Memperpanjang atau memperbarui PIM untuk penetapan grup

  • Artikel

Privileged Identity Management (PIM) di Microsoft Entra ID menyediakan kontrol untuk mengelola akses dan siklus hidup penugasan untuk keanggotaan dan kepemilikan grup. Administrator dapat menetapkan properti tanggal-waktu mulai dan berakhir untuk keanggotaan grup dan kepemilikan. Saat penetapan berakhir, Privileged Identity Management akan mengirimkan email pemberitahuan kepada pengguna atau grup yang terpengaruh. Ini juga mengirimkan email pemberitahuan kepada admin sumber daya untuk memastikan bahwa akses yang sesuai dipertahankan. Penugasan mungkin diperbarui dan tetap terlihat dalam status kedaluwarsa hingga 30 hari, meskipun akses tidak diperpanjang.

Siapa yang dapat memperpanjang dan memperbarui

Hanya pengguna dengan izin untuk mengelola grup yang dapat memperpanjang atau memperbarui keanggotaan grup atau penugasan terikat waktu kepemilikan. Pengguna atau grup yang terpengaruh dapat meminta untuk memperpanjang penetapan yang akan kedaluwarsa dan meminta untuk memperbarui penetapan yang sudah kedaluwarsa.

Grup yang dapat ditetapkan peran dapat dikelola oleh Administrator Global, Administrator Peran Istimewa, atau Pemilik grup. Grup yang tidak dapat ditetapkan peran dapat dikelola oleh Administrator Global, Penulis Direktori, Administrator Grup, Administrator Tata Kelola Identitas, Administrator Pengguna, atau Pemilik grup. Penetapan peran untuk administrator harus dilingkup pada tingkat direktori (bukan tingkat Unit Administratif).

Catatan

Peran lain dengan izin untuk mengelola grup (seperti Administrator Exchange untuk grup M365 yang tidak dapat ditetapkan peran) dan administrator dengan penugasan yang terlingkup di tingkat unit administratif dapat mengelola grup melalui Groups API/UX dan mengambil alih perubahan yang dibuat di Microsoft Entra PIM.

Kapan pemberitahuan dikirim

Privileged Identity Management mengirimkan pemberitahuan email kepada administrator dan pengguna PIM yang terpengaruh untuk penetapan Grup yang kedaluwarsa:

  • Dalam 14 hari sebelum kedaluwarsa
  • Satu hari sebelum kedaluwarsa
  • Saat penetapan berakhir

Admin akan menerima pemberitahuan ketika pengguna atau grup meminta untuk memperpanjang atau memperbarui penetapan yang akan kedaluwarsa atau sudah kedaluwarsa. Ketika admin menyelesaikan permintaan, semua admin dan pengguna yang meminta akan diberi tahu apakah permintaannya disetujui atau ditolak.

Memperpanjang penetapan grup

Langkah-langkah berikut menguraikan proses untuk meminta, menyelesaikan, atau mengelola ekstensi atau perpanjangan keanggotaan grup atau penetapan kepemilikan.

Memperpanjang sendiri penetapan yang akan kedaluwarsa

Pengguna yang ditetapkan keanggotaan grup atau kepemilikan dapat memperpanjang penetapan grup yang kedaluwarsa langsung dari tab Memenuhi Syarat atau Aktif di halaman Penugasan untuk grup. Pengguna atau grup dapat meminta untuk memperpanjang penetapan yang memenuhi syarat dan aktif yang akan kedaluwarsa dalam 14 hari ke depan.

Screenshot of where to self-extend expiring assignments.

Saat tanggal-waktu selesai penetapan dalam 14 hari, perintah Perpanjang akan tersedia. Untuk meminta perpanjangan penetapan grup, pilih Perpanjang untuk membuka formulir permintaan.

Screenshot of where to extend group assignment pane with a Reason box and details.

Catatan

Sebaiknya sertakan detail mengapa perpanjangan diperlukan dan untuk berapa lama perpanjangan harus diberikan (jika Anda memiliki informasi ini).

Administrator menerima pemberitahuan email yang meminta mereka meninjau permintaan ekstensi. Jika permintaan untuk memperpanjang telah dikirimkan, pemberitahuan Azure muncul di portal.

Untuk melihat status atau membatalkan permintaan Anda, buka halaman Permintaan yang menunggu keputusan untuk penetapan grup.

