Utöka eller förnya Microsoft Entra-rolltilldelningar i Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM) tillhandahåller kontroller för att hantera åtkomst- och tilldelningslivscykeln för roller i Microsoft Entra-ID. Administratörer kan tilldela roller med hjälp av start- och slutdatumsegenskaper. När tilldelningsslutet närmar sig skickar Privileged Identity Management e-postaviseringar till de berörda användarna eller grupperna. Den skickar också e-postaviseringar till Microsoft Entra-administratörer för att säkerställa att lämplig åtkomst upprätthålls. Tilldelningar kan förnyas och vara synliga i ett utgånget tillstånd i upp till 30 dagar, även om åtkomsten inte utökas.
Vem kan förlänga och förnya?
Endast globala administratörer eller privilegierade rolladministratörer kan utöka eller förnya Microsoft Entra-rolltilldelningar. Den berörda användaren eller gruppen kan be om att utöka roller som snart upphör att gälla och begära att förnya roller som redan har upphört att gälla.
När skickas meddelanden?
Privileged Identity Management skickar e-postaviseringar till administratörer och berörda användare eller grupper av roller som upphör att gälla inom 14 dagar och en dag innan de upphör att gälla. Den skickar ett annat e-postmeddelande när en tilldelning upphör att gälla officiellt.
Administratörer får meddelanden när en användare eller grupp har tilldelats en förfallen eller förfallen rollbegäran om att utöka eller förnya. När en administratör löser en begäran som godkänd eller nekad meddelas alla andra administratörer om beslutet. Sedan meddelas den begärande användaren eller gruppen om beslutet.
Utöka rolltilldelningar
Följande steg beskriver processen för att begära, lösa eller administrera ett tillägg eller förnyelse av en rolltilldelning.
Självförlängande tilldelningar som upphör att gälla
Användare som har tilldelats en roll kan utöka rolltilldelningar som upphör att gälla direkt från fliken Berättigad eller Aktiv på sidan Mina roller , antingen under Microsoft Entra-roller eller från den översta sidan Mina roller i portalen för privileged Identity Management. I portalen kan användare begära att utöka kvalificerade eller aktiva (tilldelade) roller som upphör att gälla under de kommande 14 dagarna.
När tilldelningens slutdatum och tid är inom 14 dagar blir knappen utöka en aktiv länk i användargränssnittet. I följande exempel antar du att det aktuella datumet är den 27 mars.
Kommentar
För en grupp som tilldelats en roll blir länken Utöka aldrig tillgänglig så att en användare med en ärvd tilldelning inte kan utöka grupptilldelningen.
Om du vill begära ett tillägg för den här rolltilldelningen väljer du Utöka för att öppna formuläret för begäran.
Ange en orsak till tilläggsbegäran och välj sedan Utöka.
Kommentar
Vi rekommenderar att du tar med information om varför tillägget är nödvändigt och hur länge tillägget ska beviljas (om du har den här informationen).
Administratörer får ett e-postmeddelande för att granska tilläggsbegäran. Om en begäran om att utöka redan har skickats visas ett Azure-meddelande i portalen.
Gå till sidan Väntande begäranden om du vill visa status för din begäran eller avbryta den.
Administratörsgodkänt tillägg
När en användare eller grupp skickar en begäran om att utöka en rolltilldelning får administratörer ett e-postmeddelande som innehåller information om den ursprungliga tilldelningen och orsaken till begäran. Meddelandet innehåller en direktlänk till begäran om att administratören ska godkänna eller neka.
Förutom att använda följande länk från e-post kan administratörer godkänna eller neka begäranden genom att gå till administrationsportalen för privileged Identity Management och välja Godkänn begäranden i den vänstra rutan.
När en administratör väljer Godkänn eller Neka visas information om begäran, tillsammans med ett fält för att ange en affärsmotivering för granskningsloggarna.
När administratörer godkänner en begäran om att utöka rolltilldelningen kan de välja ett nytt startdatum, slutdatum och tilldelningstyp. Det kan vara nödvändigt att ändra tilldelningstyp om administratören vill ge begränsad åtkomst för att slutföra en viss uppgift (till exempel en dag). I det här exemplet kan administratören ändra tilldelningen från Berättigad till Aktiv. Det innebär att de kan ge åtkomst till beställaren utan att kräva att de aktiveras.
Administratörsinitierat tillägg
Om en användare som tilldelats en roll inte begär ett tillägg för rolltilldelningen kan en administratör utöka en tilldelning åt användaren. Administrativa tillägg för rolltilldelning kräver inte godkännande, men meddelanden skickas till alla andra administratörer när rollen har utökats.
Om du vill utöka en rolltilldelning bläddrar du till roll- eller tilldelningsvyn i Privileged Identity Management. Leta reda på tilldelningen som kräver ett tillägg. Välj sedan Utöka i åtgärdskolumnen.
Utöka rolltilldelningar med Hjälp av Microsoft Graph API
I följande begäran utökar en administratör en aktiv tilldelning med hjälp av Microsoft Graph API.
HTTP-begäran
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
HTTP-svar
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Förnya rolltilldelningar
Även om det konceptuellt liknar processen för att begära ett tillägg, skiljer sig processen för att förnya en rolltilldelning som har upphört att gälla. Med hjälp av följande steg kan tilldelningar och administratörer förnya åtkomsten till utgångna roller vid behov.
Förnya själv
Användare som inte längre kan komma åt resurser kan komma åt upp till 30 dagars tilldelningshistorik som har upphört att gälla. För att göra detta bläddrar de till Mina roller i den vänstra rutan och väljer sedan fliken Förfallna roller i avsnittet Microsoft Entra-roller.
Listan över roller som visas som standard för Berättigade roller. Välj Berättigade eller Aktiva tilldelade roller.
Om du vill begära förnyelse för någon av rolltilldelningarna i listan väljer du åtgärden Förnya . Ange sedan en orsak till begäran. Det är bra att ange en varaktighet utöver eventuella ytterligare kontexter eller en affärsmotivering som kan hjälpa administratören att avgöra om han eller hon ska godkänna eller neka.
När begäran har skickats meddelas administratörer om en väntande begäran om att förnya en rolltilldelning.
Administratören godkänner
Microsoft Entra-administratörer kan komma åt förnyelsebegäran från länken i e-postmeddelandet, eller genom att komma åt Privileged Identity Management från administrationscentret för Microsoft Entra och välja Godkänn begäranden i PIM.
När en administratör väljer Godkänn eller Neka visas information om begäran tillsammans med ett fält för att ange en affärsmotivering för granskningsloggarna.
När administratörer godkänner en begäran om att förnya rolltilldelningen måste de ange ett nytt startdatum, slutdatum och tilldelningstyp.
Förnya administratör
De kan också förnya förfallna rolltilldelningar från fliken Förfallna roller i en Microsoft Entra-roll. Om du vill visa en lista över alla rolltilldelningar som har upphört att gälla väljer du Förfallna roller på skärmen Tilldelningar.