Membuat tinjauan akses sumber daya Azure dan peran Microsoft Azure AD di PIM

  • Artikel
  • 9 menit untuk membaca

Kebutuhan akan akses ke sumber daya Azure istimewa dan peran Microsoft Azure AD oleh karyawan berubah seiring waktu. Untuk mengurangi risiko yang terkait dengan penetapan peran kedaluwarsa, Anda harus meninjau akses secara teratur. Anda dapat menggunakan Azure Active Directory (Azure AD) Privileged Identity Management (PIM) untuk membuat tinjauan akses untuk akses istimewa ke sumber daya Azure dan peran Microsoft Azure AD. Anda juga dapat mengonfigurasi tinjauan akses berulang yang terjadi secara otomatis. Artikel ini menjelaskan cara membuat satu atau beberapa tinjauan akses.

Prasyarat

Menggunakan fitur ini memerlukan lisensi Azure AD Premium P2. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Microsoft Azure AD yang tersedia secara umum. Untuk informasi selengkapnya tentang lisensi untuk PIM, lihat Persyaratan lisensi untuk menggunakan Manajemen Identitas Istimewa.

Dalam membuat tinjauan akses untuk sumber daya Azure, Anda harus ditetapkan ke peran Pemilik atau Admin Akses Pengguna untuk sumber daya Azure. Dalam membuat tinjauan akses untuk peran Microsoft Azure AD, Anda harus ditetapkan ke peran Administrator Global atau Peran Administrator Istimewa.

Catatan

Dalam pratinjau publik, Anda dapat menyertakan ulasan akses ke perwakilan layanan dengan akses ke peran Microsoft Azure AD dan sumber daya Azure dengan edisi Microsoft Azure AD Premium P2 yang aktif di penyewa Anda. Setelah ketersediaan umum, lisensi tambahan mungkin diperlukan.

Membuat tinjauan akses

  1. Masuk ke portal Microsoft Azure sebagai pengguna yang ditetapkan ke salah satu peran prasyarat.

  2. Pilih Tata Kelola Identitas.

  3. Untuk Peran Microsoft Azure AD, pilih Peran Azure AD di bawah Azure AD Privileged Identity Management. Untuk Sumber daya Azure, pilih Sumber daya Azure di bawah Azure AD Privileged Identity Management.

    Select Identity Governance in Azure Portal screenshot.

  4. Untuk Peran Microsoft Azure AD, pilih Peran Microsoft Azure AD lagi di bagian Kelola. Untuk Sumber daya Azure, pilih langganan yang ingin Anda kelola.

  5. Di bawah Manage (Kelola), pilih Access reviews (Tinjauan akses) , lalu pilih New (Baru) untuk membuat tinjauan akses baru.

    Azure AD roles - Access reviews list showing the status of all reviews screenshot.

  6. Beri nama tinjauan akses. Anda juga dapat memberikan deskripsi tinjauan. Nama dan deskripsi akan ditampilkan kepada peninjau.

    Create an access review - Review name and description screenshot.

  7. Atur Tanggal mulai. Secara default, tinjauan akses terjadi satu kali, dimulai pada saat pembuatannya, dan berakhir dalam satu bulan. Anda dapat mengubah tanggal mulai dan berakhir agar tinjauan akses dimulai di masa mendatang dan berlangsung selama yang Anda inginkan.

    Start date, frequency, duration, end, number of times, and end date screenshot.

  8. Untuk membuat tinjauan akses berulang, ubah pengaturan Frekuensi dari Satu kali menjadi Mingguan, Bulanan, Kuartal, Tahunan, atau Semitahunan. Gunakan penggeser Durasi atau kotak teks untuk menentukan jumlah hari rangkaian pengulangan setiap tinjauan dibuka untuk input dari peninjau. Misalnya, durasi maksimum yang dapat Anda tetapkan untuk tinjauan bulanan adalah 27 hari, untuk menghindari tinjauan yang tumpang tindih.

  9. Gunakan pengaturan Akhiri untuk menentukan cara mengakhiri rangkaian tinjauan akses berulang. Rangkaian ini dapat berakhir dengan tiga cara: seri ini terus berjalan untuk memulai tinjauan tanpa batas waktu, hingga tanggal tertentu, atau setelah jumlah peristiwa yang ditentukan selesai. Anda, atau admin lain yang dapat mengelola tinjauan, dapat menghentikan rangkaian setelah pembuatan dengan mengubah tanggal di Pengaturan, sehingga rangkaian berakhir pada tanggal tersebut.

