Estendere o rinnovare le assegnazioni di ruolo delle risorse di Azure in Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM), fornisce controlli per gestire il ciclo di vita di accesso e assegnazione per le risorse di Azure. Amministrazione istrator possono assegnare ruoli usando le proprietà di data e ora di inizio e di fine. Quando l'assegnazione termina, Privileged Identity Management invia notifiche tramite posta elettronica agli utenti o ai gruppi interessati. Inoltre, invia notifiche tramite posta elettronica agli amministratori della risorsa per garantire che venga mantenuto l'accesso appropriato. Anche qualora l'accesso non venga esteso, le assegnazioni possono essere rinnovate e rimanere visibili nello stato scaduti fino a 30 giorni.
Chi può estendere e rinnovare?
Solo gli amministratori della risorsa possono estendere o rinnovare le assegnazioni di ruolo. L'utente o il gruppo interessato può richiedere di estendere i ruoli che stanno per scadere e richiedere di rinnovare i ruoli già scaduti.
Quando vengono inviate le notifiche?
Privileged Identity Management invia notifiche tramite posta elettronica agli amministratori e ai gruppi di ruoli interessati che scadono entro 14 giorni e un giorno prima della scadenza. Alla scadenza ufficiale di un'assegnazione, viene inviato un ulteriore messaggio di posta elettronica.
Amministrazione istrators ricevono notifiche quando un utente o un gruppo ha assegnato una richiesta di ruolo scaduta o scaduta per estendere o rinnovare. Quando un amministratore specifico risolve la richiesta, tutti gli altri amministratori ricevono la notifica con la decisione di risoluzione (approvazione o rifiuto). L'utente o il gruppo richiedente riceve quindi una notifica della decisione.
Estendere le assegnazioni di ruoli
I passaggi seguenti descrivono la procedura per la richiesta, la risoluzione o l'amministrazione di un'estensione o del rinnovo di un'assegnazione di ruolo.
Assegnazioni in scadenza self-extend
Gli utenti assegnati a un ruolo possono estendere le assegnazioni di ruolo in scadenza direttamente dalla scheda Idoneo o Attivo nella pagina Ruoli personali di una risorsa e dalla pagina Ruoli personali di primo livello del portale di Privileged Identity Management. Nel portale gli utenti possono richiedere di estendere i ruoli idonei o attivi (assegnati) che scadono nei prossimi 14 giorni.
Quando la data di fine dell'assegnazione è entro 14 giorni, il collegamento a Extend diventa attivo nell'interfaccia di amministrazione di Microsoft Entra. Nell'esempio seguente, si suppone che la data corrente sia il 27 marzo.
Nota
Per un gruppo assegnato a un ruolo, il collegamento Estendi non diventa mai disponibile in modo che un utente con un'assegnazione ereditata non possa estendere l'assegnazione del gruppo.
Per richiedere un'estensione di questa assegnazione di ruolo, selezionare Estendi per aprire il modulo di richiesta.
Espandere Dettagli dell'assegnazione per visualizzare le informazioni sull'assegnazione originale. Immettere un motivo per la richiesta di estensione e fare clic su Estendi.
Nota
È consigliabile includere i dettagli del motivo per cui è necessaria l'estensione e il tempo di estensione da concedere (se noto).
In pochi istanti, gli amministratori delle risorse riceveranno una notifica tramite posta elettronica con la richiesta di revisione della richiesta di estensione. Se è già stata inviata una richiesta di estensione, viene visualizzata una notifica di Azure nel portale.
Passare alla pagina Richieste in sospeso per visualizzare lo stato della richiesta o per annullarlo.
Amministrazione'estensione approvata
Quando un utente o un gruppo invia una richiesta per estendere un'assegnazione di ruolo, gli amministratori delle risorse ricevono una notifica tramite posta elettronica contenente i dettagli dell'assegnazione originale e il motivo della richiesta. La notifica include un collegamento diretto alla richiesta che l'amministratore dovrà approvare o rifiutare.
