PIM kiterjesztése vagy megújítása csoportok hozzárendeléseihez
A Microsoft Entra ID privileged Identity Management (PIM) szolgáltatása vezérlőket biztosít a csoporttagság és a tulajdonjog hozzáférési és hozzárendelési életciklusának kezeléséhez. A rendszergazdák a csoporttagság és a tulajdonjog kezdő és záró dátum-idő tulajdonságait rendelhetik hozzá. Amikor a hozzárendelés vége közeledik, a Privileged Identity Management e-mail-értesítéseket küld az érintett felhasználóknak vagy csoportoknak. E-mail-értesítéseket is küld az erőforrás rendszergazdáinak a megfelelő hozzáférés fenntartása érdekében. A hozzárendelések megújíthatók, és akár 30 napig is láthatók maradnak lejárt állapotban, még akkor is, ha a hozzáférés nem bővül.
Ki hosszabbíthat és újíthat meg?
Csak a csoportok kezeléséhez engedéllyel rendelkező felhasználók hosszabbíthatják meg vagy újíthatják meg a csoporttagságokat vagy a tulajdonosi időhöz kötött hozzárendeléseket. Az érintett felhasználó vagy csoport kérheti a lejáró hozzárendelések meghosszabbítását, és kérheti a már lejárt hozzárendelések megújítását.
A szerepkör-hozzárendeléssel rendelkező csoportokat legalább a kiemelt szerepkör-rendszergazda vagy a csoport tulajdonosa felügyelheti. A nem szerepkörhöz hozzárendelhető csoportokat legalább a címtáríró, a csoportadminisztrátor, az identitásszabályozási rendszergazda, a felhasználói rendszergazda vagy a csoport tulajdonosa kezelheti. A rendszergazdák szerepkör-hozzárendeléseit címtárszinten (nem felügyeleti egység szintjén) kell hatókörbe helyezni.
Feljegyzés
A csoportok felügyeletére jogosult egyéb szerepkörök (például a nem szerepkörhöz hozzárendelhető M365-csoportok Exchange-rendszergazdái) és a felügyeleti egység szintjén hatókörrel rendelkező hozzárendelésekkel rendelkező rendszergazdák a Csoportok API/UX használatával kezelhetik a csoportokat, és felülbírálhatják a Microsoft Entra PIM-ben végrehajtott módosításokat.
Értesítések küldésekor
A Privileged Identity Management e-mail-értesítéseket küld a rendszergazdáknak és a PIM érintett felhasználóinak a lejáró csoportok hozzárendeléseihez:
- A lejárat előtti 14 napon belül
- Egy nappal a lejárat előtt
- Amikor egy hozzárendelés lejár
A rendszergazdák értesítést kapnak, ha egy felhasználó vagy csoport egy lejáró vagy lejárt hozzárendelés meghosszabbítását vagy megújítását kéri. Amikor egy rendszergazda feloldja a kérést, a rendszer minden rendszergazdát és a kérelmező felhasználót értesíti a jóváhagyásról vagy a megtagadásról.
Csoporthozzárendelések kiterjesztése
Az alábbi lépések a csoporttagság vagy tulajdonjog-hozzárendelés meghosszabbításának vagy megújításának kérelmezésének, feloldásának vagy felügyeletének folyamatát ismertetik.
Lejáró hozzárendelések önkiterjesztése
A csoporttagsághoz vagy tulajdonoshoz rendelt felhasználók a lejáró csoporthozzárendeléseket közvetlenül a csoport Hozzárendelések lapJának Jogosult vagy Aktív lapjáról terjeszthetik ki. A felhasználók vagy csoportok kérhetik a jogosult és aktív hozzárendelések meghosszabbítását, amelyek a következő 14 napban lejárnak.
Ha a hozzárendelés befejezési dátuma 14 napon belül van, elérhető a Extend parancs. Csoport-hozzárendelés kiterjesztésének igényléséhez válassza a Kiterjesztés lehetőséget a kéreleműrlap megnyitásához.
Feljegyzés
Javasoljuk, hogy adja meg annak részleteit, hogy miért van szükség a bővítményre, és mennyi ideig kell megadni a bővítményt (ha rendelkezik ezekkel az információkkal).
A rendszergazdák e-mailben kapnak értesítést arról, hogy felülvizsgálják a bővítménykérelmet. Ha már elküldött egy meghosszabbítási kérelmet, megjelenik egy Azure-értesítés a portálon.
A kérés állapotának megtekintéséhez vagy visszavonásához nyissa meg a csoport-hozzárendelés Függőben lévő kérések lapját.
