Azure-erőforrásszerepkör-hozzárendelések kiterjesztése vagy megújítása a Privileged Identity Managementben
A Microsoft Entra Privileged Identity Management (PIM) az Azure-erőforrások hozzáférési és hozzárendelési életciklusának kezelésére szolgáló vezérlőket biztosít. A rendszergazdák a kezdési és a befejezési dátum tulajdonságaival rendelhetnek hozzá szerepköröket. Amikor a hozzárendelés vége közeledik, a Privileged Identity Management e-mail-értesítéseket küld az érintett felhasználóknak vagy csoportoknak. E-mail-értesítéseket is küld az erőforrás rendszergazdáinak a megfelelő hozzáférés fenntartása érdekében. A feladatok megújíthatók, és akár 30 napig láthatók maradnak lejárt állapotban, még akkor is, ha a hozzáférés nem kerül meghosszabbításra.
Ki terjeszthet ki és újíthat meg?
A szerepkör-hozzárendeléseket csak az erőforrás rendszergazdái terjeszthetik ki vagy újíthatják meg. Az érintett felhasználó vagy csoport kérheti a lejárt szerepkörök meghosszabbítását, és kérheti a már lejárt szerepkörök megújítását.
Mikor küldenek értesítéseket?
A Privileged Identity Management e-mail-értesítéseket küld a rendszergazdáknak és az érintett felhasználónak vagy szerepkörcsoportoknak, amelyek a lejárat előtt 14 napon belül és egy nappal lejárnak. További e-mailt küld, ha egy hozzárendelés hivatalosan lejár.
A rendszergazdák értesítést kapnak, ha egy felhasználó vagy csoport lejáró vagy lejárt szerepkör-kérelmeket rendelt hozzá a meghosszabbításra vagy megújításra. Ha egy adott rendszergazda feloldja a kérést, a rendszer minden más rendszergazdát értesít a megoldási döntésről (jóváhagyja vagy elutasítja). Ezután a kérelmező felhasználó vagy csoport értesítést kap a döntésről.
Szerepkörök hozzárendelésének kiterjesztése
Az alábbi lépések egy szerepkör-hozzárendelés kiterjesztésének vagy megújításának kérelmezésének, feloldásának vagy felügyeletének folyamatát ismertetik.
Lejáró hozzárendelések önkiterjesztése
A szerepkörhöz rendelt felhasználók közvetlenül a Jogosult vagy Aktív lapról bővíthetik ki a lejáró szerepkör-hozzárendeléseket az erőforrás Saját szerepkörök lapján, valamint az erőforrás felső szintű Saját szerepkörök lapjáról a Privileged Identity Management portálon. A portálon a felhasználók kérhetik a jogosult vagy aktív (hozzárendelt) szerepkörök kiterjesztését, amelyek a következő 14 napban lejárnak.
Ha a hozzárendelés befejezési dátuma 14 napon belül van, a Kiterjesztése hivatkozás aktívvá válik a Microsoft Entra felügyeleti központban. Az alábbi példában feltételezzük, hogy az aktuális dátum március 27.
Jegyzet
Szerepkörhöz rendelt csoport esetén a kiterjesztése hivatkozás soha nem válik elérhetővé, így egy örökölt hozzárendeléssel rendelkező felhasználó nem tudja kiterjeszteni a csoport-hozzárendelést.
A szerepkör-hozzárendelés kiterjesztésének kérelmezéséhez válassza a Kiterjesztés lehetőséget a kéreleműrlap megnyitásához.
Az eredeti feladattal kapcsolatos információk megtekintéséhez bontsa ki a Feladat részletei. Adja meg a kiterjesztési kérelem okát, majd válassza a Kiterjesztéslehetőséget.
Jegyzet
Javasoljuk, hogy adja meg annak részleteit, hogy miért van szükség a bővítményre, és mennyi ideig kell megadni a bővítményt (ha rendelkezik ezekkel az információkkal).
Az erőforrás-rendszergazdák néhány pillanat alatt e-mailben értesítést kapnak, amelyben kérik, hogy tekintse át a bővítménykérelmet. Ha már elküldött egy meghosszabbítási kérelmet, megjelenik egy Azure-értesítés a portálon.
Lépjen a Függőben lévő kérelmek lapra a kérés állapotának megtekintéséhez vagy visszavonásához.
Rendszergazda által jóváhagyott bővítmény
Amikor egy felhasználó vagy csoport egy szerepkör-hozzárendelés meghosszabbítására vonatkozó kérelmet küld, az erőforrás-rendszergazdák e-mailben értesítést kapnak, amely tartalmazza az eredeti hozzárendelés részleteit és a kérés okát. Az értesítés közvetlen hivatkozást tartalmaz a rendszergazda jóváhagyására vagy elutasítására irányuló kérésre.
