Sdílet prostřednictvím

Prodloužení nebo prodloužení platnosti PIM pro přiřazení skupin

  • Článek

Privileged Identity Management (PIM) v Microsoft Entra ID poskytuje ovládací prvky pro správu životního cyklu přístupu a přiřazení pro členství ve skupinách a vlastnictví. Správa istrátory mohou přiřazovat vlastnosti počátečního a koncového data a času pro členství ve skupinách a vlastnictví. Když se přiřazení ukončí, Privileged Identity Management odešle ovlivněným uživatelům nebo skupinám e-mailová oznámení. Odesílá také e-mailová oznámení správcům prostředku, aby se zajistilo, že je zachován vhodný přístup. Přiřazení se můžou prodloužit a zůstat viditelná ve stavu vypršení platnosti po dobu až 30 dnů, i když se přístup neprodlouží.

Kdo může prodloužit a prodloužit

Pouze uživatelé s oprávněními ke správě skupin můžou prodloužit nebo obnovit členství ve skupině nebo přiřazení časově vázané na vlastnictví. Ovlivněný uživatel nebo skupina můžou požádat o rozšíření přiřazení, jejichž platnost brzy vyprší, a požádat o prodloužení platnosti přiřazení, jejichž platnost již vypršela.

Skupiny, které lze přiřadit role, je možné spravovat alespoň pomocí privilegované role Správa istrator nebo vlastník skupiny. Skupiny, které nelze přiřadit role, je možné spravovat alespoň pomocí zapisovače adresáře, skupin Správa istratoru, zásad správného řízení identit Správa istratoru, uživatelského Správa istratoru nebo vlastníka skupiny. Přiřazení rolí pro správce by měla být vymezena na úrovni adresáře (nikoli na úrovni Správa istrativní jednotky).

Poznámka:

Jiné role s oprávněními ke správě skupin (například Exchange Správa istrátory pro skupiny M365, které nelze přiřadit role) a správci s přiřazeními vymezenými na úrovni jednotek pro správu můžou spravovat skupiny prostřednictvím rozhraní API/uživatelského rozhraní Skupiny a přepsat změny provedené v nástroji Microsoft Entra PIM.

Při odesílání oznámení

Privileged Identity Management posílá správcům a ovlivněným uživatelům PIM e-mailová oznámení pro přiřazení skupin, jejichž platnost vyprší:

  • Do 14 dnů před vypršením platnosti
  • Jeden den před vypršením platnosti
  • Když vyprší platnost přiřazení

Správa istrátory obdrží oznámení, když uživatel nebo skupina požádá o prodloužení nebo prodloužení platnosti nebo vypršení platnosti přiřazení. Když správce žádost vyřeší, budou všichni správci a žádající uživatel upozorněni na schválení nebo odepření.

Rozšíření přiřazení skupin

Následující kroky popisují proces žádosti, řešení nebo správy rozšíření nebo obnovení členství ve skupině nebo přiřazení vlastnictví.

Samoobslužné prodloužení přiřazení vypršení platnosti

Členství nebo vlastnictví skupiny přiřazené uživateli můžou prodloužit platnost přiřazení skupin přímo na kartě Oprávnění nebo Aktivní na stránce Přiřazení pro skupinu. Uživatelé nebo skupiny můžou požádat o prodloužení oprávněného a aktivního přiřazení, jejichž platnost vyprší během následujících 14 dnů.

Snímek obrazovky s umístěním pro samoobslužné rozšíření přiřazení s vypršením platnosti

Pokud je koncové datum a čas přiřazení do 14 dnů, je k dispozici příkaz Prodloužit . Pokud chcete požádat o rozšíření přiřazení skupiny, vyberte Rozšířit a otevřete formulář žádosti.

Snímek obrazovky, kde rozšířit podokno přiřazení skupiny s polem Důvod a podrobnostmi

Poznámka:

Doporučujeme uvést podrobnosti o tom, proč je rozšíření nezbytné a jak dlouho má být rozšíření uděleno (pokud máte tyto informace).

Správa istrátory obdrží e-mailové oznámení s žádostí o kontrolu žádosti o rozšíření. Pokud již byla odeslána žádost o rozšíření, na portálu se zobrazí oznámení Azure.

