Mengaktifkan peran sumber daya Azure saya di Privileged Identity Management

Gunakan Privileged Identity Management (PIM) di Azure Active Directory (Azure AD), bagian dari Microsoft Entra, untuk memungkinkan anggota peran yang memenuhi syarat untuk sumber daya Azure menjadwalkan aktivasi untuk tanggal dan waktu mendatang. Mereka juga dapat memilih durasi aktivasi tertentu dalam maksimum (dikonfigurasi oleh administrator).

Artikel ini ditujukan untuk anggota yang perlu mengaktifkan peran sumber daya Azure mereka dalam Privileged Identity Management.

Mengaktifkan peran

Saat Anda perlu mengambil peran sumber daya Azure, Anda dapat meminta aktivasi menggunakan opsi Navigasi Peran saya di Privileged Identity Management.

  1. Masuk ke portal Microsoft Azure.

  2. Buka Azure AD Privileged Identity Management. Untuk informasi tentang cara menambahkan tile Privileged Identity Management ke dasbor Anda, lihat Mulai menggunakan Privileged Identity Management.

  3. Pilih Peran saya.

    Halaman peran saya menunjukkan peran yang dapat Anda aktifkan

  4. Pilih peran sumber daya Azure untuk melihat daftar peran sumber daya Azure Anda yang memenuhi syarat.

    Peran saya - halaman peran sumber daya Azure

  5. Di daftar peran sumber daya Azure, temukan peran yang ingin Anda aktifkan.

    Peran sumber daya Azure - Daftar peran saya yang memenuhi syarat

  6. Pilih Aktifkan untuk membuka halaman Aktifkan.

    Panel Aktifkan yang dibuka dengan lingkup, waktu mulai, durasi, dan alasan

  7. Jika peran Anda memerlukan autentikasi multifaktor, pilih Verifikasi identitas Anda sebelum melanjutkan. Anda hanya perlu mengautentikasi sekali per sesi.

  8. Pilih Verifikasi identitas saya dan ikuti instruksi untuk memberikan verifikasi keamanan tambahan.

    Layar untuk menyediakan verifikasi keamanan seperti kode PIN

  9. Jika Anda ingin menentukan lingkup yang dikurangi, pilih Lingkup untuk membuka panel Filter sumber daya.

    Anda sebaiknya hanya meminta akses ke sumber daya yang Anda butuhkan. Pada panel Filter sumber daya, Anda dapat menentukan grup sumber daya atau sumber daya yang perlu Anda akses.

    Aktifkan - Panel filter sumber daya untuk menentukan lingkup

  10. Jika perlu, tentukan waktu mulai aktivasi kustom. Anggota akan diaktifkan setelah waktu yang dipilih.

  11. Dalam kotak Alasan, masukkan alasan permintaan aktivasi.

  12. Pilih Aktifkan.

    Catatan

    Jika peran memerlukan persetujuan untuk mengaktifkan, pemberitahuan akan muncul di sudut kanan atas browser Anda yang memberi tahu Anda bahwa permintaan sedang menunggu persetujuan.

Mengaktifkan peran dengan ARM API

Privileged Identity Management mendukung perintah API Azure Resource Manager (ARM) untuk mengelola peran sumber daya Azure, sebagaimana didokumentasikan dalam referensi API ARM PIM. Untuk izin yang diperlukan untuk menggunakan API PIM, lihat Memahami API Privileged Identity Management.

Untuk mengaktifkan penetapan peran Azure yang memenuhi syarat dan mendapatkan akses yang diaktifkan, gunakan Permintaan Jadwal Penetapan Peran - Buat REST API untuk membuat permintaan baru dan tentukan prinsip keamanan, definisi peran, requestType = SelfActivate dan cakupan. Untuk memanggil API ini, Anda harus memiliki penetapan peran yang memenuhi syarat pada cakupan.

Gunakan alat GUID untuk menghasilkan pengidentifikasi unik yang akan digunakan untuk pengidentifikasi penetapan peran. Pengidentifikasi memiliki format: 00000000-0000-0000-0000-000000000000.

Ganti {roleAssignmentScheduleRequestName} dalam permintaan PUT di bawah ini dengan pengidentifikasi GUID dari penetapan peran.

