Поделиться через

Настройка и утверждение JIT-доступа для Управляемых приложений Azure

  • Статья

Вам, как потребителю управляемого приложения, может быть неудобно предоставлять издателю постоянный доступ к группе управляемых ресурсов. Чтобы обеспечить более широкий контроль над предоставлением доступа к управляемым ресурсам, управляемые приложения Azure предоставляют функцию JIT-доступа. JIT-доступ позволяет утверждать, когда и на какой период времени издателю предоставляется доступ к группе ресурсов. Издатель может вносить необходимые обновления в течение этого времени, но когда время заканчивается, для издателя срок действия доступа истекает.

Рабочий процесс для предоставления доступа:

  1. Издатель добавляет управляемое приложение в marketplace и указывает, что JIT-доступ предоставлен.

  2. Во время развертывания вы включаете JIT-доступ для экземпляра управляемого приложения.

  3. После развертывания параметры JIT-доступа можно изменить.

  4. Издатель отправляет запрос на доступ.

  5. Вы утверждаете запрос.

В этой статье основное внимание уделяется действиям, предпринимаемым потребителями для включения JIT-доступа и утверждения запросов. Дополнительные сведения о публикации управляемого приложения с JIT-доступом см. в статье со сведениями о запросе JIT-доступа в Управляемых приложениях Azure.

Примечание.

Чтобы использовать JIT-доступ, необходимо иметь лицензию Microsoft Entra ID P2.

Включение во время развертывания

  1. Войдите на портал Azure.

  2. Найдите запись marketplace для управляемого приложения со включенным JIT. Выберите Создать.

  3. При указании значений для нового управляемого приложения на этапе Конфигурация JIT можно включить или отключить JIT-доступ для управляемого приложения. Выберите Да, чтобы включить JIT-доступ. Этот параметр выбран по умолчанию для управляемых приложений, которые определены с поддержкой JIT-доступа в marketplace.

    Configure access

    Включить JIT-доступ можно только во время развертывания. Если выбрано значение Нет, издатель получает постоянный доступ к группе управляемых ресурсов. Включить JIT-доступ позже невозможно.

  4. Чтобы изменить параметры утверждения по умолчанию, выберите Настроить конфигурацию JIT.

    Customize access

    По умолчанию управляемое приложение со включенным JIT имеет следующие параметры:

    • режим утверждения — автоматический;
    • максимальная длительность доступа — 8 часов;
    • утверждающие — нет.

    Если для режима утверждения задано значение автоматически, утверждающие получают уведомление для каждого запроса, но запрос утверждается автоматически. Если задано значение вручную, утверждающие получают уведомление для каждого запроса и один из них должен его утверждать.

    Максимальная длительность активации определяет максимальное время, в течение которого издатель может запросить доступ к группе управляемых ресурсов.

    Список утверждающих — это пользователи Microsoft Entra, которые могут утверждать запросы на доступ JIT. Чтобы добавить утверждающего, выберите Добавить утверждающего и найдите пользователя.

    После обновления параметра нажмите кнопку Сохранить.

Обновление после развертывания

Можно изменить значения, определяющие способ утверждения запросов. Однако если вы не включили JIT-доступ во время развертывания, вы не сможете включить его позже.

Чтобы изменить параметры развернутого управляемого приложения, сделайте следующее:

  1. На портале выберите управляемое приложение.

  2. Выберите Конфигурация JIT и при необходимости измените параметры.

    Change access settings

  3. Затем нажмите кнопку Сохранить.

Утверждение запросов

Когда издатель запрашивает доступ, вы получаете уведомление о запросе. Вы можете утвердить запросы на доступ JIT напрямую через управляемое приложение или во всех управляемых приложениях через службу Microsoft Entra управление привилегированными пользователями. Чтобы использовать JIT-доступ, необходимо иметь лицензию Microsoft Entra ID P2.

Для утверждения запросов через управляемое приложение сделайте следующее:

  1. Выберите JIT-доступ для управляемого приложения, а затем — Утверждение запросов.

    Approve requests

  2. Выберите запрос для утверждения.

    Select request

  3. В форме укажите причину утверждения и выберите Утвердить.

Чтобы утвердить запросы через Microsoft Entra управление привилегированными пользователями:

  1. Выберите все службы и начните поиск microsoft Entra управление привилегированными пользователями. Выберите подходящий вариант из предложенных.

    Search for service

  2. Выберите Утверждение запросов.

    Select approve requests

  3. Выберите Управляемые приложения Azure и запрос для утверждения.

    Select requests

Следующие шаги

Дополнительные сведения о публикации управляемого приложения с JIT-доступом см. в статье со сведениями о запросе JIT-доступа в Управляемых приложениях Azure.