Penetapan peran yang memenuhi syarat dan terikat waktu di Azure RBAC
Jika Anda memiliki lisensi Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra, Microsoft Entra Privileged Identity Management (PIM) diintegrasikan ke dalam langkah-langkah penetapan peran. Misalnya, Anda dapat menetapkan peran kepada pengguna untuk jangka waktu terbatas. Anda juga dapat membuat pengguna memenuhi syarat untuk penetapan peran sehingga mereka harus mengaktifkan untuk menggunakan peran tersebut, seperti meminta persetujuan. Penetapan peran yang memenuhi syarat menyediakan akses just-in-time ke peran untuk jangka waktu terbatas.
Artikel ini menjelaskan integrasi kontrol akses berbasis peran Azure (Azure RBAC) dan Microsoft Entra Privileged Identity Management (PIM) untuk membuat penetapan peran yang memenuhi syarat dan terikat waktu.
Fungsionalitas PIM
Jika Anda memiliki PIM, Anda dapat membuat penetapan peran yang memenuhi syarat dan terikat waktu menggunakan halaman Kontrol akses (IAM) di portal Azure. Anda dapat membuat penetapan peran yang memenuhi syarat untuk pengguna, tetapi Anda tidak dapat membuat penetapan peran yang memenuhi syarat untuk aplikasi, perwakilan layanan, atau identitas terkelola karena mereka tidak dapat melakukan langkah-langkah aktivasi. Pada halaman Kontrol akses (IAM), Anda dapat membuat penetapan peran yang memenuhi syarat di lingkup grup manajemen, langganan, dan grup sumber daya, tetapi tidak pada cakupan sumber daya.
Berikut adalah contoh tab Jenis penetapan saat Anda menambahkan penetapan peran menggunakan halaman Kontrol akses (IAM). Kemampuan ini sedang disebarkan secara bertahap, sehingga mungkin belum tersedia di penyewa Anda atau antarmuka Anda mungkin terlihat berbeda.
Opsi jenis penugasan yang tersedia untuk Anda mungkin bervariasi tergantung pada kebijakan PIM Anda. Misalnya, kebijakan PIM menentukan apakah penugasan permanen dapat dibuat, durasi maksimum untuk penetapan terikat waktu, persyaratan aktivasi peran (persetujuan, autentikasi multifaktor, atau konteks autentikasi Akses Bersyarah), dan pengaturan lainnya. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan peran sumber daya Azure di Privileged Identity Management.
Pengguna dengan penetapan yang memenuhi syarat dan/atau terikat waktu harus memiliki lisensi yang valid. Jika Anda tidak ingin menggunakan fungsionalitas PIM, pilih opsi Jenis penugasan aktif dan Durasi penugasan permanen . Pengaturan ini membuat penetapan peran di mana prinsipal selalu memiliki izin dalam peran.
Untuk lebih memahami PIM, Anda harus meninjau persyaratan berikut.
| Istilah atau konsep | Kategori penetapan peran | Deskripsi |
|---|---|---|
| Memenuhi syarat | Jenis | Penetapan peran yang mengharuskan pengguna melakukan satu atau beberapa tindakan untuk menggunakan peran tersebut. Jika pengguna telah memenuhi syarat untuk mendapatkan peran, berarti mereka dapat mengaktifkan peran ketika mereka perlu melakukan tugas istimewa. Tidak ada perbedaan dalam akses yang diberikan kepada seseorang dengan tugas peran permanen versus yang memenuhi syarat. Satu-satunya perbedaan adalah bahwa beberapa orang tidak membutuhkan akses itu sepanjang waktu. |
| aktif | Jenis | Penetapan peran yang tidak mengharuskan pengguna untuk melakukan tindakan apa pun untuk menggunakan peran tersebut. Pengguna yang ditetapkan sebagai aktif memiliki hak istimewa yang ditetapkan untuk peran tersebut. |
| aktifkan | Proses melakukan satu atau beberapa tindakan untuk menggunakan peran yang memenuhi syarat untuk pengguna. Tindakan mungkin termasuk melakukan pemeriksaan autentikasi multifaktor (MFA), memberikan pertimbangan bisnis, atau meminta persetujuan dari pemberi persetujuan yang ditunjuk. | |
| memenuhi syarat permanen | Durasi | Penetapan peran di mana pengguna selalu memenuhi syarat untuk mengaktifkan peran. |
| aktif permanen | Durasi | Penetapan peran di mana pengguna selalu dapat menggunakan peran tanpa melakukan tindakan apa pun. |
| memenuhi syarat batas waktu | Durasi | Penetapan peran di mana pengguna memenuhi syarat untuk mengaktifkan peran hanya dalam tanggal mulai dan selesai. |
| aktif terikat waktu | Durasi | Penetapan peran di mana pengguna hanya dapat menggunakan peran dalam tanggal mulai dan berakhir. |
| akses just-in-time (JIT) | Model di mana pengguna menerima izin sementara untuk melakukan tugas istimewa, yang mencegah pengguna berbahaya atau tidak berwenang mendapatkan akses setelah izin kedaluwarsa. Akses diberikan hanya ketika pengguna membutuhkan akses. | |
| Menerapkan prinsip hak istimewa paling sedikit | Praktik keamanan yang direkomendasikan di mana setiap pengguna hanya diberikan hak istimewa minimum yang diperlukan untuk menyelesaikan tugas yang diizinkan untuk mereka lakukan. Praktik ini meminimalkan jumlah Administrator Global dan sebaliknya menggunakan peran administrator tertentu untuk skenario tertentu. |
Untuk informasi selengkapnya, lihat Apa itu Microsoft Entra Privileged Identity Management?.
