PIM'de Azure AD rol ayarlarını yapılandırmaConfigure Azure AD role settings in PIM

Ayrıcalıklı rol yöneticisi uygun rol atamasını etkinleştirme bir kullanıcı deneyimi değiştirme dahil olmak üzere, bir kuruluş içindeki Azure Active Directory (Azure AD) Privileged Identity Management (PIM) özelleştirebilirsiniz.A privileged role administrator can customize Azure Active Directory (Azure AD) Privileged Identity Management (PIM) in their organization, including changing the experience for a user who is activating an eligible role assignment.

Rol ayarlarını AçOpen role settings

Azure AD rolüne ayarlarını açmak için şu adımları izleyin.Follow these steps to open the settings for an Azure AD role.

  1. Açık Azure AD Privileged Identity Management.Open Azure AD Privileged Identity Management.

  2. Tıklayın Azure AD rolleri.Click Azure AD roles.

  3. Tıklayın ayarları.Click Settings.

    Azure AD rolleri - ayarlar

  4. Tıklayın rolleri.Click Roles.

  5. Ayarları yapılandırmak istediğiniz rolüne tıklayın.Click the role whose settings you want to configure.

    Azure AD rolleri - ayarları roller

    Her rol için Ayarlar sayfasında, yapılandırabileceğiniz birkaç ayar vardır.On the settings page for each role, there are several settings you can configure. Bu ayarlar yalnızca kullanıcılar etkiler uygun atamaları değil kalıcı atamaları.These settings only affect users who are eligible assignments, not permanent assignments.

EtkinleştirmeActivations

Kullanım etkinleştirmeleri en uzun süreyi saat cinsinden süresi dolmadan önce rol etkin kaldığından ayarlamak için kaydırıcıyı.Use the Activations slider to set the maximum time, in hours, that a role stays active before it expires. Bu değer 1 ile 72 saat arasında olabilir.This value can be between 1 and 72 hours.

BildirimlerNotifications

Kullanım bildirimleri rolleri etkinleştirildiğinde Yöneticiler e-posta bildirimleri alıp almayacaklarını belirtmek için anahtar.Use the Notifications switch to specify whether administrators will receive email notifications when roles are activated. Bu, yetkisiz veya aykırı etkinleştirmeleri algılamak için yararlı olabilir.This can be useful for detecting unauthorized or illegitimate activations.

Ayarlandığında etkinleştirme, bildirimler gönderilir:When set to Enable, notifications are sent to:

  • Ayrıcalıklı Rol YöneticisiPrivileged Role Administrator
  • Güvenlik YöneticisiSecurity Administrator
  • Genel YöneticiGlobal Administrator

Daha fazla bilgi için e-posta bildirimleri PIM.For more information, see Email notifications in PIM.

Olay/istek anahtarıIncident/Request ticket

Kullanım olay/istek anahtarı uygun yöneticilerin bir bilet numarası yerine getirecekleri etkinleştirdikleri işlemlerinde gerekip gerekmediğini belirlemek için anahtarı.Use the Incident/Request ticket switch to specify whether to require eligible administrators to include a ticket number when they activate their role. Rol erişim denetimleri gerçekleştirdiğinizde bu yararlı olabilir.This can be useful when you perform role access audits.

Multi-Factor AuthenticationMulti-Factor Authentication

Kullanım multi-Factor Authentication rollerinin etkinleştirilebilmesi MFA ile kullanıcıların kimliğini doğrulamak kullanıcıların gerekip gerekmediğini belirlemek için anahtarı.Use the Multi-Factor Authentication switch to specify whether to require users to verify their identity with MFA before they can activate their roles. Bunlar yalnızca bu kez her bir rolü etkinleştirmemek her zaman oturum doğrulamanız gerekir.They only have to verify this once per session, not every time they activate a role. Mfa'yı etkinleştirdiğinizde akılda tutulması gereken iki ipuçları şunlardır:There are two tips to keep in mind when you enable MFA:

