Megosztás a következőn keresztül:

Jogosult és időhöz kötött szerepkör-hozzárendelések az Azure RBAC-ben

  • Cikk

Ha Microsoft Entra-azonosítójú P2 vagy Microsoft Entra ID-kezelés licenccel rendelkezik, a Microsoft Entra Privileged Identity Management (PIM) integrálva lesz a szerepkör-hozzárendelési lépésekbe. Szerepköröket például korlátozott ideig rendelhet hozzá a felhasználókhoz. A felhasználókat szerepkör-hozzárendelésekre is jogosulttá teheti, hogy aktiválva legyenek a szerepkör használatához, például jóváhagyás kéréséhez. A jogosult szerepkör-hozzárendelések korlátozott ideig biztosítják a megfelelő hozzáférést egy szerepkörhöz.

Ez a cikk az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) és a Microsoft Entra Privileged Identity Management (PIM) integrációját ismerteti a jogosult és időhöz kötött szerepkör-hozzárendelések létrehozásához.

PIM-funkciók

Ha rendelkezik PIM-sel, jogosult és időhöz kötött szerepkör-hozzárendeléseket hozhat létre az Azure Portal Hozzáférés-vezérlés (IAM) lapján. Jogosult szerepkör-hozzárendeléseket hozhat létre a felhasználók számára, de nem hozhat létre jogosult szerepkör-hozzárendeléseket alkalmazásokhoz, szolgáltatásnevekhez vagy felügyelt identitásokhoz, mert nem tudják végrehajtani az aktiválási lépéseket. A Hozzáférés-vezérlés (IAM) lapon jogosult szerepkör-hozzárendeléseket hozhat létre a felügyeleti csoport, az előfizetés és az erőforráscsoport hatókörében, de az erőforrás hatókörében nem.

Íme egy példa a Hozzárendelés típusa lapra, amikor a Hozzáférés-vezérlés (IAM) lapon szerepkör-hozzárendelést ad hozzá. Ez a képesség fázisokban van üzembe helyezve, ezért lehet, hogy még nem érhető el a bérlőben, vagy a felület másként néz ki.

Képernyőkép a Szerepkör-hozzárendelés hozzáadása lehetőségről, amelyen megjelennek a Hozzárendelés típusbeállításai.

A rendelkezésre álló hozzárendeléstípus-beállítások a PIM-szabályzattól függően eltérőek lehetnek. A PIM-szabályzat például meghatározza, hogy létre lehet-e hozni állandó hozzárendeléseket, az időhöz kötött hozzárendelések maximális időtartamát, a szerepkörök aktiválási követelményeit (jóváhagyás, többtényezős hitelesítés vagy feltételes hozzáférés hitelesítési környezete) és egyéb beállításokat. További információ: Azure-erőforrásszerepkör-beállítások konfigurálása a Privileged Identity Managementben.

A jogosult és/vagy időkorlátos hozzárendeléssel rendelkező felhasználóknak érvényes licenccel kell rendelkezniük. Ha nem szeretné használni a PIM funkciót, válassza ki az Aktív hozzárendelés típusát és az Állandó hozzárendelés időtartamát. Ezek a beállítások létrehoznak egy szerepkör-hozzárendelést, amelyben az egyszerű mindig rendelkezik engedélyekkel a szerepkörben.

A PIM jobb megértéséhez tekintse át a következő feltételeket.

