Membuat tinjauan akses sumber daya Azure dan peran Microsoft Entra di PIM

Kebutuhan akan akses ke sumber daya Azure istimewa dan peran Microsoft Entra oleh pengguna Anda berubah dari waktu ke waktu. Untuk mengurangi risiko yang terkait dengan penetapan peran kedaluwarsa, Anda harus meninjau akses secara teratur. Anda dapat menggunakan Microsoft Entra Privileged Identity Management (PIM) untuk membuat tinjauan akses untuk akses istimewa ke sumber daya Azure dan peran Microsoft Entra. Anda juga dapat mengonfigurasi tinjauan akses berulang yang terjadi secara otomatis. Artikel ini menjelaskan cara membuat satu atau beberapa tinjauan akses.

Prasyarat

Menggunakan Privileged Identity Management memerlukan lisensi. Untuk informasi selengkapnya tentang lisensi, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi .

Untuk informasi selengkapnya tentang lisensi untuk PIM, lihat Persyaratan lisensi untuk menggunakan Privileged Identity Management.

Dalam membuat tinjauan akses untuk sumber daya Azure, Anda harus ditetapkan ke peran Pemilik atau Admin Akses Pengguna untuk sumber daya Azure. Untuk membuat tinjauan akses untuk peran Microsoft Entra, Anda harus diberi setidaknya peran Administrator Peran Istimewa.

Menggunakan Tinjauan Akses untuk Perwakilan Layanan memerlukan paket Microsoft Entra Workload ID Premium selain lisensi Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra.

• Lisensi Workload Identities Premium: Anda dapat melihat dan memperoleh lisensi pada bilah Identitas Beban Kerja di pusat admin Microsoft Entra.

Catatan

Tinjauan akses mengambil rekam jepret akses di awal setiap instans ulasan. Setiap perubahan yang dilakukan selama proses peninjauan akan tercermin dalam siklus tinjauan berikutnya. Pada dasarnya, dengan dimulainya setiap pengulangan baru, data yang bersangkutan mengenai pengguna, sumber daya yang ditinjau, dan peninjau masing-masing diambil.

Membuat tinjauan akses

1. Masuk ke pusat admin Microsoft Entra sebagai pengguna yang ditetapkan ke salah satu peran prasyarat.

2. Telusuri tata kelola>identitas Privileged Identity Management.

3. Untuk peran Microsoft Entra, pilih peran Microsoft Entra. Untuk sumber daya Azure, pilih sumber daya Azure

   

4. Untuk peran Microsoft Entra, pilih peran Microsoft Entra lagi di bawah Kelola. Untuk Sumber daya Azure, pilih langganan yang ingin Anda kelola.

5. Di bawah Manage (Kelola), pilih Access reviews (Tinjauan akses), lalu pilih New (Baru) untuk membuat tinjauan akses baru.

   

6. Beri nama tinjauan akses. Opsional, berikan deskripsi tinjauan. Nama dan deskripsi akan ditampilkan kepada peninjau.

   

7. Atur Tanggal Mulai. Secara default, tinjauan akses terjadi sekali. Ini dimulai pada waktu pembuatan, dan berakhir dalam satu bulan. Anda dapat mengubah tanggal mulai dan berakhir agar tinjauan akses dimulai di masa mendatang dan berlangsung selama yang Anda inginkan.

   

8. Untuk membuat tinjauan akses berulang, ubah pengaturan Frekuensi dari Satu kali menjadi Mingguan, Bulanan, Kuartal, Tahunan,atau Semi-tahunan. Gunakan slider atau kotak teks untuk menentukan durasi peninjauan. Misalnya, durasi maksimum yang dapat Anda tetapkan untuk peninjauan bulanan adalah 27 hari, untuk menghindari tinjauan yang tumpang tindih.

9. Gunakan pengaturan Akhiri untuk menentukan cara mengakhiri rangkaian tinjauan akses berulang. Seri ini dapat berakhir dengan tiga cara: seri ini berjalan terus menerus untuk memulai tinjauan tanpa batas waktu, hingga tanggal tertentu, atau setelah jumlah kemunculan yang ditentukan selesai. Anda, atau admin lain yang dapat mengelola tinjauan, dapat menghentikan rangkaian setelah pembuatan dengan mengubah tanggal di Pengaturan, sehingga rangkaian berakhir pada tanggal tersebut.

