A Microsoft Entra szerepkör-hozzárendeléseinek kiterjesztése vagy megújítása a Privileged Identity Managementben

A Microsoft Entra Privileged Identity Management (PIM) vezérlőket biztosít a Microsoft Entra ID-szerepkörök hozzáférési és hozzárendelési életciklusának kezeléséhez. Rendszergazda istratorok a kezdési és befejezési dátum-idő tulajdonságok használatával rendelhetnek hozzá szerepköröket. Amikor a hozzárendelés vége közeledik, a Privileged Identity Management e-mail-értesítéseket küld az érintett felhasználóknak vagy csoportoknak. E-mail-értesítéseket is küld a Microsoft Entra rendszergazdáinak a megfelelő hozzáférés fenntartása érdekében. A hozzárendelések megújíthatók, és akár 30 napig is láthatók maradnak lejárt állapotban, még akkor is, ha a hozzáférés nem hosszabbodik meg.

Ki terjeszthet ki és újíthat meg?

Csak a globális Rendszergazda istratorok vagy a kiemelt szerepkörök rendszergazdái terjeszthetik ki vagy újíthatják meg a Microsoft Entra szerepkör-hozzárendeléseket. Az érintett felhasználó vagy csoport kérheti a hamarosan lejáró szerepkörök kiterjesztését, és kérheti a már lejárt szerepkörök megújítását.

Mikor küldenek értesítéseket?

A Privileged Identity Management e-mail-értesítéseket küld a rendszergazdáknak és az érintett felhasználónak vagy szerepkörcsoportoknak, amelyek a lejárat előtt 14 napon belül és egy nappal lejárnak. Egy másik e-mailt küld, ha egy hozzárendelés hivatalosan lejár.

Rendszergazda istratorok értesítést kapnak, ha egy felhasználó vagy csoport lejáró vagy lejárt szerepkör-kérelmeket rendelt hozzá a meghosszabbításra vagy megújításra. Ha egy rendszergazda jóváhagyva vagy elutasítva old meg egy kérelmet, a rendszer minden más rendszergazdát értesíti a döntésről. Ezután a kérelmező felhasználó vagy csoport értesítést kap a döntésről.

Szerepkör-hozzárendelések kiterjesztése

Az alábbi lépések egy szerepkör-hozzárendelés kiterjesztésének vagy megújításának kérelmezésének, feloldásának vagy felügyeletének folyamatát ismertetik.

Lejáró hozzárendelések önkiterjesztése

A szerepkörhöz rendelt felhasználók kiterjeszthetik a lejáró szerepkör-hozzárendeléseket közvetlenül a Saját szerepkörök lap Jogosult vagy Aktív lapjáról, akár a Microsoft Entra szerepkörök alatt, akár a Privileged Identity Management portál Felső szintű Saját szerepkörök lapján. A portálon a felhasználók kérhetik a jogosult vagy aktív (hozzárendelt) szerepkörök kiterjesztését, amelyek a következő 14 napban lejárnak.

Microsoft Entra roles - My roles page listing eligible roles with an Action column

Ha a hozzárendelés záró dátuma és ideje 14 napon belül van, a Kiterjesztendő gomb aktív hivatkozássá válik a felhasználói felületen. Az alábbi példában feltételezzük, hogy az aktuális dátum március 27.

Megjegyzés:

Egy szerepkörhöz rendelt csoport esetében a Kiterjesztés hivatkozás soha nem válik elérhetővé, így egy öröklődő hozzárendeléssel rendelkező felhasználó nem tudja kiterjeszteni a csoport-hozzárendelést.

Action column with links to Activate or Extend

A szerepkör-hozzárendelés kiterjesztésének kérelmezéséhez válassza a Kiterjesztés lehetőséget a kéreleműrlap megnyitásához.

Extend role assignment pane with a Reason box

Adja meg a bővítménykérelem okát, majd válassza a Kiterjesztés lehetőséget.

Megjegyzés:

Javasoljuk, hogy adja meg annak részleteit, hogy miért van szükség a bővítményre, és mennyi ideig kell megadni a bővítményt (ha rendelkezik ezekkel az információkkal).

Rendszergazda istratorok e-mailben értesítést kapnak a bővítménykérelem áttekintéséről. Ha már elküldött egy meghosszabbítási kérelmet, megjelenik egy Azure-értesítés a portálon.

Notification explaining that there is already an existing pending role assignment extension

Lépjen a Függőben lévő kérelmek lapra a kérés állapotának megtekintéséhez vagy visszavonásához.

Microsoft Entra roles - Pending requests page listing any pending requested and a link to Cancel

Rendszergazda jóváhagyott bővítmény

Amikor egy felhasználó vagy csoport egy szerepkör-hozzárendelés kiterjesztésére vonatkozó kérelmet küld, a rendszergazdák e-mailben értesítést kapnak, amely tartalmazza az eredeti hozzárendelés részleteit és a kérés okát. Az értesítés közvetlen hivatkozást tartalmaz a rendszergazda jóváhagyására vagy elutasítására irányuló kérésre.

Amellett, hogy az e-mail-hivatkozás követését használja, a rendszergazdák jóváhagyhatják vagy elutasíthatják a kéréseket a Privileged Identity Management felügyeleti portálon, és a kérések jóváhagyása lehetőséget választva a bal oldali panelen.