Kifejezés vagy fogalom Szerepkör-hozzárendelés kategóriája Leírás
jogosult Típus Egy szerepkör-hozzárendelés, amely megköveteli, hogy a felhasználó egy vagy több műveletet hajt végre a szerepkör használatához. Ha egy felhasználó jogosulttá vált egy szerepkörre, az azt jelenti, hogy aktiválhatja a szerepkört, amikor kiemelt feladatokat kell végrehajtania. Nincs különbség az állandó és a jogosult szerepkör-hozzárendeléssel rendelkező személyek hozzáférésében. Az egyetlen különbség az, hogy egyes embereknek nincs szükségük arra, hogy mindig hozzáférjenek.
aktív Típus Olyan szerepkör-hozzárendelés, amely nem követeli meg, hogy a felhasználó bármilyen műveletet végrehajtson a szerepkör használatához. Az aktívként hozzárendelt felhasználók rendelkeznek a szerepkörhöz rendelt jogosultságokkal.
aktiválás Egy vagy több művelet végrehajtásának folyamata egy felhasználó által jogosult szerepkör használatára. A műveletek közé tartozhat a többtényezős hitelesítés (MFA) ellenőrzése, az üzleti indoklás megadása vagy a kijelölt jóváhagyók jóváhagyásának kérése.
állandó jogosult Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó mindig jogosult a szerepkör aktiválására.
állandó aktív Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó mindig műveletek végrehajtása nélkül használhatja a szerepkört.
időkorlátos jogosult Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó csak a kezdési és a befejezési dátumon belül aktiválhatja a szerepkört.
időkorlát aktív Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó csak a kezdési és a befejezési dátumon belül használhatja a szerepkört.
igény szerinti (JIT) hozzáférés Olyan modell, amelyben a felhasználók ideiglenes engedélyeket kapnak a kiemelt feladatok végrehajtásához, ami megakadályozza, hogy a rosszindulatú vagy jogosulatlan felhasználók hozzáférjenek az engedélyek lejárta után. A hozzáférés csak akkor érhető el, ha a felhasználóknak szükségük van rá.
a minimális jogosultsági hozzáférés elve Ajánlott biztonsági gyakorlat, amelyben minden felhasználó csak a szükséges minimális jogosultságokkal rendelkezik a tevékenységek végrehajtásához. Ez a gyakorlat minimálisra csökkenti a globális rendszergazdák számát, és konkrét rendszergazdai szerepköröket használ bizonyos forgatókönyvekhez.

További információ: Mi a Microsoft Entra Privileged Identity Management?

Jogosult és időhöz kötött szerepkör-hozzárendelések listázása

Ha látni szeretné, hogy mely felhasználók használják a PIM funkciót, az alábbi lehetőségek közül választhat a jogosult és az időhöz kötött szerepkör-hozzárendelések listázásához.

1. lehetőség: Listázás az Azure Portal használatával

  1. Jelentkezzen be az Azure Portalra, nyissa meg a Hozzáférés-vezérlés (IAM) lapot, és válassza a Szerepkör-hozzárendelések lapot.

  2. Szűrje a jogosult és az időhöz kötött szerepkör-hozzárendeléseket.

    Csoportosíthat és rendezhet állapot szerint, és megkeresheti azokat a szerepkör-hozzárendeléseket, amelyek nem aktív állandó típusúak.

    Képernyőkép a Hozzáférés-vezérlés és az Aktív hozzárendelések és a Jogosult hozzárendelések lapról.

2. lehetőség: Lista a PowerShell használatával

Egyetlen PowerShell-parancs sem tudja felsorolni a jogosult és az aktív időhöz kötött szerepkör-hozzárendeléseket. A jogosult szerepkör-hozzárendelések listázásához használja a Get-AzRoleEligibilitySchedule parancsot. Az aktív szerepkör-hozzárendelések listázásához használja a Get-AzRoleAssignmentSchedule parancsot.

Ez a példa bemutatja, hogyan listázhatja a jogosult és az időhöz kötött szerepkör-hozzárendeléseket egy előfizetésben, amely az alábbi szerepkör-hozzárendelés-típusokat tartalmazza:

  • Jogosult állandó
  • Jogosult időkorlát
  • Aktív időkorlát

A Where-Object parancs kiszűri a PIM nélküli Azure RBAC-funkciókkal elérhető aktív állandó szerepkör-hozzárendeléseket.

