在 Privileged Identity Management 中擴充或更新 Microsoft Entra 角色指派

  • 文章

Microsoft Entra Privileged Identity Management (PIM) 提供控件來管理 Microsoft Entra 標識符中角色的存取和指派生命週期。 管理員 istrators 可以使用開始和結束日期時間屬性來指派角色。 當指派結束時,Privileged Identity Management 會將電子郵件通知傳送給受影響的使用者或群組。 它也會傳送電子郵件通知給 Microsoft Entra 系統管理員,以確保維護適當的存取權。 即使未延長存取權,指派仍可能會更新,並維持在過期狀態長達 30 天。

神秘 可以延長和續約嗎?

只有 Global 管理員 istrators 或 Privileged Role administrators 可以擴充或更新 Microsoft Entra 角色指派。 受影響的使用者或群組可以要求擴充即將到期的角色,並要求更新已過期的角色。

何時傳送通知?

Privileged Identity Management 會將電子郵件通知傳送給系統管理員,以及受影響的使用者或角色群組,這些角色在到期前 14 天內和一天到期。 當指派正式到期時,它會傳送另一封電子郵件。

當使用者或群組指派到期或過期的角色要求以延長或更新時,管理員 istrators 會收到通知。 當系統管理員將要求解析為已核准或拒絕時,所有其他系統管理員都會收到決策的通知。 然後,要求的使用者或群組會收到決策的通知。

擴充角色指派

下列步驟概述要求、解析或管理角色指派延伸或更新的程式。

自我延長到期指派

指派給角色的使用者可以直接從 [我的角色] 頁面上的 [合格] 或 [作用中] 索引卷標,或從 Privileged Identity Management 入口網站的最上層 [我的角色] 頁面延伸過期的角色指派。 在入口網站中,使用者可以要求延長在未來 14 天內到期的合格或作用中(已指派)角色。

Microsoft Entra 角色 - [我的角色] 頁面會列出具有 [動作] 數據行的合格角色。

當指派結束日期和時間在14天內時,[擴充] 按鈕會變成使用者介面中的使用中連結。 在下列範例中,假設目前的日期為 3 月 27 日。

注意

對於指派給角色的群組,[擴充] 鏈接永遠不會變成可用,因此具有繼承指派的使用者無法擴充群組指派。

顯示動作數據行的螢幕快照,其中包含 [啟動] 或 [擴充] 連結。

若要要求此角色指派的延伸,請選取 [擴充 ] 以開啟要求窗體。

顯示 [擴充角色指派] 窗格與 [原因] 方塊的螢幕快照。

輸入擴充要求的原因,然後選取 [ 擴充]。

注意

建議您包含為何需要擴充功能的詳細數據,以及應授與延伸模組多久時間(如果您有此資訊)。

管理員 istrators 收到電子郵件通知,以檢閱延伸模組要求。 如果已提交擴充要求,Azure 通知會出現在入口網站中。

顯示通知的螢幕快照,說明已經有現有的暫止角色指派延伸模組。

移至 [ 擱置要求 ] 頁面,以檢視要求的狀態或取消要求。

顯示 Microsoft Entra 角色 - 擱置要求頁面的螢幕快照,其中列出任何擱置的要求,以及取消的連結。

管理員 核准的延伸模組

當使用者或群組提交擴充角色指派的要求時,系統管理員會收到電子郵件通知,其中包含原始指派的詳細數據,以及要求的原因。 通知包含系統管理員核准或拒絕要求的直接連結。

除了使用電子郵件中的下列連結之外,系統管理員還可以移至 Privileged Identity Management 系統管理入口網站,然後選取 左窗格中的 [核准要求] 來核准或拒絕要求

顯示 Microsoft Entra 角色 - 核准要求頁面的螢幕快照,其中列出要求,以及核准或拒絕的連結。

當 管理員 istrator 選取 [核准] 或 [拒絕] 時,會顯示要求的詳細數據,以及提供稽核記錄業務理由的字段。

顯示核准角色指派要求與要求者原因、指派類型、開始時間、結束時間和原因的螢幕快照。

核准擴充角色指派的要求時,系統管理員可以選擇新的開始日期、結束日期和指派類型。 如果系統管理員想要提供有限的存取權來完成特定工作,可能需要變更指派類型(例如一天)。 在此範例中,系統管理員可以將指派從 [合格 ] 變更為 [作用中]。 這表示他們可以提供要求者的存取權,而不需要啟用要求者。

管理員 起始的擴充功能

如果指派給角色的使用者未要求角色指派的延伸模組,系統管理員可以代表使用者擴充指派。 管理員 角色指派的擴充功能不需要核准,但在擴充角色之後,通知會傳送給所有其他系統管理員。

若要擴充角色指派,請流覽至 Privileged Identity Management 中的角色或指派檢視。 尋找需要擴充功能的指派。 然後選取動作數據行中的 [ 擴充 ]。

顯示 Microsoft Entra 角色 - 指派頁面的螢幕快照,其中列出具有擴充連結的合格角色。

使用 Microsoft Graph API 擴充角色指派

在下列要求中,系統管理員會使用 Microsoft Graph API 擴充使用中的指派。

HTTP 要求

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
 
{
    "action": "adminExtend",
    "justification": "TEST",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP 回應

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T16:18:36.3647674Z",
    "completedDateTime": "2022-05-13T16:18:40.0835993Z",
    "approvalId": null,
    "customData": null,
    "action": "adminExtend",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "justification": "TEST",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T16:18:40.0835993Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

更新角色指派

雖然在概念上類似於要求擴充的程式,但更新過期角色指派的程式不同。 使用下列步驟,指派和系統管理員可以在必要時更新過期角色的存取權。

自我更新

無法再存取資源的使用者可以存取最多 30 天的過期指派歷程記錄。 若要這樣做,他們會流覽至 左窗格中的 [我的角色 ],然後選取 [Microsoft Entra 角色] 區段中的 [過期角色 ] 索引卷標。

顯示 [我的角色] 頁面 - [過期角色] 索引卷標的螢幕快照。

顯示的角色清單預設為 合格角色。 選取 [合格] 或 [作用中指派的角色]。

若要要求清單中任何角色指派的續約,請選取 [ 更新] 動作。 然後提供要求的原因。 除了可協助系統管理員決定是否核准或拒絕的任何其他內容或業務理由之外,還要提供持續時間很有説明。

顯示 [更新角色指派] 窗格的螢幕快照,其中顯示 [原因] 方塊。

提交要求之後,系統管理員會收到更新角色指派的擱置要求通知。

管理員 核准

Microsoft Entra 系統管理員可以從電子郵件通知中的連結存取更新要求,或從 Microsoft Entra 系統管理中心存取 Privileged Identity Management,然後選取 [在 PIM 中核准要求 ]。

顯示 Microsoft Entra 角色 - 核准要求頁面列出要求和核准或拒絕鏈接的螢幕快照。

當系統管理員選取 [核准 ] 或 [拒絕] 時,要求的詳細數據會連同欄位一起顯示,以提供稽核記錄的商業理由。

顯示 [核准角色指派要求] 頁面的螢幕快照。

核准更新角色指派的要求時,系統管理員必須輸入新的開始日期、結束日期和指派類型。

管理員 更新

他們也可以從 Microsoft Entra 角色的 [過期角色] 索引標籤內 更新過期 的角色指派。 若要檢視所有過期角色指派的清單,請在 [ 指派 ] 畫面上,選取 [過期的角色]。

Microsoft Entra 角色 - 指派頁面的螢幕快照,其中列出更新連結的過期角色。

下一步