Mengonfigurasi pengaturan grup akses istimewa (pratinjau) dalam Privileged Identity Management

Pengaturan peran adalah pengaturan default yang diterapkan pada pemilik grup dan tugas akses istimewa anggota grup dalam Privileged Identity Management (PIM). Gunakan langkah-langkah berikut untuk menyiapkan alur kerja persetujuan untuk menentukan siapa yang bisa menyetujui atau menolak permintaan untuk meningkatkan hak istimewa.

Buka pengaturan peran

Ikuti langkah-langkah ini untuk membuka pengaturan untuk peran grup akses istimewa Azure.

  1. Masuk ke portal Azure dengan pengguna yang memiliki peran Administrator Global, Administrator Peran Istimewa, atau peran Pemilik grup.

  2. Buka Azure AD Privileged Identity Management.

  3. Pilih Akses istimewa (Pratinjau) .

  4. Pilih grup yang ingin Anda kelola.

    Privileged access groups filtered by a group name

  5. Pilih Pengaturan.

    Settings page listing group settings for the selected group

  6. Pilih peran Pemilik atau Anggota yang pengaturannya ingin Anda tampilkan atau ubah. Anda dapat melihat pengaturan saat ini untuk peran di halaman Detail pengaturan peran.

    Role setting details page listing several assignment and activation settings

  7. Pilih Edit untuk membuka halaman Edit pengaturan peran. Tab Aktivasi memungkinkan Anda untuk mengubah pengaturan aktivasi peran, termasuk apakah akan mengizinkan penetapan permanen yang memenuhi syarat dan aktif.

    Edit role settings page with Activation tab open

  8. Pilih tab Penetapan untuk membuka tab pengaturan penetapan. Pengaturan ini mengontrol pengaturan penetapan Privileged Identity Management bagi peran ini.

    Role Assignment tab in role settings page

  9. Gunakan tab Pemberitahuan atau tombol Berikutnya: Aktivasi di bagian bawah halaman untuk masuk ke tab pengaturan pemberitahuan untuk peran ini. Pengaturan ini mengontrol semua pemberitahuan email yang terkait dengan peran ini.

    Role Notifications tab in role settings page

  10. Pilih tombol Perbarui kapan saja untuk memperbarui pengaturan peran.

Di tab Pemberitahuan pada halaman pengaturan peran, Privileged Identity Management memungkinkan kontrol terperinci atas orang yang menerima pemberitahuan dan pemberitahuan yang mereka terima.

  • Menonaktifkan email
    Anda dapat menonaktifkan email tertentu dengan mengosongkan kotak centang penerima default dan menghapus penerima lainnya.
  • Membatasi email ke alamat email tertentu
    Anda dapat menonaktifkan email yang dikirim ke penerima default dengan mengosongkan kotak centang penerima default. Kemudian, Anda dapat menambahkan alamat email lain sebagai penerima. Jika Anda ingin menambahkan lebih dari satu alamat email, pisahkan menggunakan titik koma (;).
  • Mengirim email ke penerima default dan penerima lainnya
    Anda dapat mengirim email ke penerima default dan penerima lain dengan mencentang kotak penerima default dan menambahkan alamat email untuk penerima lainnya.
  • Hanya email penting
    Untuk setiap jenis email, Anda dapat mencentang kotak untuk menerima email penting saja. Ini artinya, Privileged Identity Management akan terus mengirim email ke penerima yang ditentukan hanya ketika email memerlukan tindakan secepatnya. Misalnya, email yang meminta pengguna untuk memperpanjang penetapan peran mereka tidak akan dipicu sementara email yang mengharuskan admin untuk menyetujui permintaan ekstensi akan dipicu.

Durasi penetapan

Anda dapat memilih satu dari dua opsi durasi tugas untuk setiap jenis tugas (memenuhi syarat dan aktif) saat mengonfigurasi pengaturan untuk peran. Opsi ini menjadi durasi maksimal default saat pengguna ditetapkan untuk peran dalam Privileged Identity Management.

