Verlengen of vernieuwen van Azure-resourceroltoewijzingen in Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) biedt besturingselementen voor het beheren van de toegangs- en toewijzingslevenscyclus voor Azure-resources. Beheerders kunnen rollen toewijzen met de eigenschappen begin- en einddatum. Wanneer het eind van de toewijzing nadert, stuurt Privileged Identity Management e-mailmeldingen naar de betrokken gebruikers of groepen. Er worden ook e-mailmeldingen verzonden naar beheerders van de resource om ervoor te zorgen dat de juiste toegang wordt gehandhaafd. Toewijzingen kunnen worden vernieuwd en blijven gedurende maximaal 30 dagen zichtbaar in een verlopen status, zelfs als de toegang niet is verlengd.

Wie kan verlengen en vernieuwen?

Alleen beheerders van de resource kunnen roltoewijzingen verlengen of vernieuwen. De betrokken gebruiker of groep kan aanvragen om rollen te verlengen die binnenkort verlopen en aanvragen om rollen te vernieuwen die al zijn verlopen.

Wanneer worden meldingen verzonden?

Privileged Identity Management verzendt e-mailmeldingen naar beheerders en betrokken gebruikers of groepen rollen die binnen 14 dagen verlopen en één dag voor de vervaldatum. Er wordt een extra e-mail verzonden wanneer een toewijzing officieel verloopt.

Beheerders ontvangen meldingen wanneer een gebruiker of groep waaraan een verlopende of verlopen rol is toegewezen een aanvraag indient om te verlengen of vernieuwen. Wanneer een specifieke beheerder de aanvraag omzet, worden alle andere beheerders op de hoogte gesteld van de omzetbeslissing (goedgekeurd of geweigerd). Vervolgens wordt de aanvragende gebruiker of groep op de hoogte gesteld van de beslissing.

Roltoewijzingen verlengen

De volgende stappen geven een overzicht van het proces voor het aanvragen, omzetten of beheren van een uitbreiding of verlenging van een roltoewijzing.

Verlopende toewijzingen zelf verlengen

Gebruikers die zijn toegewezen aan een rol kunnen de verlopende roltoewijzingen rechtstreeks verlengen vanaf het tabblad In aanmerking komend of Actief op de pagina Mijn rollen van een resource en vanaf de pagina Mijn rollen op het hoogste niveau van de Privileged Identity Management-portal. In de portal kunnen gebruikers aanvragen om in aanmerking komende of actieve (toegewezen) rollen te verlengen die in de komende 14 dagen verlopen.

Wanneer de einddatum van de opdracht binnen 14 dagen valt, wordt de koppeling naar Uitbreiden actief in het Microsoft Entra-beheercentrum. In het volgende voorbeeld wordt ervan uitgegaan dat de huidige datum 27 maart is.

Notitie

Voor een groep die aan een rol is toegewezen, wordt de koppeling Verlengen nooit beschikbaar, zodat een gebruiker met een overgenomen toewijzing de groepstoewijzing niet kan verlengen.

Als u een verlenging van deze roltoewijzing wilt aanvragen, selecteert u Verlengen om het aanvraagformulier te openen.

Als u informatie over de oorspronkelijke opdracht wilt weergeven, vouwt u Toewijzingsgegevens uit. Voer een reden in voor de verleningsaanvraag en selecteer vervolgensVerlengen.

Notitie

We raden u aan de details op te geven waarom de verlenging nodig is en voor hoe lang de verlenging moet worden verleend (als u deze informatie hebt).

Binnen enkele ogenblikken ontvangen resourcebeheerders een e-mailmelding waarin wordt verzocht om de verlengingsaanvraag te controleren. Als er al een aanvraag voor verlenging is ingediend, wordt er een Azure-melding weergegeven in de portal.

Ga naar de pagina Aanvragen in behandeling om de status van uw aanvraag weer te geven of om deze te annuleren.

Verlenging goedgekeurd door beheerder

Wanneer een gebruiker of groep een aanvraag indient om een roltoewijzing te verlengen, ontvangen resourcebeheerders een e-mailmelding met de details van de oorspronkelijke toewijzing en de reden voor de aanvraag. De melding bevat een rechtstreekse link naar de aanvraag die de beheerder kan goedkeuren of weigeren.