  • Microsoft hesapları için e-posta adreslerini sahip kullanıcılar (genellikle @outlook.com, ama her zaman kullanılmaz) Azure MFA için kaydedilemiyor.Users who have Microsoft accounts for their email addresses (typically @outlook.com, but not always) cannot register for Azure MFA. Microsoft hesabı olan kullanıcılar için rol atamak istiyorsanız, bunları kalıcı yönetici yapmak veya o rol için mfa'yı devre dışı bırakmak gerekir.If you want to assign roles to users with Microsoft accounts, you should either make them permanent admins or disable MFA for that role.

  • MFA yüksek ayrıcalıklı rolleri için Azure AD için devre dışı bırakamazsınız ve Office365.You cannot disable MFA for highly privileged roles for Azure AD and Office365. Bu, bu rolleri dikkatli bir şekilde korunması için bir güvenlik özelliğidir:This is a safety feature because these roles should be carefully protected:

    • Azure Information Protection YöneticisiAzure Information Protection Administrator
    • Faturalama YöneticisiBilling Administrator
    • Bulut uygulaması YöneticisiCloud Application Administrator
    • Uyumluluk YöneticisiCompliance Administrator
    • Koşullu Erişim YöneticisiConditional Access Administrator
    • CRM Hizmet YöneticisiCRM Service Administrator
    • Müşteri kasası erişim onaylayıcıCustomer LockBox Access Approver
    • Dizin yazıcılarDirectory Writers
    • Exchange YöneticisiExchange Administrator
    • Genel YöneticiGlobal Administrator
    • Intune Hizmet YöneticisiIntune Service Administrator
    • Power BI Hizmet YöneticisiPower BI Service Administrator
    • Ayrıcalıklı Rol YöneticisiPrivileged Role Administrator
    • Güvenlik YöneticisiSecurity Administrator
    • SharePoint Hizmet YöneticisiSharePoint Service Administrator
    • Skype Kurumsal YöneticisiSkype for Business Administrator
    • Kullanıcı YöneticisiUser Administrator

Daha fazla bilgi için multi factor authentication (MFA) ve PIM.For more information, see Multi-factor authentication (MFA) and PIM.

Onay isteRequire approval

Bir rolü etkinleştirmek için onay gerektir istiyorsanız, aşağıdaki adımları izleyin.If you want to require approval to activate a role, follow these steps.

  1. Ayarlama onayı iste geçin etkin.Set the Require approval switch to Enabled. Onaylayanları seçin seçeneklerle bölmesini genişletir.The pane expands with options to select approvers.

    Azure AD rolleri - Settings - onayı iste

    Varsa, yok tüm onaylayanlar belirtin, varsayılan onaylayanlar ayrıcalıklı rol yöneticileri olur.If you DO NOT specify any approvers, the Privileged Role Administrators become the default approvers. Ayrıcalıklı rol yöneticileri gereken onaylanacak tüm bu rol için etkinleştirme istekleri.Privileged Role Administrators would be required to approve ALL activation requests for this role.

  2. Onaylayanlar belirtmek için onaylayanları seçin.To specify approvers, click Select approvers.

    Azure AD rolleri - Settings - onayı iste

  3. Bir veya daha fazla onaylayanları seçin ve ardından seçin.Select one or more approvers and then click Select. Kullanıcılar veya gruplar seçebilirsiniz.You can select users or groups. En az 2 onaylayan önerilir.At least 2 approvers is recommended. Kendini onaylama izin verilmez.Self-approval is not allowed.

    Seçimlerinizi seçili onaylayanlar listesinde görünür.Your selections will appear in the list of selected approvers.

  4. Tüm rol ayarlarınızı belirledikten sonra tıklayın Kaydet yaptığınız değişiklikleri kaydedin.Once you have specified your all your role settings, click Save to save your changes.

Sonraki adımlarNext steps