Anda dapat memilih salah satu opsi durasi tugas yang memenuhi syarat ini:

Deskripsi
Mengizinkan penetapan yang memenuhi syarat secara permanen Administrator sumber daya dapat menetapkan tugas permanen yang memenuhi syarat.
Buat penetapan yang memenuhi syarat kedaluwarsa setelah Administrator sumber daya dapat mengharuskan semua tugas yang memenuhi syarat memiliki tanggal mulai dan berakhir yang ditentukan.

Dan, Anda dapat memilih salah satu opsi durasi tugas aktif ini:

Deskripsi
Izinkan penetapan aktif permanen Administrator sumber daya dapat menetapkan penetapan aktif permanen.
Buat penugasan yang memenuhi syarat kedaluwarsa setelah Administrator sumber daya dapat mengharuskan semua tugas aktif memiliki tanggal mulai dan berakhir yang ditentukan.

Catatan

Semua tugas yang memiliki tanggal akhir yang ditentukan dapat diperbarui oleh administrator sumber daya. Selain itu, pengguna dapat memulai permintaan layanan mandiri untuk memperpanjang atau memperbarui penetapan peran.

Memerlukan autentikasi multifaktor

Privileged Identity Management menyediakan penerapan opsional Azure AD Multi-Factor Authentication untuk dua skenario berbeda.

Mewajibkan autentikasi multifaktor saat penetapan aktif

Opsi ini mengharuskan admin menyelesaikan autentikasi multifaktor sebelum membuat penetapan peran aktif (sebagai kebalikan dari penetapan peran yang memenuhi syarat). Privileged Identity Management tidak dapat memberlakukan autentikasi multifaktor ketika pengguna menggunakan penetapan peran mereka karena sudah aktif dalam peran tersebut sejak ditetapkan.

Untuk memerlukan autentikasi multifaktor saat membuat tugas peran aktif, pilih kotak centang Perlu Autentikasi Multi-Faktor pada penugasan aktif.

Mewajibkan autentikasi multifaktor saat aktivasi

Anda dapat mengharuskan pengguna yang memenuhi syarat untuk suatu peran untuk membuktikan identitas mereka menggunakan Azure AD Multi-Factor Authentication sebelum mereka dapat mengaktifkan. Autentikasi multifaktor memastikan bahwa pengguna tersebut adalah benar-benar pengguna yang asli dengan akurasi tinggi. Memberlakukan opsi ini melindungi sumber daya penting dalam situasi ketika akun pengguna mungkin telah disusupi.

Untuk mewajibkan autentikasi multifaktor sebelum aktivasi, centang kotak Wajibkan Autentikasi Multi-Faktor saat aktivasi.

Untuk informasi lebih lanjut, lihat Autentikasi multifaktor dan Privileged Identity Management.

Durasi maksimal aktivasi

Gunakan penggeser Durasi maksimum aktivasi untuk mengatur waktu maksimum (dalam jam) permintaan aktivasi untuk penetapan peran tetap aktif sebelum berakhir masa berlakunya. Nilai ini dapat berupa satu hingga 24 jam.

Mewajibkan justifikasi

Anda dapat mengharuskan pengguna memasukkan justifikasi bisnis saat mereka mengaktifkan. Untuk mewajibkan justifikasi, centang kotak Wajibkan justifikasi saat penetapan aktif atau kotak Wajibkan justifikasi saat aktivasi.

Mewajibkan persetujuan untuk mengaktifkan peran ini

Jika Anda ingin memerlukan persetujuan untuk mengaktifkan peran, ikuti langkah-langkah ini.

  1. Centang kotak centang Wajibkan persetujuan untuk mengaktifkan.

  2. Pilih opsi Pilih pemberi persetujuan untuk membuka halaman Pilih anggota atau grup.

    Select a user or group pane to select approvers

  3. Pilih setidaknya satu pengguna atau grup lalu klik Pilih. Anda dapat menambahkan kombinasi pengguna dan grup apa pun. Anda harus memilih minimal satu pemberi persetujuan. Tidak ada pemberi persetujuan default.

    Pilihan Anda akan muncul dalam daftar pemberi persetujuan yang dipilih.

  4. Setelah Anda menentukan semua pengaturan peran Anda, pilih Perbarui untuk menyimpan perubahan Anda.

Langkah berikutnya