Prodloužení nebo prodloužení platnosti PIM pro přiřazení skupin
Privileged Identity Management (PIM) v Microsoft Entra ID poskytuje ovládací prvky pro správu životního cyklu přístupu a přiřazení pro členství ve skupinách a vlastnictví. Správci můžou přiřazovat vlastnosti počátečního a koncového data a času pro členství ve skupinách a vlastnictví. Když se přiřazení ukončí, Privileged Identity Management odešle ovlivněným uživatelům nebo skupinám e-mailová oznámení. Odesílá také e-mailová oznámení správcům prostředku, aby se zajistilo, že je zachován vhodný přístup. Přiřazení se můžou prodloužit a zůstat viditelná ve stavu vypršení platnosti po dobu až 30 dnů, i když se přístup neprodlouží.
Kdo může prodloužit a prodloužit
Pouze uživatelé s oprávněními ke správě skupin můžou prodloužit nebo obnovit členství ve skupině nebo přiřazení časově vázané na vlastnictví. Ovlivněný uživatel nebo skupina můžou požádat o rozšíření přiřazení, jejichž platnost brzy vyprší, a požádat o prodloužení platnosti přiřazení, jejichž platnost již vypršela.
Skupiny s možností přiřazení role je možné spravovat alespoň správcem privilegovaných rolí nebo vlastníkem skupiny. Nepřiřazovatelné skupiny je možné spravovat alespoň pomocí zapisovače adresáře, správce skupin, správce zásad správného řízení identit, správce uživatelů nebo vlastníka skupiny. Přiřazení rolí pro správce by měla být vymezena na úrovni adresáře (ne na úrovni jednotky pro správu).
Poznámka:
Jiné role s oprávněními ke správě skupin (například Správci Exchange pro skupiny M365 bez role) a správci s přiřazeními vymezenými na úrovni jednotek pro správu můžou spravovat skupiny prostřednictvím rozhraní API nebo uživatelského rozhraní Skupiny a přepsat změny provedené v Nástroji Microsoft Entra PIM.
Při odesílání oznámení
Privileged Identity Management posílá správcům a ovlivněným uživatelům PIM e-mailová oznámení pro přiřazení skupin, jejichž platnost vyprší:
- Do 14 dnů před vypršením platnosti
- Jeden den před vypršením platnosti
- Když vyprší platnost přiřazení
Správci dostanou oznámení, když uživatel nebo skupina požádá o prodloužení nebo prodloužení platnosti přiřazení, jehož platnost vypršela nebo vypršela. Když správce žádost vyřeší, budou všichni správci a žádající uživatel upozorněni na schválení nebo odepření.
Rozšíření přiřazení skupin
Následující kroky popisují proces žádosti, řešení nebo správy rozšíření nebo obnovení členství ve skupině nebo přiřazení vlastnictví.
Samoobslužné prodloužení přiřazení vypršení platnosti
Členství nebo vlastnictví skupiny přiřazené uživateli můžou prodloužit platnost přiřazení skupin přímo na kartě Oprávnění nebo Aktivní na stránce Přiřazení pro skupinu. Uživatelé nebo skupiny můžou požádat o prodloužení oprávněného a aktivního přiřazení, jejichž platnost vyprší během následujících 14 dnů.
Pokud je koncové datum a čas přiřazení do 14 dnů, je k dispozici příkaz Prodloužit . Pokud chcete požádat o rozšíření přiřazení skupiny, vyberte Rozšířit a otevřete formulář žádosti.
Poznámka:
Doporučujeme uvést podrobnosti o tom, proč je rozšíření nezbytné a jak dlouho má být rozšíření uděleno (pokud máte tyto informace).
Správci obdrží e-mailové oznámení s žádostí o kontrolu žádosti o rozšíření. Pokud již byla odeslána žádost o rozšíření, na portálu se zobrazí oznámení Azure.
Pokud chcete zobrazit stav žádosti nebo ji zrušit, otevřete stránku Čekající žádosti pro přiřazení skupiny.
Schválené rozšíření pro správce
Když uživatel nebo skupina odešle žádost o rozšíření přiřazení skupiny, obdrží správci e-mailové oznámení, které obsahuje podrobnosti o původním přiřazení a důvod žádosti. Oznámení obsahuje přímý odkaz na žádost správce o schválení nebo zamítnutí.
Kromě použití odkazu z e-mailu můžou správci žádosti schválit nebo zamítnout tak, že přejdou na portál pro správu Privileged Identity Management a vyberou možnost Schválit žádosti v levém podokně.
Když správce vybere možnost Schválit nebo Odepřít, zobrazí se podrobnosti žádosti spolu s polem, které poskytne obchodní odůvodnění protokolů auditu.
Při schvalování žádosti o rozšíření přiřazení skupiny můžou správci prostředků zvolit nové počáteční datum, koncové datum a typ přiřazení. Změna typu přiřazení může být nutná, pokud správce chce poskytnout omezený přístup k dokončení konkrétního úkolu (například jeden den). V tomto příkladu může správce změnit přiřazení z Oprávnění na Aktivní. To znamená, že můžou žadateli poskytnout přístup, aniž by je museli aktivovat.
Rozšíření iniciované správcem
Pokud uživatel přiřazený ke skupině o přiřazení skupiny nepožádá o rozšíření, může správce rozšířit přiřazení jménem uživatele. Rozšíření správy přiřazení skupiny nevyžadují schválení, ale oznámení se po prodloužení přiřazení posílají všem ostatním správcům.
Pokud chcete rozšířit přiřazení skupiny, přejděte do zobrazení přiřazení ve službě Privileged Identity Management. Vyhledejte přiřazení, které vyžaduje rozšíření. Pak ve sloupci akce vyberte Rozšířit .
Prodloužení platnosti přiřazení skupin
I když se koncepčně podobá procesu žádosti o rozšíření, proces prodloužení přiřazení skupiny s vypršenou platností se liší. Pomocí následujícího postupu můžou přiřazení a správci v případě potřeby obnovit přístup k přiřazením, jejichž platnost vypršela.
Samoobslužné prodlužování platnosti
Uživatelé, kteří už nemají přístup k prostředkům, mají přístup až 30 dnů od historie přiřazení s vypršenou platností. Uděláte to tak, že v levém podokně přejde do části Moje role a pak vyberou kartu Přiřazení s vypršenou platností .
Seznam přiřazení, která jsou zobrazená jako výchozí, se zobrazí jako opravňující přiřazení. Pomocí rozevírací nabídky můžete přepínat mezi oprávněnými a aktivními přiřazeními.
Pokud chcete požádat o prodloužení pro všechna přiřazení skupin v seznamu, vyberte akci Obnovit . Pak zadejte důvod žádosti. Kromě jakéhokoli dalšího kontextu nebo obchodního odůvodnění, které může správci prostředků pomoct rozhodnout se schválit nebo odepřít, je užitečné poskytnout dobu trvání.
Po odeslání žádosti budou správci prostředků upozorněni na čekající žádost o obnovení přiřazení skupiny.
Správce schválí
Správci prostředků můžou získat přístup k žádosti o prodloužení z odkazu v e-mailovém oznámení nebo přístupem k Privileged Identity Management z Centra pro správu Microsoft Entra a výběrem možnosti Schválit žádosti z levého podokna.
Když správce vybere možnost Schválit nebo Odepřít, zobrazí se spolu s polem, které poskytne obchodní odůvodnění protokolů auditu.
Při schvalování žádosti o obnovení přiřazení skupiny musí správci prostředků zadat nové počáteční datum, koncové datum a typ přiřazení.