Rozszerzanie lub odnawianie przypisań ról zasobów platformy Azure w usłudze Privileged Identity Management

Usługa Microsoft Entra Privileged Identity Management (PIM) udostępnia mechanizmy kontroli zarządzania cyklem życia dostępu i przypisywania zasobów platformy Azure. Administracja istratory mogą przypisywać role przy użyciu właściwości daty rozpoczęcia i zakończenia. Po zakończeniu przypisywania usługa Privileged Identity Management wysyła powiadomienia e-mail do użytkowników lub grup, których dotyczy problem. Wysyła również powiadomienia e-mail do administratorów zasobu, aby zapewnić utrzymanie odpowiedniego dostępu. Przypisania mogą być odnawiane i pozostają widoczne w stanie wygaśnięcia przez maksymalnie 30 dni, nawet jeśli dostęp nie zostanie rozszerzony.

KtoTo można rozszerzyć i odnowić?

Tylko administratorzy zasobu mogą rozszerzać lub odnawiać przypisania ról. Użytkownik lub grupa, której dotyczy problem, może zażądać rozszerzenia ról, które wkrótce wygasną, i zażądać odnowienia ról, które już wygasły.

Kiedy są wysyłane powiadomienia?

Usługa Privileged Identity Management wysyła powiadomienia e-mail do administratorów i dotkniętych użytkowników lub grup ról, które wygasają w ciągu 14 dni i jednego dnia przed wygaśnięciem. Wysyła dodatkową wiadomość e-mail po oficjalnym wygaśnięciu przypisania.

Administracja istratory otrzymują powiadomienia, gdy użytkownik lub grupa przypisał wygasające lub wygasłe żądania roli do rozszerzenia lub odnowienia. Po rozwiązaniu żądania przez określonego administratora wszyscy inni administratorzy są powiadamiani o decyzji o rozwiązaniu problemu (zatwierdzonej lub odrzuconej). Następnie żądanie użytkownika lub grupy jest powiadamiane o decyzji.

Rozszerzanie przypisań ról

W poniższych krokach opisano proces żądania, rozwiązywania lub administrowania rozszerzeniem lub odnawianiem przypisania roli.

Samodzielne rozszerzanie wygasających przypisań

Użytkownicy przypisani do roli mogą rozszerzać wygasające przypisania ról bezpośrednio z karty Kwalifikujące się lub Aktywne na stronie Moje role zasobu i na stronie Moje role w portalu Privileged Identity Management. W portalu użytkownicy mogą zażądać rozszerzenia kwalifikujących się lub aktywnych (przypisanych) ról, które wygasają w ciągu najbliższych 14 dni.

Gdy data zakończenia przypisania przypada w ciągu 14 dni, link do rozszerzenia staje się aktywny w centrum administracyjnym firmy Microsoft Entra. W poniższym przykładzie przyjęto założenie, że bieżąca data to 27 marca.

Uwaga

W przypadku grupy przypisanej do roli link Rozszerzanie nigdy nie staje się dostępny, aby użytkownik z dziedziczonego przypisania nie mógł rozszerzyć przypisania grupy.

Aby zażądać rozszerzenia tego przypisania roli, wybierz pozycję Rozszerz , aby otworzyć formularz żądania.

Aby wyświetlić informacje o oryginalnym przypisaniu, rozwiń węzeł Szczegóły przypisania. Wprowadź przyczynę żądania rozszerzenia, a następnie wybierz pozycję Rozszerz.

Uwaga

Zalecamy uwzględnienie szczegółowych informacji o tym, dlaczego rozszerzenie jest niezbędne, oraz o tym, jak długo powinno zostać przyznane rozszerzenie (jeśli masz te informacje).

W ciągu kilku minut administratorzy zasobów otrzymają powiadomienie e-mail z prośbą o przejrzenie żądania rozszerzenia. Jeśli żądanie rozszerzenia zostało już przesłane, w portalu zostanie wyświetlone powiadomienie platformy Azure.

Przejdź do strony Oczekujące żądania , aby wyświetlić stan żądania lub anulować je.

Administracja zatwierdzone rozszerzenie

Gdy użytkownik lub grupa przesyła żądanie rozszerzenia przypisania roli, administratorzy zasobów otrzymają powiadomienie e-mail zawierające szczegóły oryginalnego przypisania i przyczynę żądania. Powiadomienie zawiera bezpośredni link do żądania zatwierdzenia lub odmowy przez administratora.

