Düzenle

Privileged Identity Management'ta Azure kaynak rollerimi etkinleştirme

  • Nasıl yapılır

Azure kaynakları için uygun rol üyelerinin gelecekteki bir tarih ve saat için etkinleştirme zamanlamasına izin vermek için Microsoft Entra Privileged Identity Management'ı (PIM) kullanın. Ayrıca, en fazla (yöneticiler tarafından yapılandırılır) içinde belirli bir etkinleştirme süresi seçebilirler.

Bu makale Privileged Identity Management’ta Azure rolünü etkinleştirmesi gereken üyelere yöneliktir.

Not

Mart 2023 itibarıyla artık atamalarınızı etkinleştirebilir ve erişiminizi doğrudan Azure portalındaki PIM dışındaki dikey pencerelerden görüntüleyebilirsiniz. Daha fazla bilgi için buraya bakabilirsiniz.

Önemli

Bir rol etkinleştirildiğinde, Microsoft Entra PIM rol için geçici olarak etkin atama ekler. Microsoft Entra PIM, saniyeler içinde etkin atama oluşturur (kullanıcıyı bir role atar). Devre dışı bırakma (el ile veya etkinleştirme süresi sona erdiğinde), Microsoft Entra PIM etkin atamayı saniyeler içinde de kaldırır.

Uygulama, kullanıcının sahip olduğu role göre erişim sağlayabilir. Bazı durumlarda uygulama erişimi, kullanıcının rol atandığı veya kaldırıldığı gerçeğini hemen yansıtmayabilir. Uygulama daha önce kullanıcının bir rolü olmadığı gerçeğini önbelleğe aldıysa ; kullanıcı uygulamaya yeniden erişmeye çalıştığında erişim sağlanmayabilir. Benzer şekilde, uygulama daha önce kullanıcının bir rolü olduğu gerçeğini önbelleğe aldıysa ; rol devre dışı bırakıldığında, kullanıcı yine de erişim alabilir. Belirli bir durum uygulamanın mimarisine bağlıdır. Bazı uygulamalarda oturumu kapatıp yeniden oturum açmak, erişimin eklenmesine veya kaldırılmasına yardımcı olabilir.

Önkoşullar

Hiçbiri

Rolü etkinleştirme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Azure kaynak rolünü üstlenmeniz gerektiğinde, Privileged Identity Management'taki Rollerim gezinti seçeneğini kullanarak etkinleştirme isteğinde bulunabilirsiniz.

Not

PIM artık Azure mobil uygulamasında (iOS | Android), Microsoft Entra Id ve Azure kaynak rolleri için. Uygun atamaları kolayca etkinleştirin, süresi dolanlar için yenileme isteyin veya bekleyen isteklerin durumunu denetleyin. Aşağıda daha fazla bilgi bulabilirsiniz

  1. En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.

  2. Kimlik idaresi>Ayrıcalıklı Kimlik Yönetimi>Rollerim'e göz atın.

    Etkinleştirebileceğiniz rolleri gösteren rollerim sayfasının ekran görüntüsü.

  3. Uygun Azure kaynak rollerinizin listesini görmek için Azure kaynak rolleri'ne tıklayın.

    Rollerim - Azure kaynak rolleri sayfasının ekran görüntüsü.

  4. Azure kaynak rolleri listesinde etkinleştirmek istediğiniz rolü bulun.

    Azure kaynak rollerinin ekran görüntüsü - Uygun rollerim listesi.

  5. Etkinleştir'i seçerek Etkinleştir sayfasını açın.

    Kapsam, başlangıç zamanı, süre ve neden içeren açık Etkinleştir bölmesinin ekran görüntüsü.

  6. Rolünüz çok faktörlü kimlik doğrulaması gerektiriyorsa devam etmeden önce Kimliğinizi doğrulayın'ı seçin. Oturum başına yalnızca bir kez kimlik doğrulaması yapmanız gerekir.

  7. Kimliğimi doğrula'yı seçin ve ek güvenlik doğrulaması sağlamak için yönergeleri izleyin.

    PIN kodu gibi güvenlik doğrulaması sağlayan ekranın ekran görüntüsü.

  8. Azaltılmış bir kapsam belirtmek istiyorsanız Kapsam'ı seçerek Kaynak filtresi bölmesini açın.

    Yalnızca ihtiyacınız olan kaynaklara erişim istemek en iyi yöntemdir. Kaynak filtresi bölmesinde, erişmeniz gereken kaynak gruplarını veya kaynakları belirtebilirsiniz.

    Kapsamı belirtmek için etkinleştir - Kaynak filtresi bölmesinin ekran görüntüsü.

  9. Gerekirse, özel bir etkinleştirme başlangıç zamanı belirtin. Üye seçilen süreden sonra etkinleştirilir.

  10. Neden kutusuna etkinleştirme isteğinin nedenini girin.

  11. Etkinleştir'i seçin.

    Not

    Rolün etkinleştirilmesi için onay gerekiyorsa, tarayıcınızın sağ üst köşesinde isteğin onay beklediğini bildiren bir bildirim görüntülenir.

ARM API ile rolü etkinleştirme

Privileged Identity Management, PIM ARM API başvurusunda belirtildiği gibi Azure kaynak rollerini yönetmek için Azure Resource Manager (ARM) API komutlarını destekler. PIM API'sini kullanmak için gereken izinler için bkz . Privileged Identity Management API'lerini anlama.

