Menetapkan peran sumber daya Azure dalam Privileged Identity Management

Dengan Microsoft Entra Privileged Identity Management (PIM), Anda dapat mengelola peran sumber daya Azure bawaan, dan peran kustom, termasuk (tetapi tidak terbatas pada):

• Pemilik
• Administrator Akses Pengguna
• Kontributor
• Admin Keamanan
• Manajer Keamanan

Nota

Pengguna atau anggota grup yang ditetapkan ke peran langganan Pemilik atau Administrator Akses Pengguna, dan Administrator Global Microsoft Entra yang mengaktifkan manajemen langganan di ID Microsoft Entra memiliki izin Administrator sumber daya secara default. Administrator ini dapat menetapkan peran, mengonfigurasi pengaturan peran, dan meninjau akses menggunakan Privileged Identity Management untuk sumber daya Azure. Pengguna tidak dapat mengelola Privileged Identity Management untuk Sumber Daya tanpa izin Administrator sumber daya. Lihat daftar peran bawaan Azure.

Privileged Identity Management mendukung peran Azure bawaan dan kustom. Untuk informasi selengkapnya tentang peran kustom Azure, lihat Peran kustom Azure.

Kondisi penetapan peran

Anda dapat menggunakan kontrol akses berbasis atribut Azure (Azure ABAC) untuk menambahkan kondisi pada penetapan peran yang memenuhi syarat menggunakan Microsoft Entra PIM untuk sumber daya Azure. Dengan Microsoft Entra PIM, pengguna akhir Anda harus mengaktifkan penetapan peran yang memenuhi syarat untuk mendapatkan izin untuk melakukan tindakan tertentu. Menggunakan kondisi di Microsoft Entra PIM memungkinkan Anda tidak hanya membatasi izin peran pengguna ke sumber daya menggunakan kondisi terperinci, tetapi juga menggunakan Microsoft Entra PIM untuk mengamankan penetapan peran dengan pengaturan terikat waktu, alur kerja persetujuan, jejak audit, dan sebagainya.

Nota

Ketika sebuah peran ditetapkan, penugasannya:

• Tidak dapat ditugaskan untuk durasi kurang dari lima menit
• Tidak dapat dihapus dalam waktu lima menit setelah ditugaskan

Saat ini, peran bawaan berikut dapat memiliki kondisi yang ditambahkan:

• Kontributor Penyimpanan Data Blob
• Pemilik Data Blob Penyimpanan
• Pembaca Blob Data Penyimpanan

Untuk informasi selengkapnya, lihat Apa itu kontrol akses berbasis atribut Azure (Azure ABAC).

Menetapkan peran

Ikuti langkah-langkah ini untuk membuat pengguna memenuhi syarat untuk peran sumber daya Azure.

1. Masuk ke pusat admin Microsoft Entra minimal sebagai Administrator Akses Pengguna.

2. Pergi ke Tata Kelola ID>Pengelolaan Identitas Istimewa>sumber daya Azure.

3. Pilih jenis sumber daya yang ingin Anda kelola. Mulai dari menu dropdown Grup manajemen atau menu dropdown Langganan , lalu pilih Grup sumber daya atau Sumber Daya lebih lanjut sesuai kebutuhan. Pilih tombol Pilih untuk sumber daya yang ingin Anda kelola untuk membuka halaman gambaran umumnya.

   

4. Di bawah Kelola, pilih Peran untuk melihat daftar peran untuk sumber daya Azure.

5. Pilih Tambahkan penugasan untuk membuka panel Tambahkan penugasan .

   

6. Pilih Peran yang ingin Anda tetapkan.

7. Pilih Tautan tidak ada anggota yang dipilih untuk membuka panel Pilih anggota atau grup .

   

8. Pilih anggota atau grup yang ingin Anda tetapkan ke peran lalu pilih Pilih.

   

9. Pada tab Pengaturan , di daftar Jenis penugasan , pilih Memenuhi Syarat atau Aktif.

   

   Microsoft Entra PIM untuk sumber daya Azure menyediakan dua jenis penugasan yang berbeda:

   • Penugasan yang memenuhi syarat meminta anggota untuk mengaktifkan peran sebelum menggunakannya. Administrator mungkin mengharuskan anggota peran untuk melakukan tindakan tertentu sebelum aktivasi peran, yang mungkin termasuk melakukan pemeriksaan autentikasi multifaktor (MFA), memberikan pembenaran bisnis, atau meminta persetujuan dari pemberi persetujuan yang ditunjuk.

