Edit

Mengaktifkan peran sumber daya Azure saya di Privileged Identity Management

  • Bagaimana

Gunakan Microsoft Entra Privileged Identity Management (PIM), untuk memungkinkan anggota peran yang memenuhi syarat untuk sumber daya Azure menjadwalkan aktivasi untuk tanggal dan waktu mendatang. Mereka juga dapat memilih durasi aktivasi tertentu dalam maksimum (dikonfigurasi oleh administrator).

Artikel ini ditujukan untuk anggota yang perlu mengaktifkan peran sumber daya Azure mereka dalam Privileged Identity Management.

Catatan

Pada Maret 2023, Anda sekarang dapat mengaktifkan tugas dan melihat akses Anda langsung dari bilah di luar PIM di portal Azure. Baca selengkapnya di sini.

Penting

Saat peran diaktifkan, Microsoft Entra PIM untuk sementara menambahkan penetapan aktif untuk peran tersebut. Microsoft Entra PIM membuat penetapan aktif (menetapkan pengguna ke peran) dalam hitungan detik. Saat pennonaktifkanan (manual atau melalui waktu aktivasi kedaluwarsa) terjadi, Microsoft Entra PIM juga menghapus penugasan aktif dalam hitungan detik.

Aplikasi dapat menyediakan akses berdasarkan peran yang dimiliki pengguna. Dalam beberapa situasi, akses aplikasi mungkin tidak segera mencerminkan fakta bahwa pengguna mendapatkan peran yang ditetapkan atau dihapus. Jika aplikasi sebelumnya menyimpan cache fakta bahwa pengguna tidak memiliki peran - ketika pengguna mencoba mengakses aplikasi lagi, akses mungkin tidak disediakan. Demikian pula, jika aplikasi sebelumnya menyimpan cache fakta bahwa pengguna memiliki peran - ketika peran dinonaktifkan, pengguna mungkin masih mendapatkan akses. Situasi tertentu tergantung pada arsitektur aplikasi. Untuk beberapa aplikasi, keluar dan masuk kembali dapat membantu akses ditambahkan atau dihapus.

Prasyarat

Tidak

Mengaktifkan peran

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Saat Anda perlu mengambil peran sumber daya Azure, Anda dapat meminta aktivasi menggunakan opsi Navigasi Peran saya di Privileged Identity Management.

Catatan

PIM sekarang tersedia di aplikasi seluler Azure (iOS | Android) untuk peran id Microsoft Entra dan sumber daya Azure. Aktifkan tugas yang memenuhi syarat dengan mudah, minta perpanjangan untuk yang kedaluwarsa, atau periksa status permintaan yang tertunda. Baca selengkapnya di bawah ini

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

  2. Telusuri tata kelola>Identitas Privileged Identity Management>Peran saya.

    Cuplikan layar halaman peran saya memperlihatkan peran yang dapat Anda aktifkan.

  3. Pilih peran sumber daya Azure untuk melihat daftar peran sumber daya Azure Anda yang memenuhi syarat.

    Cuplikan layar peran saya - Halaman peran sumber daya Azure.

  4. Di daftar peran sumber daya Azure, temukan peran yang ingin Anda aktifkan.

    Cuplikan layar peran sumber daya azure - Daftar peran saya yang memenuhi syarat.

  5. Pilih Aktifkan untuk membuka halaman Aktifkan.

    Cuplikan layar panel Aktifkan yang dibuka dengan cakupan, waktu mulai, durasi, dan alasan.

  6. Jika peran Anda memerlukan autentikasi multifaktor, pilih Verifikasi identitas Anda sebelum melanjutkan. Anda hanya perlu mengautentikasi sekali per sesi.

  7. Pilih Verifikasi identitas saya dan ikuti instruksi untuk memberikan verifikasi keamanan tambahan.

    Cuplikan layar untuk memberikan verifikasi keamanan seperti kode PIN.

  8. Jika Anda ingin menentukan lingkup yang dikurangi, pilih Lingkup untuk membuka panel Filter sumber daya.

    Anda sebaiknya hanya meminta akses ke sumber daya yang Anda butuhkan. Pada panel Filter sumber daya, Anda dapat menentukan grup sumber daya atau sumber daya yang perlu Anda akses.

    Cuplikan layar aktifkan - Panel filter sumber daya untuk menentukan cakupan.

  9. Jika perlu, tentukan waktu mulai aktivasi kustom. Anggota akan diaktifkan setelah waktu yang dipilih.

  10. Dalam kotak Alasan, masukkan alasan permintaan aktivasi.

  11. Pilih aktifkan.

    Catatan

    Jika peran memerlukan persetujuan untuk mengaktifkan, pemberitahuan akan muncul di sudut kanan atas browser Anda yang memberi tahu Anda bahwa permintaan sedang menunggu persetujuan.

Mengaktifkan peran dengan ARM API

Privileged Identity Management mendukung perintah API Azure Resource Manager (ARM) untuk mengelola peran sumber daya Azure, sebagaimana didokumentasikan dalam referensi API ARM PIM. Untuk izin yang diperlukan untuk menggunakan API PIM, lihat Memahami API Privileged Identity Management.

