設定和核准 Azure 受控應用程式的 Just-In-Time 存取

如果您是受控應用程式的取用者，您可能會對讓發行者永久存取受控資源群組感到不自在。 為了讓您更能控制受控資源的存取權授與，Azure 受控應用程式提供稱為 Just-In-Time (JIT) 存取的功能。 此功能讓您可核准發行者能夠存取資源群組的時間點和持續時間。 發行者可以在這段時間內進行必要的更新，但在該時間結束時，發行者的存取權便會過期。

授與存取權的工作流程為：

1. 發行者將受控應用程式新增至市集，並指定可使用 JIT 存取。

2. 在部署期間，由您為受控應用程式的執行個體啟用 JIT 存取。

3. 部署之後，您可以變更 JIT 存取的設定。

4. 發行者傳送存取的要求。

5. 您核准要求。

本文著重在取用者啟用 JIT 存取和核准要求所採取的動作。 若要了解如何使用 JIT 存取發佈受控應用程式，請參閱 在 Azure 受控應用程式中要求 Just-In-Time 存取。

注意

若要使用 Just-In-Time 存取，您必須有 Microsoft Entra ID P2 授權 (部分機器翻譯)。

在部署期間啟用

1. 登入 Azure 入口網站。

2. 尋找已啟用 JIT 的受控應用程式市集項目。 選取 建立。

3. 在為新的受控應用程式提供值時，JIT 設定步驟可讓您啟用或停用受控應用程式的 JIT 存取。 針對 [啟用 JIT 存取] 選取 [是]。 針對市集中已定義啟用 JIT 的受控應用程式，預設會選取此選項。

   

   您只能在部署期間啟用 JIT 存取。 如果您選取 [否]，發行者會取得受控資源群組的永久存取權。 您稍後無法啟用 JIT 存取。

4. 若要變更預設核准設定，請選取 [自訂 JIT 設定]。

   

   根據預設，已啟用 JIT 的受控應用程式具有下列設定：

   • 核准模式 - 自動
   • 最大存取持續時間 - 8 小時
   • 核准者 – 無

   當核准模式設定為 [自動] 時，核准者會收到每個要求的通知，不過會由系統自動核准要求。 當設定為 [手動] 時，核准者會收到每個要求的通知，且必須由其中一位核准者予以核准。

   [啟用持續時間上限] 會指定發行者可以要求存取受控資源群組的時間量上限。

   核准者清單是可核准 JIT 存取要求的 Microsoft Entra 使用者。 若要加入核准者，請選取 [新增核准者] 並搜尋使用者。

   更新設定之後，請選取 [儲存]。

部署之後更新

您可以變更要求核准方式的值。 但是，如果您未在部署期間啟用 JIT 存取，稍後便無法再啟用。

若要變更已部署的受控應用程式設定：

1. 在入口網站中，選取 [管理應用程式]。

2. 選取 [JIT 設定]，並視需要變更設定。

   

3. 完成時，選取 [儲存]。

核准要求

當發行者要求存取權時，您會收到要求的通知。 您可以直接透過受控應用程式，或在所有受控應用程式中透過 Microsoft Entra Privileged Identity Management 服務核准 JIT 存取要求。 若要使用 Just-In-Time 存取，您必須有 Microsoft Entra ID P2 授權 (部分機器翻譯)。

若要透過受控應用程式核准要求：

1. 選取受控應用程式的 [JIT 存取]，然後選取 [核准要求]。

   

2. 選取要核准的要求。

   

3. 在表單中，提供核准的原因，然後選取 [核准]。

透過 Microsoft Entra Privileged Identity Management 核准要求：

1. 選取 [所有服務]，並開始搜尋 [Microsoft Entra Privileged Identity Management]。 從可用的選項中進行選取。

   

2. 選取 [核准要求]。

   

3. 選取 [Azure 受控應用程式]，然後選取要核准的要求。

   

下一步

若要了解如何使用 JIT 存取發佈受控應用程式，請參閱 在 Azure 受控應用程式中要求 Just-In-Time 存取。