Mengonfigurasi pengaturan peran sumber daya Azure di Privileged Identity Management

Saat Mengonfigurasi pengaturan peran sumber daya Azure, Anda menentukan pengaturan default yang diterapkan ke penetapan peran sumber daya Azure di Azure Active Directory (Azure AD) Privileged Identity Management (PIM). Gunakan prosedur berikut untuk mengonfigurasi alur kerja persetujuan dan menentukan siapa yang bisa menyetujui atau menolak permintaan.

Buka pengaturan peran

Ikuti langkah-langkah ini untuk membuka pengaturan untuk peran sumber daya Azure.

  1. Masuk ke portal Microsoft Azure dengan pengguna yang memiliki peran Privileged Role Administrator.

  2. Buka Azure AD Privileged Identity Management.

  3. Pilih Sumber daya Azure.

  4. Pilih sumber daya yang ingin Anda kelola, seperti langganan atau grup manajemen.

    Azure resources page listing resources that can be managed

  5. Pilih Pengaturan.

    Role settings page listing Azure resource roles

  6. Pilih peran dengan pengaturan yang ingin Anda konfigurasi.

    Role setting details page listing several assignment and activation settings

  7. Pilih Edit untuk membuka panel Edit pengaturan peran. Tab pertama memungkinkan Anda memperbarui konfigurasi untuk aktivasi peran dalam Privileged Identity Management.

    Edit role settings page with Activation tab open

  8. Pilih tab Tugas atau tombol Berikutnya: Penetapan di bagian bawah halaman untuk membuka tab pengaturan tugas. Pengaturan ini mengontrol penetapan peran yang dibuat di dalam antarmuka Privileged Identity Management.

    Role Assignment tab in role settings page

  9. Gunakan tab Pemberitahuan atau tombol Berikutnya: Aktivasi di bagian bawah halaman untuk masuk ke tab pengaturan pemberitahuan untuk peran ini. Pengaturan ini mengontrol semua pemberitahuan email yang terkait dengan peran ini.

    Role Notifications tab in role settings page

    Di tab Pemberitahuan pada halaman pengaturan peran, Privileged Identity Management memungkinkan kontrol terperinci atas orang yang menerima pemberitahuan dan pemberitahuan yang mereka terima.

    • Menonaktifkan email
      Anda bisa menonaktifkan email tertentu dengan menghapus kotak centang penerima default dan menghapus penerima tambahan apa pun.

    • Membatasi email ke alamat email tertentu
      Anda bisa menonaktifkan email yang dikirim ke penerima default dengan menghapus kotak centang penerima default. Anda kemudian dapat menambahkan alamat email tambahan sebagai penerima tambahan. Jika Anda ingin menambahkan lebih dari satu alamat email, pisahkan menggunakan titik koma (;).

    • Mengirim email ke penerima default dan penerima tambahan
      Anda bisa mengirim email ke penerima default dan penerima tambahan dengan memilih kotak centang penerima default dan menambahkan alamat email untuk penerima tambahan.

    • Hanya email penting
      Untuk setiap jenis email, Anda dapat memilih kotak centang untuk menerima email penting saja. Apa artinya ini adalah bahwa Privileged Identity Management akan terus mengirim email ke penerima yang dikonfigurasi hanya ketika email memerlukan tindakan segera. Misalnya, email yang meminta pengguna untuk memperpanjang penetapan peran mereka tidak akan dipicu sementara email yang mengharuskan admin untuk menyetujui permintaan ekstensi akan dipicu.

  10. Pilih tombol Perbarui kapan saja untuk memperbarui pengaturan peran.

Durasi penugasan

Anda dapat memilih satu dari dua opsi durasi tugas untuk setiap jenis tugas (memenuhi syarat dan aktif) saat mengonfigurasi pengaturan untuk peran. Opsi ini menjadi durasi maksimal default saat pengguna ditetapkan untuk peran dalam Privileged Identity Management.