Screenshot of the pending requests page showing the link to Cancel.

Ekstensi yang disetujui admin

Saat pengguna atau grup mengirimkan permintaan untuk memperpanjang penetapan grup, admin akan menerima email pemberitahuan yang berisi detail penetapan asli dan alasan permintaan tersebut. Pemberitahuan tersebut mencakup tautan langsung ke permintaan untuk disetujui atau ditolak oleh admin.

Selain menggunakan tautan berikut dari email, admin dapat menyetujui atau menolak permintaan dengan membuka portal administrasi Privileged Identity Management dan memilih Setujui permintaan di panel sebelah kiri.

Screenshot of the approve requests page listing requests and links to approve or deny.

Saat Administrator memilih Setujui atau Tolak, detail permintaan akan ditampilkan, bersama dengan bidang untuk memberikan pertimbangan bisnis untuk log audit.

Screenshot of where to approve group assignment request with requestor reason, assignment type, start time, end time, and reason.

Saat menyetujui permintaan untuk memperpanjang penetapan peran, admin sumber daya dapat memilih tanggal mulai, tanggal selesai, dan jenis penetapan yang baru. Mengubah jenis penugasan mungkin diperlukan jika admin ingin menyediakan akses terbatas untuk menyelesaikan penugasan tertentu (suatu hari, misalnya). Dalam contoh ini, admin dapat mengubah penetapan dari Memenuhi Syarat menjadi Aktif. Ini berarti mereka dapat memberikan akses ke pemohon tanpa mengharuskan pemohon untuk mengaktifkan.

Perpanjangan yang dimulai oleh admin

Jika pengguna yang ditetapkan ke grup tidak meminta perpanjangan untuk penetapan grup, admin dapat memperpanjang penetapan atas nama pengguna. Perpanjangan administratif untuk penetapan grup tidak memerlukan persetujuan, tetapi pemberitahuan akan dikirim kepada semua admin lain setelah penetapan diperpanjang.

Untuk memperpanjang penetapan grup, telusuri ke tampilan penetapan di Privileged Identity Management. Temukan penetapan yang memerlukan perpanjangan. Lalu pilih Perpanjang di kolom tindakan.

Screenshot of the assignments page listing eligible group assignments with links to extend.

Memperbarui penetapan grup

Meskipun secara konseptual mirip dengan proses untuk meminta perpanjangan, proses untuk memperbarui penetapan grup yang telah kedaluwarsa berbeda. Dengan menggunakan langkah-langkah berikut, penetapan dan admin dapat memperbarui akses ke penetapan yang telah kedaluwarsa jika diperlukan.

Perpanjangan mandiri

Pengguna yang tidak dapat lagi mengakses sumber daya dapat mengakses hingga 30 hari riwayat tugas yang sudah kedaluwarsa. Untuk melakukannya, telusuri ke Peran Saya di panel sebelah kiri, lalu pilih tab Penetapan yang kedaluwarsa.

Daftar penetapan yang ditampilkan secara default ke Penetapan yang memenuhi syarat. Gunakan menu drop-down untuk beralih antara penetapan yang Memenuhi Syarat dan Aktif.

Untuk meminta perpanjangan untuk salah satu penetapan grup dalam daftar, pilih tindakan Perbarui. Kemudian berikan alasan untuk permintaan tersebut. Sangat membantu untuk memberikan durasi selain konteks tambahan atau pertimbangan bisnis yang dapat membantu admin sumber daya memutuskan untuk menyetujui atau menolak.

Setelah permintaan dikirimkan, admin sumber daya akan diberi tahu tentang permintaan yang menunggu keputusan untuk memperbarui penetapan grup.

Admin menyetujui

Administrator sumber daya dapat mengakses permintaan perpanjangan dari tautan di pemberitahuan email atau dengan mengakses Privileged Identity Management dari pusat admin Microsoft Entra dan memilih Setujui permintaan dari panel kiri.

Saat admin memilih Setujui atau Tolak, detail permintaan ditampilkan bersama dengan bidang untuk memberikan pertimbangan bisnis untuk log audit.

Saat menyetujui permintaan untuk memperbarui penetapan peran, admin sumber daya harus memasukkan tanggal mulai, tanggal selesai, dan jenis penetapan yang baru.

Langkah berikutnya