PIM uitbreiden of vernieuwen voor groepstoewijzingen
Privileged Identity Management (PIM) in Microsoft Entra ID biedt besturingselementen voor het beheren van de toegangs- en toewijzingslevenscyclus voor groepslidmaatschap en eigendom. Beheer istrators kunnen begin- en einddatum-eigenschappen toewijzen voor groepslidmaatschap en eigendom. Wanneer het eind van de toewijzing nadert, stuurt Privileged Identity Management e-mailmeldingen naar de betrokken gebruikers of groepen. Er worden ook e-mailmeldingen verzonden naar beheerders van de resource om ervoor te zorgen dat de juiste toegang wordt gehandhaafd. Toewijzingen kunnen worden vernieuwd en blijven gedurende maximaal 30 dagen zichtbaar in een verlopen status, zelfs als de toegang niet is verlengd.
Wie kan verlengen en verlengen
Alleen gebruikers met machtigingen voor het beheren van groepen kunnen groepslidmaatschappen of tijdgebonden toewijzingen voor eigendom uitbreiden of verlengen. De betrokken gebruiker of groep kan aanvragen om toewijzingen uit te breiden die bijna verlopen en aanvragen om toewijzingen te vernieuwen die al zijn verlopen.
Rollentoewijzingsgroepen kunnen worden beheerd door ten minste de bevoorrechte rol Beheer istrator of eigenaar van de groep. Niet-roltoewijzingsgroepen kunnen worden beheerd door ten minste de directoryschrijver, groepen Beheer istrator, identiteitsbeheer Beheer istrator, gebruiker Beheer istrator of eigenaar van de groep. Roltoewijzingen voor beheerders moeten worden toegewezen op directoryniveau (niet Beheer niveau).
Notitie
Andere rollen met machtigingen voor het beheren van groepen (zoals Exchange Beheer istrators voor niet-roltoewijsbare M365-groepen) en beheerders met toewijzingen die zijn gericht op beheereenheidniveau, kunnen groepen beheren via groepen-API/UX en wijzigingen negeren die zijn aangebracht in Microsoft Entra PIM.
Wanneer meldingen worden verzonden
Privileged Identity Management verzendt e-mailmeldingen naar beheerders en betrokken gebruikers van PIM voor groepstoewijzingen die verlopen:
- Binnen 14 dagen voordat de vervaldatum is verstreken
- Een dag vóór de vervaldatum
- Wanneer een opdracht verloopt
Beheer istrators ontvangen meldingen wanneer een gebruiker of groep aanvragen om een verlopende of verlopen toewijzing uit te breiden of te verlengen. Wanneer een beheerder de aanvraag oplost, worden alle beheerders en de aanvragende gebruiker op de hoogte gesteld van de goedkeuring of weigering.
Groepstoewijzingen uitbreiden
De volgende stappen geven een overzicht van het proces voor het aanvragen, oplossen of beheren van een uitbreiding of verlenging van een groepslidmaatschap of eigendomstoewijzing.
Verlopende toewijzingen zelf verlengen
Aan gebruikers toegewezen groepslidmaatschap of eigendom kunnen verlopen groepstoewijzingen rechtstreeks vanaf het tabblad In aanmerking komen of actief op de pagina Toewijzingen voor de groep worden uitgebreid. Gebruikers of groepen kunnen aanvragen om in aanmerking komende en actieve toewijzingen die de komende 14 dagen verlopen, uit te breiden.
Wanneer de einddatum van de opdracht binnen 14 dagen valt, is de opdracht Uitbreiden beschikbaar. Als u een uitbreiding van een groepstoewijzing wilt aanvragen, selecteert u Uitbreiden om het aanvraagformulier te openen.
Notitie
We raden u aan de details op te geven waarom de verlenging nodig is en voor hoe lang de verlenging moet worden verleend (als u deze informatie hebt).
Beheer istrators een e-mailmelding ontvangen met het verzoek om de extensieaanvraag te controleren. Als er al een aanvraag voor verlenging is ingediend, wordt er een Azure-melding weergegeven in de portal.
Als u de status van uw aanvraag wilt bekijken of annuleren, opent u de pagina Aanvragen in behandeling voor de groepstoewijzing.
