Estendere o rinnovare PIM per le assegnazioni di gruppi

Articolo
07/02/2024

Privileged Identity Management (PIM) in Microsoft Entra ID fornisce controlli per gestire il ciclo di vita di accesso e assegnazione per l'appartenenza e la proprietà di un gruppo. Gli amministratori possono assegnare proprietà di data e ora di inizio e di fine per la proprietà e l'appartenenza al gruppo. Quando l'assegnazione termina, Privileged Identity Management invia notifiche tramite posta elettronica agli utenti o ai gruppi interessati. Inoltre, invia notifiche tramite posta elettronica agli amministratori della risorsa per garantire che venga mantenuto l'accesso appropriato. Anche qualora l'accesso non venga esteso, le assegnazioni possono essere rinnovate e rimanere visibili nello stato di scaduto fino a 30 giorni.

Chi può estendere e rinnovare

Solo gli utenti con autorizzazioni per gestire i gruppi possono estendere o rinnovare l'appartenenza al gruppo o le assegnazioni con vincoli di tempo. L'utente o il membro interessato può richiedere di estendere le assegnazioni in procinto di scadere e richiedere il rinnovo delle assegnazioni già scadute.

Ii gruppi assegnabili a ruoli, possono essere gestiti se si possiede almeno il ruolo di Amministratore ruolo con privilegi o Proprietario del gruppo. Ii gruppi non assegnabili a ruoli possono essere gestiti se si possiede almeno il ruolo di Writer della directory, Amministratore di gruppi, Amministratore della Identity governance o Amministratore utenti, oppure il ruolo di Proprietario del gruppo. Le assegnazioni di ruolo per gli amministratori devono essere con ambito a livello di directory (non a livello di unità amministrativa).

Nota

Altri ruoli con autorizzazioni per gestire i gruppi (ad esempio gli amministratori di Exchange per i gruppi di M365 non assegnabili a ruoli) e gli amministratori con assegnazioni con ambito a livello di unità amministrativa possono gestire i gruppi tramite l'esperienza utente/API Gruppi ed eseguire l'override delle modifiche apportate in Microsoft Entra PIM.

Quando vengono inviate le notifiche

Privileged Identity Management invia notifiche tramite posta elettronica agli amministratori e agli utenti interessati di PIM per le assegnazioni di gruppi in scadenza:

Entro 14 giorni prima della scadenza
Un giorno prima della scadenza
Alla scadenza di un'assegnazione

Gli amministratori ricevono notifiche quando un utente o un gruppo richiede l'estensione o il rinnovo di un'assegnazione scaduta o in scadenza. Quando un amministratore risolve la richiesta, tutti gli amministratori e l'utente richiedente ricevono una notifica di approvazione o rifiuto della richiesta.

Estendere le assegnazioni dei gruppi

I passaggi seguenti descrivono la procedura per la richiesta, la risoluzione o l'amministrazione di un'estensione o del rinnovo di un'assegnazione di appartenenza o proprietà di un gruppo.

Estendere automaticamente le assegnazioni in scadenza

Gli utenti a cui è stata assegnata la proprietà o l'appartenenza a un gruppo possono estendere le assegnazioni di gruppo in scadenza direttamente dalla scheda Idonee o Attive nella pagina Assegnazioni per il gruppo. Gli utenti o i gruppi possono richiedere l'estensione delle assegnazioni idonee e attive con scadenza entro 14 giorni.

Quando la data di scadenza dell'assegnazione è entro 14 giorni, è disponibile il comando Estendi. Per richiedere un'estensione di questa assegnazione di gruppo, selezionare Estendi per aprire il modulo di richiesta.

Nota

È consigliabile includere i dettagli del motivo per cui è necessaria l'estensione e il tempo di estensione da concedere (se noto).

Gli amministratori ricevono una notifica tramite posta elettronica che richiede di rivedere la richiesta di estensione. Se una richiesta di estensione è già stata inviata, viene visualizzata una notifica di Azure nel portale.

Per visualizzare lo stato o annullare la richiesta, aprire la pagina Richieste in sospeso per l'assegnazione del gruppo.

Estensione approvata dall'amministratore

Quando un utente o un gruppo invia una richiesta per estendere un'assegnazione di gruppo, gli amministratori delle risorse ricevono una notifica tramite posta elettronica che contiene i dettagli dell'assegnazione originale e il motivo specificato dal richiedente. La notifica include un collegamento diretto alla richiesta che l'amministratore dovrà approvare o rifiutare.

Oltre a seguire il collegamento dal messaggio di posta elettronica, gli amministratori possono approvare o rifiutare le richieste andando al portale di amministrazione di Privileged Identity Management e selezionando Approva richieste dal riquadro a sinistra.

Quando un amministratore seleziona Approva o Rifiuta, vengono visualizzati i dettagli della richiesta insieme a un campo per fornire una giustificazione aziendale per i log di controllo.

Quando approvano una richiesta di estensione di un'assegnazione di gruppo, gli amministratori delle risorse possono scegliere una nuova data di inizio e di fine e un tipo di assegnazione. La modifica del tipo di assegnazione potrebbe essere necessaria se l'amministratore vuole fornire accesso limitato per completare un'attività specifica (un giorno, ad esempio). In questo esempio, l'amministratore può modificare l'assegnazione da Idonea ad Attiva. Ciò significa che possono fornire l'accesso al richiedente senza necessità di attivazione.

Estensione avviata dall'amministratore

Se un utente assegnato a un gruppo non richiede un'estensione per l'assegnazione di gruppo, un amministratore può estendere un'assegnazione per conto dell'utente. Le estensioni amministrative dell'assegnazione di gruppo non richiedono l'approvazione, ma vengono inviate notifiche a tutti gli altri amministratori al termine dell'estensione dell'assegnazione.

Per estendere un'assegnazione di gruppo, passare alla visualizzazione assegnazioni in Privileged Identity Management. Trovare l'assegnazione che richiede un'estensione. Quindi selezionare Estendi nella colonna relativa all'azione.

Rinnovare le assegnazioni di gruppo

Anche se concettualmente simile alla richiesta di estensione, il processo di rinnovo di un'assegnazione di gruppo scaduto è diverso da quello appena citato. Usando la procedura descritta di seguito le assegnazioni e gli amministratori possono rinnovare l'accesso alle assegnazioni scadute quando necessario.

Rinnovo automatico

Gli utenti che non possono più accedere alle risorse possono accedere alla cronologia dell'assegnazione scaduta fino a 30 giorni. A tale scopo, andare a Ruoli personali nel riquadro sinistro, quindi selezionare la scheda Assegnazioni scadute.

L'elenco delle assegnazioni visualizzate include per impostazione predefinita le Assegnazioni idonee. Usare il menu a discesa per alternare le assegnazioni Idonee e Attive.

Per richiedere il rinnovo per qualsiasi assegnazione di gruppo nell'elenco, selezionare l'azione Rinnova. Quindi, specificare un motivo per la richiesta. È utile indicare una durata oltre a qualsiasi altra informazione di contesto o giustificazione aziendale che possa essere utile all'amministratore delle risorse per decidere se approvare o rifiutare la richiesta.

Dopo l'invio della richiesta, gli amministratori delle risorse ricevono una notifica della presenza di una richiesta di rinnovo di un'assegnazione di gruppo in sospeso.

Approvazione degli amministratori

Gli amministratori delle risorse possono accedere alla richiesta di rinnovo dal collegamento nella notifica tramite posta elettronica o accedendo a Privileged Identity Management dall'interfaccia di amministrazione di Microsoft Entra e selezionando Approva richieste dal riquadro a sinistra.