Untuk detail selengkapnya tentang mengelola peran yang memenuhi syarat untuk sumber daya Azure, lihat tutorial PIM ARM API ini.

Berikut ini adalah contoh permintaan HTTP untuk mengaktifkan tugas yang memenuhi syarat untuk peran Azure.

Minta

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Isi permintaan

{ 
"properties": { 
   "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
   "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
   "requestType": "SelfActivate", 
   "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
   "scheduleInfo": { 
       "startDateTime": "2020-09-09T21:35:27.91Z", 
       "expiration": { 
           "type": "AfterDuration", 
           "endDateTime": null, 
           "duration": "PT8H" 
       } 
   }, 
   "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
   "conditionVersion": "1.0" 
 } 
} 

Respons

Kode Status: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
} 

Mengaktifkan peran dengan PowerShell

Terdapat juga opsi untuk mengaktifkan Privileged Identity Management menggunakan PowerShell. Anda mungkin menemukan detail selengkapnya seperti yang di dokumentasikan dalam artikel PowerShell untuk PIM peran Azure AD.

Berikut ini adalah contoh skrip tentang cara mengaktifkan peran sumber daya Azure menggunakan PowerShell.

$managementgroupID = "<management group ID" # Tenant Root Group
$guid = (New-Guid)
$startTime = Get-Date -Format o
$userObjectID = "<user object ID"
$RoleDefinitionID = "b24988ac-6180-42a0-ab88-20f7382dd24c" # Contributor
$scope = "/providers/Microsoft.Management/managementGroups/$managementgroupID"
New-AzRoleAssignmentScheduleRequest -Name $guid -Scope $scope -ExpirationDuration PT8H -ExpirationType AfterDuration -PrincipalId $userObjectID -RequestType SelfActivate -RoleDefinitionId /providersproviders/Microsoft.Management/managementGroups/$managementgroupID/providers/Microsoft.Authorization/roleDefinitions/$roledefinitionId -ScheduleInfoStartDateTime $startTime -Justification work

Tampilkan status permintaan Anda

Anda dapat melihat status permintaan aktivasi yang menunggu persetujuan.

  1. Buka Azure AD Privileged Identity Management.

  2. Pilih Permintaan saya untuk melihat daftar peran Azure AD dan permintaan peran sumber daya Azure Anda.

    Permintaan saya - halaman sumber daya Azure menunjukkan permintaan Anda yang menunggu persetujuan

  3. Gulir ke kanan untuk menampilkan kolom Status Permintaan.

Membatalkan permintaan yang menunggu persetujuan

Jika Anda tidak memerlukan aktivasi peran yang memerlukan persetujuan, Anda dapat membatalkan permintaan yang tertunda kapan saja.

  1. Buka Azure AD Privileged Identity Management.

  2. Pilih Permintaan saya.

  3. Untuk peran yang ingin Anda batalkan, pilih tautan Batalkan.

    Ketika Anda memilih Batalkan, permintaan akan dibatalkan. Untuk mengaktifkan peran lagi, Anda harus mengirimkan permintaan baru untuk aktivasi.

    Daftar permintaan saya dengan tindakan Batal disorot

Nonaktifkan penetapan peran

Saat penetapan peran diaktifkan, Anda akan melihat opsi Nonaktifkan di portal PIM untuk penetapan peran. Saat Anda memilih Nonaktifkan, ada jeda waktu singkat sebelum peran dinonaktifkan. Selain itu, Anda tidak dapat menonaktifkan penetapan peran selama lima menit setelah aktivasi.

Pecahkan masalah

Izin tidak diberikan setelah mengaktifkan peran

Saat Anda mengaktifkan peran di Azure AD Privileged Identity Management (PIM), aktivasi mungkin tidak langsung diterapkan ke semua portal yang memerlukan peran istimewa. Terkadang, meskipun perubahan sudah diterapkan, cache web di portal dapat menyebabkan perubahan tidak langsung diberlakukan. Jika aktivasi Anda tertunda, berikut adalah hal yang harus Anda lakukan.

  1. Keluar dari portal Azure, lalu masuk kembali.
  2. Di Privileged Identity Management, verifikasi bahwa Anda terdaftar sebagai anggota peran tersebut.

Langkah berikutnya