在 Privileged Identity Management 中延長或更新 Azure 資源角色指派
Microsoft Entra Privileged Identity Management (PIM) 會引進控制項,來管理 Azure 資源的存取權和指派生命週期。 管理員可以使用開始和結束日期/時間屬性來指派成員角色。 當指派的結束日期接近時,Privileged Identity Management 會傳送電子郵件通知給受影響的使用者或群組。 也會傳送電子郵件通知給資源的系統管理員,以確保能維護正確的存取權。 如果存取權未延長,指派可能會進行更新,而且仍會以過期狀態顯示長達 30 天。
誰可以延長和更新?
只有資源的管理員可以延長或更新角色指派。 受影響的使用者或群組可以要求延長即將過期的角色,以及要求更新已經過期的角色。
何時傳送通知?
Privileged Identity Management 會在到期的前 14 天和前一天,將電子郵件通知傳送給角色管理員及受影響的使用者或群組。 當指派正式到期時,會傳送額外的電子郵件。
當即將過期或已過期角色的使用者或群組要求延長或更新時,管理員就會收到通知。 當特定管理員解決要求時,所有其他管理員會獲知解決決策 (核准或拒絕)。 接著,要求使用者或群組也會獲知決策。
延長角色指派
下列步驟會概述要求程序、解決或管理角色指派延長或更新。
自行擴充即將到期的指派
指派給角色的使用者可以直接從資源的 [我的角色] 頁面上的 [合格] 或 [有效] 索引標籤以及從 Privileged Identity Management 入口網站的最上層 [我的角色] 頁面,延長即將過期的角色指派。 在入口網站中,使用者可以要求延長在 14 天後過期的合格或有效 (已指派) 角色。
![[我的角色] 頁面螢幕擷取畫面,其中列出具有 [動作] 資料行的合格角色。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-ui.png)
如果指派結束日期/時間在 14 天內,則 [延長] 連結會在 Microsoft Entra 系統管理中心中變為有效。 在下列範例中,假設目前日期為 3 月 27 日。
注意
針對指派給角色的群組,[延長] 連結永遠無法使用,因此具有繼承指派的使用者無法延長群組指派。
![具有「啟用」或「延長」連結的 [動作] 資料行螢幕擷取畫面。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-within-14.png)
若要要求延長此角色指派,請選取 [延長] 來開啟要求表單。
![具有 [原因] 方塊的 [延伸角色指派] 窗格螢幕擷取畫面。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-role-assignment-request.png)
若要檢視原始指派相關資訊,請展開 [指派詳細資料]。 輸入延長要求的原因,然後選取 [延長]。
注意
建議包含為何需要延長的詳細資料,以及應該給予多久的延長 (如果您有此資訊的話)。
![已展開 [指派詳細資料] 的 [延伸角色指派] 窗格的螢幕擷取畫面。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-form-complete.png)
過了一會兒,資源管理員會收到電子郵件通知,要求他們檢閱延長要求。 如果已提交要延長的要求,入口網站中會出現 Azure 通知。
請移至 [擱置要求] 頁面,以檢視要求狀態或取消要求。
![Azure 資源的螢幕擷取畫面 - [待決的要求] 頁面,其中列出所有待決的要求及取消的連結。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-cancel-request.png)
系統管理員核准的延伸模組
當使用者或群組提交延長角色指派的要求時,資源管理員會收到電子郵件通知,其中包含原始指派的詳細資訊以及要求的原因。 通知包含可供管理員核准或拒絕要求的直接連結。
除了遵循電子郵件中的連結,管理員可以前往 Privileged Identity Management 管理入口網站並從左側窗格中選取 [核准要求],以核准或拒絕要求。
![Azure 資源的螢幕擷取畫面 - [核准要求] 頁面,其中列出要核准或拒絕的要求和連結。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-admin-approve-grid.png)
當管理員選取 [核准] 或 [拒絕] 時,要求的詳細資料會顯示,連同一個可提供業務理由作為稽核記錄的欄位。
資源管理員在核准延長角色指派的要求時,可以選擇新的開始日期、結束日期和指派類型。 如果管理員想要提供有限的存取權來完成特定工作 (例如一天),則可能需要變更指派類型。 在此範例中,管理員可將指派從 [合格] 變更為 [有效]。 這表示他們可以提供存取權給要求者,而不用要求他們啟用。
管理員起始的延長
如果指派給角色的使用者不會要求角色指派的延長,則管理員可以代表使用者延長指派。 角色指派的管理延長不需要核准,但系統會在角色延長時,傳送通知給所有其他管理員。
若要擴充角色指派,請瀏覽至 Privileged Identity Management 中的資源角色或指派查看。 尋找需要擴充的指派。 然後在動作欄中選取 [延長]。
![Azure 資源的螢幕擷取畫面 - [指派] 頁面,其中列出合格角色及延伸的連結。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-admin-extend.png)
更新角色指派
雖然在概念上類似要求延長的程序,但更新已過期角色指派的程序其實不同。 使用下列步驟,指派和管理員即可視需要更新已過期角色的存取權。
自我更新
無法再存取資源的使用者可以存取到期的指派歷程記錄達 30 天。 若要這樣做,請瀏覽至左側窗格中的 [我的角色],然後選取 Azure 資源角色區段中的 [到期的角色]。
![[我的角色] 頁面的螢幕擷取畫面 - [到期的角色] 索引標籤。](media/pim-resource-roles-renew-extend/aadpim-rbac-renew-from-myroles.png)
顯示的角色清單會預設為 [合格角色]。 使用下拉式功能表來切換 [合格] 與 [有效] 指派的角色。
若要要求更新清單中的任何角色指派,請選取 [更新] 動作。 然後提供要求的原因。 除了可協助資源系統管理員決定核准或拒絕的任何其他內容或業務理由之外,還有助於提供持續時間。
![顯示 [原因] 方塊的 [更新角色指派] 窗格的螢幕擷取畫面。](media/pim-resource-roles-renew-extend/aadpim-rbac-renew-request-form.png)
提交要求後,資源管理員會獲知更新角色指派的要求擱置。
管理員核准
資源管理員可以從電子郵件通知中的連結,或藉由從 Azure 入口網站存取 Privileged Identity Management 並從左側窗格中選取 [核准要求],進而存取更新要求。
當管理員選取 [核准] 或 [拒絕] 時,要求的詳細資料會顯示,連同一個可提供業務理由作為稽核記錄的欄位。
資源管理員在核准更新角色指派的要求時,必須輸入新的開始日期、結束日期和指派類型。
管理員更新
資源管理員可以從資源左側導覽功能表中的 [成員] 索引標籤,更新已過期的角色指派。 他們也可從資源角色的 [到期的角色] 索引標籤內,更新已過期的角色指派。
若要檢視所有已過期的角色指派清單,請從 [成員] 畫面中選取 [到期的角色]。
![Azure 資源的螢幕擷取畫面 - [成員] 頁面,其中列出到期的角色及更新的連結。](media/pim-resource-roles-renew-extend/aadpim-rbac-renew-from-member-blade.png)
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: