PIM kiterjesztése vagy megújítása csoportok hozzárendeléseihez

  • Cikk

A Microsoft Entra ID privileged Identity Management (PIM) szolgáltatása vezérlőket biztosít a csoporttagság és a tulajdonjog hozzáférési és hozzárendelési életciklusának kezeléséhez. Rendszergazda istratorok hozzárendelhetnek kezdési és befejezési dátum-idő tulajdonságokat a csoporttagsághoz és a tulajdonjoghoz. Amikor a hozzárendelés vége közeledik, a Privileged Identity Management e-mail-értesítéseket küld az érintett felhasználóknak vagy csoportoknak. E-mail-értesítéseket is küld az erőforrás rendszergazdáinak a megfelelő hozzáférés fenntartása érdekében. A hozzárendelések megújíthatók, és akár 30 napig is láthatók maradnak lejárt állapotban, még akkor is, ha a hozzáférés nem bővül.

Ki hosszabbíthat és újíthat meg?

Csak a csoportok kezeléséhez engedéllyel rendelkező felhasználók hosszabbíthatják meg vagy újíthatják meg a csoporttagságokat vagy a tulajdonosi időhöz kötött hozzárendeléseket. Az érintett felhasználó vagy csoport kérheti a lejáró hozzárendelések meghosszabbítását, és kérheti a már lejárt hozzárendelések megújítását.

A szerepkör-hozzárendelhető csoportokat a globális Rendszergazda istrator, a privileged role Rendszergazda istrator vagy a csoport tulajdonosa kezelheti. A nem szerepkörhöz hozzárendelhető csoportokat a globális Rendszergazda istrator, a címtáríró, a csoportok Rendszergazda istrator, az identitásszabályozási Rendszergazda istrator, a felhasználói Rendszergazda istrator vagy a csoport tulajdonosa kezelheti. A rendszergazdák szerepkör-hozzárendeléseit címtárszinten (nem Rendszergazda istrative Unit szinten) kell hatókörbe helyezni.

Megjegyzés:

A csoportok felügyeletére jogosult egyéb szerepkörök (például a nem szerepkörhöz hozzárendelhető M365-csoportok Exchange Rendszergazda istratorjai) és a felügyeleti egység szintjén hatókörrel rendelkező hozzárendelésekkel rendelkező rendszergazdák a Csoportok API/UX használatával kezelhetik a csoportokat, és felülbírálhatják a Microsoft Entra PIM-ben végrehajtott módosításokat.

Értesítések küldésekor

A Privileged Identity Management e-mail-értesítéseket küld a rendszergazdáknak és a PIM érintett felhasználóinak a lejáró csoportok hozzárendeléseihez:

  • A lejárat előtti 14 napon belül
  • Egy nappal a lejárat előtt
  • Amikor egy hozzárendelés lejár

Rendszergazda istratorok értesítést kapnak, ha egy felhasználó vagy csoport egy lejáró vagy lejárt hozzárendelés meghosszabbítását vagy megújítását kéri. Amikor egy rendszergazda feloldja a kérést, a rendszer minden rendszergazdát és a kérelmező felhasználót értesíti a jóváhagyásról vagy a megtagadásról.

Csoporthozzárendelések kiterjesztése

Az alábbi lépések a csoporttagság vagy tulajdonjog-hozzárendelés meghosszabbításának vagy megújításának kérelmezésének, feloldásának vagy felügyeletének folyamatát ismertetik.

Lejáró hozzárendelések önkiterjesztése

A csoporttagsághoz vagy tulajdonoshoz rendelt felhasználók a lejáró csoporthozzárendeléseket közvetlenül a csoport Hozzárendelések lapJának Jogosult vagy Aktív lapjáról terjeszthetik ki. A felhasználók vagy csoportok kérhetik a jogosult és aktív hozzárendelések meghosszabbítását, amelyek a következő 14 napban lejárnak.

Screenshot of where to self-extend expiring assignments.

Ha a hozzárendelés befejezési dátuma 14 napon belül van, elérhető a Extend parancs. Csoport-hozzárendelés kiterjesztésének igényléséhez válassza a Kiterjesztés lehetőséget a kéreleműrlap megnyitásához.

Screenshot of where to extend group assignment pane with a Reason box and details.

Megjegyzés:

Javasoljuk, hogy adja meg annak részleteit, hogy miért van szükség a bővítményre, és mennyi ideig kell megadni a bővítményt (ha rendelkezik ezekkel az információkkal).

Rendszergazda istratorok e-mailben értesítést kapnak, amely azt kéri, hogy tekintse át a bővítménykérelmet. Ha már elküldött egy meghosszabbítási kérelmet, megjelenik egy Azure-értesítés a portálon.

A kérés állapotának megtekintéséhez vagy visszavonásához nyissa meg a csoport-hozzárendelés Függőben lévő kérések lapját.