Cara mencantumkan penetapan peran yang memenuhi syarat dan terikat waktu
Jika Anda ingin melihat pengguna mana yang menggunakan fungsionalitas PIM, berikut adalah opsi cara mencantumkan penetapan peran yang memenuhi syarat dan terikat waktu.
Opsi 1: Daftar menggunakan portal Azure
Masuk ke portal Azure, buka halaman Kontrol akses (IAM), dan pilih tab Penetapan peran.
Filter penetapan peran yang memenuhi syarat dan terikat waktu.
Anda dapat mengelompokkan dan mengurutkan menurut Status, dan mencari penetapan peran yang bukan jenis Permanen aktif.
Opsi 2: Daftar menggunakan PowerShell
Tidak ada satu perintah PowerShell yang dapat mencantumkan penetapan peran yang memenuhi syarat dan terikat waktu aktif. Untuk mencantumkan penetapan peran yang memenuhi syarat, gunakan perintah Get-AzRoleEligibilitySchedule . Untuk mencantumkan penetapan peran aktif Anda, gunakan perintah Get-AzRoleAssignmentSchedule .
Contoh ini menunjukkan cara mencantumkan penetapan peran yang memenuhi syarat dan terikat waktu dalam langganan, yang mencakup jenis penetapan peran ini:
- Permanen yang memenuhi syarat
- Batas waktu yang memenuhi syarat
- Batas waktu aktif
Perintah Where-Object memfilter penetapan peran permanen aktif yang tersedia dengan fungsionalitas Azure RBAC tanpa PIM.
Get-AzRoleEligibilitySchedule -Scope /subscriptions/<subscriptionId>
Get-AzRoleAssignmentSchedule -Scope /subscriptions/<subscriptionId> | Where-Object {$_.EndDateTime -ne $null }
Untuk informasi tentang bagaimana cakupan dibangun, lihat Memahami cakupan untuk Azure RBAC.
Cara mengonversi penetapan peran yang memenuhi syarat dan terikat waktu ke permanen aktif
Jika organisasi Anda memiliki alasan proses atau kepatuhan untuk membatasi penggunaan PIM, berikut adalah opsi cara mengonversi penetapan peran ini menjadi permanen aktif.
Opsi 1: Mengonversi menggunakan portal Azure
Di portal Azure, pada tab Penetapan peran dan kolom Status, pilih tautan Batas waktu permanen yang Memenuhi Syarat, Terikat waktu yang memenuhi syarat, dan Aktif untuk setiap penetapan peran yang ingin Anda konversi.
Di panel Edit penugasan , pilih Aktif untuk jenis penugasan dan Permanen selama durasi penugasan.
Untuk informasi selengkapnya, lihat Mengedit penugasan.
Setelah selesai, pilih Simpan.
Pembaruan Anda mungkin perlu waktu cukup lama untuk diproses dan tercermin di portal.
Ulangi langkah-langkah ini untuk semua penetapan peran di cakupan grup manajemen, langganan, dan grup sumber daya yang ingin Anda konversi.
Jika Anda memiliki penetapan peran di cakupan sumber daya yang ingin Anda konversi, Anda harus membuat perubahan langsung di PIM.
Opsi 2: Mengonversi menggunakan PowerShell
Tidak ada perintah atau API untuk langsung mengonversi penetapan peran ke status atau jenis yang berbeda, jadi sebagai gantinya Anda dapat mengikuti langkah-langkah ini.
Penting
Menghapus penetapan peran berpotensi menyebabkan gangguan di lingkungan Anda. Pastikan Anda memahami dampaknya sebelum melakukan langkah-langkah ini.
Ambil dan simpan daftar semua penetapan peran yang memenuhi syarat dan terikat waktu di lokasi yang aman untuk mencegah kehilangan data.
