Condividi tramite

Configurare e approvare l'accesso JUST-In-Time per le applicazioni gestite di Azure

  • Articolo

In qualità di consumer di un'applicazione gestita, potrebbe non essere possibile concedere all'editore l'accesso permanente al gruppo di risorse gestite. Per garantire un maggiore controllo sulla concessione dell'accesso alle risorse gestite, Le applicazioni gestite di Azure offrono una funzionalità denominata accesso JIT (Just-In-Time). Consente di approvare quando e per quanto tempo il server di pubblicazione ha accesso al gruppo di risorse. L'autore può apportare aggiornamenti necessari durante tale periodo, ma quando tale tempo è trascorso, l'accesso dell'autore scade.

Il flusso di lavoro per concedere l'accesso è:

  1. L'editore aggiunge un'applicazione gestita al marketplace e specifica che l'accesso JIT è disponibile.

  2. Durante la distribuzione si abilita l'accesso JIT per l'istanza dell'applicazione gestita.

  3. Dopo la distribuzione, è possibile modificare le impostazioni per l'accesso JIT.

  4. Il server di pubblicazione invia una richiesta di accesso.

  5. Si approva la richiesta.

Questo articolo è incentrato sulle azioni eseguite dai consumer per abilitare l'accesso JIT e approvare le richieste. Per informazioni sulla pubblicazione di un'applicazione gestita con accesso JIT, vedere Richiedere l'accesso JIT in Applicazioni gestite di Azure.

Nota

Per usare l'accesso JIT, è necessario disporre di una licenza Microsoft Entra ID P2.

Abilitare durante la distribuzione

  1. Accedere al portale di Azure.

  2. Trovare una voce del marketplace per un'applicazione gestita con JIT abilitato. Seleziona Crea.

  3. Fornendo valori per la nuova applicazione gestita, il passaggio Configurazione JIT consente di abilitare o disabilitare l'accesso JIT per l'applicazione gestita. Selezionare per Abilitare l'accesso JIT. Questa opzione è selezionata per impostazione predefinita per le applicazioni gestite definite con JIT abilitato nel marketplace.

    Configure access

    È possibile abilitare l'accesso JIT solo durante la distribuzione. Se si seleziona No, l'autore ottiene l'accesso permanente al gruppo di risorse gestite. Non è possibile abilitare l'accesso JIT in un secondo momento.

  4. Per modificare le impostazioni di approvazione predefinite, selezionare Personalizza configurazione JIT.

    Customize access

    Per impostazione predefinita, un'applicazione gestita con JIT abilitato ha le impostazioni seguenti:

    • Modalità approvazione: automatica
    • Durata massima dell'accesso - 8 ore
    • Responsabili approvazioni: nessuno

    Quando la modalità di approvazione è impostata su automatica, i responsabili approvazioni ricevono una notifica per ogni richiesta, ma la richiesta viene approvata automaticamente. Se è impostata su manuale, i responsabili approvazioni ricevono una notifica per ogni richiesta e una di esse deve approvarla.

    La durata massima dell'attivazione specifica la quantità massima di tempo per cui un server di pubblicazione può richiedere l'accesso al gruppo di risorse gestite.

    L'elenco dei responsabili approvazioni è costituito dagli utenti di Microsoft Entra che possono approvare le richieste di accesso JIT. Per aggiungere un responsabile approvazione, selezionare Aggiungi responsabile approvazione e cercare l'utente.

    Dopo aver aggiornato l'impostazione, selezionare Salva.

Aggiornare dopo la distribuzione

È possibile modificare i valori per la modalità di approvazione delle richieste. Tuttavia, se non è stato abilitato l'accesso JIT durante la distribuzione, non è possibile abilitarlo in un secondo momento.

Per modificare le impostazioni per un'applicazione gestita distribuita:

  1. Nel portale selezionare l'applicazione di gestione.

  2. Selezionare configurazione JIT e modificare le impostazioni in base alle esigenze.

    Change access settings

  3. Al termine scegliere Salva.

Approvare le richieste

Quando l'editore richiede l'accesso, si riceve una notifica della richiesta. È possibile approvare le richieste di accesso JIT direttamente tramite l'applicazione gestita o in tutte le applicazioni gestite tramite il servizio Microsoft Entra Privileged Identity Management. Per usare l'accesso JIT, è necessario disporre di una licenza Microsoft Entra ID P2.

Per approvare le richieste tramite l'applicazione gestita:

  1. Selezionare Accesso JIT per l'applicazione gestita e selezionare Approva richieste.

    Approve requests

  2. Selezionare la richiesta di approvazione.

    Select request

  3. Nel modulo specificare il motivo dell'approvazione e selezionare Approva.

Per approvare le richieste tramite Microsoft Entra Privileged Identity Management:

  1. Selezionare Tutti i servizi e iniziare a cercare Microsoft Entra Privileged Identity Management. Selezionare il tag tra le opzioni disponibili.

    Search for service

  2. Selezionare Approva richieste.

    Select approve requests

  3. Selezionare applicazioni gestite di Azuree successivamente la richiesta di approvazione.

    Select requests

Passaggi successivi

Per informazioni sulla pubblicazione di un'applicazione gestita con accesso JIT, vedere Richiedere l'accesso JIT in Applicazioni gestite di Azure.