10. Di bagian Lingkup Pengguna, pilih lingkup tinjauan. Untuk peran Microsoft Entra, opsi cakupan pertama adalah Pengguna dan Grup. Pengguna yang ditetapkan secara langsung dan grup yang dapat diberikan peran disertakan dalam pilihan ini. Untuk peran sumber daya Azure , cakupan pertama adalah pengguna. Grup yang ditetapkan ke peran sumber daya Azure diperluas untuk menampilkan penetapan pengguna transitif dalam tinjauan dengan pilihan ini. Anda juga dapat memilih Perwakilan Layanan untuk meninjau akun komputer dengan akses langsung ke sumber daya Azure atau peran Microsoft Entra.

    

11. Atau, Anda dapat membuat tinjauan akses hanya untuk pengguna yang tidak aktif. Di bagian Cakupan pengguna, atur Hanya pengguna yang tidak aktif (pada tingkat penyewa) ke true. Jika pengalih diatur ke true, cakupan tinjauan hanya berfokus pada pengguna yang tidak aktif. Kemudian, tentukan Hari tidak aktif. Anda dapat menentukan hingga 730 hari (dua tahun). Pengguna tidak aktif untuk jumlah hari yang ditentukan adalah satu-satunya pengguna dalam tinjauan.

12. Di bawah Tinjau keanggotaan peran, pilih sumber daya Azure istimewa atau peran Microsoft Entra untuk ditinjau.

    Catatan

    Memilih lebih dari satu peran akan membuat beberapa tinjauan akses. Misalnya, memilih lima peran akan membuat lima tinjauan akses terpisah.

    

13. Dalam jenis tugas, amati tinjauan berdasarkan bagaimana perwakilan ditugaskan untuk peran tersebut. Pilih hanya tugas yang memenuhi syarat untuk meninjau tugas yang memenuhi syarat (terlepas dari status aktivasi saat peninjauan dibuat) atau hanya tugas aktif untuk meninjau tugas aktif. Pilih semua tugas aktif dan memenuhi syarat untuk meninjau semua tugas terlepas dari jenisnya.

    

14. Di bagian Peninjau, pilih satu atau beberapa orang untuk meninjau semua pengguna. Atau Anda dapat memilih agar anggota grup meninjau akses mereka sendiri.

    

    • Pengguna yang dipilih - Gunakan opsi ini untuk menunjuk pengguna tertentu untuk menyelesaikan tinjauan. Opsi ini tersedia terlepas dari cakupan tinjauan, dan peninjau yang dipilih dapat meninjau pengguna, grup, dan perwakilan layanan.
    • Anggota (mandiri) - Gunakan opsi ini untuk membuat agar pengguna meninjau penetapan peran mereka sendiri. Opsi ini hanya tersedia jika tinjauan dibatasi pada Pengguna dan Grup atau Pengguna. Untuk peran Microsoft Entra, grup yang dapat ditetapkan peran bukan bagian dari tinjauan saat opsi ini dipilih.
    • Manajer – Gunakan opsi ini untuk membuat agar manajer pengguna meninjau penetapan peran mereka. Opsi ini hanya tersedia jika tinjauan dibatasi pada Pengguna dan Grup atau Pengguna. Setelah memilih Manajer, Anda juga dapat menentukan peninjau fallback. Peninjau fallback diminta untuk meninjau pengguna ketika pengguna tidak memiliki manajer yang ditentukan dalam direktori. Untuk peran Microsoft Entra, grup yang dapat ditetapkan peran diperiksa oleh peninjau cadangan jika dipilih.

Pengaturan setelah penyelesaian

1. Untuk menentukan hal yang terjadi setelah tinjauan selesai, perluas bagian Pengaturan setelah penyelesaian.

   

2. Jika Anda ingin menghapus akses secara otomatis untuk pengguna yang ditolak, atur Terapkan otomatis hasil ke sumber daya ke Aktifkan. Jika Anda ingin menerapkan hasil secara manual saat tinjauan selesai, atur tombol ke Nonaktifkan.