Pokud chcete zobrazit stav žádosti nebo ji zrušit, otevřete stránku Čekající žádosti pro přiřazení skupiny.

Snímek obrazovky se stránkou Čekající žádosti zobrazující odkaz na Zrušit

Správa schválené rozšíření

Když uživatel nebo skupina odešle žádost o rozšíření přiřazení skupiny, obdrží správci e-mailové oznámení, které obsahuje podrobnosti o původním přiřazení a důvod žádosti. Oznámení obsahuje přímý odkaz na žádost správce o schválení nebo zamítnutí.

Kromě použití odkazu z e-mailu můžou správci žádosti schválit nebo zamítnout tak, že přejdou na portál pro správu Privileged Identity Management a vyberou možnost Schválit žádosti v levém podokně.

Snímek obrazovky s žádostmi o schválení žádostí a odkazy na schválení nebo zamítnutí

Když Správa istrator vybere schválit nebo odepřít, zobrazí se podrobnosti žádosti spolu s polem pro poskytnutí obchodního odůvodnění protokolů auditu.

Snímek obrazovky, kde schválit žádost o přiřazení skupiny s důvodem žadatele, typem přiřazení, časem zahájení, časem ukončení a důvodem

Při schvalování žádosti o rozšíření přiřazení skupiny můžou správci prostředků zvolit nové počáteční datum, koncové datum a typ přiřazení. Změna typu přiřazení může být nutná, pokud správce chce poskytnout omezený přístup k dokončení konkrétního úkolu (například jeden den). V tomto příkladu může správce změnit přiřazení z Oprávnění na Aktivní. To znamená, že můžou žadateli poskytnout přístup, aniž by je museli aktivovat.

Správa iniciované rozšíření

Pokud uživatel přiřazený ke skupině o přiřazení skupiny nepožádá o rozšíření, může správce rozšířit přiřazení jménem uživatele. Správa istrativní rozšíření přiřazení skupiny nevyžadují schválení, ale oznámení se po rozšíření přiřazení posílají všem ostatním správcům.

Pokud chcete rozšířit přiřazení skupiny, přejděte do zobrazení přiřazení ve službě Privileged Identity Management. Vyhledejte přiřazení, které vyžaduje rozšíření. Pak ve sloupci akce vyberte Rozšířit .

Snímek obrazovky se stránkou zadání se seznamem oprávněných přiřazení skupin s odkazy na rozšíření

Prodloužení platnosti přiřazení skupin

I když se koncepčně podobá procesu žádosti o rozšíření, proces prodloužení přiřazení skupiny s vypršenou platností se liší. Pomocí následujícího postupu můžou přiřazení a správci v případě potřeby obnovit přístup k přiřazením, jejichž platnost vypršela.

Samoobslužné prodlužování platnosti

Uživatelé, kteří už nemají přístup k prostředkům, mají přístup až 30 dnů od historie přiřazení s vypršenou platností. Uděláte to tak, že v levém podokně přejde do části Moje role a pak vyberou kartu Přiřazení s vypršenou platností .

Seznam přiřazení, která jsou zobrazená jako výchozí, se zobrazí jako opravňující přiřazení. Pomocí rozevírací nabídky můžete přepínat mezi oprávněnými a aktivními přiřazeními.

Pokud chcete požádat o prodloužení pro všechna přiřazení skupin v seznamu, vyberte akci Obnovit . Pak zadejte důvod žádosti. Kromě jakéhokoli dalšího kontextu nebo obchodního odůvodnění, které může správci prostředků pomoct rozhodnout se schválit nebo odepřít, je užitečné poskytnout dobu trvání.

Po odeslání žádosti budou správci prostředků upozorněni na čekající žádost o obnovení přiřazení skupiny.

Správa schválí

Správci prostředků můžou získat přístup k žádosti o prodloužení z odkazu v e-mailovém oznámení nebo přístupem k Privileged Identity Management z Centra pro správu Microsoft Entra a výběrem možnosti Schválit žádosti z levého podokna.

Když správce vybere možnost Schválit nebo Odepřít, zobrazí se spolu s polem, které poskytne obchodní odůvodnění protokolů auditu.

Při schvalování žádosti o obnovení přiřazení skupiny musí správci prostředků zadat nové počáteční datum, koncové datum a typ přiřazení.

Další kroky