Verlenging goedgekeurd door beheerder
Wanneer een gebruiker of groep een aanvraag indient om een groepstoewijzing uit te breiden, ontvangen beheerders een e-mailmelding met de details van de oorspronkelijke toewijzing en de reden voor de aanvraag. De melding bevat een rechtstreekse link naar de aanvraag die de beheerder kan goedkeuren of weigeren.
Naast het gebruik van de link uit de e-mail kunnen beheerders aanvragen goedkeuren of weigeren door naar de beheerportal van Privileged Identity Management te gaan en Aanvragen goedkeuren te selecteren in het linkerdeelvenster.
Wanneer een beheerder goedkeuren of weigeren selecteert, worden de details van de aanvraag weergegeven, samen met een veld om een zakelijke reden voor de auditlogboeken op te geven.
Wanneer een aanvraag voor het uitbreiden van een groepstoewijzing wordt goedgekeurd, kunnen resourcebeheerders een nieuwe begindatum, einddatum en toewijzingstype kiezen. Het kan nodig zijn om het toewijzingstype te wijzigen als de beheerder beperkte toegang wil bieden om een specifieke taak te voltooien (bijvoorbeeld één dag). In dit voorbeeld kan de beheerder de toewijzing wijzigen van In aanmerking komend naar Actief. Dit betekent dat hij/zij toegang tot de aanvrager kan bieden zonder dat hij/zij hoeft te activeren.
Door beheerder geïnitieerde verlenging
Als een gebruiker die is toegewezen aan een groep geen extensie voor de groepstoewijzing aanvraagt, kan een beheerder een toewijzing namens de gebruiker uitbreiden. Beheer istratieve uitbreidingen van groepstoewijzing vereisen geen goedkeuring, maar meldingen worden verzonden naar alle andere beheerders nadat de toewijzing is uitgebreid.
Als u een groepstoewijzing wilt uitbreiden, bladert u naar de toewijzingsweergave in Privileged Identity Management. Zoek de toewijzing waarvoor een verlenging is vereist. Selecteer vervolgens Verlengen in de actiekolom.
Groepstoewijzingen vernieuwen
Hoewel het conceptueel vergelijkbaar is met het proces voor het aanvragen van een extensie, is het proces voor het vernieuwen van een verlopen groepstoewijzing anders. Met behulp van de volgende stappen kunnen toewijzingen en beheerders de toegang tot verlopen toewijzingen verlengen wanneer dat nodig is.
Zelf vernieuwen
Gebruikers die geen toegang meer hebben tot resources, hebben toegang tot maximaal 30 dagen van de geschiedenis van de verlopen toewijzing. Hiervoor bladeren ze naar Mijn rollen in het linkerdeelvenster en selecteren ze vervolgens het tabblad Verlopen opdrachten .
De lijst met toewijzingen die standaard worden weergegeven voor in aanmerking komende toewijzingen. Gebruik de vervolgkeuzelijst om tussen in aanmerking komende en actieve toewijzingen te schakelen.
Als u verlenging wilt aanvragen voor een van de groepstoewijzingen in de lijst, selecteert u de actie Verlengen . Vervolgens geeft u een reden op voor de aanvraag. Het is handig om een duur op te geven naast eventuele aanvullende context of een zakelijke reden die de resourcebeheerder kan helpen besluiten om goed te keuren of te weigeren.
Nadat de aanvraag is ingediend, ontvangen resourcebeheerders een melding over een aanvraag die in behandeling is om een groepstoewijzing te vernieuwen.
De beheerder keurt goed
Resourcebeheerders hebben toegang tot de verlengingsaanvraag via de koppeling in de e-mailmelding of door toegang te krijgen tot Privileged Identity Management vanuit het Microsoft Entra-beheercentrum en aanvragen goedkeuren te selecteren in het linkerdeelvenster.
Wanneer een beheerder Goedkeuren of Weigeren selecteert, worden de details van de aanvraag weergegeven, samen met een veld om een zakelijke reden op te geven voor de auditlogboeken.
Wanneer een aanvraag voor het vernieuwen van een groepstoewijzing wordt goedgekeurd, moeten resourcebeheerders een nieuwe begindatum, einddatum en toewijzingstype invoeren.