Rozszerzanie lub odnawianie przypisań ról zasobów platformy Azure w Privileged Identity Management

Privileged Identity Management (PIM) w usłudze Azure Active Directory (Azure AD), część Microsoft Entra, zapewnia mechanizmy kontroli zarządzania cyklem życia dostępu i przypisywania dla zasobów platformy Azure. Administratorzy mogą przypisywać role przy użyciu właściwości daty rozpoczęcia i zakończenia. Gdy zbliża się koniec przypisania, Privileged Identity Management wysyła powiadomienia e-mail do użytkowników lub grup, których dotyczy problem. Wysyła również powiadomienia e-mail do administratorów zasobu, aby zapewnić utrzymanie odpowiedniego dostępu. Przypisania mogą być odnawiane i nadal widoczne w stanie wygasłym przez maksymalnie 30 dni, nawet jeśli dostęp nie zostanie rozszerzony.

Kto może przedłużyć i odnowić?

Tylko administratorzy zasobu mogą rozszerzać lub odnawiać przypisania ról. Użytkownik lub grupa, której dotyczy problem, może zażądać rozszerzenia ról, które wkrótce wygaśnie, i zażądać odnowienia ról, które już wygasły.

Kiedy są wysyłane powiadomienia?

Privileged Identity Management wysyła powiadomienia e-mail do administratorów i dotkniętych użytkowników lub grup ról, które wygasają w ciągu 14 dni i jeden dzień przed wygaśnięciem. Wysyła dodatkową wiadomość e-mail po oficjalnym wygaśnięciu przydziału.

Administratorzy otrzymują powiadomienia, gdy użytkownik lub grupa przypisze wygasające lub wygasłe żądania roli do rozszerzenia lub odnowienia. Gdy określony administrator rozwiąże żądanie, wszyscy inni administratorzy zostaną powiadomieni o decyzji o rozwiązaniu problemu (zatwierdzonej lub odrzuconej). Następnie żądanie użytkownika lub grupy jest powiadamiane o decyzji.

Rozszerzanie przypisań ról

W poniższych krokach opisano proces żądania, rozpoznawania lub administrowania rozszerzeniem lub odnawianiem przypisania roli.

Samodzielne rozszerzanie wygasających przypisań

Użytkownicy przypisani do roli mogą rozszerzać wygasające przypisania ról bezpośrednio z karty Kwalifikujące się lub Aktywne na stronie Moje role zasobu i na stronie Moje role w portalu Privileged Identity Management. W portalu użytkownicy mogą poprosić o przedłużenie kwalifikujących się lub aktywnych (przypisanych) ról, które wygasają w ciągu najbliższych 14 dni.

Zasoby platformy Azure — strona Moje role z listą kwalifikujących się ról z kolumną Akcja

Gdy data zakończenia przydziału przypada w ciągu 14 dni, link do rozszerzenia staje się aktywny w Azure Portal. W poniższym przykładzie przyjęto założenie, że bieżąca data to 27 marca.

Uwaga

W przypadku grupy przypisanej do roli link Rozszerzanie nigdy nie staje się dostępny, aby użytkownik z dziedziczonego przypisania nie mógł rozszerzyć przypisania grupy.

Kolumna akcji z linkami do aktywowania lub rozszerzania

Aby zażądać rozszerzenia tego przypisania roli, wybierz pozycję Rozszerz , aby otworzyć formularz żądania.

Rozszerzanie okienka przypisania roli za pomocą pola Przyczyna

Aby wyświetlić informacje o oryginalnym przypisaniu, rozwiń węzeł Szczegóły przypisania. Wprowadź przyczynę żądania rozszerzenia, a następnie wybierz pozycję Rozszerz.

Uwaga

Zalecamy uwzględnienie szczegółów, dlaczego rozszerzenie jest niezbędne, oraz jak długo rozszerzenie powinno zostać przyznane (jeśli masz te informacje).

Rozszerzanie okienka przypisania roli z rozwiniętymi szczegółami przypisania

W ciągu kilku chwil administratorzy zasobów otrzymają powiadomienie e-mail z prośbą o przejrzenie żądania rozszerzenia. Jeśli żądanie rozszerzenia zostało już przesłane, w portalu zostanie wyświetlone powiadomienie platformy Azure.

Powiadomienie z wyjaśnieniem, że istnieje już istniejące oczekujące rozszerzenie przypisania roli

Przejdź do strony Oczekujące żądania , aby wyświetlić stan żądania lub anulować je.

Zasoby platformy Azure — oczekująca strona żądań zawierająca listę oczekujących żądań i link do anulowania

Administracja zatwierdzone rozszerzenie

Gdy użytkownik lub grupa przesyła żądanie rozszerzenia przypisania roli, administratorzy zasobów otrzymają powiadomienie e-mail zawierające szczegóły oryginalnego przypisania i przyczynę żądania. Powiadomienie zawiera bezpośredni link do żądania administratora w celu zatwierdzenia lub odmowy.

