Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Как потребитель управляемого приложения, возможно, вам не будет удобно предоставлять издателю постоянный доступ к управляемой группе ресурсов. Чтобы обеспечить более широкий контроль над предоставлением доступа к управляемым ресурсам, управляемые приложения Azure предоставляют функцию JIT-доступа. Он позволяет утверждать, когда и как долго издатель имеет доступ к группе ресурсов. Издатель может вносить необходимые обновления в течение этого времени, но когда это время истекает, срок действия доступа издателя истекает.
Рабочий поток предоставления доступа:
Издатель добавляет управляемое приложение в Marketplace и указывает, что доступ К JIT доступен.
Во время развертывания вы включите JIT-доступ для экземпляра управляемого приложения.
После развертывания можно изменить параметры для доступа JIT.
Издатель отправляет запрос на доступ.
Вы утверждаете запрос.
В этой статье рассматриваются действия потребителей для включения JIT-доступа и утверждения запросов. См. Запрос доступа Just-in-Time (JIT) в управляемых приложениях Azure для получения информации о публикации управляемого приложения с доступом JIT.
Замечание
Чтобы использовать доступ Just-in-Time, необходимо иметь лицензию Microsoft Entra ID P2.
Включение во время развертывания
Войдите на портал Azure.
Найдите запись Marketplace для управляемого приложения с поддержкой JIT. Нажмите кнопку "Создать".
При предоставлении значений для нового управляемого приложения шаг конфигурации JIT позволяет включить или отключить JIT-доступ для управляемого приложения. Выберите "Да " для включения JIT-доступа. Этот параметр выбран по умолчанию для управляемых приложений, определенных с поддержкой JIT в Marketplace.
Доступ JIT можно включить только во время развертывания. Если выбрать "Нет", издатель получает постоянный доступ к управляемой группе ресурсов. Вы не можете включить JIT-доступ позже.
Чтобы изменить параметры утверждения по умолчанию, выберите "Настройка JIT-конфигурации".
По умолчанию управляемое приложение с поддержкой JIT имеет следующие параметры:
- Режим утверждения — автоматический
- Максимальная длительность доступа — 8 часов
- Утверждающие — нет
Если режим утверждения установлен автоматически, утверждающие получают уведомление для каждого запроса, но запрос автоматически утвержден. Если выбрано вручную, утверждающие лица получают уведомление для каждого запроса, при этом один из них должен утвердить этот запрос.
Максимальная длительность активации указывает максимальное время, когда издатель может запросить доступ к управляемой группе ресурсов.
Список утверждающих — это пользователи Microsoft Entra, которые могут утверждать запросы на доступ JIT. Чтобы добавить утверждающего, выберите "Добавить утверждающего" и найдите пользователя.
После обновления параметра нажмите кнопку "Сохранить".
Обновление после развертывания
Вы можете изменить значения того, как утверждены запросы. Однако если во время развертывания доступ к JIT не включен, его нельзя включить позже.
Чтобы изменить параметры развернутого управляемого приложения, выполните следующие действия.
На портале выберите приложение управления.
Выберите JIT Configuration и измените параметры по мере необходимости.
Затем нажмите кнопку Сохранить.
Утвердить запросы
Когда издатель запрашивает доступ, вы получите уведомление о запросе. Вы можете утвердить запросы на доступ JIT напрямую через управляемое приложение или все управляемые приложения через службу управления привилегированными пользователями Microsoft Entra. Чтобы использовать JIT-доступ, необходимо иметь лицензию Microsoft Entra ID P2.
Чтобы утвердить запросы через управляемое приложение, выполните следующие действия.
Выберите JIT Access для управляемого приложения и выберите " Утвердить запросы".
Выберите запрос на утверждение.
В форме укажите причину утверждения и выберите " Утвердить".
Чтобы утвердить запросы через Microsoft Entra Privileged Identity Management:
Выберите все службы и начните поиск microsoft Entra Privileged Identity Management. Выберите подходящий вариант из предложенных.
Выберите "Утвердить запросы".
Выберите управляемые приложения Azure и выберите запрос для утверждения.
Дальнейшие шаги
Чтобы узнать о публикации управляемого приложения с JIT-доступом, см. статью Запрос JIT-доступа в управляемых приложениях Azure.