Konfigurieren und Genehmigen des Just-In-Time-Zugriffs für Azure Managed Applications
Als Consumer einer verwalteten Anwendung ist es für Sie möglicherweise unangenehm, dem Herausgeber dauerhaften Zugriff auf die Gruppe der verwalteten Ressourcen zu gewähren. Azure Managed Applications bietet ein Feature namens Just-In-Time-Zugriff (JIT), mit dem Sie die Erteilung des Zugriffs auf verwaltete Ressourcen besser steuern können. Sie können damit Zeitpunkt und Dauer des Zugriffs auf die Ressourcengruppe für den Herausgeber genehmigen. Der Herausgeber kann die erforderlichen Updates während dieser Zeit durchführen, aber nach Ablauf dieser Frist endet die Zugriffsberechtigung des Herausgebers.
Der Workflow für die Erteilung des Zugriffs ist:
Der Herausgeber fügt dem Marketplace eine verwaltete Anwendung hinzu und gibt an, dass der JIT-Zugriff verfügbar ist.
Während der Bereitstellung aktivieren Sie den JIT-Zugriff für Ihre Instanz der verwalteten Anwendung.
Nach der Bereitstellung können Sie die Einstellungen für den JIT-Zugriff ändern.
Der Herausgeber sendet eine Zugriffsanforderung.
Sie genehmigen die Anforderung.
Dieser Artikel konzentriert sich auf die Maßnahmen, die Consumer durchführen, um den JIT-Zugriff zu ermöglichen und Anforderungen zu genehmigen. Informationen zum Veröffentlichen einer verwalteten Anwendung mit JIT-Zugriff finden Sie unter Anfordern des Just-In-Time-Zugriffs in Azure Managed Applications.
Hinweis
Um den Just-in-time-Zugriff verwenden zu können, benötigen Sie eine Microsoft Entra ID P2-Lizenz.
Aktivieren während der Bereitstellung
Melden Sie sich beim Azure-Portal an.
Suchen Sie einen Marketplace-Eintrag für eine verwaltete Anwendung mit aktiviertem JIT. Klicken Sie auf Erstellen.
Während Sie Werte für die neue verwaltete Anwendung bereitstellen, können Sie mit dem Schritt JIT-Konfiguration den JIT-Zugriff für die verwaltete Anwendung aktivieren oder deaktivieren. Wählen Sie Ja für JIT-Zugriff aktivieren aus. Diese Option ist standardmäßig für verwaltete Anwendungen aktiviert, die im Marketplace mit aktiviertem JIT definiert sind.
Sie können den JIT-Zugriff nur während der Bereitstellung aktivieren. Wenn Sie Nein auswählen, erhält der Herausgeber permanenten Zugriff auf die verwaltete Ressourcengruppe. Sie können den JIT-Zugriff später nicht mehr aktivieren.
Um die Standardgenehmigungseinstellungen zu ändern, wählen Sie JIT-Konfiguration anpassen aus.
Standardmäßig weist eine verwaltete Anwendung mit aktiviertem JIT die folgenden Einstellungen auf:
- Genehmigungsmodus – automatisch
- Maximale Zugriffsdauer – 8 Stunden
- Genehmigende Personen – Keine
Wenn der Genehmigungsmodus auf automatisch festgelegt ist, erhalten die genehmigenden Personen eine Benachrichtigung für alle Anforderungen, aber die Anforderung wird automatisch genehmigt. Wenn diese Option auf manuell festgelegt ist, erhalten die genehmigenden Personen eine Benachrichtigung für die einzelnen Anforderungen, und eine dieser Personen muss diese jeweils genehmigen.
Die maximale Aktivierungsdauer gibt die maximale Zeitspanne an, die ein Herausgeber für den Zugriff auf die verwaltete Ressourcengruppe anfordern kann.
Die genehmigenden Personen auf der Liste sind die Microsoft Entra-Benutzer*innen, die JIT-Zugriffsanforderungen genehmigen können. Um eine genehmigende Person hinzuzufügen, wählen Sie Genehmigende Person hinzufügen aus, und suchen Sie nach dem Benutzer.
Wählen Sie nach dem Aktualisieren der Einstellung Speichern aus.
Aktualisieren nach der Bereitstellung
Sie können die Werte für die Genehmigung von Anforderungen ändern. Wenn Sie jedoch den JIT-Zugriff während der Bereitstellung nicht aktiviert haben, können Sie ihn später nicht aktivieren.
So ändern Sie die Einstellungen für eine bereitgestellte verwaltete Anwendung
Wählen Sie im Portal die verwaltete Anwendung aus.
Wählen Sie JIT-Konfiguration aus, und ändern Sie die Einstellungen nach Bedarf.
Wählen Sie dann die Option Schließen.
Genehmigen von Anforderungen
Wenn der Herausgeber den Zugriff anfordert, werden Sie über die Anforderung informiert. Sie können JIT-Zugriffsanforderungen entweder direkt in der verwalteten Anwendung oder mithilfe des Microsoft Entra Privileged Identity Management-Diensts über alle verwalteten Anwendungen hinweg genehmigen. Um den Just-in-time-Zugriff verwenden zu können, benötigen Sie eine Microsoft Entra ID P2-Lizenz.
So genehmigen Sie Anforderungen über die verwaltete Anwendung
Wählen Sie JIT-Zugriff für die verwaltete Anwendung und dann Anforderungen genehmigen aus.
Wählen Sie die zu genehmigende Anforderung aus.
Geben Sie im Formular den Grund für die Genehmigung an, und wählen Sie Genehmigen aus.
So genehmigen Sie Anforderungen über Microsoft Entra Privileged Identity Management:
Wählen Sie Alle Dienste aus, und suchen Sie nach Microsoft Entra Privileged Identity Management. Wählen Sie es aus den verfügbaren Optionen aus.
Wählen Sie Anforderungen genehmigen aus.
Wählen Sie Azure Managed Applications und dann die zu genehmigende Anforderung aus.
Nächste Schritte
Informationen zum Veröffentlichen einer verwalteten Anwendung mit JIT-Zugriff finden Sie unter Anfordern des Just-In-Time-Zugriffs in Azure Managed Applications.