Get-AzRoleEligibilitySchedule -Scope /subscriptions/<subscriptionId> 
Get-AzRoleAssignmentSchedule -Scope /subscriptions/<subscriptionId> | Where-Object {$_.EndDateTime -ne $null }

A hatókörök felépítéséről további információt az Azure RBAC hatókörének ismertetése című témakörben talál.

Jogosult és időhöz kötött szerepkör-hozzárendelések átalakítása aktív állandóvá

Ha a szervezet folyamat- vagy megfelelőségi okokból korlátozza a PIM használatát, az alábbiakban bemutatjuk, hogyan konvertálhatja ezeket a szerepkör-hozzárendeléseket aktív állandóvá.

1. lehetőség: Konvertálás az Azure Portal használatával

  1. Az Azure Portal Szerepkör-hozzárendelések lapján és az Állapot oszlopban válassza ki az átalakítani kívánt szerepkör-hozzárendelések jogosult állandó, jogosult időkorlátos és aktív időhöz kötötthivatkozásait.

  2. A Hozzárendelés szerkesztése panelen válassza az Aktív lehetőséget a hozzárendelés típusához, az Állandót pedig a hozzárendelés időtartamához.

    További információ: Feladat szerkesztése.

    Képernyőkép a Hozzárendelés szerkesztése panelről, amelyen megjelennek a Hozzárendeléstípus beállításai.

  3. Ha végzett, válassza a Mentés lehetőséget.

    A frissítések feldolgozása és a portálon való tükrözése eltarthat egy ideig.

  4. Ismételje meg ezeket a lépéseket a konvertálni kívánt felügyeleti csoport, előfizetés és erőforráscsoport hatóköreinek összes szerepkör-hozzárendeléséhez.

    Ha az erőforrás hatókörében szerepkör-hozzárendeléseket szeretne konvertálni, akkor közvetlenül a PIM-ben kell módosítania.

2. lehetőség: Konvertálás a PowerShell használatával

Nincs olyan parancs vagy API, amely közvetlenül átalakítja a szerepkör-hozzárendeléseket egy másik állapotba vagy típusba, ezért ezeket a lépéseket követheti.

Fontos

A szerepkör-hozzárendelések eltávolítása fennakadásokat okozhat a környezetben. A lépések végrehajtása előtt győződjön meg arról, hogy tisztában van a hatásokkal.

  1. Az adatvesztés elkerülése érdekében kérje le és mentse az összes jogosult és időhöz kötött szerepkör-hozzárendelés listáját biztonságos helyen.

    Fontos

    Fontos, hogy mentse a jogosult és az időhöz kötött szerepkör-hozzárendelések listáját, mert ezekhez a lépésekhez el kell távolítania ezeket a szerepkör-hozzárendeléseket, mielőtt ugyanazokat a szerepkör-hozzárendeléseket hozza létre, mint az aktív állandó.

  2. A New-AzRoleEligibilityScheduleRequest paranccsal távolítsa el a jogosult szerepkör-hozzárendeléseket.

    Ez a példa bemutatja, hogyan távolíthat el egy jogosult szerepkör-hozzárendelést.

    $guid = New-Guid
New-AzRoleEligibilityScheduleRequest -Name $guid -Scope <Scope> -PrincipalId <PrincipalId> -RoleDefinitionId <RoleDefinitionId> -RequestType AdminRemove

  3. Az aktív időhöz kötött szerepkör-hozzárendelések eltávolításához használja a New-AzRoleAssignmentScheduleRequest parancsot.

    Ez a példa bemutatja, hogyan távolíthat el egy aktív, időhöz kötött szerepkör-hozzárendelést.

