Я хочу с помощью PowerShell сделать роль Azure (участник сети) доступной для PIM в определенной области (на самом деле корневая группа клиента).
Я могу назначить обычные входные роли (глобальный администратор) как подходящие, используя: New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest
Но что является эквивалентом для ролей Azure?
Я попробовал New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest и New-AzRoleAssignment (но не смог заставить его работать).
На самом деле это группа, которую я хочу добавить. Таким образом, все пользователи в этой группе будут иметь право взять на себя роль участника сети в области корневого уровня клиента.
New-MgRoleManagementUnifiedRoleEligibilityScheduleRequest ` -PrincipalId "<идентификатор объекта пользователя или группы>" ` -RoleDefinitionId "b24988ac-6180-42a0-ab88-20f7382dd24c" ` -DirectoryScopeId "/" ` -Action "AdminAssign" ` -Duration "10:00:00 " ` -Обоснование "Допустимое назначение на роль участника сети" ` -ScheduleInfo @{StartDateTime = "2022-01-01T00:00:00Z"; EndDateTime = "2022-01-01T10:00:00Z"} попробуйте это
Связанные документы MS- Учебное пособие. Назначение ролей Microsoft Entra в управлении привилегированными пользователями с помощью Microsoft Graph PowerShell - Назначение административных ролей с помощью PIM для API ролей Microsoft Entra
@GojiraAzure Подходит ли вам приведенное ниже решение?
Привет, Арко.. Я не могу найти никакой информации о New-MgRoleManagementUnifiedRoleEligibilityScheduleRequest. Нет, когда я гугл или в предоставленной вами ссылке.. Это звучит именно так, как мне нужно... следует ли упоминать этот командлет в ссылке? (хотя в ссылках указана роль entra и это роль Azure)
Изначально я создал группу «Безопасность» TestPIMRole
и добавил в нее двух участников:
Чтобы назначить подходящее назначение роли Network Contributor
, используйте приведенный ниже скрипт PowerShell:
$guid = "<guid>"
$startTime = Get-Date -Format o
$scope = "/subscriptions/<subscription_id>/"
New-AzRoleEligibilityScheduleRequest -Name $guid -Scope $scope -ExpirationDuration P365D -ExpirationType AfterDuration -PrincipalId <Object_id of Group> -RequestType AdminAssign -RoleDefinitionId /subscriptions/<subscription id>/providers/Microsoft.Authorization/roleDefinitions/4d97b98b-1d4f-4787-a291-c67834d212e7 -ScheduleInfoStartDateTime $startTime
Выход:
Использованная литература:
Вы хотите добавить пользователю подходящую роль или активную роль
Network Contributor
?