Membuat tinjauan akses sumber daya Azure dan peran Microsoft Entra di PIM

  • Artikel

Kebutuhan akan akses ke sumber daya Azure istimewa dan peran Microsoft Entra oleh pengguna Anda berubah dari waktu ke waktu. Untuk mengurangi risiko yang terkait dengan penetapan peran kedaluwarsa, Anda harus meninjau akses secara teratur. Anda dapat menggunakan Microsoft Entra Privileged Identity Management (PIM) untuk membuat tinjauan akses untuk akses istimewa ke sumber daya Azure dan peran Microsoft Entra. Anda juga dapat mengonfigurasi tinjauan akses berulang yang terjadi secara otomatis. Artikel ini menjelaskan cara membuat satu atau beberapa tinjauan akses.

Prasyarat

Menggunakan Privileged Identity Management memerlukan lisensi. Untuk informasi selengkapnya tentang lisensi, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi .

Untuk informasi selengkapnya tentang lisensi untuk PIM, lihat Persyaratan lisensi untuk menggunakan Privileged Identity Management.

Dalam membuat tinjauan akses untuk sumber daya Azure, Anda harus ditetapkan ke peran Pemilik atau Admin Akses Pengguna untuk sumber daya Azure. Untuk membuat tinjauan akses untuk peran Microsoft Entra, Anda harus ditetapkan ke Administrator Global atau peran Administrator Peran Istimewa.

Menggunakan Tinjauan Akses untuk Perwakilan Layanan memerlukan paket Microsoft Entra Workload ID Premium selain lisensi Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra.

  • Lisensi Workload Identities Premium: Anda dapat melihat dan memperoleh lisensi pada bilah Identitas Beban Kerja di pusat admin Microsoft Entra.

Catatan

Tinjauan akses mengambil rekam jepret akses di awal setiap instans ulasan. Setiap perubahan yang dilakukan selama proses peninjauan akan tercermin dalam siklus tinjauan berikutnya. Pada dasarnya, dengan dimulainya setiap pengulangan baru, data yang bersangkutan mengenai pengguna, sumber daya yang ditinjau, dan peninjau masing-masing diambil.

Membuat tinjauan akses

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

  1. Masuk ke pusat admin Microsoft Entra sebagai pengguna yang ditetapkan ke salah satu peran prasyarat.

  2. Telusuri tata kelola>identitas Privileged Identity Management.

  3. Untuk peran Microsoft Entra, pilih peran Microsoft Entra. Untuk sumber daya Azure, pilih sumber daya Azure

    Pilih Tata Kelola Identitas di cuplikan layar pusat admin Microsoft Entra.

  4. Untuk peran Microsoft Entra, pilih peran Microsoft Entra lagi di bawah Kelola. Untuk Sumber daya Azure, pilih langganan yang ingin Anda kelola.

  5. Di bawah Manage (Kelola), pilih Access reviews (Tinjauan akses), lalu pilih New (Baru) untuk membuat tinjauan akses baru.

    Peran Microsoft Entra - Daftar Tinjauan akses memperlihatkan status semua cuplikan layar ulasan.

  6. Beri nama tinjauan akses. Opsional, berikan deskripsi tinjauan. Nama dan deskripsi akan ditampilkan kepada peninjau.

    Membuat tinjauan akses - Meninjau cuplikan layar nama dan deskripsi.

  7. Atur Tanggal Mulai. Secara default, tinjauan akses terjadi satu kali, dimulai pada saat pembuatan, dan berakhir dalam satu bulan. Anda dapat mengubah tanggal mulai dan berakhir agar tinjauan akses dimulai di masa mendatang dan berlangsung selama yang Anda inginkan.

    Cuplikan layar tanggal mulai, frekuensi, durasi, waktu berakhir, jumlah waktu, dan tanggal berakhir.

  8. Untuk membuat tinjauan akses berulang, ubah pengaturan Frekuensi dari Satu kali menjadi Mingguan, Bulanan, Kuartal, Tahunan,atau Semi-tahunan. Gunakan penggeser durasi atau kotak teks untuk menentukan jumlah hari setiap tinjauan rangkaian berulang akan terbuka untuk input dari peninjau. Misalnya, durasi maksimum yang dapat Anda tetapkan untuk peninjauan bulanan adalah 27 hari, untuk menghindari tinjauan yang tumpang tindih.

