Utöka eller förnya Azure-resursrolltilldelningar i Privileged Identity Management

  • Artikel

Microsoft Entra Privileged Identity Management (PIM) tillhandahåller kontroller för att hantera åtkomst- och tilldelningslivscykeln för Azure-resurser. Administratörer kan tilldela roller med hjälp av start- och slutdatumsegenskaper. När tilldelningsslutet närmar sig skickar Privileged Identity Management e-postaviseringar till de berörda användarna eller grupperna. Den skickar också e-postaviseringar till resursadministratörer för att säkerställa att lämplig åtkomst upprätthålls. Tilldelningar kan förnyas och vara synliga i ett utgånget tillstånd i upp till 30 dagar, även om åtkomsten inte utökas.

Vem kan utöka och förnya?

Endast administratörer av resursen kan utöka eller förnya rolltilldelningar. Den berörda användaren eller gruppen kan begära att utöka roller som snart upphör att gälla och begära att förnya roller som redan har upphört att gälla.

När skickas meddelanden?

Privileged Identity Management skickar e-postaviseringar till administratörer och berörda användare eller grupper av roller som upphör att gälla inom 14 dagar och en dag innan de upphör att gälla. Den skickar ytterligare ett e-postmeddelande när en tilldelning upphör att gälla officiellt.

Administratörer får meddelanden när en användare eller grupp har tilldelats en förfallen eller förfallen rollbegäran om att utöka eller förnya. När en specifik administratör löser begäran meddelas alla andra administratörer om resolutionsbeslutet (godkänt eller nekat). Sedan meddelas den begärande användaren eller gruppen om beslutet.

Utöka rolltilldelningar

Följande steg beskriver processen för att begära, lösa eller administrera ett tillägg eller förnyelse av en rolltilldelning.

Självförlängande tilldelningar som upphör att gälla

Användare som har tilldelats en roll kan utöka rolltilldelningar som upphör att gälla direkt från fliken Berättigad eller Aktivsidan Mina roller för en resurs och från den översta sidan Mina roller i portalen För privilegierad identitetshantering. I portalen kan användare begära att utöka kvalificerade eller aktiva (tilldelade) roller som upphör att gälla under de kommande 14 dagarna.

Skärmbild av sidan Mina roller som visar berättigade roller med en åtgärdskolumn.

När tilldelningens slutdatum är inom 14 dagar blir länken till Utöka aktiv i administrationscentret för Microsoft Entra. I följande exempel antar du att det aktuella datumet är den 27 mars.

Kommentar

För en grupp som tilldelats en roll blir länken Utöka aldrig tillgänglig så att en användare med en ärvd tilldelning inte kan utöka grupptilldelningen.

Skärmbild av åtgärdskolumnen med länkar till Aktivera eller Utöka.

Om du vill begära ett tillägg för den här rolltilldelningen väljer du Utöka för att öppna formuläret för begäran.

Skärmbild av fönstret Utöka rolltilldelning med en orsaksruta.

Om du vill visa information om den ursprungliga tilldelningen expanderar du Tilldelningsinformation. Ange en orsak till tilläggsbegäran och välj sedan Utöka.

Kommentar

Vi rekommenderar att du tar med information om varför tillägget är nödvändigt och hur länge tillägget ska beviljas (om du har den här informationen).

Skärmbild av fönstret Utöka rolltilldelning med tilldelningsinformation utökad.

Om en stund får resursadministratörer ett e-postmeddelande där de uppmanas att granska tilläggsbegäran. Om en begäran om att utöka redan har skickats visas ett Azure-meddelande i portalen.

Skärmbild av ett meddelande som förklarar att det redan finns ett befintligt tillägg för väntande rolltilldelning.

Gå till sidan Väntande begäranden om du vill visa status för din begäran eller avbryta den.

Skärmbild av Azure-resurser – Sidan Väntar på begäranden med en lista över väntande begäranden och en länk till Avbryt.

Administratörsgodkänt tillägg

När en användare eller grupp skickar en begäran om att utöka en rolltilldelning får resursadministratörerna ett e-postmeddelande som innehåller information om den ursprungliga tilldelningen och orsaken till begäran. Meddelandet innehåller en direktlänk till begäran om att administratören ska godkänna eller neka.