Uygun bir Azure rol atamasını etkinleştirmek ve etkinleştirilmiş erişim elde etmek için Rol Ataması Zamanlama İstekleri - REST API Oluşturma'yı kullanarak yeni bir istek oluşturun ve güvenlik sorumlusu, rol tanımı, requestType = SelfActivate ve kapsamı belirtin. Bu API'yi çağırmak için kapsamda uygun bir rol atamanız olmalıdır.

Rol atama tanımlayıcısı için kullanılacak benzersiz bir tanımlayıcı oluşturmak için BIR GUID aracı kullanın. Tanımlayıcının biçimi: 000000000-0000-0000-0000-0000000000000000.

Aşağıdaki PUT isteğindeki {roleAssignmentScheduleRequestName} öğesini rol atamasının GUID tanımlayıcısıyla değiştirin.

Azure kaynakları için uygun rolleri yönetme hakkında daha fazla bilgi için bu PIM ARM API öğreticisini inceleyin.

Aşağıda, Azure rolü için uygun atamayı etkinleştirmeye yönelik örnek bir HTTP isteği verilmiştir.

İstek

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Request body

{ 
"properties": { 
  "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
  "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Yanıtla

Durum kodu: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

İsteklerinizin durumunu görüntüleme

Etkinleştirmek için bekleyen isteklerinizin durumunu görüntüleyebilirsiniz.

  1. Microsoft Entra Privileged Identity Management'ı açın.

  2. Microsoft Entra rolünüzün ve Azure kaynak rolü isteklerinizin listesini görmek için İsteklerim'i seçin.

    Bekleyen isteklerinizi gösteren isteklerim - Azure kaynak sayfasının ekran görüntüsü.

  3. İstek Durumu sütununu görüntülemek için sağa kaydırın.

Bekleyen isteği iptal etme

Onay gerektiren bir rolün etkinleştirilmesini istemiyorsanız, bekleyen bir isteği istediğiniz zaman iptal edebilirsiniz.

  1. Microsoft Entra Privileged Identity Management'ı açın.

  2. İsteklerim'i seçin.

  3. İptal etmek istediğiniz rol için İptal bağlantısını seçin.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    İptal eyleminin vurgulandığı istek listemin ekran görüntüsü.

Rol atamalarını devre dışı bırakma

Rol ataması etkinleştirildiğinde, PIM portalında rol ataması için Devre Dışı Bırak seçeneğini görürsünüz. Ayrıca, etkinleştirmeden sonraki beş dakika içinde rol atamalarını devre dışı bırakamazsınız.

Azure portalı ile etkinleştirme

Ayrıcalıklı Kimlik Yönetimi rol etkinleştirmesi, Azure portalındaki Faturalama ve Erişim Denetimi (AD) uzantılarıyla tümleştirilmiştir. Abonelikler (faturalama) ve Erişim Denetimi (AD) kısayolları PIM rollerini doğrudan bu dikey pencerelerden etkinleştirmenizi sağlar.

Uygun, etkin ve süresi dolmuş atamalarınızı denetlemek için Abonelikler dikey penceresinde yatay komut menüsünde "Uygun abonelikleri görüntüle" seçeneğini belirleyin. Buradan, uygun bir ödevi aynı bölmede etkinleştirebilirsiniz.

Abonelikler sayfasında uygun abonelikleri görüntüleme ekran görüntüsü.

Maliyet Yönetimi: Tümleştirme Hizmeti sayfasında uygun abonelikleri görüntüleme ekran görüntüsü.

Bir kaynağın Erişim denetiminde (IAM), şu anda etkin ve uygun rol atamalarınızı görmek ve doğrudan etkinleştirmek için "Erişimimi görüntüle" seçeneğini belirleyebilirsiniz.

Ölçüm sayfasındaki geçerli rol atamalarının ekran görüntüsü.

BU yeni özellik, PIM özelliklerini farklı Azure portalı dikey pencereleriyle tümleştirerek abonelikleri ve kaynakları daha kolay görüntülemek veya düzenlemek için geçici erişim elde etmenizi sağlar.

Azure mobil uygulamasını kullanarak PIM rollerini etkinleştirme

PIM artık hem iOS hem de Android'de Microsoft Entra Id ve Azure kaynak rolleri mobil uygulamalarında kullanılabilir.

  1. Uygun bir Microsoft Entra rol atamasını etkinleştirmek için azure mobil uygulamasını (iOS | Android) indirerek başlayın. Ayrıca Privileged Identity Management > My roles Microsoft Entra roles > bölümünden Mobilde aç'ı seçerek de uygulamayı indirebilirsiniz.

    Mobil uygulamanın nasıl indirilmesini gösteren ekran görüntüsü.

  2. Azure mobil uygulamasını açın ve oturum açın. Uygun ve etkin rol atamalarınızı görüntülemek için 'Privileged Identity Management' kartına tıklayın ve Azure Kaynağı rollerim'i seçin.

    Ayrıcalıklı kimlik yönetimini ve kullanıcının rollerini gösteren mobil uygulamanın ekran görüntüsü.

  3. Rol atamasını seçin ve rol ataması ayrıntılarının altında Eylem > Etkinleştir'e tıklayın. Alttaki Etkinleştir'e tıklamadan önce etkin hale getirme ve gerekli ayrıntıları doldurma adımlarını tamamlayın.

    Doğrulama işleminin tamamlandığını gösteren mobil uygulamanın ekran görüntüsü. Resimde Etkinleştir düğmesi gösterilir.

  4. Etkinleştirme isteklerinizin ve rol atamalarınızın durumunu 'Azure Kaynağı rollerim' altında görüntüleyin.

    Etkinleştirme devam ediyor iletisini gösteren mobil uygulamanın ekran görüntüsü.

İlgili içerik