  9. Gunakan pengaturan Akhiri untuk menentukan cara mengakhiri rangkaian tinjauan akses berulang. Rangkaian ini dapat berakhir dengan tiga cara: rangkaian ini terus berjalan untuk memulai tinjauan tanpa batas waktu, hingga tanggal tertentu, atau setelah jumlah peristiwa yang ditentukan selesai. Anda, atau admin lain yang dapat mengelola tinjauan, dapat menghentikan rangkaian setelah pembuatan dengan mengubah tanggal di Pengaturan, sehingga rangkaian berakhir pada tanggal tersebut.

  10. Di bagian Lingkup Pengguna, pilih lingkup tinjauan. Untuk peran Microsoft Entra, opsi cakupan pertama adalah Pengguna dan Grup. Pengguna yang ditetapkan secara langsung dan grup yang dapat ditetapkan peran akan disertakan dalam pilihan ini. Untuk peran sumber daya Azure, cakupan pertama adalah Pengguna. Grup yang ditetapkan ke peran sumber daya Azure diperluas untuk menampilkan penetapan pengguna transitif dalam tinjauan dengan pilihan ini. Anda juga dapat memilih Perwakilan Layanan untuk meninjau akun komputer dengan akses langsung ke sumber daya Azure atau peran Microsoft Entra.

    Cakupan pengguna untuk meninjau keanggotaan peran cuplikan layar.

  11. Atau, Anda dapat membuat tinjauan akses hanya untuk pengguna yang tidak aktif. Di bagian Cakupan pengguna, atur Hanya pengguna yang tidak aktif (pada tingkat penyewa) ke true. Jika pengalih diatur ke true, cakupan tinjauan hanya akan berfokus pada pengguna yang tidak aktif. Kemudian, tentukan Hari tidak aktif dengan jumlah hari tidak aktif hingga 730 hari (dua tahun). Pengguna yang tidak aktif dalam jumlah hari yang ditentukan akan menjadi satu-satunya pengguna dalam peninjauan.

  12. Di bawah Tinjau keanggotaan peran, pilih sumber daya Azure istimewa atau peran Microsoft Entra untuk ditinjau.

    Catatan

    Memilih lebih dari satu peran akan membuat beberapa tinjauan akses. Misalnya, memilih lima peran akan membuat lima tinjauan akses terpisah.

    Meninjau cuplikan layar keanggotaan peran.

  13. Dalam jenis tugas, amati tinjauan berdasarkan bagaimana perwakilan ditugaskan untuk peran tersebut. Pilih hanya tugas yang memenuhi syarat untuk meninjau tugas yang memenuhi syarat (terlepas dari status aktivasi saat peninjauan dibuat) atau hanya tugas aktif untuk meninjau tugas aktif. Pilih semua tugas aktif dan memenuhi syarat untuk meninjau semua tugas terlepas dari jenisnya.

    Daftar peninjau cuplikan layar jenis penugasan.

  14. Di bagian Peninjau, pilih satu atau beberapa orang untuk meninjau semua pengguna. Atau Anda dapat memilih agar anggota grup meninjau akses mereka sendiri.

    Daftar peninjau pengguna atau anggota yang dipilih (mandiri)

    • Pengguna yang dipilih - Gunakan opsi ini untuk menunjuk pengguna tertentu untuk menyelesaikan tinjauan. Opsi ini tersedia terlepas dari cakupan tinjauan, peninjau terpilih yang dapat meninjau pengguna, grup, dan prinsip layanan.
    • Anggota (mandiri) - Gunakan opsi ini untuk membuat agar pengguna meninjau penetapan peran mereka sendiri. Opsi ini hanya tersedia jika tinjauan dibatasi pada Pengguna dan Grup atau Pengguna. Untuk peran Microsoft Entra, grup yang dapat ditetapkan peran tidak akan menjadi bagian dari tinjauan saat opsi ini dipilih.
    • Manajer – Gunakan opsi ini untuk membuat agar manajer pengguna meninjau penetapan peran mereka. Opsi ini hanya tersedia jika tinjauan dibatasi pada Pengguna dan Grup atau Pengguna. Setelah memilih Manajer, Anda juga akan memiliki opsi untuk menentukan peninjau fallback. Peninjau fallback diminta untuk meninjau pengguna ketika pengguna tidak memiliki manajer yang ditentukan dalam direktori. Untuk peran Microsoft Entra, grup yang dapat ditetapkan peran akan ditinjau oleh peninjau fallback jika dipilih.

Pengaturan setelah penyelesaian

  1. Untuk menentukan hal yang terjadi setelah tinjauan selesai, perluas bagian Pengaturan setelah penyelesaian.

    Cuplikan layar memperlihatkan pengaturan setelah penyelesaian untuk diterapkan secara otomatis, dan pilihan harus direspons oleh peninjau.