Oprócz korzystania z poniższego linku z poczty e-mail administratorzy mogą zatwierdzać lub odrzucać żądania, przechodząc do portalu administracyjnego Privileged Identity Management i wybierając pozycję Zatwierdź żądania w okienku po lewej stronie.

Zasoby platformy Azure — zatwierdzanie żądań strony z listą żądań i linków do zatwierdzenia lub odmowy

Gdy administrator wybierze pozycję Zatwierdź lub Odmów, zostaną wyświetlone szczegóły żądania wraz z polem umożliwiającym podanie uzasadnienia biznesowego dla dzienników inspekcji.

Zatwierdzanie żądania przypisania roli z przyczyną żądania, typem przypisania, czasem rozpoczęcia, czasem zakończenia i przyczyną

Podczas zatwierdzania żądania rozszerzenia przypisania roli administratorzy zasobów mogą wybrać nową datę rozpoczęcia, datę zakończenia i typ przypisania. Zmiana typu przypisania może być konieczna, jeśli administrator chce zapewnić ograniczony dostęp do wykonania określonego zadania (na przykład jeden dzień). W tym przykładzie administrator może zmienić przypisanie z Kwalifikujące się na Aktywne. Oznacza to, że mogą zapewnić dostęp do osoby żądającej bez konieczności ich aktywowania.

rozszerzenie zainicjowane przez Administracja

Jeśli użytkownik przypisany do roli nie zażąda rozszerzenia dla przypisania roli, administrator może rozszerzyć przypisanie w imieniu użytkownika. Rozszerzenia administracyjne przypisania roli nie wymagają zatwierdzenia, ale powiadomienia są wysyłane do wszystkich innych administratorów po rozszerzeniu roli.

Aby rozszerzyć przypisanie roli, przejdź do widoku roli zasobu lub przypisania w Privileged Identity Management. Znajdź przypisanie, które wymaga rozszerzenia. Następnie wybierz pozycję Rozszerz w kolumnie akcji.

Zasoby platformy Azure — strona przypisania zawierająca listę kwalifikujących się ról z linkami do rozszerzenia

Odnawianie przypisań ról

Chociaż koncepcyjnie podobny do procesu żądania rozszerzenia, proces odnawiania wygasłego przypisania roli jest inny. W razie potrzeby przypisania i administratorzy mogą odnowić dostęp do wygasłych ról.

Samodzielne odnawianie

Użytkownicy, którzy nie mogą już uzyskiwać dostępu do zasobów, mogą uzyskiwać dostęp do 30 dni historii wygasłych przypisań. W tym celu przechodzą do pozycji Moje role w okienku po lewej stronie, a następnie wybierają kartę Wygasłe role w sekcji Role zasobów platformy Azure.

Strona Moje role — karta Wygasłe role

Lista ról, które są wyświetlane jako domyślne dla kwalifikujących się ról. Użyj menu rozwijanego, aby przełączać się między uprawnionymi i aktywnymi przypisanymi rolami.

Aby zażądać odnowienia dla dowolnego z przypisań ról na liście, wybierz akcję Odnów . Następnie podaj przyczynę żądania. Warto podać czas trwania oprócz dodatkowego kontekstu lub uzasadnienia biznesowego, które może pomóc administratorowi zasobów zdecydować się na zatwierdzenie lub odmowę.

Odnawianie okienka przypisania roli z wyświetlonym polem Przyczyna

Po przesłaniu żądania administratorzy zasobów są powiadamiani o oczekującym żądaniu odnowienia przypisania roli.

Administracja zatwierdza

Administratorzy zasobów mogą uzyskać dostęp do żądania odnowienia z linku w powiadomieniu e-mail lub przez uzyskanie dostępu do Privileged Identity Management z Azure Portal i wybranie pozycji Zatwierdź żądania w okienku po lewej stronie.

Zasoby platformy Azure — zatwierdzanie żądań strony z listą żądań i linków do zatwierdzenia lub odmowy

Gdy administrator wybierze pozycję Zatwierdź lub Odmów, szczegóły żądania zostaną wyświetlone wraz z polem, aby podać uzasadnienie biznesowe dla dzienników inspekcji.

Zatwierdzanie żądania przypisania roli z przyczyną żądania, typem przypisania, czasem rozpoczęcia, czasem zakończenia i przyczyną

Podczas zatwierdzania żądania odnowienia przypisania roli administratorzy zasobów muszą wprowadzić nową datę rozpoczęcia, datę zakończenia i typ przypisania.

Administracja odnawianie

Administratorzy zasobów mogą odnawiać wygasłe przypisania ról z karty Członkowie w menu nawigacji po lewej stronie zasobu. Mogą również odnawiać wygasłe przypisania ról na karcie Wygasłe role roli zasobu.

Aby wyświetlić listę wszystkich wygasłych przypisań ról, na ekranie Członkowie wybierz pozycję Wygasłe role.

Zasoby platformy Azure — strona członkowie wyświetlają wygasłe role z linkami do odnawiania

Następne kroki