Rozszerzanie lub odnawianie przypisań ról zasobów platformy Azure w Privileged Identity Management

Privileged Identity Management (PIM) w usłudze Azure Active Directory (Azure AD), część Microsoft Entra, zapewnia mechanizmy kontroli zarządzania cyklem życia dostępu i przypisywania dla zasobów platformy Azure. Administratorzy mogą przypisywać role przy użyciu właściwości daty rozpoczęcia i zakończenia. Gdy zbliża się koniec przypisania, Privileged Identity Management wysyła powiadomienia e-mail do użytkowników lub grup, których dotyczy problem. Wysyła również powiadomienia e-mail do administratorów zasobu, aby zapewnić utrzymanie odpowiedniego dostępu. Przypisania mogą być odnawiane i nadal widoczne w stanie wygasłym przez maksymalnie 30 dni, nawet jeśli dostęp nie zostanie rozszerzony.

Kto może przedłużyć i odnowić?

Tylko administratorzy zasobu mogą rozszerzać lub odnawiać przypisania ról. Użytkownik lub grupa, której dotyczy problem, może zażądać rozszerzenia ról, które wkrótce wygaśnie, i zażądać odnowienia ról, które już wygasły.

Kiedy są wysyłane powiadomienia?

Privileged Identity Management wysyła powiadomienia e-mail do administratorów i dotkniętych użytkowników lub grup ról, które wygasają w ciągu 14 dni i jeden dzień przed wygaśnięciem. Wysyła dodatkową wiadomość e-mail po oficjalnym wygaśnięciu przydziału.

Administratorzy otrzymują powiadomienia, gdy użytkownik lub grupa przypisze wygasające lub wygasłe żądania roli do rozszerzenia lub odnowienia. Gdy określony administrator rozwiąże żądanie, wszyscy inni administratorzy zostaną powiadomieni o decyzji o rozwiązaniu problemu (zatwierdzonej lub odrzuconej). Następnie żądanie użytkownika lub grupy jest powiadamiane o decyzji.

Rozszerzanie przypisań ról

W poniższych krokach opisano proces żądania, rozpoznawania lub administrowania rozszerzeniem lub odnawianiem przypisania roli.

Samodzielne rozszerzanie wygasających przypisań

Użytkownicy przypisani do roli mogą rozszerzać wygasające przypisania ról bezpośrednio z karty Kwalifikujące się lub Aktywne na stronie Moje role zasobu i na stronie Moje role w portalu Privileged Identity Management. W portalu użytkownicy mogą poprosić o przedłużenie kwalifikujących się lub aktywnych (przypisanych) ról, które wygasają w ciągu najbliższych 14 dni.

Gdy data zakończenia przydziału przypada w ciągu 14 dni, link do rozszerzenia staje się aktywny w Azure Portal. W poniższym przykładzie przyjęto założenie, że bieżąca data to 27 marca.

Uwaga

W przypadku grupy przypisanej do roli link Rozszerzanie nigdy nie staje się dostępny, aby użytkownik z dziedziczonego przypisania nie mógł rozszerzyć przypisania grupy.

Aby zażądać rozszerzenia tego przypisania roli, wybierz pozycję Rozszerz , aby otworzyć formularz żądania.

Aby wyświetlić informacje o oryginalnym przypisaniu, rozwiń węzeł Szczegóły przypisania. Wprowadź przyczynę żądania rozszerzenia, a następnie wybierz pozycję Rozszerz.

Uwaga

Zalecamy uwzględnienie szczegółów, dlaczego rozszerzenie jest niezbędne, oraz jak długo rozszerzenie powinno zostać przyznane (jeśli masz te informacje).

W ciągu kilku chwil administratorzy zasobów otrzymają powiadomienie e-mail z prośbą o przejrzenie żądania rozszerzenia. Jeśli żądanie rozszerzenia zostało już przesłane, w portalu zostanie wyświetlone powiadomienie platformy Azure.

Przejdź do strony Oczekujące żądania , aby wyświetlić stan żądania lub anulować je.

Administracja zatwierdzone rozszerzenie

Gdy użytkownik lub grupa przesyła żądanie rozszerzenia przypisania roli, administratorzy zasobów otrzymają powiadomienie e-mail zawierające szczegóły oryginalnego przypisania i przyczynę żądania. Powiadomienie zawiera bezpośredni link do żądania administratora w celu zatwierdzenia lub odmowy.

