Azure-erőforrásszerepkör-hozzárendelések kiterjesztése vagy megújítása a Privileged Identity Managementben

A Microsoft Entra Privileged Identity Management (PIM) az Azure-erőforrások hozzáférési és hozzárendelési életciklusának kezelésére szolgáló vezérlőket biztosít. Rendszergazda istratorok a kezdési és befejezési dátum-idő tulajdonságok használatával rendelhetnek hozzá szerepköröket. Amikor a hozzárendelés vége közeledik, a Privileged Identity Management e-mail-értesítéseket küld az érintett felhasználóknak vagy csoportoknak. E-mail-értesítéseket is küld az erőforrás rendszergazdáinak a megfelelő hozzáférés fenntartása érdekében. A hozzárendelések megújíthatók, és akár 30 napig is láthatók maradnak lejárt állapotban, még akkor is, ha a hozzáférés nem hosszabbodik meg.

Ki terjeszthet ki és újíthat meg?

A szerepkör-hozzárendeléseket csak az erőforrás rendszergazdái terjeszthetik ki vagy újíthatják meg. Az érintett felhasználó vagy csoport kérheti a lejárt szerepkörök meghosszabbítását, és kérheti a már lejárt szerepkörök megújítását.

Mikor küldenek értesítéseket?

A Privileged Identity Management e-mail-értesítéseket küld a rendszergazdáknak és az érintett felhasználónak vagy szerepkörcsoportoknak, amelyek a lejárat előtt 14 napon belül és egy nappal lejárnak. További e-mailt küld, ha egy hozzárendelés hivatalosan lejár.

Rendszergazda istratorok értesítést kapnak, ha egy felhasználó vagy csoport lejáró vagy lejárt szerepkör-kérelmeket rendelt hozzá a meghosszabbításra vagy megújításra. Ha egy adott rendszergazda feloldja a kérést, a rendszer minden más rendszergazdát értesít a megoldási döntésről (jóváhagyja vagy elutasítja). Ezután a kérelmező felhasználó vagy csoport értesítést kap a döntésről.

Szerepkör-hozzárendelések kiterjesztése

Az alábbi lépések egy szerepkör-hozzárendelés kiterjesztésének vagy megújításának kérelmezésének, feloldásának vagy felügyeletének folyamatát ismertetik.

Lejáró hozzárendelések önkiterjesztése

A szerepkörhöz rendelt felhasználók kiterjeszthetik a lejáró szerepkör-hozzárendeléseket közvetlenül az erőforrás Saját szerepkörök lapJának Jogosult vagy Aktív lapjáról, valamint a Privileged Identity Management portál Felső szintű Saját szerepkörök lapjáról. A portálon a felhasználók kérhetik a jogosult vagy aktív (hozzárendelt) szerepkörök kiterjesztését, amelyek a következő 14 napban lejárnak.

Azure resources - My roles page listing eligible roles with an Action column

Ha a hozzárendelés befejezési dátuma 14 napon belül van, az Extendre mutató hivatkozás aktívvá válik a Microsoft Entra felügyeleti központban. Az alábbi példában feltételezzük, hogy az aktuális dátum március 27.

Megjegyzés:

Egy szerepkörhöz rendelt csoport esetében a Kiterjesztés hivatkozás soha nem válik elérhetővé, így egy öröklődő hozzárendeléssel rendelkező felhasználó nem tudja kiterjeszteni a csoport-hozzárendelést.

Action column with links to Activate or Extend

A szerepkör-hozzárendelés kiterjesztésének kérelmezéséhez válassza a Kiterjesztés lehetőséget a kéreleműrlap megnyitásához.

Extend role assignment pane with a Reason box

Az eredeti hozzárendeléssel kapcsolatos információk megtekintéséhez bontsa ki a Hozzárendelés részletei lehetőséget. Adja meg a bővítménykérelem okát, majd válassza a Kiterjesztés lehetőséget.

Megjegyzés:

Javasoljuk, hogy adja meg annak részleteit, hogy miért van szükség a bővítményre, és mennyi ideig kell megadni a bővítményt (ha rendelkezik ezekkel az információkkal).

Extend role assignment pane with Assignment details expanded

Az erőforrás-rendszergazdák néhány pillanat alatt e-mailben értesítést kapnak, amelyben kérik, hogy tekintse át a bővítménykérelmet. Ha már elküldött egy meghosszabbítási kérelmet, megjelenik egy Azure-értesítés a portálon.

Notification explaining that there is already an existing pending role assignment extension

Lépjen a Függőben lévő kérelmek lapra a kérés állapotának megtekintéséhez vagy visszavonásához.

Azure resources - Pending requests page listing any pending requested and a link to Cancel

Rendszergazda jóváhagyott bővítmény

Amikor egy felhasználó vagy csoport egy szerepkör-hozzárendelés meghosszabbítására vonatkozó kérelmet küld, az erőforrás-rendszergazdák e-mailben értesítést kapnak, amely tartalmazza az eredeti hozzárendelés részleteit és a kérés okát. Az értesítés közvetlen hivatkozást tartalmaz a rendszergazda jóváhagyására vagy elutasítására irányuló kérésre.

