在 Privileged Identity Management 中激活 Azure 资源角色

需要充当某个 Azure 资源角色时，可在 Privileged Identity Management 中使用“我的角色”导航选项请求激活。

1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识治理”>“Privileged Identity Management”>“我的角色”。

   

3. 选择“Azure 资源角色” 查看符合条件的 Azure 资源角色列表。

   

4. 在“Azure 资源角色”列表中，找到要激活的角色。

   

5. 选择“激活”打开“激活”页。

   

6. 如果角色需要多重身份验证，请选择“验证你的身份，然后继续”。 只需在每个会话中执行身份验证一次。

7. 选择“验证我的身份”，并按照说明提供其他安全验证。

   

8. 如果要指定缩小的范围，请选择“范围”以打开“资源筛选器”窗格。

   它是仅请求访问所需资源的最佳做法。 在“资源筛选器”窗格中，可以指定需要访问的资源组或资源。

   

9. 根据需要指定自定义的激活开始时间。 成员将在选定时间后激活。

10. 在“原因”框中，输入该激活请求的原因。

11. 选择“激活”。

    注意

    如果角色需要审批才能激活，则浏览器右上角会显示一条通知，告知你请求正在等待审批。

Privileged Identity Management 支持使用 Azure 资源管理器 (ARM) API 命令来管理 Azure 资源角色，如 PIM ARM API 参考中所述。 有关使用 PIM API 所需的权限，请参阅了解 Privileged Identity Management API。

若要激活符合条件的 Azure 角色分配并获得激活的访问权限，请使用角色分配计划请求 - 创建 REST API以创建新请求，并指定安全主体、角色定义、requestType = SelfActivate 和范围。 若要调用此 API，必须在范围上分配符合条件的角色。

使用 GUID 工具生成将用于角色分配标识符的唯一标识符。 标识符的格式为：00000000-0000-0000-0000-000000000000。

将以下 PUT 请求中的 {roleAssignmentScheduleRequestName} 替换为角色分配的 GUID 标识符。

若要详细了解如何为 Azure 资源管理符合资格的角色，请参阅此 PIM ARM API 教程。

下面是一个示例 HTTP 请求，用于激活 Azure 角色的合格分配。

请求

PUT https://management.chinacloudapi.cn/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

请求正文

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
} 

响应

状态代码：201

可以查看等待激活的请求的状态。

1. 打开 Microsoft Entra Privileged Identity Management。

2. 选择“我的请求”，查看你的 Microsoft Entra 角色和 Azure 资源角色请求列表。

   

3. 向右滚动以查看“请求状态”列。

如果不需要激活需要审批的角色，随时可以取消等待中的请求。

1. 打开 Microsoft Entra Privileged Identity Management。

2. 选择“我的请求”。

3. 针对想要取消的角色，选择“取消”链接。

   When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
   

   

激活角色分配后，会在 PIM 门户中看到角色分配的“停用”选项。 此外，激活角色分配后，5 分钟内无法停用角色分配。

使用 Azure 门户激活

Privileged Identity Management 角色激活已集成到 Azure 门户的计费和访问控制 (AD) 扩展中。 订阅（计费）和访问控制 (AD) 的快捷方式允许你直接从这些边栏选项卡激活 PIM 角色。

在“订阅”边栏选项卡中，选择水平命令菜单中的“查看符合条件的订阅”，以查看符合条件、活动和过期的分配。 在此处，可以在同一窗格中激活符合条件的分配。

在资源的访问控制 (IAM) 中，现在可以选择“查看我的访问权限”，以查看当前处于活动状态和符合条件的角色分配，并直接激活。

通过将 PIM 功能集成到各个 Azure 门户边栏选项卡中，此项新功能可让你获得临时访问权限，以便更轻松地查看或编辑订阅和资源。

使用 Azure 移动应用激活 PIM 角色

PIM 现在可在 iOS 和 Android 的 Microsoft Entra ID 和 Azure 资源角色移动应用中使用。

1. 若要激活符合条件的 Microsoft Entra 角色分配，首先下载 Azure 移动应用（iOS | Android。 还可以通过从“Privileged Identity Management”>“我的角色”>“Microsoft Entra 角色”中选择“在移动设备中打开”来下载该应用。

   

2. 打开 Azure 移动应用并登录。 单击“Privileged Identity Management”卡，然后选择“我的 Azure 资源角色”，以查看符合条件且有效的角色分配。

   

3. 选择角色分配，然后单击角色分配详细信息下的“操作”>“激活”。 完成激活步骤并填写任何必需的详细信息，然后单击底部的“激活”。

   

4. 在“我的 Azure 资源角色”下查看激活请求的状态和角色分配。