  2. Jika Anda ingin menghapus akses secara otomatis untuk pengguna yang ditolak, atur Terapkan otomatis hasil ke sumber daya ke Aktifkan. Jika Anda ingin menerapkan hasil secara manual saat tinjauan selesai, atur tombol ke Nonaktifkan.

  3. Gunakan daftar Jika peninjau tidak merespons untuk menentukan apa yang terjadi pada pengguna yang tidak ditinjau oleh peninjau dalam periode peninjauan. Pengaturan ini tidak memengaruhi pengguna yang ditinjau oleh peninjau.

    • Tidak ada perubahan - Membiarkan akses pengguna tidak berubah
    • Hapus akses - Menghapus akses pengguna
    • Setujui akses - Menyetujui akses pengguna
    • Ikuti rekomendasi - Mengikuti rekomendasi sistem untuk menolak atau menyetujui akses lanjutan pengguna

  4. Gunakan daftar Tindakan untuk diterapkan pada pengguna tamu yang ditolak untuk menentukan apa yang terjadi pada pengguna tamu yang ditolak. Pengaturan ini tidak dapat diedit untuk ID Microsoft Entra dan tinjauan peran sumber daya Azure saat ini; pengguna tamu, seperti semua pengguna, akan selalu kehilangan akses ke sumber daya jika ditolak.

    Setelah menyelesaikan pengaturan - Cuplikan layar tentang tindakan yang harus diterapkan pada pengguna tamu yang ditolak.

  5. Anda dapat mengirim pemberitahuan ke pengguna atau grup tambahan untuk menerima pembaruan penyelesaian tinjauan. Fitur ini memungkinkan pemangku kepentingan selain pembuat tinjauan untuk mendapatkan informasi terbaru tentang kemajuan tinjauan. Untuk menggunakan fitur ini, pilih opsi Pilih Pengguna atau Grup, lalu tambahkan pengguna atau grup tambahan saat Anda ingin menerima status penyelesaian.

    Setelah setelan selesai - Tambahkan pengguna tambahan untuk menerima cuplikan layar pemberitahuan.

Pengaturan tingkat lanjut

  1. Untuk menentukan pengaturan tambahan, perluas bagian Pengaturan tingkat lanjut.

    Pengaturan tingkat lanjut untuk rekomendasi acara, memerlukan alasan persetujuan, pemberitahuan email, dan cuplikan layar pengingat.

  2. Atur Tampilkan rekomendasi ke Aktifkan untuk menampilkan rekomendasi sistem kepada peninjau berdasarkan informasi akses pengguna. Rekomendasi didasarkan pada periode interval 30 hari. Pengguna yang telah masuk dalam 30 hari terakhir ditampilkan dengan persetujuan akses yang direkomendasikan, sementara pengguna yang belum masuk ditampilkan dengan penolakan akses yang direkomendasikan. Kredensial masuk ini terlepas dari apakah mereka interaktif. Kredensial masuk terakhir pengguna juga ditampilkan bersama dengan rekomendasi.

  3. Atur Perlu alasan persetujuan ke Aktifkan untuk mengharuskan peninjau memberikan alasan persetujuan.

  4. Atur Pemberitahuan email ke Aktifkan agar Microsoft Entra ID dapat mengirim pemberitahuan email ke peninjau saat tinjauan akses dimulai, dan ke administrator saat tinjauan selesai.

  5. Atur Pengingat ke Aktifkan agar Microsoft Entra ID dapat mengirimkan pengingat tinjauan akses yang sedang berlangsung kepada peninjau yang belum menyelesaikan tinjauannya.

  6. Konten email yang dikirim ke peninjau dihasilkan secara otomatis berdasarkan detail tinjauan, seperti nama tinjauan, nama sumber daya, tanggal jatuh tempo, dll. Jika Anda memerlukan cara untuk menyampaikan informasi tambahan seperti instruksi tambahan atau informasi kontak, Anda dapat menentukan detail ini di Konten tambahan untuk email peninjau yang akan disertakan dalam undangan dan email pengingat yang dikirim ke peninjau yang ditetapkan. Bagian yang disorot di bawah ini adalah tempat informasi ini akan ditampilkan.

    Konten email yang dikirim ke peninjau dengan sorotan

Mengelola tinjauan akses

Anda dapat melacak kemajuan saat peninjau menyelesaikan tinjauan mereka di halaman Ringkasan tinjauan akses. Tidak ada hak akses yang diubah dalam direktori sebelum tinjauan selesai. Di bawah ini adalah cuplikan layar yang memperlihatkan halaman gambaran umum untuk sumber daya Azure dan tinjauan akses peran Microsoft Entra.