  10. Di bagian Lingkup Pengguna, pilih lingkup tinjauan. Untuk peran Microsoft Azure AD, opsi cakupan pertama adalah Pengguna dan Grup. Pengguna yang ditetapkan secara langsung dan grup yang dapat ditetapkan peran akan disertakan dalam pilihan ini. Untuk peran sumber daya Azure, cakupan pertama adalah Pengguna. Grup yang ditetapkan ke peran sumber daya Azure diperluas untuk menampilkan penetapan pengguna transitif dalam tinjauan dengan pilihan ini. Anda juga dapat memilih Perwakilan Layanan untuk meninjau akun komputer dengan akses langsung ke sumber daya Azure atau peran Microsoft Azure AD.

    Users scope to review role membership of screenshot.

  11. Atau, Anda dapat membuat tinjauan akses hanya untuk pengguna yang tidak aktif (pratinjau). Di bagian Cakupan pengguna, atur Hanya pengguna yang tidak aktif (pada tingkat penyewa) ke true. Jika pengalih diatur ke true, cakupan tinjauan hanya akan berfokus pada pengguna yang tidak aktif. Kemudian, tentukan Hari tidak aktif dengan jumlah hari tidak aktif hingga 730 hari (dua tahun). Pengguna yang tidak aktif dalam jumlah hari yang ditentukan akan menjadi satu-satunya pengguna dalam peninjauan.

  12. Di bagian Tinjau keanggotaan peran, pilih sumber daya Azure istimewa atau peran Microsoft Azure AD untuk ditinjau.

    Catatan

    Memilih lebih dari satu peran akan membuat beberapa tinjauan akses. Misalnya, memilih lima peran akan membuat lima tinjauan akses terpisah.

    Review role memberships screenshot.

  13. Dalam jenis tugas, amati tinjauan berdasarkan bagaimana perwakilan ditugaskan untuk peran tersebut. Pilih hanya tugas yang memenuhi syarat untuk meninjau tugas yang memenuhi syarat (terlepas dari status aktivasi saat peninjauan dibuat) atau hanya tugas aktif untuk meninjau tugas aktif. Pilih semua tugas aktif dan memenuhi syarat untuk meninjau semua tugas terlepas dari jenisnya.

    Reviewers list of assignment types screenshot.

  14. Di bagian Peninjau, pilih satu atau beberapa orang untuk meninjau semua pengguna. Atau, Anda dapat memilih agar anggota meninjau akses mereka sendiri.

    Reviewers list of selected users or members (self)

    • Pengguna yang dipilih - Gunakan opsi ini untuk menunjuk pengguna tertentu untuk menyelesaikan tinjauan. Opsi ini tersedia terlepas dari cakupan tinjauan, peninjau terpilih yang dapat meninjau pengguna, grup, dan prinsip layanan.
    • Anggota (mandiri) - Gunakan opsi ini untuk membuat agar pengguna meninjau penetapan peran mereka sendiri. Opsi ini hanya tersedia jika tinjauan dibatasi pada Pengguna dan Grup atau Pengguna. Untuk peran Microsoft Azure AD, grup yang dapat ditetapkan peran tidak akan menjadi bagian dari tinjauan saat opsi ini dipilih.
    • Manajer – Gunakan opsi ini untuk membuat agar manajer pengguna meninjau penetapan peran mereka. Opsi ini hanya tersedia jika tinjauan dibatasi pada Pengguna dan Grup atau Pengguna. Setelah memilih Manajer, Anda juga akan memiliki opsi untuk menentukan peninjau fallback. Peninjau fallback diminta untuk meninjau pengguna ketika pengguna tidak memiliki manajer yang ditentukan dalam direktori. Untuk peran Microsoft Azure AD, grup yang dapat ditetapkan peran akan ditinjau oleh peninjau fallback jika salah satu dipilih.

Pengaturan setelah penyelesaian

  1. Untuk menentukan hal yang terjadi setelah tinjauan selesai, perluas bagian Pengaturan setelah penyelesaian.

    Upon completion settings to auto apply and should review not respond screenshot.

