AAD PIM(사용자정의 권한관리 기능)

PIM

특권관리 기능 (=사용자정의 권한 관리)

on-demand administrative access를 가능

Administrator의 history를 볼 수 있다

 Alert를 설정할 수 있다

 Workflow에 approval 프로세스를 추가

 

 

필요라이선스 AAD P2 혹은 EMS 5

즉, 라이선스 할당이 1단계 작업

 

 

Privileged Role Administrator	Azure AD에서 role assignment 등을 관리할 수 있으며 PIM의 모든 영역을 포함하고 있다.
Security Administrator	Azure AD, O365 세팅등을 관리하고 리포팅 하는 등을 할 수 있다.

​

Assigned Roles (Directory/Resources)

Directory Roles	Azure AD Role로서 Global Admin과 같은 롤을 뜻한다. Role은 eligible 혹은 permanent로 부여할 수 있다.
Resource	Azure RBAC를 이용하며 Built-in 혹은 custom role을 만들 수 있다. 예를 들어 Subscription Admin 등을 뜻한다.

 

 

 

 

Eligible 자격이 있는

Eligible	바로 사용 불가, 요청시 사용가능 영구자격 혹은 Time frame 지정도 가능함
Active	제한없는 권한임. 영구자격 혹은 Time frame 지정도 가능함

 

 

 

User Admin Role에 Eligible로 할당

 

 

해당 사용자로 로그인 후 My role 조회

 

우측에 Active 버튼 클릭

 

MFA 필수알림

 

클릭하면 설정페이지로 이동됨

 

설정 후 다시 로그인하면, 이제  Activate 가능

단, 시간제한이 있음.

 

Activate 클릭 하면 아래와 같이 진행되고, Sign out 한번 하고 다시 로그인해야됨

 

 

이제 AAD-사용자로 들어가보면,  new User 활성화됨

 

 

다시 권한을 수동으로 빼려면 Active Role에서 해당 사용자 Remove 해주면됨

혹시나 착각해서 Eligible roles에서 remove하면 완전빠짐.

 

 

역할별로, 세부설정 "Settings"로 가보면

디테일하게 정의해놓을 수 있음

MFA가 필수인지 아닌지 등등

Duration 최소는 30min

Require MFA unchecked 가능