Microsoft Entra roles - Approve requests page listing requests and links to approve or deny

Amikor egy Rendszergazda istrator a Jóváhagyás vagy a Megtagadás lehetőséget választja, megjelenik a kérés részletei, valamint egy mező, amely üzleti indoklást ad az auditnaplókhoz.

Approve role assignment request with requestor reason, assignment type, start time, end time, and reason

A szerepkör-hozzárendelés meghosszabbítására vonatkozó kérés jóváhagyásakor a rendszergazdák új kezdési dátumot, befejezési dátumot és hozzárendeléstípust választhatnak. A hozzárendelés típusának módosítására akkor lehet szükség, ha a rendszergazda korlátozott hozzáférést szeretne biztosítani egy adott tevékenység elvégzéséhez (például egy nap). Ebben a példában a rendszergazda jogosultról aktívra módosíthatja a hozzárendelést. Ez azt jelenti, hogy anélkül biztosíthatnak hozzáférést a kérelmezőhöz, hogy aktiválniuk kellene őket.

Rendszergazda által kezdeményezett bővítmény

Ha egy szerepkörhöz hozzárendelt felhasználó nem kér bővítményt a szerepkör-hozzárendeléshez, a rendszergazda kiterjesztheti a hozzárendelést a felhasználó nevében. Rendszergazda szerepkör-hozzárendelések nem igényelnek jóváhagyást, de a szerepkör kiterjesztése után a rendszer értesítéseket küld az összes többi rendszergazdának.

A szerepkör-hozzárendelés kiterjesztéséhez keresse meg a Privileged Identity Management szerepkör- vagy hozzárendelésnézetét. Keresse meg a bővítményt igénylő hozzárendelést. Ezután válassza a Kiterjesztés lehetőséget a műveletoszlopban.

Microsoft Entra roles - Assignments page listing eligible roles with links to extend

Szerepkör-hozzárendelések kiterjesztése a Microsoft Graph API használatával

A következő kérésben a rendszergazda kiterjeszt egy aktív hozzárendelést a Microsoft Graph API használatával.

HTTP-kérelem

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
 
{
    "action": "adminExtend",
    "justification": "TEST",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP-válasz

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T16:18:36.3647674Z",
    "completedDateTime": "2022-05-13T16:18:40.0835993Z",
    "approvalId": null,
    "customData": null,
    "action": "adminExtend",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "justification": "TEST",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T16:18:40.0835993Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Szerepkör-hozzárendelések megújítása

Bár fogalmilag hasonló a bővítmény kérésének folyamatához, a lejárt szerepkör-hozzárendelés megújításának folyamata eltérő. A következő lépések végrehajtásával a hozzárendelések és a rendszergazdák szükség esetén megújíthatják a lejárt szerepkörökhöz való hozzáférést.

Önmegújítás

Azok a felhasználók, akik már nem férnek hozzá az erőforrásokhoz, legfeljebb 30 nap lejárt hozzárendelési előzményhez férhetnek hozzá. Ehhez a bal oldali panelen keresse meg a Saját szerepkörök lapot, majd válassza a Lejárt szerepkörök lapot a Microsoft Entra szerepkörök szakaszában.

My roles page - Expired roles tab

A jogosult szerepkörök alapértelmezettként megjelenített listája. Válassza a Jogosult vagy aktív hozzárendelt szerepköröket.

Ha a listában szereplő szerepkör-hozzárendelések bármelyikéhez szeretne megújítást kérni, válassza a Megújítás műveletet. Ezután adja meg a kérés okát. Hasznos, ha bármilyen további kontextuson vagy üzleti indokláson kívül egy időtartamot is megad, amely segíthet a rendszergazdának eldönteni, hogy jóváhagyja vagy elutasítja-e.

Renew role assignment pane showing Reason box

A kérés elküldése után a rendszergazdák értesítést kapnak a szerepkör-hozzárendelés megújítására vonatkozó függőben lévő kérésről.

Rendszergazda jóváhagyja

A Microsoft Entra rendszergazdái az e-mail-értesítés hivatkozásából, vagy a Microsoft Entra Felügyeleti központ Privileged Identity Management szolgáltatásának megnyitásával és a KÉRÉSek jóváhagyása a PIM-ben való kiválasztásával férhetnek hozzá a megújítási kérelemhez.

Microsoft Entra roles - Approve requests page listing requests and links to approve or deny

Amikor a rendszergazda a Jóváhagyás vagy a Megtagadás lehetőséget választja, a kérelem részletei megjelennek egy mezővel együtt, amely üzleti indoklást ad az auditnaplókhoz.

Approve role assignment request with requestor reason, assignment type, start time, end time, and reason

A szerepkör-hozzárendelés megújítására vonatkozó kérés jóváhagyásakor a rendszergazdáknak új kezdési dátumot, befejezési dátumot és hozzárendeléstípust kell megadniuk.

Rendszergazda megújítása

A lejárt szerepkör-hozzárendeléseket a Microsoft Entra szerepkör Lejárt szerepkörek lapján is megújíthatják. Az összes lejárt szerepkör-hozzárendelés listájának megtekintéséhez a Hozzárendelések képernyőn válassza a Lejárt szerepkörök lehetőséget.

Microsoft Entra roles - Assignments page listing expired roles with links to renew

További lépések