Untuk mengaktifkan penetapan peran Azure yang memenuhi syarat dan mendapatkan akses yang diaktifkan, gunakan Permintaan Jadwal Penetapan Peran - Buat REST API untuk membuat permintaan baru dan menentukan prinsip keamanan, definisi peran, requestType = SelfActivate dan cakupan. Untuk memanggil API ini, Anda harus memiliki penetapan peran yang memenuhi syarat pada cakupan.

Gunakan alat GUID untuk menghasilkan pengidentifikasi unik yang akan digunakan untuk pengidentifikasi penetapan peran. Pengidentifikasi memiliki format: 00000000-0000-0000-0000-0000000000000.

Ganti {roleAssignmentScheduleRequestName} dalam permintaan PUT di bawah ini dengan pengidentifikasi GUID penetapan peran.

Untuk detail selengkapnya tentang mengelola peran yang memenuhi syarat untuk sumber daya Azure, lihat tutorial PIM ARM API ini.

Berikut ini adalah contoh permintaan HTTP untuk mengaktifkan tugas yang memenuhi syarat untuk peran Azure.

Minta

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Isi permintaan

{ 
"properties": { 
  "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
  "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Respons

Kode Status: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Menampilkan status permintaan Anda

Anda dapat melihat status permintaan aktivasi yang menunggu persetujuan.

  1. Buka Microsoft Entra Privileged Identity Management.

  2. Pilih Permintaan saya untuk melihat daftar peran Microsoft Entra dan permintaan peran sumber daya Azure Anda.

    Cuplikan layar permintaan saya - Halaman sumber daya Azure memperlihatkan permintaan Anda yang tertunda.

  3. Gulir ke kanan untuk menampilkan kolom Status Permintaan.

Membatalkan permintaan yang tertunda

Jika Anda tidak memerlukan aktivasi peran yang memerlukan persetujuan, Anda dapat membatalkan permintaan yang tertunda kapan saja.

  1. Buka Microsoft Entra Privileged Identity Management.

  2. Pilih Permintaan saya.

  3. Untuk peran yang ingin Anda batalkan, pilih tautan Batalkan.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Cuplikan layar daftar permintaan saya dengan tindakan Batalkan disorot.

Menonaktifkan penetapan peran

Saat penetapan peran diaktifkan, Anda akan melihat opsi Nonaktifkan di portal PIM untuk penetapan peran. Selain itu, Anda tidak dapat menonaktifkan penetapan peran selama lima menit setelah aktivasi.

Aktifkan dengan portal Azure

Aktivasi peran Privileged Identity Management telah diintegrasikan ke dalam ekstensi Billing and Access Control (AD) dalam portal Azure. Pintasan ke Langganan (tagihan) dan Kontrol Akses (AD) memungkinkan Anda mengaktifkan peran PIM langsung dari bilah ini.

Dari bilah Langganan, pilih "Lihat langganan yang memenuhi syarat" di menu perintah horizontal untuk memeriksa tugas Anda yang memenuhi syarat, aktif, dan kedaluwarsa. Dari sana, Anda dapat mengaktifkan penugasan yang memenuhi syarat di panel yang sama.

Cuplikan layar tampilan langganan yang memenuhi syarat di halaman Langganan.

Cuplikan layar tampilan langganan yang memenuhi syarat di halaman Cost Management: Integration Service.

Di Kontrol akses (IAM) untuk sumber daya, Anda sekarang dapat memilih "Lihat akses saya" untuk melihat penetapan peran Anda yang saat ini aktif dan memenuhi syarat dan mengaktifkan secara langsung.

Cuplikan layar penetapan peran saat ini di halaman Pengukuran.

Dengan mengintegrasikan kemampuan PIM ke bilah portal Azure yang berbeda, fitur baru ini memungkinkan Anda mendapatkan akses sementara untuk melihat atau mengedit langganan dan sumber daya dengan lebih mudah.

Mengaktifkan peran PIM menggunakan aplikasi seluler Azure

PIM sekarang tersedia di aplikasi seluler MICROSOFT Entra ID dan peran sumber daya Azure di iOS dan Android.

  1. Untuk mengaktifkan penetapan peran Microsoft Entra yang memenuhi syarat, mulailah dengan mengunduh aplikasi seluler Azure (iOS | Android). Anda juga dapat mengunduh aplikasi dengan memilih Buka di seluler dari Privileged Identity Management > Peran saya Peran > Microsoft Entra.

    Cuplikan layar memperlihatkan cara mengunduh aplikasi seluler.

  2. Buka aplikasi seluler Azure dan masuk. Klik kartu 'Privileged Identity Management' dan pilih Peran Sumber Daya Azure Saya untuk melihat penetapan peran Anda yang memenuhi syarat dan aktif.

    Cuplikan layar aplikasi seluler memperlihatkan manajemen identitas istimewadan peran pengguna.

  3. Pilih penetapan peran dan klik Aktifkan Tindakan > di bawah detail penetapan peran. Selesaikan langkah-langkah untuk aktif dan isi detail yang diperlukan sebelum mengklik Aktifkan di bagian bawah.

    Cuplikan layar aplikasi seluler yang menunjukkan proses validasi telah selesai. Gambar menunjukkan tombol Aktifkan.

  4. Lihat status permintaan aktivasi dan penetapan peran Anda di bagian 'Peran Sumber Daya Azure Saya'.

    Cuplikan layar aplikasi seluler memperlihatkan pesan aktivasi sedang berlangsung.

Konten terkait