Penting
Penting bahwa Anda menyimpan daftar penetapan peran yang memenuhi syarat dan terikat waktu karena langkah-langkah ini mengharuskan Anda menghapus penetapan peran ini sebelum Anda membuat penetapan peran yang sama dengan permanen aktif.
Gunakan perintah New-AzRoleEligibilityScheduleRequest untuk menghapus penetapan peran yang memenuhi syarat.
Contoh ini menunjukkan cara menghapus penetapan peran yang memenuhi syarat.
$guid = New-Guid New-AzRoleEligibilityScheduleRequest -Name $guid -Scope <Scope> -PrincipalId <PrincipalId> -RoleDefinitionId <RoleDefinitionId> -RequestType AdminRemoveGunakan perintah New-AzRoleAssignmentScheduleRequest untuk menghapus penetapan peran terikat waktu aktif Anda.
Contoh ini menunjukkan cara menghapus penetapan peran yang terikat waktu aktif.
$guid = New-Guid New-AzRoleAssignmentScheduleRequest -Name $guid -Scope <Scope> -PrincipalId <PrincipalId> -RoleDefinitionId <RoleDefinitionId> -RequestType AdminRemoveGunakan perintah Get-AzRoleAssignment untuk memeriksa penetapan peran yang ada dan menggunakan perintah New-AzRoleAssignment untuk membuat penetapan peran permanen aktif dengan Azure RBAC untuk setiap penetapan peran yang memenuhi syarat dan terikat waktu.
Contoh ini menunjukkan cara memeriksa penetapan peran yang ada dan membuat penetapan peran permanen aktif dengan Azure RBAC.
$result = Get-AzRoleAssignment -ObjectId $RA.PrincipalId -RoleDefinitionName $RA.RoleDefinitionDisplayName -Scope $RA.Scope; if($result -eq $null) { New-AzRoleAssignment -ObjectId $RA.PrincipalId -RoleDefinitionName $RA.RoleDefinitionDisplayName -Scope $RA.Scope }
Cara membatasi pembuatan penetapan peran yang memenuhi syarat atau terikat waktu
Jika organisasi Anda memiliki alasan proses atau kepatuhan untuk membatasi penggunaan PIM, Anda dapat menggunakan Azure Policy untuk membatasi pembuatan penetapan peran yang memenuhi syarat atau terikat waktu. Untuk informasi selengkapnya, lihat Apa itu Kebijakan Azure?.
Berikut adalah contoh kebijakan yang membatasi pembuatan penetapan peran yang memenuhi syarat dan terikat waktu kecuali untuk daftar identitas tertentu. Parameter dan pemeriksaan tambahan dapat ditambahkan untuk kondisi izin lainnya.
{
"properties": {
"displayName": "Limit eligible and active time-bound role assignments except for allowed principal IDs",
"policyType": "Custom",
"mode": "All",
"metadata": {
"createdBy": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"createdOn": "2024-11-05T02:31:25.1246591Z",
"updatedBy": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"updatedOn": "2024-11-06T07:58:17.1699721Z"
},
"version": "1.0.0",
"parameters": {
"allowedPrincipalIds": {
"type": "Array",
"metadata": {
"displayName": "Allowed Principal IDs",
"description": "A list of principal IDs that can receive PIM role assignments."
},
"defaultValue": []
}
},
"policyRule": {
"if": {
"anyof": [
{
"allOf": [
{
"field": "type",
"equals": "Microsoft.Authorization/roleEligibilityScheduleRequests"
},
{
"not": {
"field": "Microsoft.Authorization/roleEligibilityScheduleRequests/principalId",
"in": "[parameters('allowedPrincipalIds')]"
}
}
]
},
{
"allOf": [
{
"field": "type",
"equals": "Microsoft.Authorization/roleAssignmentScheduleRequests"
},
{
"not": {
"field": "Microsoft.Authorization/roleAssignmentScheduleRequests/principalId",
"in": "[parameters('allowedPrincipalIds')]"
}
}
]
}
]
},
"then": {
"effect": "deny"
}
},
"versions": [
"1.0.0"
]
},
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4ef/providers/Microsoft.Authorization/policyDefinitions/1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"type": "Microsoft.Authorization/policyDefinitions",
"name": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"systemData": {
"createdBy": "test1@contoso.com",
"createdByType": "User",
"createdAt": "2024-11-05T02:31:25.0836273Z",
"lastModifiedBy": "test1@contoso.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2024-11-06T07:58:17.1651655Z"
}
}
Untuk informasi tentang properti sumber daya PIM, lihat dokumen REST API ini:
Untuk informasi tentang cara menetapkan Azure Policy dengan parameter, lihat Tutorial: Membuat dan mengelola kebijakan untuk menegakkan kepatuhan.