Oltre a usare il collegamento seguente dal messaggio di posta elettronica, gli amministratori possono approvare o negare le richieste accedendo al portale di amministrazione di Privileged Identity Management e selezionando Approva richieste nel riquadro sinistro.
Quando un Amministrazione istrator seleziona Approva o Nega, vengono visualizzati i dettagli della richiesta, insieme a un campo per fornire una giustificazione aziendale per i log di controllo.
Quando approvano una richiesta di estensione di un'assegnazione di ruolo, gli amministratori delle risorse possono scegliere una nuova data di inizio e di fine e un tipo di assegnazione. La modifica del tipo di assegnazione potrebbe essere necessaria se l'amministratore vuole fornire accesso limitato per completare un'attività specifica (un giorno, ad esempio). In questo esempio, l'amministratore può modificare l'assegnazione da Idonea ad Attiva. Ciò significa che possono fornire l'accesso al richiedente senza necessità di attivazione.
Amministrazione'estensione avviata
Se un utente assegnato a un ruolo non richiede un'estensione per l'assegnazione di ruolo, un amministratore può estendere un'assegnazione per conto dell'utente. Amministrazione estensionistrative dell'assegnazione di ruolo non richiedono l'approvazione, ma le notifiche vengono inviate a tutti gli altri amministratori dopo l'estensione del ruolo.
Per estendere un'assegnazione di ruolo, passare alla visualizzazione del ruolo o dell'assegnazione delle risorse in Privileged Identity Management. Trovare l'assegnazione che richiede un'estensione. Quindi selezionare Estendi nella colonna relativa all'azione.
Rinnovare le assegnazioni di ruolo
Anche se concettualmente simile alla richiesta di estensione, il processo di rinnovo di un'assegnazione di ruolo scaduto è diverso da quello appena citato. Seguendo questa procedura, le assegnazioni e gli amministratori possono rinnovare l'accesso ai ruoli scaduti quando necessario.
Rinnovo automatico
Gli utenti che non possono più accedere alle risorse possono accedere fino a 30 giorni di cronologia delle assegnazioni scadute. A tale scopo, passare a Ruoli personali nel riquadro sinistro e quindi selezionare la scheda Ruoli scaduti nella sezione dei ruoli delle risorse di Azure.
L'elenco dei ruoli visualizzati include le impostazioni predefinite per i Ruoli idonei. Usare il menu a discesa per alternare i ruoli assegnati Idonea e Attiva.
Per richiedere il rinnovo per qualsiasi assegnazione di ruolo nell'elenco, selezionare l'azione Rinnova. Quindi, specificare un motivo per la richiesta. È utile fornire una durata oltre a qualsiasi contesto aggiuntivo o una motivazione aziendale che può aiutare l'amministratore delle risorse a decidere di approvare o rifiutare.
Dopo l'invio della richiesta, gli amministratori delle risorse ricevono una notifica della presenza di una richiesta di rinnovo di un'assegnazione di ruolo in sospeso.
Approvazione degli amministratori
Gli amministratori delle risorse possono accedere alla richiesta di rinnovo dal collegamento nella notifica tramite posta elettronica o accedendo a Privileged Identity Management dal portale di Azure e selezionando Approva richieste nel riquadro sinistro.
Quando un amministratore seleziona Approva o Nega, i dettagli della richiesta vengono visualizzati insieme a un campo per fornire una giustificazione aziendale per i log di controllo.
Quando approvano una richiesta di rinnovo di un'assegnazione di ruolo, gli amministratori delle risorse devono immettere una nuova data di inizio, di fine e un tipo di assegnazione.
Rinnovo richiesto dagli amministratori
Gli amministratori delle risorse possono rinnovare le assegnazioni di ruolo scaduto dalla scheda Membri nel menu di spostamento a sinistra di una risorsa. Possono anche rinnovare le assegnazioni di ruolo scaduto nella scheda dei ruoli Scaduti di un ruolo di risorse.
Dalla schermata Membri selezionare Ruoli scaduti per visualizzare un elenco di tutte le assegnazioni di ruolo scadute.