   • Penetapan aktif tidak mengharuskan anggota untuk mengaktifkan peran sebelum menggunakannya. Anggota yang ditetapkan sebagai aktif memiliki hak istimewa yang ditetapkan untuk digunakan. Jenis penugasan ini juga tersedia untuk pelanggan yang tidak menggunakan Microsoft Entra PIM.

10. Untuk menentukan durasi tugas tertentu, ubah tanggal dan waktu mulai serta berakhirnya.

11. Jika peran telah ditentukan dengan tindakan yang mengizinkan penetapan ke peran tersebut dengan kondisi, maka Anda dapat memilih Tambahkan kondisi untuk menambahkan kondisi berdasarkan atribut pengguna utama dan sumber daya yang merupakan bagian dari penugasan.

    

    Kondisi dapat dimasukkan di pembangun ekspresi.

    

12. Setelah selesai, pilih Tetapkan.

13. Setelah penugasan peran baru dibuat, pemberitahuan status ditampilkan.

    

Menetapkan peran menggunakan Api Azure Resource Manager

Privileged Identity Management mendukung perintah API Azure Resource Manager (ARM) untuk mengelola peran sumber daya Azure, seperti yang didokumenkan dalam referensi API PIM Azure Resource Manager. Untuk izin yang diperlukan untuk menggunakan API PIM, lihat Memahami API Privileged Identity Management.

Contoh berikut adalah contoh permintaan HTTP untuk membuat penugasan yang memenuhi syarat untuk peran Azure.

Permohonan

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e?api-version=2020-10-01-preview

Isi dari permintaan

{
  "properties": {
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

Tanggapan

Kode status: 201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

Memperbarui atau menghapus penetapan peran yang sudah ada

Ikuti langkah-langkah ini untuk memperbarui atau menghapus penetapan peran yang sudah ada.

1. Buka Microsoft Entra Privileged Identity Management.

2. Pilih sumber daya Azure.

3. Pilih jenis sumber daya yang ingin Anda kelola. Mulai dari menu dropdown Grup manajemen atau menu dropdown Langganan , lalu pilih Grup sumber daya atau Sumber Daya lebih lanjut sesuai kebutuhan. Pilih tombol Pilih untuk sumber daya yang ingin Anda kelola untuk membuka halaman gambaran umumnya.

   

4. Di bawah Kelola, pilih Peran untuk mencantumkan peran untuk sumber daya Azure. Cuplikan layar berikut mencantumkan peran akun Azure Storage. Pilih peran yang ingin diperbarui atau dihapus.

   

5. Temukan penetapan peran pada tab Peran yang memenuhi syarat atau Peran aktif .

   

6. Untuk menambahkan atau memperbarui kondisi untuk menyempurnakan akses sumber daya Azure, pilih Tambahkan atau Tampilkan/Edit di kolom Kondisi untuk penetapan peran.

7. Pilih Tambahkan ekspresi atau Hapus untuk memperbarui ekspresi. Anda juga dapat memilih Tambahkan kondisi untuk menambahkan kondisi baru ke peran Anda.

   

   Untuk informasi tentang memperluas penetapan peran, lihat Memperluas atau memperbarui peran sumber daya Azure di Privileged Identity Management.

Langkah berikutnya

• Mengonfigurasi pengaturan peran sumber daya Azure di Privileged Identity Management
• Menetapkan peran Microsoft Entra dalam Privileged Identity Management