTTP 要求。 如需 API 命令 (包括 C# 和 JavaScript 等語言的要求範例) 的詳細資訊,請參閱建立 roleAssignmentScheduleRequests。
HTTP 要求
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminAssign",
"justification": "Assign the Exchange Recipient Administrator to the mail admin",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
HTTP 回應
此範例顯示回應。 為了方便閱讀,此處顯示的回應物件可能會縮短。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
"status": "Provisioned",
"createdDateTime": "2022-05-13T14:01:48.0145711Z",
"completedDateTime": "2022-05-13T14:01:49.8589701Z",
"approvalId": null,
"customData": null,
"action": "adminAssign",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
"justification": "Assign the Exchange Recipient Administrator to the mail admin",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T14:01:49.8589701Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
更新或移除現有角色指派
請遵循下列步驟來更新或移除現有角色指派。 Microsoft Entra ID P2 或 Microsoft Entra ID 控管授權的客戶:請勿透過 Microsoft Entra ID 和 Privileged Identity Management (PIM) 將群組指派為作用中角色。 如需詳細說明,請參閱已知問題。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管]>[Privileged Identity Management]>[Microsoft Entra 角色]。
選取 [角色] 以查看 Microsoft Entra ID 的角色清單。
選取要更新或移除的角色。
在 [合格角色] 或 [有效角色] 索引標籤上尋找角色指派。
選取 [更新] 或 [移除] 以更新或移除角色指派。
透過 Microsoft Graph API 移除合格的指派
此範例顯示 HTTP 要求,以撤銷主體中角色的合格指派。 如需 API 命令 (包括 C# 和 JavaScript 等語言的要求範例) 的詳細資訊,請參閱建立 roleEligibilityScheduleRequests。
要求
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
{
"action": "AdminRemove",
"justification": "abcde",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
回應
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
"id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de",
"status": "Revoked",
"createdDateTime": "2021-07-15T20:23:23.85453Z",
"completedDateTime": null,
"approvalId": null,
"customData": null,
"action": "AdminRemove",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": null,
"justification": "test",
"scheduleInfo": null,
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}