Mengaktifkan peran sumber daya Azure saya di Privileged Identity Management
Gunakan Microsoft Entra Privileged Identity Management (PIM), untuk memungkinkan anggota peran yang memenuhi syarat untuk sumber daya Azure menjadwalkan aktivasi untuk tanggal dan waktu mendatang. Mereka juga dapat memilih durasi aktivasi tertentu dalam maksimum (dikonfigurasi oleh administrator).
Artikel ini ditujukan untuk anggota yang perlu mengaktifkan peran sumber daya Azure mereka dalam Privileged Identity Management.
Catatan
Pada Maret 2023, Anda sekarang dapat mengaktifkan tugas dan melihat akses Anda langsung dari bilah di luar PIM di portal Azure. Baca selengkapnya di sini.
Penting
Saat peran diaktifkan, Microsoft Entra PIM untuk sementara menambahkan penetapan aktif untuk peran tersebut. Microsoft Entra PIM membuat penetapan aktif (menetapkan pengguna ke peran) dalam hitungan detik. Saat pennonaktifkanan (manual atau melalui waktu aktivasi kedaluwarsa) terjadi, Microsoft Entra PIM juga menghapus penugasan aktif dalam hitungan detik.
Aplikasi dapat menyediakan akses berdasarkan peran yang dimiliki pengguna. Dalam beberapa situasi, akses aplikasi mungkin tidak segera mencerminkan fakta bahwa pengguna mendapatkan peran yang ditetapkan atau dihapus. Jika aplikasi sebelumnya menyimpan cache fakta bahwa pengguna tidak memiliki peran - ketika pengguna mencoba mengakses aplikasi lagi, akses mungkin tidak disediakan. Demikian pula, jika aplikasi sebelumnya menyimpan cache fakta bahwa pengguna memiliki peran - ketika peran dinonaktifkan, pengguna mungkin masih mendapatkan akses. Situasi tertentu tergantung pada arsitektur aplikasi. Untuk beberapa aplikasi, keluar dan masuk kembali dapat membantu akses ditambahkan atau dihapus.
Mengaktifkan peran
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Saat Anda perlu mengambil peran sumber daya Azure, Anda dapat meminta aktivasi menggunakan opsi Navigasi Peran saya di Privileged Identity Management.
Catatan
PIM sekarang tersedia di aplikasi seluler Azure (iOS | Android) untuk peran id Microsoft Entra dan sumber daya Azure. Aktifkan tugas yang memenuhi syarat dengan mudah, minta perpanjangan untuk yang kedaluwarsa, atau periksa status permintaan yang tertunda. Baca selengkapnya di bawah ini
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.
Telusuri tata kelola>Identitas Privileged Identity Management>Peran saya.
Pilih peran sumber daya Azure untuk melihat daftar peran sumber daya Azure Anda yang memenuhi syarat.
Di daftar peran sumber daya Azure, temukan peran yang ingin Anda aktifkan.
Pilih Aktifkan untuk membuka halaman Aktifkan.
Jika peran Anda memerlukan autentikasi multifaktor, pilih Verifikasi identitas Anda sebelum melanjutkan. Anda hanya perlu mengautentikasi sekali per sesi.
Pilih Verifikasi identitas saya dan ikuti instruksi untuk memberikan verifikasi keamanan tambahan.
Jika Anda ingin menentukan lingkup yang dikurangi, pilih Lingkup untuk membuka panel Filter sumber daya.
Anda sebaiknya hanya meminta akses ke sumber daya yang Anda butuhkan. Pada panel Filter sumber daya, Anda dapat menentukan grup sumber daya atau sumber daya yang perlu Anda akses.
Jika perlu, tentukan waktu mulai aktivasi kustom. Anggota akan diaktifkan setelah waktu yang dipilih.
Dalam kotak Alasan, masukkan alasan permintaan aktivasi.
Pilih aktifkan.
Catatan
Jika peran memerlukan persetujuan untuk mengaktifkan, pemberitahuan akan muncul di sudut kanan atas browser Anda yang memberi tahu Anda bahwa permintaan sedang menunggu persetujuan.
Mengaktifkan peran dengan ARM API
Privileged Identity Management mendukung perintah API Azure Resource Manager (ARM) untuk mengelola peran sumber daya Azure, sebagaimana didokumentasikan dalam referensi API ARM PIM. Untuk izin yang diperlukan untuk menggunakan API PIM, lihat Memahami API Privileged Identity Management.
Untuk mengaktifkan penetapan peran Azure yang memenuhi syarat dan mendapatkan akses yang diaktifkan, gunakan Permintaan Jadwal Penetapan Peran - Buat REST API untuk membuat permintaan baru dan menentukan prinsip keamanan, definisi peran, requestType = SelfActivate dan cakupan. Untuk memanggil API ini, Anda harus memiliki penetapan peran yang memenuhi syarat pada cakupan.
Gunakan alat GUID untuk menghasilkan pengidentifikasi unik yang akan digunakan untuk pengidentifikasi penetapan peran. Pengidentifikasi memiliki format: 00000000-0000-0000-0000-0000000000000.
