Mengaktifkan peran sumber daya Azure saya di Privileged Identity Management

Gunakan Microsoft Entra Privileged Identity Management (PIM), untuk memungkinkan anggota peran yang memenuhi syarat untuk sumber daya Azure menjadwalkan aktivasi untuk tanggal dan waktu mendatang. Mereka juga dapat memilih durasi aktivasi tertentu dalam maksimum (dikonfigurasi oleh administrator).

Artikel ini ditujukan untuk anggota yang perlu mengaktifkan peran sumber daya Azure mereka dalam Privileged Identity Management.

Catatan

Pada Maret 2023, Anda sekarang dapat mengaktifkan tugas dan melihat akses Anda langsung dari bilah di luar PIM di portal Azure. Baca selengkapnya di sini.

Penting

Saat peran diaktifkan, Microsoft Entra PIM untuk sementara menambahkan penetapan aktif untuk peran tersebut. Microsoft Entra PIM membuat penetapan aktif (menetapkan pengguna ke peran) dalam hitungan detik. Saat pennonaktifkanan (manual atau melalui waktu aktivasi kedaluwarsa) terjadi, Microsoft Entra PIM juga menghapus penugasan aktif dalam hitungan detik.

Aplikasi dapat menyediakan akses berdasarkan peran yang dimiliki pengguna. Dalam beberapa situasi, akses aplikasi mungkin tidak segera mencerminkan fakta bahwa pengguna mendapatkan peran yang ditetapkan atau dihapus. Jika aplikasi sebelumnya menyimpan cache fakta bahwa pengguna tidak memiliki peran - ketika pengguna mencoba mengakses aplikasi lagi, akses mungkin tidak disediakan. Demikian pula, jika aplikasi sebelumnya menyimpan cache fakta bahwa pengguna memiliki peran - ketika peran dinonaktifkan, pengguna mungkin masih mendapatkan akses. Situasi tertentu tergantung pada arsitektur aplikasi. Untuk beberapa aplikasi, keluar dan masuk kembali dapat membantu akses ditambahkan atau dihapus.

Mengaktifkan peran

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Saat Anda perlu mengambil peran sumber daya Azure, Anda dapat meminta aktivasi menggunakan opsi Navigasi Peran saya di Privileged Identity Management.

Catatan

PIM sekarang tersedia di aplikasi seluler Azure (iOS | Android) untuk peran id Microsoft Entra dan sumber daya Azure. Aktifkan tugas yang memenuhi syarat dengan mudah, minta perpanjangan untuk yang kedaluwarsa, atau periksa status permintaan yang tertunda. Baca selengkapnya di bawah ini

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

  2. Telusuri tata kelola>Identitas Privileged Identity Management>Peran saya.

    My roles page showing roles you can activate

  3. Pilih peran sumber daya Azure untuk melihat daftar peran sumber daya Azure Anda yang memenuhi syarat.

    My roles - Azure resource roles page

  4. Di daftar peran sumber daya Azure, temukan peran yang ingin Anda aktifkan.

    Azure resource roles - My eligible roles list

  5. Pilih Aktifkan untuk membuka halaman Aktifkan.

    The opened Activate pane with scope, start time, duration, and reason

  6. Jika peran Anda memerlukan autentikasi multifaktor, pilih Verifikasi identitas Anda sebelum melanjutkan. Anda hanya perlu mengautentikasi sekali per sesi.

  7. Pilih Verifikasi identitas saya dan ikuti instruksi untuk memberikan verifikasi keamanan tambahan.

    Screen to provide security verification such as a PIN code

  8. Jika Anda ingin menentukan lingkup yang dikurangi, pilih Lingkup untuk membuka panel Filter sumber daya.

    Anda sebaiknya hanya meminta akses ke sumber daya yang Anda butuhkan. Pada panel Filter sumber daya, Anda dapat menentukan grup sumber daya atau sumber daya yang perlu Anda akses.

    Activate - Resource filter pane to specify scope

  9. Jika perlu, tentukan waktu mulai aktivasi kustom. Anggota akan diaktifkan setelah waktu yang dipilih.

  10. Dalam kotak Alasan, masukkan alasan permintaan aktivasi.

  11. Pilih aktifkan.

    Catatan

    Jika peran memerlukan persetujuan untuk mengaktifkan, pemberitahuan akan muncul di sudut kanan atas browser Anda yang memberi tahu Anda bahwa permintaan sedang menunggu persetujuan.

Mengaktifkan peran dengan ARM API

Privileged Identity Management mendukung perintah API Azure Resource Manager (ARM) untuk mengelola peran sumber daya Azure, sebagaimana didokumentasikan dalam referensi API ARM PIM. Untuk izin yang diperlukan untuk menggunakan API PIM, lihat Memahami API Privileged Identity Management.

Untuk mengaktifkan penetapan peran Azure yang memenuhi syarat dan mendapatkan akses yang diaktifkan, gunakan Permintaan Jadwal Penetapan Peran - Buat REST API untuk membuat permintaan baru dan menentukan prinsip keamanan, definisi peran, requestType = SelfActivate dan cakupan. Untuk memanggil API ini, Anda harus memiliki penetapan peran yang memenuhi syarat pada cakupan.

