PIM'de Azure kaynak rol ayarlarını yapılandırmaConfigure Azure resource role settings in PIM

Azure kaynak rol ayarlarını yapılandırdığınızda, Azure kaynak rol atamaları Azure Active Directory (Azure AD) Privileged Identity Management (PIM) içinde uygulanan varsayılan ayarları tanımlar.When you configure Azure resource role settings, you define the default settings that are applied to Azure resource role assignments in Azure Active Directory (Azure AD) Privileged Identity Management (PIM). Onay iş akışını yapılandırın ve kimler onaylayabilir veya istekleri reddetme belirtmek için aşağıdaki yordamları kullanın.Use the following procedures to configure the approval workflow and specify who can approve or deny requests.

Rol ayarlarını AçOpen role settings

Bir Azure Kaynak rolü ayarlarını açmak için şu adımları izleyin.Follow these steps to open the settings for an Azure resource role.

  1. Oturum Azure portalında üyesi olan bir kullanıcı ile ayrıcalıklı Rol Yöneticisi rol.Sign in to Azure portal with a user that is a member of the Privileged Role Administrator role.

  2. Açık Azure AD Privileged Identity Management.Open Azure AD Privileged Identity Management.

  3. Tıklayın Azure kaynaklarını.Click Azure resources.

  4. Bir abonelik veya yönetim grubu gibi yönetmek istediğiniz kaynağa tıklayın.Click the resource you want to manage, such as a subscription or management group.

    Azure kaynaklarını sayfa yönetilebilir kaynakları listeleme

  5. Tıklayın rol ayarları.Click Role settings.

    Azure kaynağı rolleri listeleme rol Ayarları sayfası

  6. Ayarları yapılandırmak istediğiniz rolüne tıklayın.Click the role whose settings you want to configure.

    Rol ayarı Ayrıntıları sayfasında birden fazla atama ve etkinleştirme ayarlarını listeleme

  7. Tıklayın Düzenle rol ayarlar bölmesini açın.Click Edit to open the Role settings pane.

    Rol Ayarları sayfası atama ve etkinleştirme ayarlarını güncelleştirmek için Seçenekleri Düzenle

    Rol ayarı bölmesinde her rol için yapılandırabileceğiniz birkaç ayar vardır.On the Role setting pane for each role, there are several settings you can configure.

Atama süresiAssignment duration

Rol ayarlarını yapılandırırken (uygun ve etkin) her bir atama türü için iki atama süresi seçenekleri arasından seçim yapabilirsiniz.You can choose from two assignment duration options for each assignment type (eligible and active) when you configure settings for a role. Bu seçenekler, PIM rolüne bir üye atandığında varsayılan en uzun süresi olur.These options become the default maximum duration when a member is assigned to the role in PIM.

Bunlardan birini seçebileceğiniz uygun atama süresi seçenekleri:You can choose one of these eligible assignment duration options:

Kalıcı uygun atamaya izin verAllow permanent eligible assignment Kalıcı uygun üyelik kaynak yöneticileri atayabilirsiniz.Resource administrators can assign permanent eligible membership.
Uygun atamayı sonra süresi dolacakExpire eligible assignment after Kaynak yöneticileri, tüm uygun atamalar belirtilen başlangıç ve bitiş tarihi olmasını isteyebilir.Resource administrators can require that all eligible assignments have a specified start and end date.

Ve bunlardan birini seçebileceğiniz etkin atama süresi seçenekleri:And, you can choose one of these active assignment duration options:

Kalıcı etkin atamaya izin verAllow permanent active assignment Kalıcı etkin üyeliğini kaynak yöneticileri atayabilirsiniz.Resource administrators can assign permanent active membership.
Etkin atamada sonra süresi dolacakExpire active assignment after Kaynak yöneticileri, tüm etkin atamalar belirtilen başlangıç ve bitiş tarihi olmasını isteyebilir.Resource administrators can require that all active assignments have a specified start and end date.

Not

Kaynak yöneticileri tarafından belirtilen son tarihe sahip tüm atamaları yenilenebilir.All assignments that have a specified end date can be renewed by resource administrators. Ayrıca, üyeleri Self Servis isteklerine başlatabilirsiniz genişletin veya rol atamalarını yenileme.Also, members can initiate self-service requests to extend or renew role assignments.

Çok faktörlü kimlik doğrulaması gerektirRequire multi-factor authentication

PIM iki farklı senaryolar için isteğe bağlı zorlama Azure multi-Factor Authentication (MFA) sağlar.PIM provides optional enforcement of Azure Multi-Factor Authentication (MFA) for two distinct scenarios.

