Konfigurera inställningar för Azure-resursroll i Privileged Identity Management

När du konfigurerar inställningar för Azure-resursroll definierar du standardinställningarna som tillämpas på Tilldelningar av Azure-resursroller i Azure Active Directory (Azure AD) Privileged Identity Management (PIM). Använd följande procedurer för att konfigurera arbetsflödet för godkännande och ange vem som kan godkänna eller neka begäranden.

Öppna rollinställningar

Följ de här stegen för att öppna inställningarna för en Azure-resursroll.

  1. Logga in för att Azure Portal med en användare i rollen Privilegierad rolladministratör.

  2. Öppna Azure AD Privileged Identity Management.

  3. Välj Azure-resurser.

  4. Välj den resurs som du vill hantera, till exempel en prenumeration eller hanteringsgrupp.

    Azure resources page listing resources that can be managed

  5. Välj inställningar.

    Role settings page listing Azure resource roles

  6. Välj den roll vars inställningar du vill konfigurera.

    Role setting details page listing several assignment and activation settings

  7. Välj Redigera för att öppna fönstret Redigera rollinställning . På den första fliken kan du uppdatera konfigurationen för rollaktivering i Privileged Identity Management.

    Edit role settings page with Activation tab open

  8. Välj fliken Tilldelning eller knappen Nästa: Tilldelning längst ned på sidan för att öppna fliken tilldelningsinställning. De här inställningarna styr rolltilldelningar som görs i Privileged Identity Management-gränssnittet.

    Role Assignment tab in role settings page

  9. Använd fliken Meddelande eller knappen Nästa: Aktivering längst ned på sidan för att komma till meddelandeinställningsfliken för den här rollen. De här inställningarna styr alla e-postaviseringar som är relaterade till den här rollen.

    Role Notifications tab in role settings page

    På fliken Meddelanden på sidan rollinställningar aktiverar Privileged Identity Management detaljerad kontroll över vem som tar emot meddelanden och vilka meddelanden de tar emot.

    • Stänga av ett e-postmeddelande
      Du kan inaktivera specifika e-postmeddelanden genom att avmarkera standardmottagarens kryssruta och ta bort eventuella ytterligare mottagare.

    • Begränsa e-post till angivna e-postadresser
      Du kan inaktivera e-postmeddelanden som skickas till standardmottagare genom att avmarkera kryssrutan standardmottagare. Du kan sedan lägga till ytterligare e-postadresser som ytterligare mottagare. Om du vill lägga till fler än en e-postadress separerar du dem med ett semikolon (;).

    • Skicka e-postmeddelanden till både standardmottagare och ytterligare mottagare
      Du kan skicka e-postmeddelanden till både standardmottagare och ytterligare mottagare genom att markera kryssrutan standardmottagare och lägga till e-postadresser för ytterligare mottagare.

    • Endast kritiska e-postmeddelanden
      För varje typ av e-post kan du markera kryssrutan för att endast ta emot kritiska e-postmeddelanden. Det innebär att Privileged Identity Management fortsätter att skicka e-postmeddelanden till de konfigurerade mottagarna endast när e-postmeddelandet kräver en omedelbar åtgärd. E-postmeddelanden som ber användarna att utöka sin rolltilldelning utlöses till exempel inte medan ett e-postmeddelande som kräver att administratörer godkänner en tilläggsbegäran utlöses.

  10. Välj knappen Uppdatera när som helst för att uppdatera rollinställningarna.

Tilldelningens varaktighet

Du kan välja mellan två alternativ för tilldelningstid för varje tilldelningstyp (berättigad och aktiv) när du konfigurerar inställningar för en roll. Dessa alternativ blir den maximala standardvaraktigheten när en användare tilldelas rollen i Privileged Identity Management.

Du kan välja något av följande alternativ för tilldelningens varaktighet:

Beskrivning
Tillåt permanent berättigad tilldelning Resursadministratörer kan tilldela permanent berättigad tilldelning.
Förfalla berättigad tilldelning efter Resursadministratörer kan kräva att alla berättigade tilldelningar har ett angivet start- och slutdatum.

Och du kan välja något av följande alternativ för aktiv tilldelningstid:

Beskrivning
Tillåt permanent aktiv tilldelning Resursadministratörer kan tilldela permanent aktiv tilldelning.
Förfalla aktiv tilldelning efter Resursadministratörer kan kräva att alla aktiva tilldelningar har ett angivet start- och slutdatum.

Anteckning

Alla tilldelningar som har ett angivet slutdatum kan förnyas av resursadministratörer. Användare kan också initiera självbetjäningsbegäranden för att utöka eller förnya rolltilldelningar.

Kräv multifaktorautentisering

Privileged Identity Management tillhandahåller valfri tillämpning av Azure AD Multi-Factor Authentication för två olika scenarier.

Vid aktiv tilldelning

Det här alternativet kräver att administratörer slutför en multifaktorautentisering innan de skapar en aktiv rolltilldelning (till skillnad från berättigad). Privileged Identity Management kan inte framtvinga multifaktorautentisering när användaren aktiverar sin rolltilldelning eftersom användaren redan är aktiv i rollen från den tidpunkt då den tilldelades.

Om du vill kräva multifaktorautentisering när du skapar en aktiv rolltilldelning kan du framtvinga multifaktorautentisering för aktiv tilldelning genom att markera rutan Kräv multifaktorautentisering för aktiv tilldelning .

Vid aktivering

Du kan kräva att användare som är berättigade till en roll bevisar vem de använder Azure AD Multi-Factor Authentication innan de kan aktiveras. Multifaktorautentisering säkerställer att användaren är den de säger att de är med rimlig säkerhet. Det här alternativet skyddar kritiska resurser i situationer då användarkontot kan ha komprometterats.

Om du vill kräva multifaktorautentisering före aktivering markerar du rutan Kräv multifaktorautentisering vid aktivering .

Mer information finns i Multifaktorautentisering och Privileged Identity Management.

Maximal varaktighet för aktivering

Använd skjutreglaget För maximal varaktighet för aktivering för att ange den maximala tiden, i timmar, som en aktiveringsbegäran för en rolltilldelning förblir aktiv innan den upphör att gälla. Det här värdet kan vara mellan ett och 24 timmar.

Kräv motivering

Du kan kräva att användarna anger en affärsmotivering när de aktiverar. Om du vill kräva en motivering markerar du rutan Kräv justering för aktiv tilldelning eller rutan Kräv justering för aktivering .

Kräv godkännande för att aktivera

Följ dessa steg om du vill kräva godkännande för att aktivera en roll.

  1. Markera kryssrutan Kräv godkännande för att aktivera .

  2. Välj Välj godkännare för att öppna sidan Välj en medlem eller grupp .

    Select a user or group pane to select approvers

  3. Välj minst en användare eller grupp och klicka sedan på Välj. Du kan lägga till valfri kombination av användare och grupper. Du måste välja minst en godkännare. Det finns inga standardgodkännare.

    Dina val visas i listan över valda godkännare.

  4. När du har angett alla dina rollinställningar väljer du Uppdatera för att spara ändringarna.

Nästa steg