3. Gunakan daftar Jika peninjau tidak merespons untuk menentukan apa yang terjadi bagi pengguna yang tidak ditinjau oleh peninjau dalam periode peninjauan. Pengaturan ini tidak memengaruhi pengguna yang sudah ditinjau.

   • Tidak ada perubahan - Membiarkan akses pengguna tidak berubah
   • Hapus akses - Menghapus akses pengguna
   • Setujui akses - Menyetujui akses pengguna
   • Ikuti rekomendasi - Mengikuti rekomendasi sistem untuk menolak atau menyetujui akses lanjutan pengguna

4. Gunakan daftar Tindakan untuk diterapkan pada pengguna tamu yang ditolak untuk menentukan apa yang terjadi pada pengguna tamu yang ditolak. Pengaturan ini tidak dapat diedit untuk ID Microsoft Entra dan tinjauan peran sumber daya Azure saat ini; pengguna tamu, seperti semua pengguna, selalu kehilangan akses ke sumber daya jika ditolak.

   

5. Anda dapat mengirim pemberitahuan ke pengguna atau grup lain untuk menerima pembaruan penyelesaian tinjauan. Fitur ini memungkinkan pemangku kepentingan selain pembuat tinjauan untuk mendapatkan informasi terbaru tentang kemajuan tinjauan. Untuk menggunakan fitur ini, pilih Pilih Pengguna atau Grup dan tambahkan pengguna apa pun, atau grup yang ingin Anda terima pemberitahuan status penyelesaiannya.

   

Pengaturan tingkat lanjut

1. Untuk mengonfigurasi pengaturan lainnya, perluas bagian Pengaturan tingkat lanjut.

   

2. Atur Tampilkan rekomendasi ke Aktifkan untuk menampilkan rekomendasi sistem kepada peninjau berdasarkan informasi akses pengguna. Rekomendasi didasarkan pada periode interval 30 hari. Pengguna yang telah masuk dalam 30 hari terakhir ditampilkan dengan persetujuan akses yang direkomendasikan, sementara pengguna yang belum masuk ditampilkan dengan penolakan akses yang direkomendasikan. Kredensial masuk ini terlepas dari apakah mereka interaktif. Kredensial masuk terakhir pengguna juga ditampilkan bersama dengan rekomendasi.

3. Atur Perlu alasan persetujuan ke Aktifkan untuk mengharuskan peninjau memberikan alasan persetujuan.

4. Atur Pemberitahuan email ke Aktifkan agar Microsoft Entra ID dapat mengirim pemberitahuan email ke peninjau saat tinjauan akses dimulai, dan ke administrator saat tinjauan selesai.

5. Atur Reminders ke Aktifkan agar ID Microsoft Entra mengirim pengingat tinjauan akses yang sedang berlangsung kepada peninjau yang belum menyelesaikan peninjauan mereka.

6. Konten email yang dikirim ke peninjau dibuat secara otomatis berdasarkan detail ulasan, seperti nama ulasan, nama sumber daya, tanggal jatuh tempo, dan sebagainya. Jika Anda memerlukan cara untuk mengomunikasikan informasi tambahan seperti instruksi atau informasi kontak lainnya, Anda dapat menentukan detail ini dalam Konten tambahan untuk email peninjau disertakan dalam email undangan dan pengingat yang dikirim ke peninjau yang ditetapkan. Bagian yang disorot adalah tempat informasi ini ditampilkan.

   

Mengelola tinjauan akses

Anda dapat melacak kemajuan saat peninjau menyelesaikan tinjauan mereka di halaman Ringkasan tinjauan akses. Tidak ada hak akses yang diubah dalam direktori sebelum tinjauan selesai.

Setelah tinjauan akses, ikuti langkah-langkah di Menyelesaikan tinjauan akses sumber daya Azure dan peran Microsoft Entra untuk melihat dan menerapkan hasilnya.