Etkin atamada multi-Factor Authentication isteRequire Multi-Factor Authentication on active assignment

Bazı durumlarda (örneğin bir gün) kısa bir süre için bir role üye atamak isteyebilirsiniz.In some cases, you might want to assign a member to a role for a short duration (one day, for example). Bu durumda, etkinleştirme isteği atanan üyelerini gerek yoktur.In this case, they don't need the assigned members to request activation. Üye kendi rol ataması kullandığında zaten atanmış olan şu rolden etkin olduğu Bu senaryoda, MFA PIM zorunlu kılamaz.In this scenario, PIM cannot enforce MFA when the member uses their role assignment, since they are already active in the role from the moment they are assigned.

Atama yerine getirmesini Kaynak Yöneticisi kimin söyledikleri olduğundan emin olmak için MFA etkin atamada denetleyerek zorunlu kılabilir etkin atamada multi-Factor Authentication iste kutusu.To ensure that the resource administrator fulfilling the assignment is who they say they are, you can enforce MFA on active assignment by checking the Require Multi-Factor Authentication on active assignment box.

Multi-Factor Authentication'ı etkinleştirme gerektirirRequire Multi-Factor Authentication on activation

MFA etkinleştirilebilmesi çalıştırmak uygun rolü üyelerinin gerektirebilir.You can require eligible members of a role to run MFA before they can activate. Bu işlem, etkinleştirme kim makul kesin olarak söyledikleri isteyen kullanıcı sağlar.This process ensures that the user who is requesting activation is who they say they are with reasonable certainty. Kullanıcı hesabının tehlikede, bu seçenek zorlamayı durumlarda kritik kaynaklara korur.Enforcing this option protects critical resources in situations when the user account might have been compromised.

Mfa'yı etkinleştirme tamamlanmadan önce çalıştırmak uygun bir üye gerektirecek şekilde kontrol etkinleştirme multi-Factor Authentication iste kutusu.To require an eligible member to run MFA before activation, check the Require Multi-Factor Authentication on activation box.

Daha fazla bilgi için multi factor authentication (MFA) ve PIM.For more information, see Multi-factor authentication (MFA) and PIM.

Maksimum etkinleştirme süresiActivation maximum duration

Kullanım maksimum etkinleştirme süresi en uzun süreyi saat cinsinden süresi dolmadan önce rol etkin kaldığından ayarlamak için kaydırıcıyı.Use the Activation maximum duration slider to set the maximum time, in hours, that a role stays active before it expires. Bu değer 1 ile 24 saat arasında olabilir.This value can be between 1 and 24 hours.

Gerekçelendirme isteRequire justification

Üyeleri bir gerekçe etkin atamada veya ne zaman etkinleştirdikleri girin gerektirebilir.You can require that members enter a justification on active assignment or when they activate. Gerekçelendirme iste denetleyin etkin atamada gerekçelendirme iste kutusu veya etkinleştirmede gerekçelendirme iste kutusu.To require justification, check the Require justification on active assignment box or the Require justification on activation box.

Etkinleştirmek için onay gerektirRequire approval to activate

Bir rolü etkinleştirmek için onay gerektir istiyorsanız, aşağıdaki adımları izleyin.If you want to require approval to activate a role, follow these steps.

  1. Denetleme etkinleştirmek için onay gerektir onay kutusu.Check the Require approval to activate check box.

  2. Tıklayın onaylayanları seçin Seç üyelerinin veya grubun bir bölme açmak için.Click Select approvers to open the Select a member or group pane.

    Onaylayanları seçin üyelerinin veya grubun bölmesi seçin

  3. En az bir üye veya grup seçin ve ardından seçin.Select at least one member or group and then click Select. Herhangi bir birleşimini üyeleri ve grupları ekleyebilirsiniz.You can add any combination of members and groups. En az bir onaylayan seçmeniz gerekir.You must select at least one approver. Hiçbir varsayılan onaylayanlar vardır.There are no default approvers.

    Seçimlerinizi seçili onaylayanlar listesinde görünür.Your selections will appear in the list of selected approvers.

  4. Tüm rol ayarlarınızı belirledikten sonra tıklayın güncelleştirme yaptığınız değişiklikleri kaydedin.Once you have specified your all your role settings, click Update to save your changes.

Sonraki adımlarNext steps