Share via

Расширение или продление PIM для назначений групп

  • Статья

управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra предоставляет элементы управления для управления жизненным циклом доступа и назначения для членства в группах и владения. Администратор istrator могут назначать свойства времени начала и окончания для членства в группах и владения. Перед завершением срока назначения PIM отправляет уведомления по электронной почте всем пользователям или группам, которых это коснется. Также уведомления по электронной почте отправляются администраторам ресурса, чтобы они приняли меры для сохранения требуемого доступа. Назначения могут обновляться и оставаться видимыми в состоянии истечения срока действия до 30 дней, даже если доступ не продлен.

Кто может продлить и возобновить назначение

Только пользователи с разрешениями на управление группами могут расширить или продлить членство в группах или назначения с привязкой к времени владения. Пользователь или группа могут запросить продление назначений с истекающим сроком действия или возобновление назначений с уже истекшим сроком действия.

Группы с возможностью назначения ролей можно управлять глобальными Администратор istrator, привилегированными ролями Администратор istrator или владельцем группы. Группы, не назначаемые ролем, можно управлять глобальным Администратор istrator, записью каталогов, группами Администратор istrator, управлением удостоверениями Администратор istrator, пользователем Администратор istrator или владельцем группы. Назначения ролей для администраторов должны быть область на уровне каталога (а не на уровне Администратор istrative Unit).

Примечание.

Другие роли с разрешениями на управление группами (например, exchange Администратор istrator для групп, не назначаемых ролями) и администраторы с назначениями, область на уровне административного подразделения, могут управлять группами с помощью API групп или UX и переопределить изменения, внесенные в Microsoft Entra PIM.

Время отправки уведомлений

управление привилегированными пользователями отправляет Уведомления по электронной почте администраторам и затронутым пользователям PIM для назначений групп, которые истекают:

  • за 14 дней до истечения срока действия;
  • за один день до истечения срока действия;
  • в момент истечения срока действия назначения.

Администраторы получают уведомления, если пользователь или группа с назначением, у которого истекает или уже истек срок действия, запрашивают продление или возобновление. Когда администратор отвечает на такой запрос, все администраторы и запрашивающий пользователь получают уведомления об утверждении или отказе.

Продление назначений в группах

Ниже описан процесс запроса, разрешения или администрирования расширения или продления членства в группе или назначения владения.

Самостоятельные назначений с истекающим сроком действия

Пользователи, которым назначено членство в группах или владение, могут продлить срок действия назначений групп непосредственно на вкладке "Допустимые " или "Активные " на странице "Назначения " для группы. Пользователь или группа могут запросить продление допустимых и активных назначений, срок действия которых истекает в ближайшие 14 дней.

Screenshot of where to self-extend expiring assignments.

Когда до даты и времени окончания назначения останется 14 дней от текущего момента, станет доступной команда Продлить. Чтобы запросить продление такого назначения в группу, щелкните Продлить и заполните форму запроса.

Screenshot of where to extend group assignment pane with a Reason box and details.

Примечание.

Мы рекомендуем подробно описать, для чего требуется продление и на какой срок (если у вас есть такая информация).

Администратор istrator получает уведомление по электронной почте, запрашивающее, что они просматривают запрос на расширение. Если запрос на продление уже отправлен, на портале появится уведомление Azure.

Чтобы просмотреть состояние запроса или отменить его, откройте страницу Ожидающие запросы для назначения в группу.

Screenshot of the pending requests page showing the link to Cancel.

Расширение утверждено администратором

Когда пользователь или группа отправляют запрос на продление назначения в группу, администраторы получают по электронной почте уведомление с информацией об исходном назначении и причине запроса. Уведомление содержит прямую ссылку на утверждение или отклонение запроса для администратора.

Администраторы могут утвердить или отклонить запрос по ссылкам прямо из электронного письма или через портал администрирования Управления привилегированными пользователями, выбрав раздел Утверждение запросов на панели слева.

Screenshot of the approve requests page listing requests and links to approve or deny.

Когда администратор выбирает ссылку Утвердить или Отклонить, отображаются сведения о запросе и поле для бизнес-обоснования, которое будет сохранено в журналы аудита.

Screenshot of where to approve group assignment request with requestor reason, assignment type, start time, end time, and reason.

Утверждая запрос на продление назначения в группу, администраторы ресурсов могут выбрать новые даты начала и окончания срока действия, а также изменить тип назначения. Изменение типа назначения применяется в тех случаях, когда администратор предоставляет ограниченный доступ для выполнения конкретной задачи (например, на один день). В нашем примере администратор может изменить статус назначения с Доступно на Активно. Это означает, что запрашивающая сторона сразу получит указанный доступ, без необходимости активации.

Продление, инициированное администратором

Если назначенный в группу пользователь не запрашивает продление назначения в эту группу, администратор может самостоятельно продлить назначение от имени пользователя. Продление назначения в группу по инициативе администратора не требует дополнительного утверждения, но всем другим администраторам отправляется уведомление о продлении назначения.

Чтобы продлить назначение в группу, перейдите к представлению назначения в PIM. Найдите назначение, которое вы хотите продлить. Выберите Продлить в столбце действий.

Screenshot of the assignments page listing eligible group assignments with links to extend.

Возобновление назначений в группы

Логически возобновление назначения в группу мало чем отличается от продления, но процесс для назначения с уже истекшим сроком действия отличается существенно. Приведенные ниже шаги позволят администраторам возобновить доступ к назначениям с истекшим сроком действия, если это потребуется.

Самостоятельное продление

Пользователи, которым уже не предоставляется доступ к ресурсам, еще в течение 30 дней могут получить информацию об истечении срока действия назначения. Для этого нужно перейти к разделу Мои роли на панели слева, а затем выбрать вкладку Назначения с истекшим сроком действия.

В этом списке назначений по умолчанию отображаются Допустимые назначения. Откройте раскрывающееся меню, чтобы переключить режим отображения ("Доступные" или "Активные" назначения).

Чтобы запросить возобновление для любого из назначений в группу, представленных в этом списке, выберите действие Возобновить. Укажите также причину запроса. Рекомендуем указать продолжительность в дополнение к контексту или бизнес-обоснованию, которое поможет администратору ресурсов сделать выбор: утвердить или отклонить запрос.

После отправки запроса администраторы ресурсов получают уведомления об ожидающем запросе на возобновление назначения в группу.

Утверждение администратором

Администраторы ресурсов могут получить доступ к запросу на продление из ссылки в уведомлении электронной почты или путем доступа к управление привилегированными пользователями из Центра администрирования Microsoft Entra и выбрав "Утвердить запросы" в левой области.

Когда администратор выбирает Утвердить или Отклонить, сведения о запросе отображаются вместе с полем, чтобы предоставить бизнес-обоснование для журналов аудита.

При утверждении запроса на возобновление назначения в группу администраторы ресурсов должны указать новые даты начала и окончания и выбрать тип назначения.

Следующие шаги