在 Privileged Identity Management 中擴充或更新 Azure 資源角色指派
Microsoft Entra Privileged Identity Management (PIM),提供控制來管理 Azure 資源的存取和指派生命週期。 管理員 istrators 可以使用開始和結束日期時間屬性來指派角色。 當指派結束時,Privileged Identity Management 會將電子郵件通知傳送給受影響的使用者或群組。 它也會將電子郵件通知傳送給資源的系統管理員,以確保維護適當的存取權。 即使未延長存取權,指派仍可能會更新,並維持在過期狀態長達 30 天。
神秘 可以延長和續約嗎?
只有資源的系統管理員可以擴充或更新角色指派。 受影響的使用者或群組可以要求擴充即將到期的角色,並要求更新已過期的角色。
何時傳送通知?
Privileged Identity Management 會將電子郵件通知傳送給系統管理員,以及受影響的使用者或角色群組,這些角色在到期前 14 天內和一天到期。 當指派正式到期時,它會傳送額外的電子郵件。
當使用者或群組指派到期或過期的角色要求來延長或更新時,管理員 istrators 會收到通知。 當特定系統管理員解決要求時,所有其他系統管理員都會收到解決方案決策的通知(已核准或拒絕)。 然後,要求的使用者或群組會收到決策的通知。
擴充角色指派
下列步驟概述要求、解析或管理角色指派延伸或更新的程式。
自我延長到期指派
指派給角色的使用者可以直接從資源 [我的角色] 頁面上的 [合格] 或 [作用中] 索引標籤,以及 Privileged Identity Management 入口網站的最上層 [我的角色] 頁面,擴充即將到期的角色指派。 在入口網站中,使用者可以要求延長在未來 14 天內到期的合格或作用中(已指派)角色。
![[我的角色] 頁面的螢幕快照,其中列出具有 [動作] 數據行的合格角色。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-ui.png)
當指派結束日期時間在14天內時,Extend的連結會在 Microsoft Entra 系統管理中心變成作用中。 在下列範例中,假設目前的日期為 3 月 27 日。
注意
對於指派給角色的群組,[擴充] 鏈接永遠不會變成可用,因此具有繼承指派的使用者無法擴充群組指派。
![動作數據行的螢幕快照,其中包含 [啟動] 或 [擴充] 連結。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-within-14.png)
若要要求此角色指派的延伸,請選取 [擴充 ] 以開啟要求窗體。
![[擴充角色指派] 窗格的螢幕快照,其中包含 [原因] 方塊。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-role-assignment-request.png)
若要檢視原始指派的相關信息,請展開 [指派詳細數據]。 輸入擴充要求的原因,然後選取 [ 擴充]。
注意
建議您包含為何需要擴充功能的詳細數據,以及應授與延伸模組多久時間(如果您有此資訊)。
![[擴充角色指派] 窗格的螢幕快照,其中已展開 [指派詳細數據]。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-form-complete.png)
在幾分鐘內,資源管理員會收到電子郵件通知,要求他們檢閱擴充功能要求。 如果已提交擴充要求,Azure 通知會出現在入口網站中。
移至 [ 擱置要求 ] 頁面,以檢視要求的狀態或取消要求。
管理員 核准的延伸模組
當使用者或群組提交擴充角色指派的要求時,資源管理員會收到包含原始指派詳細數據和要求原因的電子郵件通知。 通知包含系統管理員核准或拒絕要求的直接連結。
除了使用電子郵件中的下列連結之外,系統管理員還可以移至 Privileged Identity Management 系統管理入口網站,然後選取 左窗格中的 [核准要求] 來核准或拒絕要求 。
當 管理員 istrator 選取 [核准] 或 [拒絕] 時,會顯示要求的詳細數據,以及字段來提供稽核記錄的商業理由。
核准擴充角色指派的要求時,資源管理員可以選擇新的開始日期、結束日期和指派類型。 如果系統管理員想要提供有限的存取權來完成特定工作,可能需要變更指派類型(例如一天)。 在此範例中,系統管理員可以將指派從 [合格 ] 變更為 [作用中]。 這表示他們可以提供要求者的存取權,而不需要啟用要求者。
管理員 起始的擴充功能
如果指派給角色的使用者未要求角色指派的延伸模組,系統管理員可以代表使用者擴充指派。 管理員 角色指派的擴充功能不需要核准,但在擴充角色之後,通知會傳送給所有其他系統管理員。
若要擴充角色指派,請流覽至 Privileged Identity Management 中的資源角色或指派檢視。 尋找需要擴充功能的指派。 然後選取動作數據行中的 [ 擴充 ]。
更新角色指派
雖然在概念上類似於要求擴充的程式,但更新過期角色指派的程式不同。 使用下列步驟,指派和系統管理員可以在必要時更新過期角色的存取權。
自我更新
無法再存取資源的使用者可以存取最多 30 天的過期指派歷程記錄。 若要這樣做,他們會流覽至 左窗格中的 [我的角色 ],然後選取 [Azure 資源角色] 區段中的 [過期角色 ] 索引卷標。
![[我的角色] 頁面 - [過期角色] 索引卷標的螢幕快照。](media/pim-resource-roles-renew-extend/aadpim-rbac-renew-from-myroles.png)
顯示的角色清單預設為 合格角色。 使用下拉功能表,在 [合格] 和 [作用中] 指派的角色之間切換。
若要要求清單中任何角色指派的續約,請選取 [ 更新] 動作。 然後提供要求的原因。 除了任何其他內容或業務理由,可協助資源管理員決定核准或拒絕之外,也有助於提供持續時間。
![[更新角色指派] 窗格的螢幕快照,其中顯示 [原因] 方塊。](media/pim-resource-roles-renew-extend/aadpim-rbac-renew-request-form.png)
提交要求之後,資源管理員會收到擱置要求以更新角色指派的通知。
管理員 核准
資源管理員可以從電子郵件通知中的連結存取更新要求,或從 Azure 入口網站 存取 Privileged Identity Management,然後從左窗格中選取 [核准要求]。
當系統管理員選取 [核准 ] 或 [拒絕] 時,要求的詳細數據會連同欄位一起顯示,以提供稽核記錄的商業理由。
核准更新角色指派的要求時,資源管理員必須輸入新的開始日期、結束日期和指派類型。
管理員 續約
資源管理員可以從資源左側導覽功能表中的 [成員 ] 索引卷標更新過期的角色指派。 他們也可以從資源角色的 [過期 角色] 索引標籤內更新過期的角色指派。
若要檢視所有過期角色指派的清單,請在 [成員] 畫面上,選取 [已過期的角色]。
