Utöka eller förnya Microsoft Entra-rolltilldelningar i Privileged Identity Management

  • Artikel

Microsoft Entra Privileged Identity Management (PIM) tillhandahåller kontroller för att hantera åtkomst- och tilldelningslivscykeln för roller i Microsoft Entra-ID. Administratörer kan tilldela roller med hjälp av start- och slutdatumsegenskaper. När tilldelningsslutet närmar sig skickar Privileged Identity Management e-postaviseringar till de berörda användarna eller grupperna. Den skickar också e-postaviseringar till Microsoft Entra-administratörer för att säkerställa att lämplig åtkomst upprätthålls. Tilldelningar kan förnyas och vara synliga i ett utgånget tillstånd i upp till 30 dagar, även om åtkomsten inte utökas.

Vem kan utöka och förnya?

Endast globala administratörer eller privilegierade rolladministratörer kan utöka eller förnya Microsoft Entra-rolltilldelningar. Den berörda användaren eller gruppen kan be om att utöka roller som snart upphör att gälla och begära att förnya roller som redan har upphört att gälla.

När skickas meddelanden?

Privileged Identity Management skickar e-postaviseringar till administratörer och berörda användare eller grupper av roller som upphör att gälla inom 14 dagar och en dag innan de upphör att gälla. Den skickar ett annat e-postmeddelande när en tilldelning upphör att gälla officiellt.

Administratörer får meddelanden när en användare eller grupp har tilldelats en förfallen eller förfallen rollbegäran om att utöka eller förnya. När en administratör löser en begäran som godkänd eller nekad meddelas alla andra administratörer om beslutet. Sedan meddelas den begärande användaren eller gruppen om beslutet.

Utöka rolltilldelningar

Följande steg beskriver processen för att begära, lösa eller administrera ett tillägg eller förnyelse av en rolltilldelning.

Självförlängande tilldelningar som upphör att gälla

Användare som har tilldelats en roll kan utöka rolltilldelningar som upphör att gälla direkt från fliken Berättigad eller Aktivsidan Mina roller , antingen under Microsoft Entra-roller eller från den översta sidan Mina roller i portalen för privileged Identity Management. I portalen kan användare begära att utöka kvalificerade eller aktiva (tilldelade) roller som upphör att gälla under de kommande 14 dagarna.

Microsoft Entra-roller – Sidan Mina roller visar berättigade roller med en åtgärdskolumn.

När tilldelningens slutdatum och tid är inom 14 dagar blir knappen utöka en aktiv länk i användargränssnittet. I följande exempel antar du att det aktuella datumet är den 27 mars.

Kommentar

För en grupp som tilldelats en roll blir länken Utöka aldrig tillgänglig så att en användare med en ärvd tilldelning inte kan utöka grupptilldelningen.

Skärmbild som visar åtgärdskolumnen med länkar till Aktivera eller Utöka.

Om du vill begära ett tillägg för den här rolltilldelningen väljer du Utöka för att öppna formuläret för begäran.

Skärmbild som visar fönstret utöka rolltilldelning med en orsaksruta.

Ange en orsak till tilläggsbegäran och välj sedan Utöka.

Kommentar

Vi rekommenderar att du tar med information om varför tillägget är nödvändigt och hur länge tillägget ska beviljas (om du har den här informationen).

Administratörer får ett e-postmeddelande för att granska tilläggsbegäran. Om en begäran om att utöka redan har skickats visas ett Azure-meddelande i portalen.

Skärmbild som visar meddelande som förklarar att det redan finns ett befintligt väntande rolltilldelningstillägg.

Gå till sidan Väntande begäranden om du vill visa status för din begäran eller avbryta den.

Skärmbild som visar Microsoft Entra-roller – sidan Väntande begäranden med en lista över väntande begäranden och en länk till Avbryt.

Administratörsgodkänt tillägg

När en användare eller grupp skickar en begäran om att utöka en rolltilldelning får administratörer ett e-postmeddelande som innehåller information om den ursprungliga tilldelningen och orsaken till begäran. Meddelandet innehåller en direktlänk till begäran om att administratören ska godkänna eller neka.

Förutom att använda följande länk från e-post kan administratörer godkänna eller neka begäranden genom att gå till administrationsportalen för privileged Identity Management och välja Godkänn begäranden i den vänstra rutan.

Skärmbild som visar Microsoft Entra-roller – Godkänna begärandens sida med begäranden och länkar för att godkänna eller neka.