Jika Anda mengelola serangkaian tinjauan akses, pergi ke tinjauan akses, dan Anda dapat melihat tinjauan yang akan datang di Tinjauan terjadwal, kemudian mengedit tanggal akhir atau menambahkan/menghapus peninjau sesuai kebutuhan.

Berdasarkan pilihan Anda di Pengaturan setelah penyelesaian, penerapan otomatis akan dieksekusi setelah tanggal akhir tinjauan atau ketika Anda menghentikan tinjauan secara manual. Status peninjauan berubah dari Selesai melalui status menengah seperti Menerapkan dan akhirnya ke status Diterapkan. Anda akan melihat pengguna yang ditolak, jika ada, yang dihapus dari peran dalam beberapa menit.

Dampak grup yang ditetapkan ke peran Microsoft Entra dan peran sumber daya Azure dalam tinjauan akses

• Untuk peran Microsoft Entra, grup yang dapat ditetapkan peran dapat ditetapkan ke peran menggunakan grup yang dapat ditetapkan peran. Saat tinjauan dibuat pada peran Microsoft Entra dengan grup yang dapat ditetapkan peran yang ditetapkan, nama grup muncul dalam tinjauan tanpa memperluas keanggotaan grup. Peninjau dapat menyetujui atau menolak akses seluruh grup ke peran tersebut. Grup yang ditolak kehilangan penugasannya ke peran tersebut saat hasil peninjauan diterapkan.

• Untuk peran sumber daya Azure, grup keamanan apa pun dapat ditetapkan ke peran tersebut. Saat ulasan dibuat pada peran sumber daya Azure yang memiliki grup keamanan yang ditetapkan, peninjau peran dapat melihat tampilan lengkap keanggotaan grup. Saat peninjau menolak pengguna yang ditetapkan ke peran melalui grup keamanan, pengguna tidak akan dihapus dari grup. Ini karena grup dapat dibagikan dengan sumber daya Azure atau non-Azure lainnya. Administrator harus menerapkan perubahan yang dihasilkan dari penolakan akses.

Catatan

Dimungkinkan bagi kelompok keamanan untuk memiliki grup lain yang ditetapkan untuk itu. Dalam hal ini, hanya pengguna yang ditetapkan langsung ke kelompok keamanan yang ditetapkan untuk peran tersebut akan muncul dalam peninjauan peran.

Memperbarui tinjauan akses

Setelah satu atau beberapa tinjauan akses dimulai, Anda mungkin ingin mengubah atau memperbarui pengaturan tinjauan akses yang ada. Berikut adalah beberapa skenario umum yang mungkin ingin Anda pertimbangkan:

• Menambahkan dan menghapus peninjau - Saat memperbarui tinjauan akses, Anda dapat memilih untuk menambahkan peninjau fallback selain peninjau utama. Peninjau utama dapat dihapus saat memperbarui tinjauan akses. Namun, peninjau fallback tidak dapat dilepas karena memang sengaja dirancang demikian.

  Catatan

  Peninjau fallback hanya dapat ditambahkan jika jenis peninjau adalah manajer. Peninjau utama dapat ditambahkan ketika jenis peninjau dipilih oleh pengguna.

• Mengingatkan peninjau - Saat memperbarui tinjauan akses, Anda dapat memilih untuk mengaktifkan opsi pengingat di Pengaturan Tingkat Lanjut. Setelah diaktifkan, pengguna menerima pemberitahuan email di titik tengah periode peninjauan. Peninjau menerima pemberitahuan terlepas dari apakah mereka telah menyelesaikan peninjauan atau belum.

  

• Memperbarui setelan - Jika peninjauan akses berulang, ada pengaturan terpisah di "Saat ini" versus di "Seri". Memperbarui pengaturan di "Saat ini" hanya akan menerapkan perubahan pada tinjauan akses saat ini, sementara memperbarui pengaturan di bawah "Seri" akan memperbarui pengaturan untuk semua pengulangan di masa mendatang.

  

Langkah berikutnya

• Melakukan tinjauan akses sumber daya Azure dan peran Microsoft Entra di PIM
• Menyelesaikan tinjauan akses sumber daya Azure dan peran Microsoft Entra di PIM