  2. Jika Anda ingin menghapus akses secara otomatis untuk pengguna yang ditolak, atur Terapkan otomatis hasil ke sumber daya ke Aktifkan. Jika Anda ingin menerapkan hasil secara manual saat tinjauan selesai, atur tombol ke Nonaktifkan.

  3. Gunakan daftar Jika peninjau tidak merespons untuk menentukan apa yang terjadi pada pengguna yang tidak ditinjau oleh peninjau dalam periode peninjauan. Pengaturan ini tidak memengaruhi pengguna yang ditinjau oleh peninjau.

    • Tidak ada perubahan - Jangan ubah akses pengguna
    • Hapus akses - Menghapus akses pengguna
    • Setujui akses - Menyetujui akses pengguna
    • Ikuti rekomendasi - Mengikuti rekomendasi sistem untuk menolak atau menyetujui akses lanjutan pengguna

  4. Gunakan daftar Tindakan untuk diterapkan pada pengguna tamu yang ditolak untuk menentukan apa yang terjadi pada pengguna tamu yang ditolak. Pengaturan ini tidak dapat diedit untuk Microsoft Azure AD dan peran sumber daya Azure saat ini; pengguna tamu, seperti semua pengguna, akan selalu kehilangan akses ke sumber daya jika ditolak.

    Upon completion settings - Action to apply on denied guest users screenshot.

  5. Anda dapat mengirim pemberitahuan ke pengguna atau grup tambahan untuk menerima pembaruan penyelesaian tinjauan. Fitur ini memungkinkan pemangku kepentingan selain pembuat tinjauan untuk diperbarui pada kemajuan tinjauan. Untuk menggunakan fitur ini, pilih opsi Pilih Pengguna atau Grup, lalu tambahkan pengguna atau grup tambahan saat Anda ingin menerima status penyelesaian.

    Upon completion settings - Add additional users to receive notifications screenshot.

Pengaturan tingkat lanjut

  1. Untuk menentukan pengaturan tambahan, perluas bagian Pengaturan tingkat lanjut.

    Advanced settings for show recommendations, require reason on approval, mail notifications, and reminders screenshot.

  2. Atur Tampilkan rekomendasi ke Aktifkan untuk menampilkan rekomendasi sistem kepada peninjau berdasarkan informasi akses pengguna. Rekomendasi didasarkan pada periode interval selama 30 hari di mana pengguna yang telah masuk dalam 30 hari terakhir direkomendasikan akses, sementara pengguna yang belum direkomendasikan sebaiknya tidak diberi akses. Kredensial masuk ini terlepas dari apakah mereka interaktif. Kredensial masuk terakhir pengguna juga ditampilkan bersama dengan rekomendasi.

  3. Atur Perlu alasan persetujuan ke Aktifkan untuk mengharuskan peninjau memberikan alasan persetujuan.

  4. Atur Pemberitahuan email keAktifkan agar Azure AD mengirim pemberitahuan email ke peninjau saat tinjauan akses dimulai, dan ke administrator saat tinjauan selesai.

  5. Atur Pengingat ke Aktifkan agar Azure AD mengirim pengingat tinjauan akses yang sedang berlangsung kepada peninjau yang belum menyelesaikan tinjauannya.

  6. Konten email yang dikirim ke peninjau dihasilkan secara otomatis berdasarkan detail tinjauan, seperti nama tinjauan, nama sumber daya, tanggal jatuh tempo, dll. Jika Anda memerlukan cara untuk menyampaikan informasi tambahan seperti instruksi tambahan atau informasi kontak, Anda dapat menentukan detail ini di Konten tambahan untuk email peninjau yang akan disertakan dalam undangan dan email pengingat yang dikirim ke peninjau yang ditetapkan. Bagian yang disorot di bawah ini adalah tempat informasi ini akan ditampilkan.

    Content of the email sent to reviewers with highlights

Mengelola tinjauan akses

Anda dapat melacak kemajuan saat peninjau menyelesaikan tinjauan mereka di halaman Ringkasan tinjauan akses. Tidak ada hak akses yang diubah dalam direktori sebelum tinjauan selesai. Di bawah ini adalah cuplikan layar yang menampilkan halaman ringkasan untuk tinjauan akses Sumber daya Azure dan peran Microsoft Azure AD.

Access reviews overview page showing the details of the access review for Azure AD roles screenshot.