Gunakan alat GUID untuk menghasilkan pengidentifikasi unik yang akan digunakan untuk pengidentifikasi penetapan peran. Pengidentifikasi memiliki format: 00000000-0000-0000-0000-0000000000000.

Ganti {roleAssignmentScheduleRequestName} dalam permintaan PUT di bawah ini dengan pengidentifikasi GUID penetapan peran.

Untuk detail selengkapnya tentang mengelola peran yang memenuhi syarat untuk sumber daya Azure, lihat tutorial PIM ARM API ini.

Berikut ini adalah contoh permintaan HTTP untuk mengaktifkan tugas yang memenuhi syarat untuk peran Azure.

Minta

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Isi permintaan

{ 
"properties": { 
   "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
   "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
   "requestType": "SelfActivate", 
   "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
   "scheduleInfo": { 
       "startDateTime": "2020-09-09T21:35:27.91Z", 
       "expiration": { 
           "type": "AfterDuration", 
           "endDateTime": null, 
           "duration": "PT8H" 
       } 
   }, 
   "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
   "conditionVersion": "1.0" 
 } 
} 

Respons

Kode Status: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
} 

Tampilkan status permintaan Anda

Anda dapat melihat status permintaan aktivasi yang menunggu persetujuan.

  1. Buka Microsoft Entra Privileged Identity Management.

  2. Pilih Permintaan saya untuk melihat daftar peran Microsoft Entra dan permintaan peran sumber daya Azure Anda.

    My requests - Azure resource page showing your pending requests

  3. Gulir ke kanan untuk menampilkan kolom Status Permintaan.

Membatalkan permintaan yang sedang menunggu keputusan

Jika Anda tidak memerlukan aktivasi peran yang memerlukan persetujuan, Anda dapat membatalkan permintaan yang tertunda kapan saja.

  1. Buka Microsoft Entra Privileged Identity Management.

  2. Pilih Permintaan saya.

  3. Untuk peran yang ingin Anda batalkan, pilih tautan Batalkan.

    Ketika Anda memilih Batalkan, permintaan akan dibatalkan. Untuk mengaktifkan peran lagi, Anda harus mengirimkan permintaan baru untuk aktivasi.

    My request list with Cancel action highlighted

Nonaktifkan penetapan peran

Saat penetapan peran diaktifkan, Anda akan melihat opsi Nonaktifkan di portal PIM untuk penetapan peran. Selain itu, Anda tidak dapat menonaktifkan penetapan peran selama lima menit setelah aktivasi.

Aktifkan dengan portal Azure

Aktivasi peran Privileged Identity Management telah diintegrasikan ke dalam ekstensi Billing and Access Control (AD) dalam portal Azure. Pintasan ke Langganan (tagihan) dan Kontrol Akses (AD) memungkinkan Anda mengaktifkan peran PIM langsung dari bilah ini.

Dari bilah Langganan, pilih "Lihat langganan yang memenuhi syarat" di menu perintah horizontal untuk memeriksa tugas Anda yang memenuhi syarat, aktif, dan kedaluwarsa. Dari sana, Anda dapat mengaktifkan penugasan yang memenuhi syarat di panel yang sama.

Screenshot of view eligible subscriptions on the Subscriptions page.

Screenshot of view eligible subscriptions on the Cost Management: Integration Service page.

Di Kontrol akses (IAM) untuk sumber daya, Anda sekarang dapat memilih "Lihat akses saya" untuk melihat penetapan peran Anda yang saat ini aktif dan memenuhi syarat dan mengaktifkan secara langsung.

Screenshot of current role assignments on the Measurement page.

Dengan mengintegrasikan kemampuan PIM ke bilah portal Azure yang berbeda, fitur baru ini memungkinkan Anda mendapatkan akses sementara untuk melihat atau mengedit langganan dan sumber daya dengan lebih mudah.

Mengaktifkan peran PIM menggunakan aplikasi seluler Azure

PIM sekarang tersedia di aplikasi seluler MICROSOFT Entra ID dan peran sumber daya Azure di iOS dan Android.

  1. Untuk mengaktifkan penetapan peran Microsoft Entra yang memenuhi syarat, mulailah dengan mengunduh aplikasi seluler Azure (iOS | Android). Anda juga dapat mengunduh aplikasi dengan memilih Buka di seluler dari Privileged Identity Management > Peran saya Peran > Microsoft Entra.

    Screenshot shows how to download the mobile app.

  2. Buka aplikasi seluler Azure dan masuk. Klik kartu 'Privileged Identity Management' dan pilih Peran Sumber Daya Azure Saya untuk melihat penetapan peran Anda yang memenuhi syarat dan aktif.

    Screenshot of the mobile app showing privileged identity managementand the user's roles

  3. Pilih penetapan peran dan klik Aktifkan Tindakan > di bawah detail penetapan peran. Selesaikan langkah-langkah untuk aktif dan isi detail yang diperlukan sebelum mengklik Aktifkan di bagian bawah.

    Screenshot of the mobile app showing the validation process has completed. The image shows an Activate button

  4. Lihat status permintaan aktivasi dan penetapan peran Anda di bagian 'Peran Sumber Daya Azure Saya'.

    Screenshot of the mobile app showing the activation in progress message.

Langkah berikutnya