Halaman gambaran umum tinjauan akses memperlihatkan detail tinjauan akses untuk cuplikan layar peran Microsoft Entra.

Jika ini adalah tinjauan satu kali, maka setelah periode tinjauan akses berakhir atau administrator menghentikan tinjauan akses, ikuti langkah-langkah dalam Menyelesaikan tinjauan akses sumber daya Azure dan peran Microsoft Entra untuk melihat dan menerapkan hasilnya.

Untuk mengelola serangkaian tinjauan akses, navigasi ke tinjauan akses, dan Anda akan menemukan peristiwa yang akan datang di Ulasan terjadwal, dan mengedit tanggal akhir atau menambahkan/menghapus peninjau yang sesuai.

Berdasarkan pilihan Anda di Pengaturan setelah penyelesaian, penerapan otomatis akan dieksekusi setelah tanggal akhir tinjauan atau ketika Anda menghentikan tinjauan secara manual. Status tinjauan akan berubah dari Selesai ke status menengah seperti Menerapkan dan akhirnya ke status Diterapkan. Anda akan melihat pengguna yang ditolak, jika ada, yang dihapus dari peran dalam beberapa menit.

Dampak grup yang ditetapkan ke peran Microsoft Entra dan peran sumber daya Azure dalam tinjauan akses

• Untuk peran Microsoft Entra, grup yang dapat ditetapkan peran dapat ditetapkan ke peran menggunakan grup yang dapat ditetapkan peran. Saat tinjauan dibuat pada peran Microsoft Entra dengan grup yang dapat ditetapkan peran yang ditetapkan, nama grup muncul dalam tinjauan tanpa memperluas keanggotaan grup. Peninjau dapat menyetujui atau menolak akses seluruh grup ke peran tersebut. Grup yang ditolak akan kehilangan penugasan untuk peran tersebut saat hasil peninjauan diterapkan.

• Untuk peran sumber daya Azure, grup keamanan apa pun dapat ditetapkan ke peran tersebut. Saat tinjauan dibuat pada peran sumber daya Azure dengan grup keamanan yang ditetapkan, pengguna yang ditetapkan ke grup keamanan tersebut akan sepenuhnya diperluas dan ditampilkan kepada peninjau peran tersebut. Ketika peninjau menolak pengguna yang ditetapkan ke peran melalui grup keamanan, pengguna tidak akan dihapus dari grup. Ini karena grup mungkin telah dibagikan dengan sumber daya Azure atau non-Azure lainnya. Oleh karena itu perubahan yang dihasilkan dari akses yang ditolak harus dilakukan oleh administrator.

Catatan

Dimungkinkan bagi kelompok keamanan untuk memiliki grup lain yang ditetapkan untuk itu. Dalam hal ini, hanya pengguna yang ditetapkan langsung ke kelompok keamanan yang ditetapkan untuk peran tersebut akan muncul dalam peninjauan peran.

Memperbarui tinjauan akses

Setelah satu atau beberapa tinjauan akses dimulai, Anda mungkin ingin mengubah atau memperbarui pengaturan tinjauan akses yang ada. Berikut adalah beberapa skenario umum yang mungkin ingin Anda pertimbangkan:

  • Menambahkan dan menghapus peninjau - Saat memperbarui tinjauan akses, Anda dapat memilih untuk menambahkan peninjau fallback selain peninjau utama. Peninjau utama dapat dihapus saat memperbarui tinjauan akses. Namun, peninjau fallback tidak dapat dilepas berdasarkan desain.

    Catatan

    Peninjau fallback hanya dapat ditambahkan jika jenis peninjau adalah manajer. Peninjau utama dapat ditambahkan ketika jenis peninjau dipilih oleh pengguna.

  • Mengingatkan peninjau - Saat memperbarui tinjauan akses, Anda dapat memilih untuk mengaktifkan opsi pengingat di Pengaturan Tingkat Lanjut. Setelah diaktifkan, pengguna akan menerima pemberitahuan email di tengah periode peninjauan, terlepas dari apakah mereka telah menyelesaikan peninjauan atau belum.

    Cuplikan layar opsi pengingat di pengaturan tinjauan akses.

  • Memperbarui setelan - Jika peninjauan akses berulang, ada pengaturan terpisah di "Saat ini" versus di "Seri". Memperbarui pengaturan di "Saat ini" hanya akan menerapkan perubahan pada tinjauan akses saat ini, sementara memperbarui pengaturan di bawah "Seri" akan memperbarui pengaturan untuk semua pengulangan di masa mendatang.

    Cuplikan layar halaman pengaturan di tinjauan akses.

Langkah berikutnya