Oprócz korzystania z poniższego linku z poczty e-mail administratorzy mogą zatwierdzać lub odrzucać żądania, przechodząc do portalu administracyjnego Privileged Identity Management i wybierając pozycję Zatwierdź żądania w okienku po lewej stronie.

Gdy administrator wybierze pozycję Zatwierdź lub Odmów, zostaną wyświetlone szczegóły żądania wraz z polem umożliwiającym podanie uzasadnienia biznesowego dla dzienników inspekcji.

Podczas zatwierdzania żądania rozszerzenia przypisania roli administratorzy zasobów mogą wybrać nową datę rozpoczęcia, datę zakończenia i typ przypisania. Zmiana typu przypisania może być konieczna, jeśli administrator chce zapewnić ograniczony dostęp do wykonania określonego zadania (na przykład jeden dzień). W tym przykładzie administrator może zmienić przypisanie z Kwalifikujące się na Aktywne. Oznacza to, że mogą zapewnić dostęp do osoby żądającej bez konieczności ich aktywowania.

rozszerzenie zainicjowane przez Administracja

Jeśli użytkownik przypisany do roli nie zażąda rozszerzenia dla przypisania roli, administrator może rozszerzyć przypisanie w imieniu użytkownika. Rozszerzenia administracyjne przypisania roli nie wymagają zatwierdzenia, ale powiadomienia są wysyłane do wszystkich innych administratorów po rozszerzeniu roli.

Aby rozszerzyć przypisanie roli, przejdź do widoku roli zasobu lub przypisania w Privileged Identity Management. Znajdź przypisanie, które wymaga rozszerzenia. Następnie wybierz pozycję Rozszerz w kolumnie akcji.

Odnawianie przypisań ról

Chociaż koncepcyjnie podobny do procesu żądania rozszerzenia, proces odnawiania wygasłego przypisania roli jest inny. W razie potrzeby przypisania i administratorzy mogą odnowić dostęp do wygasłych ról.

Samodzielne odnawianie

Użytkownicy, którzy nie mogą już uzyskiwać dostępu do zasobów, mogą uzyskiwać dostęp do 30 dni historii wygasłych przypisań. W tym celu przechodzą do pozycji Moje role w okienku po lewej stronie, a następnie wybierają kartę Wygasłe role w sekcji Role zasobów platformy Azure.

Lista ról, które są wyświetlane jako domyślne dla kwalifikujących się ról. Użyj menu rozwijanego, aby przełączać się między uprawnionymi i aktywnymi przypisanymi rolami.

Aby zażądać odnowienia dla dowolnego z przypisań ról na liście, wybierz akcję Odnów . Następnie podaj przyczynę żądania. Warto podać czas trwania oprócz dodatkowego kontekstu lub uzasadnienia biznesowego, które może pomóc administratorowi zasobów zdecydować się na zatwierdzenie lub odmowę.

Po przesłaniu żądania administratorzy zasobów są powiadamiani o oczekującym żądaniu odnowienia przypisania roli.

Administracja zatwierdza

Administratorzy zasobów mogą uzyskać dostęp do żądania odnowienia z linku w powiadomieniu e-mail lub przez uzyskanie dostępu do Privileged Identity Management z Azure Portal i wybranie pozycji Zatwierdź żądania w okienku po lewej stronie.

Gdy administrator wybierze pozycję Zatwierdź lub Odmów, szczegóły żądania zostaną wyświetlone wraz z polem, aby podać uzasadnienie biznesowe dla dzienników inspekcji.

Podczas zatwierdzania żądania odnowienia przypisania roli administratorzy zasobów muszą wprowadzić nową datę rozpoczęcia, datę zakończenia i typ przypisania.

Administracja odnawianie

Administratorzy zasobów mogą odnawiać wygasłe przypisania ról z karty Członkowie w menu nawigacji po lewej stronie zasobu. Mogą również odnawiać wygasłe przypisania ról na karcie Wygasłe role roli zasobu.

Aby wyświetlić listę wszystkich wygasłych przypisań ról, na ekranie Członkowie wybierz pozycję Wygasłe role.

Następne kroki

• Zatwierdzanie lub odrzucanie żądań dotyczących ról zasobów platformy Azure w Privileged Identity Management
• Konfigurowanie ustawień roli zasobów platformy Azure w Privileged Identity Management