Amellett, hogy az e-mail-hivatkozás követését használja, a rendszergazdák jóváhagyhatják vagy elutasíthatják a kéréseket a Privileged Identity Management felügyeleti portálon, és a kérések jóváhagyása lehetőséget választva a bal oldali panelen.

Azure resources - Approve requests page listing requests and links to approve or deny

Amikor egy Rendszergazda istrator a Jóváhagyás vagy a Megtagadás lehetőséget választja, megjelenik a kérés részletei, valamint egy mező, amely üzleti indoklást ad az auditnaplókhoz.

Approve role assignment request with requestor reason, assignment type, start time, end time, and reason

A szerepkör-hozzárendelés meghosszabbítására vonatkozó kérés jóváhagyásakor az erőforrás-rendszergazdák új kezdési dátumot, befejezési dátumot és hozzárendeléstípust választhatnak. A hozzárendelés típusának módosítására akkor lehet szükség, ha a rendszergazda korlátozott hozzáférést szeretne biztosítani egy adott tevékenység elvégzéséhez (például egy nap). Ebben a példában a rendszergazda jogosultról aktívra módosíthatja a hozzárendelést. Ez azt jelenti, hogy anélkül biztosíthatnak hozzáférést a kérelmezőhöz, hogy aktiválniuk kellene őket.

Rendszergazda által kezdeményezett bővítmény

Ha egy szerepkörhöz hozzárendelt felhasználó nem kér bővítményt a szerepkör-hozzárendeléshez, a rendszergazda kiterjesztheti a hozzárendelést a felhasználó nevében. Rendszergazda szerepkör-hozzárendelések nem igényelnek jóváhagyást, de a szerepkör kiterjesztése után a rendszer értesítéseket küld az összes többi rendszergazdának.

A szerepkör-hozzárendelés kiterjesztéséhez keresse meg az erőforrás-szerepkört vagy -hozzárendelés nézetet a Privileged Identity Managementben. Keresse meg a bővítményt igénylő hozzárendelést. Ezután válassza a Kiterjesztés lehetőséget a műveletoszlopban.

Azure resources - assignments page listing eligible roles with links to extend

Szerepkör-hozzárendelések megújítása

Bár fogalmilag hasonló a bővítmény kérésének folyamatához, a lejárt szerepkör-hozzárendelés megújításának folyamata eltérő. A következő lépések végrehajtásával a hozzárendelések és a rendszergazdák szükség esetén megújíthatják a lejárt szerepkörökhöz való hozzáférést.

Önmegújítás

Azok a felhasználók, akik már nem férnek hozzá az erőforrásokhoz, legfeljebb 30 nap lejárt hozzárendelési előzményhez férhetnek hozzá. Ehhez a bal oldali panelen keresse meg a Saját szerepkörök lapot, majd válassza a Lejárt szerepkörök lapot az Azure-erőforrásszerepkörök szakaszban.

My roles page - Expired roles tab

A jogosult szerepkörök alapértelmezettként megjelenített listája. A legördülő menüben válthat a Jogosult és az Aktív hozzárendelt szerepkörök között.

Ha a listában szereplő szerepkör-hozzárendelések bármelyikéhez szeretne megújítást kérni, válassza a Megújítás műveletet. Ezután adja meg a kérés okát. Hasznos, ha bármilyen további környezeten vagy üzleti indokláson kívül egy időtartamot is megad, amely segíthet az erőforrás-rendszergazda jóváhagyásának vagy elutasításának eldöntésében.

Renew role assignment pane showing Reason box

A kérés elküldése után az erőforrás-rendszergazdák értesítést kapnak a szerepkör-hozzárendelés megújítására vonatkozó függőben lévő kérésről.

Rendszergazda jóváhagyja

Az erőforrás-rendszergazdák hozzáférhetnek a megújítási kéréshez az e-mail-értesítés hivatkozásáról, vagy az Azure Portal Privileged Identity Management szolgáltatásához való hozzáféréssel, és a bal oldali panelen a Kérelmek jóváhagyása lehetőséget választva.

Azure resources - Approve requests page listing requests and links to approve or deny

Amikor a rendszergazda a Jóváhagyás vagy a Megtagadás lehetőséget választja, a kérelem részletei megjelennek egy mezővel együtt, amely üzleti indoklást ad az auditnaplókhoz.

Approve role assignment request with requestor reason, assignment type, start time, end time, and reason

A szerepkör-hozzárendelés megújítására vonatkozó kérés jóváhagyásakor az erőforrás-rendszergazdáknak új kezdési dátumot, befejezési dátumot és hozzárendeléstípust kell megadniuk.

Rendszergazda megújítása

Az erőforrás-rendszergazdák megújíthatják a lejárt szerepkör-hozzárendeléseket az erőforrás bal oldali navigációs menüjének Tagok lapján. A lejárt szerepkör-hozzárendeléseket az erőforrás-szerepkör Lejárt szerepkörek lapján is megújíthatják.

Az összes lejárt szerepkör-hozzárendelés listájának megtekintéséhez a Tagok képernyőn válassza a Lejárt szerepkörök lehetőséget.

Azure resources - Members page listing expired roles with links to renew

További lépések