Anda dapat memilih salah satu opsi durasi tugas yang memenuhi syarat ini:

Deskripsi
Mengizinkan penetapan yang memenuhi syarat secara permanen Administrator sumber daya dapat menetapkan tugas permanen yang memenuhi syarat.
Buat penetapan yang memenuhi syarat kedaluwarsa setelah Administrator sumber daya dapat mengharuskan semua tugas yang memenuhi syarat memiliki tanggal mulai dan berakhir yang ditentukan.

Dan, Anda dapat memilih salah satu opsi durasi tugas aktif ini:

Deskripsi
Izinkan penetapan aktif permanen Administrator sumber daya dapat menetapkan penetapan aktif permanen.
Buat penugasan yang memenuhi syarat kedaluwarsa setelah Administrator sumber daya dapat mengharuskan semua tugas aktif memiliki tanggal mulai dan berakhir yang ditentukan.

Catatan

Semua tugas yang memiliki tanggal akhir yang ditentukan dapat diperbarui oleh administrator sumber daya. Selain itu, pengguna dapat memulai permintaan layanan mandiri untuk memperpanjang atau memperbarui penetapan peran.

Memerlukan autentikasi multifaktor

Privileged Identity Management menyediakan penerapan opsional Azure AD Multi-Factor Authentication untuk dua skenario berbeda.

Pada penugasan aktif

Opsi ini mengharuskan admin harus menyelesaikan autentikasi multifaktor sebelum membuat tugas peran aktif (sebagai lawan yang memenuhi syarat). Azure Active Directory Privileged Identity Management tidak dapat menerapkan autentikasi multifaktor saat pengguna mengaktifkan penetapan perannya karena pengguna sudah aktif dalam peran tersebut sejak ditetapkan.

Untuk mewajibkan autentikasi multifaktor saat membuat penetapan peran aktif, Anda dapat menerapkan autentikasi multifaktor pada penetapan aktif dengan mencentang kotak Memerlukan Autentikasi Multifaktor pada penetapan aktif.

Saat aktivasi

Anda dapat mengharuskan pengguna yang memenuhi syarat untuk suatu peran untuk membuktikan identitas mereka menggunakan Azure AD Multi-Factor Authentication sebelum mereka dapat mengaktifkan. Autentikasi multifaktor memastikan bahwa pengguna tersebut adalah benar-benar pengguna yang asli dengan akurasi tinggi. Memberlakukan opsi ini melindungi sumber daya penting dalam situasi ketika akun pengguna mungkin telah disusupi.

Untuk mewajibkan autentikasi multifaktor sebelum aktivasi, centang kotak Wajibkan Autentikasi Multi-Faktor saat aktivasi.

Untuk informasi lebih lanjut, lihat Autentikasi multifaktor dan Privileged Identity Management.

Durasi maksimal aktivasi

Gunakan penggeser Durasi maksimum aktivasi untuk mengatur waktu maksimum (dalam jam) permintaan aktivasi untuk penetapan peran tetap aktif sebelum berakhir masa berlakunya. Nilai ini dapat berupa satu hingga 24 jam.

Mewajibkan justifikasi

Anda dapat mengharuskan pengguna memasukkan justifikasi bisnis saat mereka mengaktifkan. Untuk mewajibkan justifikasi, centang kotak Wajibkan justifikasi saat penetapan aktif atau kotak Wajibkan justifikasi saat aktivasi.

Mewajibkan persetujuan untuk mengaktifkan peran ini

Jika Anda ingin memerlukan persetujuan untuk mengaktifkan peran, ikuti langkah-langkah ini.

  1. Centang kotak centang Wajibkan persetujuan untuk mengaktifkan.

  2. Pilih opsi Pilih pemberi persetujuan untuk membuka halaman Pilih anggota atau grup.

    Select a user or group pane to select approvers

  3. Pilih setidaknya satu pengguna atau grup lalu klik Pilih. Anda dapat menambahkan kombinasi pengguna dan grup apa pun. Anda harus memilih minimal satu pemberi persetujuan. Tidak ada pemberi persetujuan default.

    Pilihan Anda akan muncul dalam daftar pemberi persetujuan yang dipilih.

  4. Setelah Anda menentukan semua pengaturan peran Anda, pilih Perbarui untuk menyimpan perubahan Anda.

Langkah berikutnya