Roltoewijzingen van Microsoft Entra uitbreiden of vernieuwen in Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) biedt besturingselementen voor het beheren van de levenscyclus van toegang en toewijzing voor rollen in Microsoft Entra ID. Beheerders kunnen rollen toewijzen met de eigenschappen begin- en einddatum. Wanneer het eind van de toewijzing nadert, stuurt Privileged Identity Management e-mailmeldingen naar de betrokken gebruikers of groepen. Er worden ook e-mailmeldingen naar Microsoft Entra-beheerders verzonden om ervoor te zorgen dat de juiste toegang wordt gehandhaafd. Toewijzingen kunnen worden vernieuwd en blijven gedurende maximaal 30 dagen zichtbaar in een verlopen status, zelfs als de toegang niet is verlengd.

Wie kan verlengen en vernieuwen?

Alleen globale Beheer beheerders of beheerders van bevoorrechte rollen kunnen roltoewijzingen van Microsoft Entra uitbreiden of verlengen. De betrokken gebruiker of groep kan aanvragen om rollen te verlengen die binnenkort verlopen en aanvragen om rollen te vernieuwen die al zijn verlopen.

Wanneer worden meldingen verzonden?

Privileged Identity Management verzendt e-mailmeldingen naar beheerders en betrokken gebruikers of groepen rollen die binnen 14 dagen verlopen en één dag voor de vervaldatum. Er wordt een extra e-mail verzonden wanneer een toewijzing officieel verloopt.

Beheerders ontvangen meldingen wanneer een gebruiker of groep waaraan een verlopende of verlopen rol is toegewezen een aanvraag indient om te verlengen of vernieuwen. Wanneer een beheerder een aanvraag als goedgekeurd of geweigerd oplost, worden alle andere beheerders op de hoogte gesteld van de beslissing. Vervolgens wordt de aanvragende gebruiker of groep op de hoogte gesteld van de beslissing.

Roltoewijzingen verlengen

De volgende stappen geven een overzicht van het proces voor het aanvragen, omzetten of beheren van een uitbreiding of verlenging van een roltoewijzing.

Verlopende toewijzingen zelf verlengen

Gebruikers die zijn toegewezen aan een rol kunnen de roltoewijzingen rechtstreeks uitbreiden vanaf het tabblad In aanmerking komend of actief op de pagina Mijn rollen, onder Microsoft Entra-rollen of op de pagina Mijn rollen op het hoogste niveau van de portal Privileged Identity Management. In de portal kunnen gebruikers aanvragen om in aanmerking komende of actieve (toegewezen) rollen te verlengen die in de komende 14 dagen verlopen.

Wanneer de einddatum en tijd van de toewijzing binnen 14 dagen valt, wordt de knop Uitbreiden een actieve koppeling in de gebruikersinterface. In het volgende voorbeeld wordt ervan uitgegaan dat de huidige datum 27 maart is.

Notitie

Voor een groep die aan een rol is toegewezen, wordt de koppeling Verlengen nooit beschikbaar, zodat een gebruiker met een overgenomen toewijzing de groepstoewijzing niet kan verlengen.

Als u een verlenging van deze roltoewijzing wilt aanvragen, selecteert u Verlengen om het aanvraagformulier te openen.

Voer een reden in voor de verleningsaanvraag en selecteer vervolgensVerlengen.

Notitie

We raden u aan de details op te geven waarom de verlenging nodig is en voor hoe lang de verlenging moet worden verleend (als u deze informatie hebt).

Beheerders ontvangen een e-mailmelding om de extensieaanvraag te controleren. Als er al een aanvraag voor verlenging is ingediend, wordt er een Azure-melding weergegeven in de portal.

Ga naar de pagina Aanvragen in behandeling om de status van uw aanvraag weer te geven of om deze te annuleren.

Verlenging goedgekeurd door beheerder

Wanneer een gebruiker of groep een aanvraag indient om een roltoewijzing te verlengen, ontvangen beheerders een e-mailmelding met de details van de oorspronkelijke toewijzing en de reden voor de aanvraag. De melding bevat een rechtstreekse link naar de aanvraag die de beheerder kan goedkeuren of weigeren.

Naast het gebruik van de link uit de e-mail kunnen beheerders aanvragen goedkeuren of weigeren door naar de beheerportal van Privileged Identity Management te gaan en Aanvragen goedkeuren te selecteren in het linkerdeelvenster.

