Mengaktifkan peran Azure AD di PIM

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) menyederhanakan cara perusahaan mengelola akses istimewa ke sumber daya di Azure AD dan layanan online Microsoft lainnya seperti Microsoft 365 atau Microsoft Intune.

Jika telah memenuhi syarat untuk peran administratif, Anda harus mengaktifkan penetapan peran ketika Anda perlu melakukan tindakan istimewa. Misalnya, jika sesekali mengelola fitur Microsoft 365, administrator peran istimewa organisasi Anda mungkin tidak menjadikan Anda Administrator Global permanen karena peran tersebut juga memengaruhi layanan lain. Sebaliknya, mereka akan membuat Anda memenuhi syarat untuk peran Azure AD seperti Administrator Exchange Online. Anda dapat meminta untuk mengaktifkan peran tersebut ketika membutuhkan hak istimewanya, dan Anda akan memiliki kontrol administrator untuk jangka waktu yang telah ditentukan.

Artikel ini ditujukan untuk anggota yang perlu mengaktifkan peran sumber daya Azure mereka dalam Privileged Identity Management.

Mengaktifkan peran

Saat perlu menjalankan peran Azure AD, Anda dapat meminta aktivasi dengan membuka Peran saya di Privileged Identity Management.

  1. Masuk ke portal Microsoft Azure.

  2. Buka Azure AD Privileged Identity Management. Untuk informasi tentang cara menambahkan tile Privileged Identity Management ke dasbor Anda, lihat Mulai menggunakan Privileged Identity Management.

  3. Pilih Peran saya, lalu pilih peran Azure AD untuk melihat daftar peran Azure AD Anda yang memenuhi syarat.

    My roles page showing roles you can activate

  4. Di daftar peran sumber daya Azure, temukan peran yang ingin Anda aktifkan.

    Azure AD roles - My eligible roles list

  5. Pilih Aktifkan untuk membuka panel Aktifkan.

    Azure AD roles - activation page contains duration and scope

  6. Pilih Verifikasi tambahan diperlukan dan ikuti instruksi untuk memberikan verifikasi keamanan. Anda hanya boleh mengautentikasi sekali per sesi.

    Screen to provide security verification such as a PIN code

  7. Setelah autentikasi multifaktor, pilih Aktifkan sebelum melanjutkan.

    Verify my identity with MFA before role activates

  8. Jika Anda ingin menentukan pengurangan lingkup, pilih Lingkup untuk membuka panel filter sumber daya. Pada panel filter, Anda dapat menentukan sumber daya Azure AD yang perlu Anda akses. Anda sebaiknya meminta akses ke sumber daya terkecil yang Anda butuhkan.

  9. Jika perlu, tentukan waktu mulai aktivasi kustom. Peran Azure AD akan diaktifkan setelah waktu yang dipilih.

  10. Dalam kotak Alasan, masukkan alasan permintaan aktivasi.

  11. Pilih Aktifkan.

    Jika peran memerlukan persetujuan untuk mengaktifkan, pemberitahuan akan muncul di sudut kanan atas browser Anda yang memberi tahu Anda bahwa permintaan sedang menunggu persetujuan.

    Activation request is pending approval notification

Mengaktifkan peran menggunakan Graph API

Dapatkan semua peran yang memenuhi syarat yang dapat Anda aktifkan

Ketika pengguna mendapatkan kelayakan peran mereka melalui keanggotaan grup, permintaan Graph ini tidak mengembalikan kelayakan mereka.

Permintaan HTTP

GET https://graph.microsoft.com/beta/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  

Respons HTTP

Untuk menghemat ruang, kami hanya menampilkan respons untuk satu peran, tetapi semua penetapan peran yang memenuhi syarat yang dapat Anda aktifkan akan terdaftar.

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest", 
            "id": "<request-ID-GUID>", 
            "status": "Provisioned", 
            "createdDateTime": "2021-07-15T19:39:53.33Z", 
            "completedDateTime": "2021-07-15T19:39:53.383Z", 
            "approvalId": null, 
            "customData": null, 
            "action": "AdminAssign", 
            "principalId": "<principal-ID-GUID>", 
            "roleDefinitionId": "<definition-ID-GUID>", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "<schedule-ID-GUID>", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "<user-ID-GUID>" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": "2021-07-15T19:39:53.3846704Z", 
                "recurrence": null, 
                "expiration": { 
                    "type": "noExpiration", 
                    "endDateTime": null, 
                    "duration": null 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        },
} 

Mengaktifkan penetapan peran dengan justifikasi

Permintaan HTTP

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentScheduleRequests 

{ 
    "action": "SelfActivate", 
    "justification": "adssadasasd", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "principalId": "<principal-ID-GUID>" 
} 

Respons HTTP

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity", 
    "id": "f1ccef03-8750-40e0-b488-5aa2f02e2e55", 
    "status": "PendingApprovalProvisioning", 
    "createdDateTime": "2021-07-15T19:51:07.1870599Z", 
    "completedDateTime": "2021-07-15T19:51:17.3903028Z", 
    "approvalId": "<approval-ID-GUID>", 
    "customData": null, 
    "action": "SelfActivate", 
    "principalId": "<principal-ID-GUID>", 
    "roleDefinitionId": "<definition-ID-GUID>", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": "<schedule-ID-GUID>", 
    "justification": "test", 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "<user-ID-GUID>" 
        } 
    }, 
    "scheduleInfo": { 
        "startDateTime": null, 
        "recurrence": null, 
        "expiration": { 
            "type": "afterDuration", 
            "endDateTime": null, 
            "duration": "PT5H30M" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
} 

Melihat status permintaan aktivasi

Anda dapat melihat status permintaan aktivasi yang menunggu persetujuan.

  1. Buka Azure AD Privileged Identity Management.

  2. Pilih Permintaan saya untuk melihat daftar peran Azure AD dan permintaan peran sumber daya Azure Anda.

    My requests - Azure AD page showing your pending requests

  3. Gulir ke kanan untuk menampilkan kolom Status Permintaan.

Membatalkan permintaan tertunda untuk versi baru

Jika Anda tidak memerlukan aktivasi peran yang memerlukan persetujuan, Anda dapat membatalkan permintaan yang tertunda kapan saja.

  1. Buka Azure AD Privileged Identity Management.

  2. Pilih Permintaan saya.

  3. Untuk peran yang ingin Anda batalkan, pilih tautan Batalkan.

    Ketika Anda memilih Batalkan, permintaan akan dibatalkan. Untuk mengaktifkan peran lagi, Anda harus mengirimkan permintaan baru untuk aktivasi.

    My request list with Cancel action highlighted

Memecahkan masalah penundaan portal

Izin tidak diberikan setelah mengaktifkan peran

Saat Anda mengaktifkan peran di Azure AD Privileged Identity Management (PIM), aktivasi mungkin tidak langsung diterapkan ke semua portal yang memerlukan peran istimewa. Terkadang, meskipun perubahan sudah diterapkan, cache web di portal dapat menyebabkan perubahan tidak langsung diberlakukan. Jika aktivasi Anda tertunda, keluar dari portal tempat Anda mencoba melakukan tindakan lalu masuk kembali. Di portal Microsoft Azure, PIM mengeluarkan dan memasukkan Anda secara otomatis.

Langkah berikutnya