Edit

Mengaktifkan peran Microsoft Entra di PIM

  • Bagaimana

Microsoft Entra Privileged Identity Management (PIM) menyederhanakan cara perusahaan mengelola akses istimewa ke sumber daya di MICROSOFT Entra ID dan Microsoft layanan online lainnya seperti Microsoft 365 atau Microsoft Intune.

Jika telah memenuhi syarat untuk peran administratif, Anda harus mengaktifkan penetapan peran ketika Anda perlu melakukan tindakan istimewa. Misalnya, jika sesekali mengelola fitur Microsoft 365, administrator peran istimewa organisasi Anda mungkin tidak menjadikan Anda Administrator Global permanen karena peran tersebut juga memengaruhi layanan lain. Sebaliknya, mereka akan membuat Anda memenuhi syarat untuk peran Microsoft Entra seperti Administrator Exchange Online. Anda dapat meminta untuk mengaktifkan peran tersebut saat Anda memerlukan hak istimewanya, lalu memiliki kontrol administrator untuk periode waktu yang telah ditentukan.

Artikel ini ditujukan untuk administrator yang perlu mengaktifkan peran Microsoft Entra mereka di Privileged Identity Management.

Penting

Saat peran diaktifkan, Microsoft Entra PIM untuk sementara menambahkan penetapan aktif untuk peran tersebut. Microsoft Entra PIM membuat penetapan aktif (menetapkan pengguna ke peran) dalam hitungan detik. Saat pennonaktifkanan (manual atau melalui waktu aktivasi kedaluwarsa) terjadi, Microsoft Entra PIM juga menghapus penugasan aktif dalam hitungan detik.

Aplikasi dapat menyediakan akses berdasarkan peran yang dimiliki pengguna. Dalam beberapa situasi, akses aplikasi mungkin tidak segera mencerminkan fakta bahwa pengguna mendapatkan peran yang ditetapkan atau dihapus. Jika aplikasi sebelumnya menyimpan cache fakta bahwa pengguna tidak memiliki peran - ketika pengguna mencoba mengakses aplikasi lagi, akses mungkin tidak disediakan. Demikian pula, jika aplikasi sebelumnya menyimpan cache fakta bahwa pengguna memiliki peran - ketika peran dinonaktifkan, pengguna mungkin masih mendapatkan akses. Situasi tertentu tergantung pada arsitektur aplikasi. Untuk beberapa aplikasi, keluar dan masuk kembali dapat membantu akses ditambahkan atau dihapus.

Prasyarat

Tidak

Mengaktifkan peran

Saat Anda perlu mengambil peran Microsoft Entra, Anda dapat meminta aktivasi dengan membuka Peran saya di Privileged Identity Management.

Catatan

PIM sekarang tersedia di aplikasi seluler Azure (iOS | Android) untuk peran id Microsoft Entra dan sumber daya Azure. Aktifkan tugas yang memenuhi syarat dengan mudah, minta perpanjangan untuk yang kedaluwarsa, atau periksa status permintaan yang tertunda. Baca selengkapnya di bawah ini

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya administrator peran Istimewa.

  2. Telusuri tata kelola>Identitas Privileged Identity Management>Peran saya. Untuk informasi tentang cara menambahkan tile Privileged Identity Management ke dasbor Anda, lihat Mulai menggunakan Privileged Identity Management.

  3. Pilih peran Microsoft Entra untuk melihat daftar peran Microsoft Entra yang memenuhi syarat.

    Halaman peran saya menunjukkan peran yang dapat Anda aktifkan

  4. Di daftar peran Microsoft Entra, temukan peran yang ingin Anda aktifkan.

    Peran Microsoft Entra - Daftar peran saya yang memenuhi syarat

  5. Pilih Aktifkan untuk membuka panel Aktifkan.

    Peran Microsoft Entra - halaman aktivasi berisi durasi dan cakupan

  6. Pilih Verifikasi tambahan diperlukan dan ikuti instruksi untuk memberikan verifikasi keamanan. Anda hanya boleh mengautentikasi sekali per sesi.

    Layar untuk menyediakan verifikasi keamanan seperti kode PIN

  7. Setelah autentikasi multifaktor, pilih Aktifkan sebelum melanjutkan.

    Verifikasi identitas saya dengan MFA sebelum aktivasi peran

  8. Jika Anda ingin menentukan pengurangan lingkup, pilih Lingkup untuk membuka panel filter sumber daya. Pada panel filter, Anda bisa menentukan sumber daya Microsoft Entra yang perlu Anda akses. Anda sebaiknya meminta akses ke sumber daya terkecil yang Anda butuhkan.