Naast het gebruik van de link uit de e-mail kunnen beheerders aanvragen goedkeuren of weigeren door naar de beheerportal van Privileged Identity Management te gaan en Aanvragen goedkeuren te selecteren in het linkerdeelvenster.

Wanneer een beheerder goedkeuren of weigeren selecteert, worden de details van de aanvraag weergegeven, samen met een veld om een zakelijke reden voor de auditlogboeken op te geven.

Bij het goedkeuren van een aanvraag om roltoewijzing te verlengen, kunnen resourcebeheerders een nieuwe begindatum, einddatum en toewijzingstype kiezen. Het kan nodig zijn om het toewijzingstype te wijzigen als de beheerder beperkte toegang wil bieden om een specifieke taak te voltooien (bijvoorbeeld één dag). In dit voorbeeld kan de beheerder de toewijzing wijzigen van In aanmerking komend naar Actief. Dit betekent dat hij/zij toegang tot de aanvrager kan bieden zonder dat hij/zij hoeft te activeren.

Door beheerder geïnitieerde verlenging

Als een gebruiker die is toegewezen aan een rol geen verlenging voor de roltoewijzing aanvraagt, kan een beheerder een toewijzing namens de gebruiker verlengen. Beheer istratieve uitbreidingen van roltoewijzing vereisen geen goedkeuring, maar meldingen worden verzonden naar alle andere beheerders nadat de rol is uitgebreid.

Als u een roltoewijzing wilt verlengen, bladert u naar de resourcerol- of toewijzingsweergave in Privileged Identity Management. Zoek de toewijzing waarvoor een verlenging is vereist. Selecteer vervolgens Verlengen in de actiekolom.

Roltoewijzingen vernieuwen

Hoewel conceptueel vergelijkbaar met het proces voor het aanvragen van een verlenging, is het proces voor het vernieuwen van een verlopen roltoewijzing anders. Met behulp van de volgende stappen kunnen toewijzingen en beheerders zo nodig de toegang tot verlopen rollen vernieuwen.

Zelf vernieuwen

Gebruikers die geen toegang meer hebben tot resources, hebben toegang tot maximaal 30 dagen van de geschiedenis van de verlopen toewijzing. Hiervoor bladeren ze naar Mijn rollen in het linkerdeelvenster en selecteren ze vervolgens het tabblad Verlopen rollen in de sectie Azure-resourcerollen.

De lijst met rollen die worden weergegeven staat standaard op In aanmerking komende rollen. Gebruik de vervolgkeuzelijst om te schakelen tussen In aanmerking komende en Actieve toegewezen rollen.

Als u vernieuwing wilt aanvragen voor een van de roltoewijzingen in de lijst, selecteert u de actie Vernieuwen. Vervolgens geeft u een reden op voor de aanvraag. Het is handig om een duur op te geven naast eventuele aanvullende context of een zakelijke reden die de resourcebeheerder kan helpen besluiten om goed te keuren of te weigeren.

Nadat de aanvraag is ingediend, krijgen resourcebeheerders een melding van een aanvraag in behandeling om een roltoewijzing te vernieuwen.

De beheerder keurt goed

Resourcebeheerders hebben toegang tot de vernieuwingsaanvraag via de link in de e-mailmelding of door toegang te krijgen tot Privileged Identity Management vanuit de Azure Portal en Aanvragen goedkeuren te selecteren in het linkerdeelvenster.

Wanneer een beheerder Goedkeuren of Weigeren selecteert, worden de details van de aanvraag weergegeven, samen met een veld om een zakelijke reden op te geven voor de auditlogboeken.

Bij het goedkeuren van een aanvraag om roltoewijzing te vernieuwen, moeten resourcebeheerders een nieuwe begindatum, einddatum en een nieuw toewijzingstype invoeren.

Vernieuwen door beheerder

Resourcebeheerders kunnen verlopen roltoewijzingen vernieuwen vanaf het tabblad Leden in het linkernavigatiemenu van een resource. Ze kunnen verlopen roltoewijzingen ook vernieuwen vanaf het tabblad Verlopen rollen van een resourcerol.

Als u een lijst met alle verlopen roltoewijzingen wilt weergeven, selecteert u Verlopen rollen op het scherm Leden.

Volgende stappen

• Aanvragen voor Azure-resourcerollen goedkeuren of weigeren in Privileged Identity Management
• Instellingen voor Azure-resourcerollen configureren in Privileged Identity Management