Oprócz korzystania z poniższego linku z poczty e-mail administratorzy mogą zatwierdzać lub odrzucać żądania, przechodząc do portalu administracyjnego usługi Privileged Identity Management i wybierając pozycję Zatwierdź żądania w okienku po lewej stronie.

Gdy Administracja istrator wybierze pozycję Zatwierdź lub Odmów, zostaną wyświetlone szczegóły żądania wraz z polem, aby podać uzasadnienie biznesowe dla dzienników inspekcji.

Podczas zatwierdzania żądania rozszerzenia przypisania roli administratorzy zasobów mogą wybrać nową datę rozpoczęcia, datę zakończenia i typ przypisania. Zmiana typu przypisania może być konieczna, jeśli administrator chce zapewnić ograniczony dostęp do wykonania określonego zadania (na przykład jeden dzień). W tym przykładzie administrator może zmienić przypisanie z Kwalifikujące się na Aktywne. Oznacza to, że mogą oni zapewnić dostęp do osoby żądającej bez konieczności ich aktywowania.

rozszerzenie inicjowane przez Administracja

Jeśli użytkownik przypisany do roli nie zażąda rozszerzenia dla przypisania roli, administrator może rozszerzyć przypisanie w imieniu użytkownika. Administracja rozszerzenia przypisania roli nie wymagają zatwierdzenia, ale powiadomienia są wysyłane do wszystkich innych administratorów po rozszerzeniu roli.

Aby rozszerzyć przypisanie roli, przejdź do widoku roli zasobu lub przypisania w usłudze Privileged Identity Management. Znajdź przypisanie, które wymaga rozszerzenia. Następnie wybierz pozycję Rozszerz w kolumnie akcji.

Odnawianie przypisań ról

Chociaż koncepcyjnie podobny do procesu żądania rozszerzenia, proces odnawiania wygasłego przypisania roli jest inny. Korzystając z poniższych kroków, przypisania i administratorzy mogą odnawiać dostęp do wygasłych ról w razie potrzeby.

Samodzielne odnawianie

Użytkownicy, którzy nie mogą już uzyskiwać dostępu do zasobów, mogą uzyskać dostęp do 30 dni historii wygasłych przypisań. W tym celu przechodzą do pozycji Moje role w okienku po lewej stronie, a następnie wybierają kartę Wygasłe role w sekcji Role zasobów platformy Azure.

Lista ról wyświetlanych domyślnie na kwalifikujących się rolach. Użyj menu rozwijanego, aby przełączać się między rolami uprawnionymi i aktywnymi przypisanymi.

Aby zażądać odnowienia dowolnych przypisań ról na liście, wybierz akcję Odnów . Następnie podaj przyczynę żądania. Warto podać czas trwania oprócz dodatkowego kontekstu lub uzasadnienia biznesowego, które może pomóc administratorowi zasobów zdecydować się na zatwierdzenie lub odmowę.

Po przesłaniu żądania administratorzy zasobów są powiadamiani o oczekującym żądaniu odnowienia przypisania roli.

Administracja zatwierdza

Administratorzy zasobów mogą uzyskać dostęp do żądania odnowienia z linku w powiadomieniu e-mail lub przez uzyskanie dostępu do usługi Privileged Identity Management w witrynie Azure Portal i wybranie pozycji Zatwierdź żądania w okienku po lewej stronie.

Gdy administrator wybierze pozycję Zatwierdź lub Odmów, szczegóły żądania zostaną wyświetlone wraz z polem, aby podać uzasadnienie biznesowe dla dzienników inspekcji.

Podczas zatwierdzania żądania odnowienia przypisania roli administratorzy zasobów muszą wprowadzić nową datę rozpoczęcia, datę zakończenia i typ przypisania.

Administracja odnawianie

Administratorzy zasobów mogą odnawiać wygasłe przypisania ról z karty Członkowie w menu nawigacji po lewej stronie zasobu. Mogą również odnowić wygasłe przypisania ról na karcie Wygasłe role roli zasobu.

Aby wyświetlić listę wszystkich wygasłych przypisań ról, na ekranie Członkowie wybierz pozycję Wygasłe role.

Następne kroki

• Zatwierdzanie lub odrzucanie żądań dotyczących ról zasobów platformy Azure w usłudze Privileged Identity Management
• Konfigurowanie ustawień roli zasobów platformy Azure w usłudze Privileged Identity Management