Rendszergazda által jóváhagyott bővítmény
Amikor egy felhasználó vagy csoport kérelmet küld egy csoport-hozzárendelés meghosszabbítására, a rendszergazdák e-mailben kapnak értesítést, amely tartalmazza az eredeti hozzárendelés részleteit és a kérés okát. Az értesítés közvetlen hivatkozást tartalmaz a rendszergazda jóváhagyására vagy elutasítására irányuló kérésre.
Amellett, hogy az e-mail-hivatkozás követését használja, a rendszergazdák jóváhagyhatják vagy elutasíthatják a kéréseket a Privileged Identity Management felügyeleti portálon, és a kérések jóváhagyása lehetőséget választva a bal oldali panelen.
Amikor egy rendszergazda a Jóváhagyás vagy a Megtagadás lehetőséget választja, megjelenik a kérés részletei, valamint egy mező, amely üzleti indoklást ad az auditnaplókhoz.
Amikor jóváhagy egy csoport-hozzárendelés meghosszabbítására vonatkozó kérelmet, az erőforrás-rendszergazdák új kezdési dátumot, befejezési dátumot és hozzárendeléstípust választhatnak. A hozzárendelés típusának módosítására akkor lehet szükség, ha a rendszergazda korlátozott hozzáférést szeretne biztosítani egy adott tevékenység elvégzéséhez (például egy nap). Ebben a példában a rendszergazda jogosultról aktívra módosíthatja a hozzárendelést. Ez azt jelenti, hogy anélkül biztosíthatnak hozzáférést a kérelmezőhöz, hogy aktiválniuk kellene őket.
Rendszergazda által kezdeményezett bővítmény
Ha egy csoporthoz rendelt felhasználó nem kér bővítményt a csoport-hozzárendeléshez, a rendszergazda a felhasználó nevében kiterjesztheti a hozzárendelést. A csoport-hozzárendelés rendszergazdai kiterjesztései nem igényelnek jóváhagyást, de a hozzárendelés meghosszabbítása után a rendszer értesítést küld az összes többi rendszergazdának.
Csoport-hozzárendelés kiterjesztéséhez keresse meg a Privileged Identity Management hozzárendelési nézetét. Keresse meg a bővítményt igénylő hozzárendelést. Ezután válassza a Kiterjesztés lehetőséget a műveletoszlopban.
Csoporthozzárendelések megújítása
Bár elméletileg hasonló a bővítmény kérésének folyamatához, a lejárt csoporthozzárendelés megújításának folyamata eltérő. A következő lépések végrehajtásával a hozzárendelések és a rendszergazdák szükség esetén megújíthatják a lejárt hozzárendelésekhez való hozzáférést.
Önmegújítás
Azok a felhasználók, akik már nem férnek hozzá az erőforrásokhoz, legfeljebb 30 nap lejárt hozzárendelési előzményhez férhetnek hozzá. Ehhez a bal oldali panelen keresse meg a Saját szerepkörök lapot, majd válassza a Lejárt hozzárendelések lapot.
A jogosult hozzárendelések alapértelmezettként megjelenített hozzárendeléseinek listája. A legördülő menüben válthat a Jogosult és az Aktív hozzárendelések között.
Ha a listában szereplő csoport-hozzárendelések bármelyikéhez szeretne megújítást kérni, válassza a Megújítás műveletet. Ezután adja meg a kérés okát. Hasznos, ha bármilyen további környezeten vagy üzleti indokláson kívül egy időtartamot is megad, amely segíthet az erőforrás-rendszergazda jóváhagyásának vagy elutasításának eldöntésében.
A kérés elküldése után az erőforrás-rendszergazdák értesítést kapnak a csoport-hozzárendelés megújítására vonatkozó függőben lévő kérésről.
A rendszergazda jóváhagyja
Az erőforrás-rendszergazdák az e-mail-értesítés hivatkozásáról, vagy a Microsoft Entra Felügyeleti központ Privileged Identity Management szolgáltatásának megnyitásával és a kérelmek jóváhagyásának kiválasztásával érhetik el a megújítási kérelmet a bal oldali panelen.
Amikor a rendszergazda a Jóváhagyás vagy a Megtagadás lehetőséget választja, a kérelem részletei megjelennek egy mezővel együtt, amely üzleti indoklást ad az auditnaplókhoz.
Csoport-hozzárendelés megújítására irányuló kérés jóváhagyásakor az erőforrás-rendszergazdáknak új kezdési dátumot, befejezési dátumot és hozzárendeléstípust kell megadniuk.