Mengaktifkan peran sumber daya Azure saya di Privileged Identity Management

Gunakan Privileged Identity Management (PIM) guna mengizinkan anggota peran yang memenuhi syarat untuk sumber daya Azure menjadwalkan aktivasi untuk tanggal dan waktu mendatang. Mereka juga dapat memilih durasi aktivasi tertentu dalam maksimum (dikonfigurasi oleh administrator).

Artikel ini ditujukan untuk anggota yang perlu mengaktifkan peran sumber daya Azure mereka dalam Privileged Identity Management.

Mengaktifkan peran

Saat Anda perlu mengambil peran sumber daya Azure, Anda dapat meminta aktivasi menggunakan opsi Navigasi Peran saya di Privileged Identity Management.

  1. Masuk ke portal Microsoft Azure.

  2. Buka Azure AD Privileged Identity Management. Untuk informasi tentang cara menambahkan tile Privileged Identity Management ke dasbor Anda, lihat Mulai menggunakan Privileged Identity Management.

  3. Pilih Peran saya.

    My roles page showing roles you can activate

  4. Pilih peran sumber daya Azure untuk melihat daftar peran sumber daya Azure Anda yang memenuhi syarat.

    My roles - Azure resource roles page

  5. Di daftar peran sumber daya Azure, temukan peran yang ingin Anda aktifkan.

    Azure resource roles - My eligible roles list

  6. Pilih Aktifkan untuk membuka halaman Aktifkan.

    The opened Activate pane with scope, start time, duration, and reason

  7. Jika peran Anda memerlukan autentikasi multifaktor, pilih Verifikasi identitas Anda sebelum melanjutkan. Anda hanya perlu mengautentikasi sekali per sesi.

    Verify my identity with MFA before role activation

  8. Pilih Verifikasi identitas saya dan ikuti instruksi untuk memberikan verifikasi keamanan tambahan.

    Screen to provide security verification such as a PIN code

  9. Jika Anda ingin menentukan lingkup yang dikurangi, pilih Lingkup untuk membuka panel Filter sumber daya.

    Anda sebaiknya hanya meminta akses ke sumber daya yang Anda butuhkan. Pada panel Filter sumber daya, Anda dapat menentukan grup sumber daya atau sumber daya yang perlu Anda akses.

    Activate - Resource filter pane to specify scope

  10. Jika perlu, tentukan waktu mulai aktivasi kustom. Anggota akan diaktifkan setelah waktu yang dipilih.

  11. Dalam kotak Alasan, masukkan alasan permintaan aktivasi.

    Completed Activate pane with scope, start time, duration, and reason

  12. Pilih Aktifkan.

    Jika peran memerlukan persetujuan untuk mengaktifkan, pemberitahuan akan muncul di sudut kanan atas browser Anda yang memberi tahu Anda bahwa permintaan sedang menunggu persetujuan.

    Activation request is pending approval notification

Mengaktifkan peran dengan ARM API

Privileged Identity Management mendukung perintah API Azure Resource Manager (ARM) untuk mengelola peran sumber daya Azure, sebagaimana didokumentasikan dalam referensi API ARM PIM. Untuk izin yang diperlukan untuk menggunakan API PIM, lihat Memahami API Privileged Identity Management.

Berikut ini adalah contoh permintaan HTTP untuk mengaktifkan tugas yang memenuhi syarat untuk peran Azure.

Minta

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6?api-version=2020-10-01-preview

Isi permintaan

{
  "properties": {
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "SelfActivate",
    "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "scheduleInfo": {
      "startDateTime": "2020-09-09T21:35:27.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "PT8H"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

Respons

Kode Status: 201

{
  "properties": {
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6",
    "targetRoleAssignmentScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "principalType": "User",
    "requestType": "SelfActivate",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2020-09-09T21:35:27.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "PT8H"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2020-09-09T21:35:27.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "fea7a502-9a96-4806-a26f-eee560e52045",
  "id": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045",
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests"
}

Tampilkan status permintaan Anda

Anda dapat melihat status permintaan aktivasi yang menunggu persetujuan.

  1. Buka Azure AD Privileged Identity Management.

  2. Pilih Permintaan saya untuk melihat daftar peran Azure AD dan permintaan peran sumber daya Azure Anda.

    My requests - Azure resource page showing your pending requests

  3. Gulir ke kanan untuk menampilkan kolom Status Permintaan.

Membatalkan permintaan yang menunggu persetujuan

Jika Anda tidak memerlukan aktivasi peran yang memerlukan persetujuan, Anda dapat membatalkan permintaan yang tertunda kapan saja.

  1. Buka Azure AD Privileged Identity Management.

  2. Pilih Permintaan saya.

  3. Untuk peran yang ingin Anda batalkan, pilih tautan Batalkan.

    Ketika Anda memilih Batalkan, permintaan akan dibatalkan. Untuk mengaktifkan peran lagi, Anda harus mengirimkan permintaan baru untuk aktivasi.

    My request list with Cancel action highlighted

Pecahkan masalah

Izin tidak diberikan setelah mengaktifkan peran

Saat Anda mengaktifkan peran di Azure AD Privileged Identity Management (PIM), aktivasi mungkin tidak langsung diterapkan ke semua portal yang memerlukan peran istimewa. Terkadang, meskipun perubahan sudah diterapkan, cache web di portal dapat menyebabkan perubahan tidak langsung diberlakukan. Jika aktivasi Anda tertunda, berikut adalah hal yang harus Anda lakukan.

  1. Keluar dari portal Azure, lalu masuk kembali.
  2. Di Privileged Identity Management, verifikasi bahwa Anda terdaftar sebagai anggota peran tersebut.

Langkah berikutnya