配置和批准 Azure 托管应用程序的实时访问

作为托管应用程序的使用者，可能无法让发布者永久访问托管资源组。 为了更好地控制授予对托管资源的访问权限，Azure 托管应用程序提供了一项称为实时（JIT）访问权限的功能。 它使你能够批准发布者有权访问资源组的时间和时长。 发布者可以在该时间段内进行所需的更新，但当该时间结束时，发布者的访问权限将过期。

授予访问权限的工作流为：

1. 发布者将托管应用程序添加到市场，并指定 JIT 访问可用。

2. 在部署期间，为托管应用程序的实例启用 JIT 访问。

3. 部署后，可以更改 JIT 访问的设置。

4. 发布者发送访问请求。

5. 你批准请求。

本文重点介绍使用者为启用 JIT 访问和批准请求而执行的作。 若要了解如何发布具有 JIT 访问权限的托管应用程序，请参阅 Azure 托管应用程序中的实时请求访问。

在部署期间启用

1. 登录到 Azure 门户。

2. 查找启用了 JIT 的托管应用程序的市场项。 选择 创建。

3. 为新的托管应用程序提供值时， JIT 配置 步骤允许启用或禁用托管应用程序的 JIT 访问。 选择“是”以启用 JIT 访问。 对于在市场中启用 JIT 定义的托管应用程序，默认情况下会选择此选项。

   

   只能在部署期间启用 JIT 访问。 如果选择 “否”，发布者将永久访问托管资源组。 以后无法启用 JIT 访问。

4. 若要更改默认审批设置，请选择“ 自定义 JIT 配置”。

   

   默认情况下，启用了 JIT 的托管应用程序具有以下设置：

   • 审批模式 - 自动
   • 最大访问持续时间 - 8 小时
   • 审批者 - 无

   当审批模式设置为 自动时，审批者会收到每个请求的通知，但请求会自动获得批准。 设置为手动时，审批者会收到每个请求的通知，并且其中一个审批者必须批准请求。

   激活最长持续时间指定发布者可以请求访问托管资源组的最长时间。

   审批者列表是 Microsoft Entra 用户，他们可以批准 JIT 访问请求。 若要添加审批者，请选择 “添加审批者 ”并搜索用户。

   更新设置后，选择“ 保存”。

部署后更新

可以更改请求审批方式的值。 但是，如果在部署期间未启用 JIT 访问，则以后无法启用它。

若要更改已部署托管应用程序的设置，请执行以下作：

1. 在门户中，选择管理应用程序。

2. 选择 JIT 配置 并根据需要更改设置。

   

3. 完成后，选择“ 保存”。

审批请求

发布者请求访问时，系统会通知你请求。 可以通过托管应用程序直接批准 JIT 访问请求，也可以通过 Microsoft Entra Privileged Identity Management 服务跨所有托管应用程序批准 JIT 访问请求。 若要使用实时访问，必须具有 Microsoft Entra ID P2 许可证。

若要通过托管应用程序批准请求，请执行以下操作：

1. 选择托管应用程序的 JIT 访问 ，然后选择“ 批准请求”。

   

2. 选择要批准的请求。

   

3. 在表单中，提供审批原因并选择“ 批准”。

若要通过 Microsoft Entra Privileged Identity Management 批准请求，请执行以下操作：

1. 选择 “所有服务 ”，然后开始搜索 Microsoft Entra Privileged Identity Management。 从可用选项中选择它。

   

2. 选择 “批准请求”。

   

3. 选择 Azure 托管应用程序，然后选择要批准的请求。

   

后续步骤

若要了解如何发布具有 JIT 访问权限的托管应用程序，请参阅 Azure 托管应用程序中的实时请求访问。