Förutom att använda följande länk från e-post kan administratörer godkänna eller neka begäranden genom att gå till administrationsportalen för privileged Identity Management och välja Godkänn begäranden i den vänstra rutan.

Skärmbild av Azure-resurser – Godkänna begärandens sida med begäranden och länkar för att godkänna eller neka.

När en administratör väljer Godkänn eller Neka visas information om begäran, tillsammans med ett fält för att ange en affärsmotivering för granskningsloggarna.

Skärmbild av Godkänn begäran om rolltilldelning med begärandeorsak, tilldelningstyp, starttid, sluttid och orsak.

När du godkänner en begäran om att utöka rolltilldelningen kan resursadministratörer välja ett nytt startdatum, slutdatum och tilldelningstyp. Det kan vara nödvändigt att ändra tilldelningstyp om administratören vill ge begränsad åtkomst för att slutföra en viss uppgift (till exempel en dag). I det här exemplet kan administratören ändra tilldelningen från Berättigad till Aktiv. Det innebär att de kan ge åtkomst till beställaren utan att kräva att de aktiveras.

Administratörsinitierat tillägg

Om en användare som tilldelats en roll inte begär ett tillägg för rolltilldelningen kan en administratör utöka en tilldelning åt användaren. Administrativa tillägg för rolltilldelning kräver inte godkännande, men meddelanden skickas till alla andra administratörer när rollen har utökats.

Om du vill utöka en rolltilldelning bläddrar du till resursrollen eller tilldelningsvyn i Privileged Identity Management. Leta reda på tilldelningen som kräver ett tillägg. Välj sedan Utöka i åtgärdskolumnen.

Skärmbild av Azure-resurser – sidan tilldelningar som visar berättigade roller med länkar för att utöka.

Förnya rolltilldelningar

Även om det konceptuellt liknar processen för att begära ett tillägg, skiljer sig processen för att förnya en rolltilldelning som har upphört att gälla. Med hjälp av följande steg kan tilldelningar och administratörer förnya åtkomsten till utgångna roller vid behov.

Förnya själv

Användare som inte längre kan komma åt resurser kan komma åt upp till 30 dagars tilldelningshistorik som har upphört att gälla. För att göra detta bläddrar de till Mina roller i den vänstra rutan och väljer sedan fliken Förfallna roller i avsnittet Azure-resursroller.

Skärmbild av sidan Mina roller – fliken Förfallna roller.

Listan över roller som visas som standard för Berättigade roller. Använd den nedrullningsbara menyn för att växla mellan berättigade och aktiva tilldelade roller.

Om du vill begära förnyelse för någon av rolltilldelningarna i listan väljer du åtgärden Förnya . Ange sedan en orsak till begäran. Det är bra att ange en varaktighet utöver eventuella ytterligare kontexter eller en affärsmotivering som kan hjälpa resursadministratören att besluta att godkänna eller neka.

Skärmbild av fönstret Förnya rolltilldelning som visar rutan Orsak.

När begäran har skickats meddelas resursadministratörer om en väntande begäran om att förnya en rolltilldelning.

Administratören godkänner

Resursadministratörer kan komma åt förnyelsebegäran från länken i e-postmeddelandet eller genom att komma åt Privileged Identity Management från Azure-portalen och välja Godkänn begäranden i den vänstra rutan.

Skärmbild av Azure-resurser – Godkänna begärandens sida med begäranden och länkar för att godkänna eller neka.

När en administratör väljer Godkänn eller Neka visas information om begäran tillsammans med ett fält för att ange en affärsmotivering för granskningsloggarna.

Skärmbild av Godkänn begäran om rolltilldelning med begärandeorsak, tilldelningstyp, starttid, sluttid och orsak.

När du godkänner en begäran om att förnya rolltilldelningen måste resursadministratörer ange ett nytt startdatum, slutdatum och tilldelningstyp.

Förnya administratör

Resursadministratörer kan förnya förfallna rolltilldelningar från fliken Medlemmar i den vänstra navigeringsmenyn för en resurs. De kan också förnya utgångna rolltilldelningar från fliken Förfallna roller i en resursroll.

Om du vill visa en lista över alla rolltilldelningar som har upphört att gälla väljer du Förfallna rollerskärmen Medlemmar.

Skärmbild av Azure-resurser – sidan Medlemmar visar roller som har upphört att gälla med länkar för att förnya.

Nästa steg