Mengaktifkan peran Azure AD di PIM

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) menyederhanakan cara perusahaan mengelola akses istimewa ke sumber daya di Azure AD dan layanan online Microsoft lainnya seperti Microsoft 365 atau Microsoft Intune.

Jika telah memenuhi syarat untuk peran administratif, Anda harus mengaktifkan penetapan peran ketika Anda perlu melakukan tindakan istimewa. Misalnya, jika sesekali mengelola fitur Microsoft 365, administrator peran istimewa organisasi Anda mungkin tidak menjadikan Anda Administrator Global permanen karena peran tersebut juga memengaruhi layanan lain. Sebaliknya, mereka akan membuat Anda memenuhi syarat untuk peran Azure AD seperti Administrator Exchange Online. Anda dapat meminta untuk mengaktifkan peran tersebut ketika membutuhkan hak istimewanya, dan Anda akan memiliki kontrol administrator untuk jangka waktu yang telah ditentukan.

Artikel ini ditujukan untuk anggota yang perlu mengaktifkan peran sumber daya Azure mereka dalam Privileged Identity Management.

Mengaktifkan peran

Saat perlu menjalankan peran Azure AD, Anda dapat meminta aktivasi dengan membuka Peran saya di Privileged Identity Management.

  1. Masuk ke portal Microsoft Azure.

  2. Buka Azure AD Privileged Identity Management. Untuk informasi tentang cara menambahkan tile Privileged Identity Management ke dasbor Anda, lihat Mulai menggunakan Privileged Identity Management.

  3. Pilih Peran saya, lalu pilih peran Azure AD untuk melihat daftar peran Azure AD Anda yang memenuhi syarat.

    My roles page showing roles you can activate

  4. Di daftar peran sumber daya Azure, temukan peran yang ingin Anda aktifkan.

    Azure AD roles - My eligible roles list

  5. Pilih Aktifkan untuk membuka panel Aktifkan.

    Azure AD roles - activation page contains duration and scope

  6. Pilih Verifikasi tambahan diperlukan dan ikuti instruksi untuk memberikan verifikasi keamanan. Anda hanya boleh mengautentikasi sekali per sesi.

    Screen to provide security verification such as a PIN code

  7. Setelah autentikasi multifaktor, pilih Aktifkan sebelum melanjutkan.

    Verify my identity with MFA before role activates

  8. Jika Anda ingin menentukan pengurangan lingkup, pilih Lingkup untuk membuka panel filter sumber daya. Pada panel filter, Anda dapat menentukan sumber daya Azure AD yang perlu Anda akses. Anda sebaiknya meminta akses ke sumber daya terkecil yang Anda butuhkan.

  9. Jika perlu, tentukan waktu mulai aktivasi kustom. Peran Azure AD akan diaktifkan setelah waktu yang dipilih.

  10. Dalam kotak Alasan, masukkan alasan permintaan aktivasi.

  11. Pilih Aktifkan.

    Jika peran memerlukan persetujuan untuk mengaktifkan, pemberitahuan akan muncul di sudut kanan atas browser Anda yang memberi tahu Anda bahwa permintaan sedang menunggu persetujuan.

    Activation request is pending approval notification

Mengaktifkan peran menggunakan API Microsoft Graph

Untuk informasi lebih lanjut mengenai API Microsoft Graph untuk PIM, lihat Gambaran umum manajemen peran melalui API privileged identity management (PIM).

Dapatkan semua peran yang memenuhi syarat yang dapat Anda aktifkan

Ketika pengguna mendapatkan kelayakan peran mereka melalui keanggotaan grup, permintaan Microsoft Graph ini tidak akan menampilkan kelayakan tersebut.

Permintaan HTTP

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  

Respons HTTP

Untuk menghemat ruang, kami hanya menampilkan respons untuk satu peran, tetapi semua penetapan peran yang memenuhi syarat yang dapat Anda aktifkan akan dicantumkan.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

Mengaktifkan sendiri kelayakan peran dengan justifikasi

Permintaan HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Respons HTTP

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Melihat status permintaan aktivasi

Anda dapat melihat status permintaan aktivasi yang menunggu persetujuan.

  1. Buka Azure AD Privileged Identity Management.

  2. Pilih Permintaan saya untuk melihat daftar peran Azure AD dan permintaan peran sumber daya Azure Anda.

    My requests - Azure AD page showing your pending requests

  3. Gulir ke kanan untuk menampilkan kolom Status Permintaan.

Membatalkan permintaan tertunda untuk versi baru

Jika tidak memerlukan aktivasi peran yang memerlukan persetujuan, Anda dapat membatalkan permintaan tertunda kapan saja.

  1. Buka Azure AD Privileged Identity Management.

  2. Pilih Permintaan saya.

  3. Untuk peran yang ingin Anda batalkan, pilih tautan Batalkan.

    Ketika Anda memilih Batalkan, permintaan akan dibatalkan. Untuk mengaktifkan kembali peran, Anda harus mengirimkan permintaan baru untuk aktivasi.

    My request list with Cancel action highlighted

Nonaktifkan penetapan peran

Saat penetapan peran diaktifkan, Anda akan melihat opsi Nonaktifkan di portal PIM untuk penetapan peran. Saat Anda memilih Nonaktifkan, ada jeda waktu singkat sebelum peran dinonaktifkan. Selain itu, Anda tidak dapat menonaktifkan penetapan peran selama lima menit setelah aktivasi.

Memecahkan masalah penundaan portal

Izin tidak diberikan setelah mengaktifkan peran

Saat Anda mengaktifkan peran di Privileged Identity Management, aktivasi mungkin tidak langsung disebarkan ke semua portal yang memerlukan peran istimewa. Kadang-kadang, bahkan jika perubahan sudah disebarkan, penembolokan web di portal dapat menyebabkan penundaan sebelum perubahan diterapkan. Jika aktivasi tertunda, harap keluar dari portal tempat Anda mencoba melakukan tindakan lalu masuk kembali. Di portal Microsoft Azure, PIM mengeluarkan dan memasukkan Anda secara otomatis.

Langkah berikutnya