Jika ini adalah tinjauan satu kali, maka setelah periode tinjauan akses berakhir atau admin menghentikan tinjauan akses, ikuti langkah-langkah di Menyelesaikan tinjauan akses sumber daya Azure dan peran Microsoft Azure AD untuk melihat dan menerapkan hasil.

Untuk mengelola serangkaian tinjauan akses, navigasi ke tinjauan akses, dan Anda akan menemukan peristiwa yang akan datang di Ulasan terjadwal, dan mengedit tanggal akhir atau menambahkan/menghapus peninjau yang sesuai.

Berdasarkan pilihan Anda di Pengaturan setelah penyelesaian, penerapan otomatis akan dieksekusi setelah tanggal akhir tinjauan atau ketika Anda menghentikan tinjauan secara manual. Status tinjauan akan berubah dari Selesai ke status menengah seperti Menerapkan dan akhirnya ke status Diterapkan. Anda akan melihat pengguna yang ditolak, jika ada, yang dihapus dari peran dalam beberapa menit.

Dampak grup yang ditetapkan ke peran Microsoft Azure AD dan peran sumber daya Azure dalam tinjauan akses

• Untuk peran Microsoft Azure AD, grup yang dapat ditetapkan peran dapat ditetapkan ke peran menggunakan grup yang dapat ditetapkan peran. Saat tinjauan dibuat pada peran Microsoft Azure AD dengan grup yang dapat ditetapkan peran yang ditetapkan, nama grup muncul dalam tinjauan tanpa memperluas keanggotaan grup. Peninjau dapat menyetujui atau menolak akses seluruh grup ke peran tersebut. Grup yang ditolak akan kehilangan penugasan untuk peran tersebut saat hasil peninjauan diterapkan.

• Untuk peran sumber daya Azure, grup keamanan apa pun dapat ditetapkan ke peran tersebut. Saat tinjauan dibuat pada peran sumber daya Azure dengan grup keamanan yang ditetapkan, pengguna yang ditetapkan ke grup keamanan tersebut akan sepenuhnya diperluas dan ditampilkan kepada peninjau peran tersebut. Ketika peninjau menolak pengguna yang ditetapkan ke peran melalui kelompok keamanan, pengguna tidak akan dihapus dari grup, dan oleh karena itu penerapan hasil penolakan tidak akan berhasil.

Catatan

Dimungkinkan bagi kelompok keamanan untuk memiliki grup lain yang ditetapkan untuk itu. Dalam hal ini, hanya pengguna yang ditetapkan langsung ke kelompok keamanan yang ditetapkan untuk peran tersebut akan muncul dalam peninjauan peran.

Memperbarui tinjauan akses

Setelah satu atau beberapa tinjauan akses dimulai, Anda mungkin ingin mengubah atau memperbarui pengaturan tinjauan akses yang ada. Berikut adalah beberapa skenario umum yang mungkin ingin Anda pertimbangkan:

  • Menambahkan dan menghapus peninjau - Saat memperbarui tinjauan akses, Anda dapat memilih untuk menambahkan peninjau fallback selain peninjau utama. Peninjau utama dapat dihapus saat memperbarui tinjauan akses. Namun, peninjau fallback tidak dapat dilepas berdasarkan desain.

    Catatan

    Peninjau fallback hanya dapat ditambahkan jika jenis peninjau adalah manajer. Peninjau utama dapat ditambahkan ketika jenis peninjau dipilih oleh pengguna.

  • Mengingatkan peninjau - Saat memperbarui tinjauan akses, Anda dapat memilih untuk mengaktifkan opsi pengingat di Pengaturan Tingkat Lanjut. Setelah diaktifkan, pengguna akan menerima pemberitahuan email di tengah periode peninjauan, terlepas dari apakah mereka telah menyelesaikan peninjauan atau belum.

    Screenshot of the reminder option under access reviews settings.

  • Memperbarui setelan - Jika peninjauan akses berulang, ada pengaturan terpisah di "Saat ini" versus di "Seri". Memperbarui pengaturan di "Saat ini" hanya akan menerapkan perubahan pada tinjauan akses saat ini, sementara memperbarui pengaturan di bawah "Seri" akan memperbarui pengaturan untuk semua pengulangan di masa mendatang.

    Screenshot of the settings page under access reviews.

Langkah berikutnya