Screenshot of the pending requests page showing the link to Cancel.

Rendszergazda jóváhagyott bővítmény

Amikor egy felhasználó vagy csoport kérelmet küld egy csoport-hozzárendelés meghosszabbítására, a rendszergazdák e-mailben kapnak értesítést, amely tartalmazza az eredeti hozzárendelés részleteit és a kérés okát. Az értesítés közvetlen hivatkozást tartalmaz a rendszergazda jóváhagyására vagy elutasítására irányuló kérésre.

Amellett, hogy az e-mail-hivatkozás követését használja, a rendszergazdák jóváhagyhatják vagy elutasíthatják a kéréseket a Privileged Identity Management felügyeleti portálon, és a kérések jóváhagyása lehetőséget választva a bal oldali panelen.

Screenshot of the approve requests page listing requests and links to approve or deny.

Amikor egy Rendszergazda istrator a Jóváhagyás vagy a Megtagadás lehetőséget választja, megjelenik a kérés részletei, valamint egy mező, amely üzleti indoklást ad az auditnaplókhoz.

Screenshot of where to approve group assignment request with requestor reason, assignment type, start time, end time, and reason.

Amikor jóváhagy egy csoport-hozzárendelés meghosszabbítására vonatkozó kérelmet, az erőforrás-rendszergazdák új kezdési dátumot, befejezési dátumot és hozzárendeléstípust választhatnak. A hozzárendelés típusának módosítására akkor lehet szükség, ha a rendszergazda korlátozott hozzáférést szeretne biztosítani egy adott tevékenység elvégzéséhez (például egy nap). Ebben a példában a rendszergazda jogosultról aktívra módosíthatja a hozzárendelést. Ez azt jelenti, hogy anélkül biztosíthatnak hozzáférést a kérelmezőhöz, hogy aktiválniuk kellene őket.

Rendszergazda által kezdeményezett bővítmény

Ha egy csoporthoz rendelt felhasználó nem kér bővítményt a csoport-hozzárendeléshez, a rendszergazda a felhasználó nevében kiterjesztheti a hozzárendelést. Rendszergazda csoport-hozzárendelések nem igényelnek jóváhagyást, de a hozzárendelés meghosszabbítása után a rendszer értesítést küld az összes többi rendszergazdának.

Csoport-hozzárendelés kiterjesztéséhez keresse meg a Privileged Identity Management hozzárendelési nézetét. Keresse meg a bővítményt igénylő hozzárendelést. Ezután válassza a Kiterjesztés lehetőséget a műveletoszlopban.

Screenshot of the assignments page listing eligible group assignments with links to extend.

Csoporthozzárendelések megújítása

Bár elméletileg hasonló a bővítmény kérésének folyamatához, a lejárt csoporthozzárendelés megújításának folyamata eltérő. A következő lépések végrehajtásával a hozzárendelések és a rendszergazdák szükség esetén megújíthatják a lejárt hozzárendelésekhez való hozzáférést.

Önmegújítás

Azok a felhasználók, akik már nem férnek hozzá az erőforrásokhoz, legfeljebb 30 nap lejárt hozzárendelési előzményhez férhetnek hozzá. Ehhez a bal oldali panelen keresse meg a Saját szerepkörök lapot, majd válassza a Lejárt hozzárendelések lapot.

A jogosult hozzárendelések alapértelmezettként megjelenített hozzárendeléseinek listája. A legördülő menüben válthat a Jogosult és az Aktív hozzárendelések között.

Ha a listában szereplő csoport-hozzárendelések bármelyikéhez szeretne megújítást kérni, válassza a Megújítás műveletet. Ezután adja meg a kérés okát. Hasznos, ha bármilyen további környezeten vagy üzleti indokláson kívül egy időtartamot is megad, amely segíthet az erőforrás-rendszergazda jóváhagyásának vagy elutasításának eldöntésében.

A kérés elküldése után az erőforrás-rendszergazdák értesítést kapnak a csoport-hozzárendelés megújítására vonatkozó függőben lévő kérésről.

Rendszergazda jóváhagyja

Az erőforrás-rendszergazdák az e-mail-értesítés hivatkozásáról, vagy a Microsoft Entra Felügyeleti központ Privileged Identity Management szolgáltatásának megnyitásával és a kérelmek jóváhagyásának kiválasztásával érhetik el a megújítási kérelmet a bal oldali panelen.

Amikor a rendszergazda a Jóváhagyás vagy a Megtagadás lehetőséget választja, a kérelem részletei megjelennek egy mezővel együtt, amely üzleti indoklást ad az auditnaplókhoz.

Csoport-hozzárendelés megújítására irányuló kérés jóváhagyásakor az erőforrás-rendszergazdáknak új kezdési dátumot, befejezési dátumot és hozzárendeléstípust kell megadniuk.

További lépések