När en administratör väljer Godkänn eller Neka visas information om begäran, tillsammans med ett fält för att ange en affärsmotivering för granskningsloggarna.

Skärmbild som visar begäran om att godkänna rolltilldelning med begärandeorsak, tilldelningstyp, starttid, sluttid och orsak.

När administratörer godkänner en begäran om att utöka rolltilldelningen kan de välja ett nytt startdatum, slutdatum och tilldelningstyp. Det kan vara nödvändigt att ändra tilldelningstyp om administratören vill ge begränsad åtkomst för att slutföra en viss uppgift (till exempel en dag). I det här exemplet kan administratören ändra tilldelningen från Berättigad till Aktiv. Det innebär att de kan ge åtkomst till beställaren utan att kräva att de aktiveras.

Administratörsinitierat tillägg

Om en användare som tilldelats en roll inte begär ett tillägg för rolltilldelningen kan en administratör utöka en tilldelning åt användaren. Administrativa tillägg för rolltilldelning kräver inte godkännande, men meddelanden skickas till alla andra administratörer när rollen har utökats.

Om du vill utöka en rolltilldelning bläddrar du till roll- eller tilldelningsvyn i Privileged Identity Management. Leta reda på tilldelningen som kräver ett tillägg. Välj sedan Utöka i åtgärdskolumnen.

Skärmbild som visar Microsoft Entra-roller – Sidan Tilldelningar som visar berättigade roller med länkar för att utöka.

Utöka rolltilldelningar med Hjälp av Microsoft Graph API

I följande begäran utökar en administratör en aktiv tilldelning med hjälp av Microsoft Graph API.

HTTP-begäran

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
 
{
    "action": "adminExtend",
    "justification": "TEST",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP-svar

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T16:18:36.3647674Z",
    "completedDateTime": "2022-05-13T16:18:40.0835993Z",
    "approvalId": null,
    "customData": null,
    "action": "adminExtend",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "justification": "TEST",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T16:18:40.0835993Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Förnya rolltilldelningar

Även om det konceptuellt liknar processen för att begära ett tillägg, skiljer sig processen för att förnya en rolltilldelning som har upphört att gälla. Med hjälp av följande steg kan tilldelningar och administratörer förnya åtkomsten till utgångna roller vid behov.

Förnya själv

Användare som inte längre kan komma åt resurser kan komma åt upp till 30 dagars tilldelningshistorik som har upphört att gälla. För att göra detta bläddrar de till Mina roller i den vänstra rutan och väljer sedan fliken Förfallna roller i avsnittet Microsoft Entra-roller.

Skärmbild som visar fliken Mina roller – Utgångna roller.

Listan över roller som visas som standard för Berättigade roller. Välj Berättigade eller Aktiva tilldelade roller.

Om du vill begära förnyelse för någon av rolltilldelningarna i listan väljer du åtgärden Förnya . Ange sedan en orsak till begäran. Det är bra att ange en varaktighet utöver eventuella ytterligare kontexter eller en affärsmotivering som kan hjälpa administratören att avgöra om han eller hon ska godkänna eller neka.

Skärmbild som visar fönstret Förnya rolltilldelning med rutan Orsak.

När begäran har skickats meddelas administratörer om en väntande begäran om att förnya en rolltilldelning.

Administratören godkänner

Microsoft Entra-administratörer kan komma åt förnyelsebegäran från länken i e-postmeddelandet, eller genom att komma åt Privileged Identity Management från administrationscentret för Microsoft Entra och välja Godkänn begäranden i PIM.

Skärmbild som visar Microsoft Entra-rollerna – Godkänna begärandens sida med begäranden och länkar för att godkänna eller neka.

När en administratör väljer Godkänn eller Neka visas information om begäran tillsammans med ett fält för att ange en affärsmotivering för granskningsloggarna.

Skärmbild som visar sidan Godkänn rolltilldelningsbegäran.

När administratörer godkänner en begäran om att förnya rolltilldelningen måste de ange ett nytt startdatum, slutdatum och tilldelningstyp.

Förnya administratör

De kan också förnya förfallna rolltilldelningar från fliken Förfallna roller i en Microsoft Entra-roll. Om du vill visa en lista över alla rolltilldelningar som har upphört att gälla väljer du Förfallna rollerskärmen Tilldelningar.

Skärmbild av Sidan Microsoft Entra-roller – Tilldelningar som visar utgångna roller med länkar för förnyelse.

Nästa steg