Wanneer een beheerder goedkeuren of weigeren selecteert, worden de details van de aanvraag weergegeven, samen met een veld om een zakelijke reden voor de auditlogboeken op te geven.

Bij het goedkeuren van een aanvraag om roltoewijzing te verlengen, kunnen beheerders een nieuwe begindatum, einddatum en toewijzingstype kiezen. Het kan nodig zijn om het toewijzingstype te wijzigen als de beheerder beperkte toegang wil bieden om een specifieke taak te voltooien (bijvoorbeeld één dag). In dit voorbeeld kan de beheerder de toewijzing wijzigen van In aanmerking komend naar Actief. Dit betekent dat hij/zij toegang tot de aanvrager kan bieden zonder dat hij/zij hoeft te activeren.

Door beheerder geïnitieerde verlenging

Als een gebruiker die is toegewezen aan een rol geen verlenging voor de roltoewijzing aanvraagt, kan een beheerder een toewijzing namens de gebruiker verlengen. Beheerdersverlengingen van een roltoewijzing vereisen geen goedkeuring, maar meldingen worden naar alle andere beheerders verzonden nadat de rol is verlengd.

Als u een roltoewijzing wilt verlengen, bladert u naar de rol- of toewijzingsweergave in Privileged Identity Management. Zoek de toewijzing waarvoor een verlenging is vereist. Selecteer vervolgens Verlengen in de actiekolom.

Roltoewijzingen uitbreiden met Microsoft Graph API

In de volgende aanvraag breidt een beheerder een actieve toewijzing uit met behulp van Microsoft Graph API.

HTTP-aanvraag

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
 
{
    "action": "adminExtend",
    "justification": "TEST",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP-antwoord

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T16:18:36.3647674Z",
    "completedDateTime": "2022-05-13T16:18:40.0835993Z",
    "approvalId": null,
    "customData": null,
    "action": "adminExtend",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "justification": "TEST",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T16:18:40.0835993Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Roltoewijzingen vernieuwen

Hoewel conceptueel vergelijkbaar met het proces voor het aanvragen van een verlenging, is het proces voor het vernieuwen van een verlopen roltoewijzing anders. Met behulp van de volgende stappen kunnen toewijzingen en beheerders zo nodig de toegang tot verlopen rollen vernieuwen.

Zelf vernieuwen

Gebruikers die geen toegang meer hebben tot resources, hebben toegang tot maximaal 30 dagen van de geschiedenis van de verlopen toewijzing. Hiervoor bladeren ze naar Mijn rollen in het linkerdeelvenster en selecteren ze vervolgens het tabblad Verlopen rollen in de sectie Microsoft Entra-rollen.

De lijst met rollen die worden weergegeven staat standaard op In aanmerking komende rollen. Selecteer In aanmerking komende of Actieve toegewezen rollen.

Als u vernieuwing wilt aanvragen voor een van de roltoewijzingen in de lijst, selecteert u de actie Vernieuwen. Vervolgens geeft u een reden op voor de aanvraag. Het is handig om een duur op te geven naast eventuele aanvullende context of een zakelijke reden die de beheerder kan helpen besluiten om goed te keuren of te weigeren.

Nadat de aanvraag is ingediend, krijgen beheerders een melding van een aanvraag in behandeling om een roltoewijzing te vernieuwen.

De beheerder keurt goed

Microsoft Entra-beheerders hebben toegang tot de verlengingsaanvraag via de koppeling in de e-mailmelding of door toegang te krijgen tot Privileged Identity Management vanuit het Microsoft Entra-beheercentrum en aanvragen goedkeuren in PIM te selecteren.

Wanneer een beheerder Goedkeuren of Weigeren selecteert, worden de details van de aanvraag weergegeven, samen met een veld om een zakelijke reden op te geven voor de auditlogboeken.

Bij het goedkeuren van een aanvraag om roltoewijzing te vernieuwen, moeten beheerders een nieuwe begindatum, einddatum en een nieuw toewijzingstype invoeren.

Vernieuwen door beheerder

Ze kunnen ook verlopen roltoewijzingen vernieuwen vanaf het tabblad Verlopen rollen van een Microsoft Entra-rol. Als u een lijst met alle verlopen roltoewijzingen wilt weergeven, selecteert u Verlopen rollen op het scherm Toewijzingen.

Volgende stappen

• Aanvragen voor Microsoft Entra-rollen goedkeuren of weigeren in Privileged Identity Management
• Microsoft Entra-rolinstellingen configureren in Privileged Identity Management