    $guid = New-Guid
New-AzRoleAssignmentScheduleRequest -Name $guid -Scope <Scope> -PrincipalId <PrincipalId> -RoleDefinitionId <RoleDefinitionId> -RequestType AdminRemove

  4. A Get-AzRoleAssignment paranccsal keressen egy meglévő szerepkör-hozzárendelést, és a New-AzRoleAssignment paranccsal hozzon létre egy aktív állandó szerepkör-hozzárendelést az Azure RBAC-vel minden jogosult és időhöz kötött szerepkör-hozzárendeléshez.

    Ez a példa bemutatja, hogyan ellenőrizheti egy meglévő szerepkör-hozzárendelést, és hogyan hozhat létre aktív állandó szerepkör-hozzárendelést az Azure RBAC-vel.

    $result = Get-AzRoleAssignment -ObjectId $RA.PrincipalId -RoleDefinitionName $RA.RoleDefinitionDisplayName -Scope $RA.Scope;
if($result -eq $null) {
New-AzRoleAssignment -ObjectId $RA.PrincipalId -RoleDefinitionName $RA.RoleDefinitionDisplayName -Scope $RA.Scope
}

Jogosult vagy időhöz kötött szerepkör-hozzárendelések létrehozásának korlátozása

Ha szervezete folyamat- vagy megfelelőségi okokból korlátozza a PIM használatát, az Azure Policy használatával korlátozhatja a jogosult vagy időhöz kötött szerepkör-hozzárendelések létrehozását. További információ: Mi az az Azure Policy?

Íme egy példaszabályzat, amely korlátozza a jogosult és az időhöz kötött szerepkör-hozzárendelések létrehozását, kivéve egy adott identitáslistát. További paramétereket és ellenőrzéseket adhat hozzá más engedélyezési feltételekhez.

{
  "properties": {
    "displayName": "Limit eligible and active time-bound role assignments except for allowed principal IDs",
    "policyType": "Custom",
    "mode": "All",
    "metadata": {
      "createdBy": "aaaaaaaa-bbbb-cccc-1111-222222222222",
      "createdOn": "2024-11-05T02:31:25.1246591Z",
      "updatedBy": "aaaaaaaa-bbbb-cccc-1111-222222222222",
      "updatedOn": "2024-11-06T07:58:17.1699721Z"
    },
    "version": "1.0.0",
    "parameters": {
      "allowedPrincipalIds": {
        "type": "Array",
        "metadata": {
          "displayName": "Allowed Principal IDs",
          "description": "A list of principal IDs that can receive PIM role assignments."
        },
        "defaultValue": []
      }
    },
    "policyRule": {
      "if": {
        "anyof": [
          {
            "allOf": [
              {
                "field": "type",
                "equals": "Microsoft.Authorization/roleEligibilityScheduleRequests"
              },
              {
                "not": {
                  "field": "Microsoft.Authorization/roleEligibilityScheduleRequests/principalId",
                  "in": "[parameters('allowedPrincipalIds')]"
                }
              }
            ]
          },
          {
            "allOf": [
              {
                "field": "type",
                "equals": "Microsoft.Authorization/roleAssignmentScheduleRequests"
              },
              {
                "not": {
                  "field": "Microsoft.Authorization/roleAssignmentScheduleRequests/principalId",
                  "in": "[parameters('allowedPrincipalIds')]"
                }
              }
            ]
          }
        ]
      },
      "then": {
        "effect": "deny"
      }
    },
    "versions": [
      "1.0.0"
    ]
  },
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4ef/providers/Microsoft.Authorization/policyDefinitions/1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
  "systemData": {
    "createdBy": "test1@contoso.com",
    "createdByType": "User",
    "createdAt": "2024-11-05T02:31:25.0836273Z",
    "lastModifiedBy": "test1@contoso.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2024-11-06T07:58:17.1651655Z"
  }
}

A PIM-erőforrás tulajdonságaival kapcsolatos információkért tekintse meg az alábbi REST API-dokumentumokat:

Az Azure Policy paraméterekkel való hozzárendelésével kapcsolatos információkért tekintse meg az oktatóanyagot: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítéséhez.

Következő lépések