Amellett, hogy az e-mail-hivatkozás követését használja, a rendszergazdák jóváhagyhatják vagy elutasíthatják a kéréseket a Privileged Identity Management felügyeleti portálon, és kiválaszthatják a Kérelmek jóváhagyása lehetőséget a bal oldali panelen.
Amikor egy rendszergazda kiválasztja Jóváhagyja vagy Megtagadja, megjelenik a kérés részletei, valamint egy mező, amely üzleti indoklást ad az auditnaplókhoz.
A szerepkör-hozzárendelés meghosszabbítására vonatkozó kérés jóváhagyásakor az erőforrás-rendszergazdák új kezdési dátumot, befejezési dátumot és hozzárendeléstípust választhatnak. A hozzárendelés típusának módosítására akkor lehet szükség, ha a rendszergazda korlátozott hozzáférést szeretne biztosítani egy adott tevékenység elvégzéséhez (például egy nap). Ebben a példában a rendszergazda módosíthatja a hozzárendelést Jogosult értékről Aktívértékre. Ez azt jelenti, hogy anélkül biztosíthatnak hozzáférést a kérelmezőhöz, hogy aktiválniuk kellene őket.
Rendszergazda által kezdeményezett bővítmény
Ha egy szerepkörhöz hozzárendelt felhasználó nem kér bővítményt a szerepkör-hozzárendeléshez, a rendszergazda kiterjesztheti a hozzárendelést a felhasználó nevében. A szerepkör-hozzárendelés rendszergazdai kiterjesztései nem igényelnek jóváhagyást, de a szerepkör meghosszabbítása után a rendszer értesítést küld az összes többi rendszergazdának.
A szerepkör-hozzárendelés kiterjesztéséhez keresse meg az erőforrás-szerepkört vagy -hozzárendelés nézetet a Privileged Identity Managementben. Keresse meg a bővítményt igénylő hozzárendelést. Ezután válassza a Kiterjesztés lehetőséget a műveletoszlopban.
Szerepkör-hozzárendelések megújítása
Bár fogalmilag hasonló a bővítmény kérésének folyamatához, a lejárt szerepkör-hozzárendelés megújításának folyamata eltérő. A következő lépések végrehajtásával a hozzárendelések és a rendszergazdák szükség esetén megújíthatják a lejárt szerepkörökhöz való hozzáférést.
Önmegújítás
Azok a felhasználók, akik már nem férnek hozzá az erőforrásokhoz, legfeljebb 30 nap lejárt hozzárendelési előzményhez férhetnek hozzá. Ehhez a bal oldali panelen a Szerepköreim lehetőséget keresse meg, majd válassza az Azure-erőforrásszerepkörök szakaszban a Lejárt szerepkörök lapot.
A megjelenített szerepkörök listája alapértelmezés szerint a Jogosult szerepkörök. A legördülő menüben válthat a Jogosult és az Aktív hozzárendelt szerepkörök között.
A listában szereplő szerepkör-hozzárendelések bármelyikének megújításához válassza a Megújítás műveletet. Ezután adja meg a kérés okát. Hasznos, ha bármilyen más környezeten vagy üzleti indokláson kívül egy időtartamot is megad, amely segíthet az erőforrás-rendszergazda jóváhagyásának vagy elutasításának eldöntésében.
A kérés elküldése után az erőforrás-rendszergazdák értesítést kapnak a szerepkör-hozzárendelés megújítására vonatkozó függőben lévő kérésről.
A rendszergazda jóváhagyja
Az erőforrás-rendszergazdák az e-mail-értesítésben található hivatkozásról vagy az Azure Portal Privileged Identity Management szolgáltatásának hozzáférésével férhetnek hozzá a megújítási kérelemhez, és a bal oldali panelen Kérelmek jóváhagyása lehetőséget választva.
Amikor egy rendszergazda kiválasztja Jóváhagyja vagy Elutasítja, a kérelem részletei megjelennek, amely egy mezőt is tartalmaz üzleti indoklással az auditnaplókhoz.
A szerepkör-hozzárendelés megújítására vonatkozó kérés jóváhagyásakor az erőforrás-rendszergazdáknak új kezdési dátumot, befejezési dátumot és hozzárendeléstípust kell megadniuk.
Rendszergazdai megújítás
Az erőforrás-rendszergazdák megújíthatják a lejárt szerepkör-hozzárendeléseket az erőforrás bal oldali navigációs menüjének Tagok lapján. Megújíthatják a lejárt szerepkör-hozzárendeléseket az erőforrás-szerepkörök Lejárt szerepkörei fülön.
Az összes lejárt szerepkör-hozzárendelés listájának megtekintéséhez a Tagok képernyőn válassza Lejárt szerepköröklehetőséget.