在 Privileged Identity Management 中激活 Azure 资源角色

使用 Microsoft Entra Privileged Identity Management (PIM),让 Azure 资源的合格角色成员可以将激活安排到将来的日期和时间。 他们还可选择特定激活持续时间,但不能超过最长持续时间(由管理员配置)。

本文面向需要在 Privileged Identity Management 中激活其 Azure 资源角色的成员。

注意

从 2023 年 3 月开始,可以激活分配,并直接从 Azure 门户 PIM 外部的边栏选项卡查看访问权限。 在此处了解详细信息。

重要

激活角色时,Microsoft Entra PIM 会临时添加角色的活动分配。 Microsoft Entra PIM 会在数秒内创建活动分配(将用户分配到角色)。 当停用(手动或通过激活时间过期)发生时,Microsoft Entra PIM 也会在数秒内删除活动分配。

应用程序可以根据用户的角色提供访问权限。 在某些情况下,应用程序访问可能不会立即反映向用户分配了角色或移除了用户角色的事实。 如果应用程序以前缓存了用户没有角色的事实 - 则在用户再次尝试访问应用程序时,可能不会提供访问权限。 同样,如果应用程序以前缓存了用户具有角色这一事实 - 则在停用角色时,用户仍可能获得访问权限。 具体情况取决于应用程序的体系结构。 对于某些应用程序,退出登录并重新登录可能有助于添加或移除访问权限。

先决条件

激活角色

提示

本文中的步骤可能因开始使用的门户而略有不同。

需要充当某个 Azure 资源角色时,可在 Privileged Identity Management 中使用“我的角色”导航选项请求激活。

注意

PIM 现在可在 Azure 移动应用 (iOS | Android) 中用于 Microsoft Entra ID 和 Azure 资源角色。 轻松激活符合条件的分配,请求续订即将到期的分配,或检查待处理请求的状态。 阅读下文了解更多信息

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“我的角色”。

    显示可激活的角色的“我的角色”页的屏幕截图。

  3. 选择“Azure 资源角色” 查看符合条件的 Azure 资源角色列表。

    “我的角色 - Azure 资源角色”页的屏幕截图。

  4. 在“Azure 资源角色”列表中,找到要激活的角色。

    “Azure 资源角色 - 我的合格角色”列表的屏幕截图。

  5. 选择“激活”打开“激活”页。

    打开的“激活”窗格的屏幕截图,其中包含范围、开始时间、持续时间和原因。

  6. 如果角色需要多重身份验证,请选择“验证你的身份,然后继续”。 只需在每个会话中执行身份验证一次。

  7. 选择“验证我的身份”,并按照说明提供其他安全验证。

    用于提供安全验证(例如 PIN 码)的屏幕的屏幕截图。

  8. 如果要指定缩小的范围,请选择“范围”以打开“资源筛选器”窗格。

    它是仅请求访问所需资源的最佳做法。 在“资源筛选器”窗格中,可以指定需要访问的资源组或资源。

    用于指定范围的“激活 - 资源筛选器”窗格的屏幕截图。

  9. 根据需要指定自定义的激活开始时间。 成员将在选定时间后激活。

  10. 在“原因”框中,输入该激活请求的原因。

  11. 选择“激活”。

    注意

    如果角色需要审批才能激活,则浏览器右上角会显示一条通知,告知你请求正在等待审批。

使用 ARM API 激活角色

Privileged Identity Management 支持使用 Azure 资源管理器 (ARM) API 命令来管理 Azure 资源角色,如 PIM ARM API 参考中所述。 有关使用 PIM API 所需的权限,请参阅了解 Privileged Identity Management API

若要激活符合条件的 Azure 角色分配并获得激活的访问权限,请使用角色分配计划请求 - 创建 REST API以创建新请求,并指定安全主体、角色定义、requestType = SelfActivate 和范围。 若要调用此 API,必须在范围上分配符合条件的角色。

使用 GUID 工具生成将用于角色分配标识符的唯一标识符。 标识符的格式为:00000000-0000-0000-0000-000000000000。

将以下 PUT 请求中的 {roleAssignmentScheduleRequestName} 替换为角色分配的 GUID 标识符。

若要详细了解如何为 Azure 资源管理符合资格的角色,请参阅此 PIM ARM API 教程

下面是一个示例 HTTP 请求,用于激活 Azure 角色的合格分配。

请求

PUT https://management.chinacloudapi.cn/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

请求正文

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
} 

响应

状态代码:201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
} 

查看请求的状态

可以查看等待激活的请求的状态。

  1. 打开 Microsoft Entra Privileged Identity Management。

  2. 选择“我的请求”,查看你的 Microsoft Entra 角色和 Azure 资源角色请求列表。

    “我的请求 - Azure 资源”页的屏幕截图,其中显示挂起的请求。

  3. 向右滚动以查看“请求状态”列。

取消挂起的请求

如果不需要激活需要审批的角色,随时可以取消等待中的请求。

  1. 打开 Microsoft Entra Privileged Identity Management。

  2. 选择“我的请求”。

  3. 针对想要取消的角色,选择“取消”链接。

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
    

    “我的请求”列表的屏幕截图,突出显示了“取消”操作。

停用角色分配

激活角色分配后,会在 PIM 门户中看到角色分配的“停用”选项。 此外,激活角色分配后,5 分钟内无法停用角色分配。

使用 Azure 门户激活

Privileged Identity Management 角色激活已集成到 Azure 门户的计费和访问控制 (AD) 扩展中。 订阅(计费)和访问控制 (AD) 的快捷方式允许你直接从这些边栏选项卡激活 PIM 角色。

在“订阅”边栏选项卡中,选择水平命令菜单中的“查看符合条件的订阅”,以查看符合条件、活动和过期的分配。 在此处,可以在同一窗格中激活符合条件的分配。

在“订阅”页上查看符合条件的订阅的屏幕截图。

在“成本管理:集成服务”页上查看符合条件的订阅的屏幕截图。

在资源的访问控制 (IAM) 中,现在可以选择“查看我的访问权限”,以查看当前处于活动状态和符合条件的角色分配,并直接激活。

“度量”页上当前角色分配的屏幕截图。

通过将 PIM 功能集成到各个 Azure 门户边栏选项卡中,此项新功能可让你获得临时访问权限,以便更轻松地查看或编辑订阅和资源。

使用 Azure 移动应用激活 PIM 角色

PIM 现在可在 iOS 和 Android 的 Microsoft Entra ID 和 Azure 资源角色移动应用中使用。

  1. 若要激活符合条件的 Microsoft Entra 角色分配,首先下载 Azure 移动应用(iOS | Android。 还可以通过从“Privileged Identity Management”>“我的角色”>“Microsoft Entra 角色”中选择“在移动设备中打开”来下载该应用

    屏幕截图显示了如何下载移动应用。

  2. 打开 Azure 移动应用并登录。 单击“Privileged Identity Management”卡,然后选择“我的 Azure 资源角色”,以查看符合条件且有效的角色分配

    显示特权标识管理和用户角色的移动应用的屏幕截图。

  3. 选择角色分配,然后单击角色分配详细信息下的“操作”>“激活”。 完成激活步骤并填写任何必需的详细信息,然后单击底部的“激活”

    显示验证过程已完成的移动应用的屏幕截图。该图像显示“激活”按钮。

  4. 在“我的 Azure 资源角色”下查看激活请求的状态和角色分配。

    移动应用的屏幕截图,其中显示了正在进行激活的消息。