Expandir ou renovar atribuições de funções de Azure AD no Privileged Identity Management
Privileged Identity Management (PIM) fornece controlos para gerir o ciclo de vida de acesso e atribuição de funções no Azure Active Directory (Azure AD), parte do Microsoft Entra. Os administradores podem atribuir funções com propriedades de data/hora de início e de fim. Quando o fim da atribuição se aproxima, Privileged Identity Management envia notificações por e-mail aos utilizadores ou grupos afetados. Também envia notificações por e-mail para Azure AD administradores para garantir que o acesso adequado é mantido. As atribuições podem ser renovadas e permanecer visíveis num estado expirado até 30 dias, mesmo que o acesso não seja prolongado.
Quem pode prolongar e renovar?
Apenas os Administradores Globais ou administradores de Funções Privilegiadas podem expandir ou renovar Azure AD atribuições de funções. O utilizador ou grupo afetado pode pedir para expandir funções que estão prestes a expirar e pedir para renovar funções que já expiraram.
Quando são enviadas as notificações?
Privileged Identity Management envia notificações por e-mail aos administradores e aos utilizadores ou grupos de funções afetados que expiram no prazo de 14 dias e um dia antes da expiração. Envia outro e-mail quando uma tarefa expira oficialmente.
Os administradores recebem notificações quando um utilizador ou grupo atribuiu um pedido de função expirado ou expirado para prolongar ou renovar. Quando um administrador resolve um pedido como aprovado ou negado, todos os outros administradores são notificados da decisão. Em seguida, o utilizador ou grupo que pede é notificado da decisão.
Expandir atribuições de funções
Os passos seguintes descrevem o processo de pedido, resolução ou administração de uma extensão ou renovação de uma atribuição de função.
Prolongar automaticmente as atribuições expiradas
Os utilizadores atribuídos a uma função podem expandir as atribuições de funções expiradas diretamente a partir do separador Elegível ou Ativo na página As minhas funções, quer em funções Azure AD, quer a partir da página De nível superior As minhas funções do portal Privileged Identity Management. No portal, os utilizadores podem pedir para expandir funções elegíveis ou ativas (atribuídas) que expiram nos próximos 14 dias.
Quando a data e hora de fim da atribuição são dentro de 14 dias, o botão Para Expandir torna-se uma ligação ativa na interface de utilizador. No exemplo seguinte, suponha que a data atual é 27 de março.
Nota
Para um grupo atribuído a uma função, a ligação Expandir nunca fica disponível para que um utilizador com uma atribuição herdada não possa expandir a atribuição de grupo.
Para pedir uma extensão desta atribuição de função, selecione Expandir para abrir o formulário de pedido.
Introduza um motivo para o pedido de extensão e, em seguida, selecione Expandir.
Nota
Recomendamos incluir os detalhes do motivo pelo qual a extensão é necessária e durante quanto tempo a extensão deve ser concedida (se tiver estas informações).
Os administradores recebem uma notificação por e-mail para rever o pedido de extensão. Se já tiver sido submetido um pedido de extensão, será apresentada uma notificação do Azure no portal.
Aceda à página Pedidos pendentes para ver o estado do seu pedido ou cancelá-lo.
Administração extensão aprovada
Quando um utilizador ou grupo submete um pedido para expandir uma atribuição de função, os administradores recebem uma notificação por e-mail que contém os detalhes da atribuição original e o motivo do pedido. A notificação inclui uma ligação direta para o pedido de aprovação ou negação do administrador.
Além de utilizar a seguinte ligação a partir do e-mail, os administradores podem aprovar ou negar pedidos acedendo ao portal de administração do Privileged Identity Management e selecionando Aprovar pedidos no painel esquerdo.
Quando um Administrador seleciona Aprovar ou Negar, os detalhes do pedido são apresentados, juntamente com um campo para fornecer uma justificação comercial para os registos de auditoria.
Ao aprovar um pedido para alargar a atribuição de funções, os administradores podem escolher uma nova data de início, data de fim e tipo de atribuição. A alteração do tipo de atribuição poderá ser necessária se o administrador quiser fornecer acesso limitado para concluir uma tarefa específica (por exemplo, um dia). Neste exemplo, o administrador pode alterar a atribuição de Elegível para Ativa. Isto significa que podem fornecer acesso ao requerente sem exigir que o mesmo seja ativado.
Administração extensão iniciada
Se um utilizador atribuído a uma função não pedir uma extensão para a atribuição de função, um administrador pode expandir uma atribuição em nome do utilizador. As extensões administrativas da atribuição de função não necessitam de aprovação, mas as notificações são enviadas a todos os outros administradores depois de a função ter sido expandida.
Para expandir uma atribuição de função, navegue para a função ou vista de atribuição no Privileged Identity Management. Localize a atribuição que requer uma extensão. Em seguida, selecione Expandir na coluna de ação.
Expandir atribuições de funções com o Microsoft Graph API
No pedido seguinte, um administrador expande uma atribuição ativa com o Microsoft Graph API.
Pedido HTTP
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
Resposta HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Renovar atribuições de funções
Embora conceptualmente semelhante ao processo de pedido de uma extensão, o processo de renovação de uma atribuição de função expirada é diferente. Com os seguintes passos, as atribuições e os administradores podem renovar o acesso a funções expiradas quando necessário.
Renovação automática
Os utilizadores que já não conseguem aceder aos recursos podem aceder até 30 dias do histórico de atribuições expirado. Para tal, navegam para As Minhas Funções no painel esquerdo e, em seguida, selecionam o separador Funções expiradas na secção Azure AD funções.
A lista de funções apresentadas é predefinida para Funções elegíveis. Selecione Funções atribuídas elegíveis ou ativas .
Para pedir a renovação de qualquer uma das atribuições de função na lista, selecione a ação Renovar . Em seguida, indique um motivo para o pedido. É útil fornecer uma duração para além de qualquer contexto adicional ou uma justificação comercial que possa ajudar o administrador a decidir se aprova ou nega.
Após o pedido ter sido submetido, os administradores são notificados de um pedido pendente para renovar uma atribuição de função.
Administração aprova
Azure AD administradores podem aceder ao pedido de renovação a partir da ligação na notificação por e-mail ou ao aceder a Privileged Identity Management a partir do portal do Azure e selecionar Aprovar pedidos no PIM.
Quando um administrador seleciona Aprovar ou Negar, os detalhes do pedido são apresentados juntamente com um campo para fornecer uma justificação comercial para os registos de auditoria.
Ao aprovar um pedido para renovar a atribuição de função, os administradores têm de introduzir uma nova data de início, data de fim e tipo de atribuição.
Administração renovar
Também podem renovar atribuições de funções expiradas a partir do separador Funções expiradas de uma função Azure AD. Para ver uma lista de todas as atribuições de funções expiradas, no ecrã Atribuições , selecione Funções expiradas.