Ganti {roleAssignmentScheduleRequestName} dalam permintaan PUT di bawah ini dengan pengidentifikasi GUID penetapan peran.
Untuk detail selengkapnya tentang mengelola peran yang memenuhi syarat untuk sumber daya Azure, lihat tutorial PIM ARM API ini.
Berikut ini adalah contoh permintaan HTTP untuk mengaktifkan tugas yang memenuhi syarat untuk peran Azure.
Minta
PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01
Isi permintaan
{
"properties": {
"principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"requestType": "SelfActivate",
"linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
"scheduleInfo": {
"startDateTime": "2020-09-09T21:35:27.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "PT8H"
}
},
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0"
}
}
Respons
Kode Status: 201
{
"properties": {
"targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6",
"targetRoleAssignmentScheduleInstanceId": null,
"scope": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
"roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"principalType": "User",
"requestType": "SelfActivate",
"status": "Provisioned",
"approvalId": null,
"scheduleInfo": {
"startDateTime": "2020-09-09T21:35:27.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "PT8H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
},
"justification": null,
"requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"createdOn": "2020-09-09T21:35:27.91Z",
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0",
"expandedProperties": {
"scope": {
"id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
"displayName": "Pay-As-You-Go",
"type": "subscription"
},
"roleDefinition": {
"id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"displayName": "Contributor",
"type": "BuiltInRole"
},
"principal": {
"id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"displayName": "User Account",
"email": "user@my-tenant.com",
"type": "User"
}
}
},
"name": "fea7a502-9a96-4806-a26f-eee560e52045",
"id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045",
"type": "Microsoft.Authorization/RoleAssignmentScheduleRequests"
}
Tampilkan status permintaan Anda
Anda dapat melihat status permintaan aktivasi yang menunggu persetujuan.
Buka Microsoft Entra Privileged Identity Management.
Pilih Permintaan saya untuk melihat daftar peran Microsoft Entra dan permintaan peran sumber daya Azure Anda.
Gulir ke kanan untuk menampilkan kolom Status Permintaan.
Membatalkan permintaan yang sedang menunggu keputusan
Jika Anda tidak memerlukan aktivasi peran yang memerlukan persetujuan, Anda dapat membatalkan permintaan yang tertunda kapan saja.
Buka Microsoft Entra Privileged Identity Management.
Pilih Permintaan saya.
Untuk peran yang ingin Anda batalkan, pilih tautan Batalkan.
Ketika Anda memilih Batalkan, permintaan akan dibatalkan. Untuk mengaktifkan peran lagi, Anda harus mengirimkan permintaan baru untuk aktivasi.
Nonaktifkan penetapan peran
Saat penetapan peran diaktifkan, Anda akan melihat opsi Nonaktifkan di portal PIM untuk penetapan peran. Selain itu, Anda tidak dapat menonaktifkan penetapan peran selama lima menit setelah aktivasi.
Aktifkan dengan portal Azure
Aktivasi peran Privileged Identity Management telah diintegrasikan ke dalam ekstensi Billing and Access Control (AD) dalam portal Azure. Pintasan ke Langganan (tagihan) dan Kontrol Akses (AD) memungkinkan Anda mengaktifkan peran PIM langsung dari bilah ini.
Dari bilah Langganan, pilih "Lihat langganan yang memenuhi syarat" di menu perintah horizontal untuk memeriksa tugas Anda yang memenuhi syarat, aktif, dan kedaluwarsa. Dari sana, Anda dapat mengaktifkan penugasan yang memenuhi syarat di panel yang sama.
Di Kontrol akses (IAM) untuk sumber daya, Anda sekarang dapat memilih "Lihat akses saya" untuk melihat penetapan peran Anda yang saat ini aktif dan memenuhi syarat dan mengaktifkan secara langsung.
Dengan mengintegrasikan kemampuan PIM ke bilah portal Azure yang berbeda, fitur baru ini memungkinkan Anda mendapatkan akses sementara untuk melihat atau mengedit langganan dan sumber daya dengan lebih mudah.
Mengaktifkan peran PIM menggunakan aplikasi seluler Azure
PIM sekarang tersedia di aplikasi seluler MICROSOFT Entra ID dan peran sumber daya Azure di iOS dan Android.
Untuk mengaktifkan penetapan peran Microsoft Entra yang memenuhi syarat, mulailah dengan mengunduh aplikasi seluler Azure (iOS | Android). Anda juga dapat mengunduh aplikasi dengan memilih Buka di seluler dari Privileged Identity Management > Peran saya Peran > Microsoft Entra.
Buka aplikasi seluler Azure dan masuk. Klik kartu 'Privileged Identity Management' dan pilih Peran Sumber Daya Azure Saya untuk melihat penetapan peran Anda yang memenuhi syarat dan aktif.
Pilih penetapan peran dan klik Aktifkan Tindakan > di bawah detail penetapan peran. Selesaikan langkah-langkah untuk aktif dan isi detail yang diperlukan sebelum mengklik Aktifkan di bagian bawah.
Lihat status permintaan aktivasi dan penetapan peran Anda di bagian 'Peran Sumber Daya Azure Saya'.