  9. Jika perlu, tentukan waktu mulai aktivasi kustom. Peran Microsoft Entra akan diaktifkan setelah waktu yang dipilih.

  10. Dalam kotak Alasan, masukkan alasan permintaan aktivasi.

  11. Pilih aktifkan.

    Jika peran memerlukan persetujuan untuk mengaktifkan, pemberitahuan muncul di sudut kanan atas browser Anda yang memberi tahu Anda bahwa permintaan tersebut menunggu persetujuan.

    Pemberitahuan permintaan aktivasi sedang menunggu persetujuan

    Mengaktifkan peran menggunakan API Microsoft Graph

    Untuk informasi selengkapnya tentang Microsoft Graph API untuk PIM, lihat Ringkasan manajemen peran melalui API manajemen identitas istimewa (PIM).

    Dapatkan semua peran yang memenuhi syarat yang dapat Anda aktifkan

    Ketika pengguna mendapatkan kelayakan peran mereka melalui keanggotaan grup, permintaan Microsoft Graph ini tidak akan menampilkan kelayakan tersebut.

    Permintaan HTTP

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

    Respons HTTP

    Untuk menghemat ruang, kami hanya menampilkan respons untuk satu peran, tetapi semua penetapan peran yang memenuhi syarat yang dapat Anda aktifkan akan dicantumkan.

    {
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

    Mengaktifkan sendiri kelayakan peran dengan justifikasi

    Permintaan HTTP

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

    Respons HTTP

    HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Menampilkan status permintaan aktivasi

Anda dapat melihat status permintaan aktivasi yang menunggu persetujuan.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya administrator peran Istimewa.

  2. Telusuri tata kelola>identitas Privileged Identity Management>Permintaan saya.

  3. Saat Anda memilih Permintaan saya, Anda akan melihat daftar peran Microsoft Entra dan permintaan peran sumber daya Azure Anda.

    Cuplikan layar permintaan Saya - Halaman ID Microsoft Entra memperlihatkan permintaan Anda yang tertunda

  4. Gulir ke kanan untuk menampilkan kolom Status Permintaan.

Membatalkan permintaan tertunda untuk versi baru

Jika tidak memerlukan aktivasi peran yang memerlukan persetujuan, Anda dapat membatalkan permintaan tertunda kapan saja.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya administrator peran Istimewa.

  2. Telusuri tata kelola>identitas Privileged Identity Management>Permintaan saya.

  3. Untuk peran yang ingin Anda batalkan, pilih tautan Batalkan.

    Saat Anda memilih Batal, permintaan dibatalkan. Untuk mengaktifkan peran lagi, Anda harus mengirimkan permintaan baru untuk aktivasi.

    Daftar permintaan saya dengan tindakan Batal disorot

Menonaktifkan penetapan peran

Saat penetapan peran diaktifkan, Anda akan melihat opsi Nonaktifkan di portal PIM untuk penetapan peran. Selain itu, Anda tidak dapat menonaktifkan penetapan peran selama lima menit setelah aktivasi.

Mengaktifkan peran PIM menggunakan aplikasi seluler Azure

PIM sekarang tersedia di aplikasi seluler MICROSOFT Entra ID dan peran sumber daya Azure di iOS dan Android.

  1. Untuk mengaktifkan penetapan peran Microsoft Entra yang memenuhi syarat, mulailah dengan mengunduh aplikasi seluler Azure (iOS | Android). Anda juga dapat mengunduh aplikasi dengan memilih 'Buka di seluler' dari Privileged Identity Management > Peran saya Peran > Microsoft Entra.

    Cuplikan layar memperlihatkan cara mengunduh aplikasi seluler.

  2. Buka aplikasi seluler Azure dan masuk. Pilih kartu Privileged Identity Management dan pilih Peran Microsoft Entra Saya untuk melihat penetapan peran Anda yang memenuhi syarat dan aktif.

    Cuplikan layar aplikasi seluler memperlihatkan bagaimana pengguna akan melihat peran yang tersedia.

  3. Pilih penetapan peran dan klik Aktifkan Tindakan > di bawah detail penetapan peran. Selesaikan langkah-langkah untuk aktif dan isi detail yang diperlukan sebelum mengklik 'Aktifkan' di bagian bawah.

    Cuplikan layar aplikasi seluler memperlihatkan kepada pengguna cara mengisi informasi yang diperlukan

  4. Lihat status permintaan aktivasi dan penetapan peran Anda di bawah peran Microsoft Entra Saya.

    Cuplikan layar aplikasi seluler memperlihatkan status peran pengguna.

Konten terkait