擴充或更新群組指派的 PIM

  • 發行項

Microsoft Entra ID 中的 Privileged Identity Management (PIM) 提供控制項來管理群組成員資格和擁有權的存取和指派生命週期。 管理員istrators 可以指派群組成員資格和擁有權的開始和結束日期時間屬性。 當指派結束時,Privileged Identity Management 會將電子郵件通知傳送給受影響的使用者或群組。 它也會將電子郵件通知傳送給資源的系統管理員,以確保維護適當的存取權。 即使存取未延長,指派仍可能會更新,且維持在過期狀態長達 30 天。

神秘可以延長和續約

只有具有管理群組許可權的使用者才能擴充或更新群組成員資格或擁有權時間限制指派。 受影響的使用者或群組可以要求延長即將到期的指派,並要求更新已過期的指派。

可指派角色的群組可由全域管理員istrator、Privileged Role 管理員istrator 或群組的擁有者管理。 不可指派角色的群組可由全域管理員istrator、目錄寫入器、群組管理員istrator、Identity Governance 管理員istrator、User 管理員istrator 或群組的擁有者管理。 系統管理員的角色指派應限定于目錄層級(而不是管理員單位層級)。

注意

具有管理群組許可權的其他角色(例如非角色可指派 M365 群組的 Exchange 管理員istrators)和具有管理單位層級指派指派的系統管理員可以透過群組 API/UX 來管理群組,並覆寫 Microsoft Entra PIM 中所做的變更。

傳送通知時

Privileged Identity Management 會針對即將到期的群組指派,將電子郵件通知傳送給系統管理員和受影響的 PIM 使用者:

  • 到期前 14 天內
  • 到期前一天
  • 工作分派到期時

當使用者或群組要求延長或續約過期或過期指派時,管理員istrators 會收到通知。 當系統管理員解析要求時,所有系統管理員和要求的使用者都會收到核准或拒絕的通知。

擴充群組指派

下列步驟概述要求、解析或管理群組成員資格或擁有權指派的延伸或更新的程式。

自我延長到期指派

使用者指派的群組成員資格或擁有權可以直接從群組的 [指派] 頁面上的 [合格 ] 或 [作用 中] 索引標籤延伸過期的群組指派 使用者或群組可以要求延長在未來 14 天內到期的合格和作用中指派。

Screenshot of where to self-extend expiring assignments.

當指派結束日期時間在 14 天內時, 即可使用 Extend 命令。 若要要求群組指派的延伸,請選取 [擴充 ] 以開啟要求表單。

Screenshot of where to extend group assignment pane with a Reason box and details.

注意

建議您包含為何需要擴充功能的詳細資料,以及應授與延伸模組多久時間(如果您有此資訊)。

管理員istrators 收到電子郵件通知,要求他們檢閱延伸模組要求。 如果已提交擴充要求,Azure 通知會出現在入口網站中。

若要檢視或取消要求的狀態,請開啟 群組指派的 [擱置要求 ] 頁面。

Screenshot of the pending requests page showing the link to Cancel.

管理員核准的延伸模組

當使用者或群組提交擴充群組指派的要求時,系統管理員會收到包含原始指派詳細資料和要求原因的電子郵件通知。 通知包含系統管理員核准或拒絕要求的直接連結。

除了使用電子郵件中的下列連結之外,系統管理員還可以移至 Privileged Identity Management 系統管理入口網站,然後選取 左窗格中的 [核准要求] 來核准或拒絕要求

Screenshot of the approve requests page listing requests and links to approve or deny.

當管理員istrator 選取 [核准 ] 或 [拒絕 ] 時,會顯示要求的詳細資料,以及欄位來提供稽核記錄的商業理由。

Screenshot of where to approve group assignment request with requestor reason, assignment type, start time, end time, and reason.

核准擴充群組指派的要求時,資源管理員可以選擇新的開始日期、結束日期和指派類型。 如果系統管理員想要提供有限的存取權來完成特定工作,可能需要變更指派類型(例如一天)。 在此範例中,系統管理員可以將指派從 [合格 ] 變更為 [作用中 ]。 這表示他們可以提供要求者的存取權,而不需要啟用要求者。

管理員起始的擴充功能

如果指派給群組的使用者未要求群組指派的延伸模組,系統管理員可以代表使用者延伸指派。 管理員群組指派的延伸模組不需要核准,但在指派延長之後,通知會傳送給所有其他系統管理員。

若要擴充群組指派,請流覽至 Privileged Identity Management 中的指派檢視。 尋找需要擴充功能的指派。 然後選取動作資料行中的 [ 擴充 ]。

Screenshot of the assignments page listing eligible group assignments with links to extend.

更新群組指派

雖然在概念上類似于要求擴充的程式,但更新過期群組指派的程式不同。 使用下列步驟,指派和系統管理員可以在必要時更新過期指派的存取權。

自我更新

無法再存取資源的使用者可以存取最多 30 天的過期指派歷程記錄。 若要這樣做,他們會流覽至 左窗格中的 [我的角色 ],然後選取 [ 過期的工作分派] 索引 標籤。

[合格指派] 的指派清單預設為 [符合資格] 指派。 使用下拉式功能表,在 [合格] 和 [作用中指派] 之間切換。

若要要求清單中任何群組指派的續約,請選取 [ 更新] 動作。 然後提供要求的原因。 除了任何其他內容或業務理由,可協助資源管理員決定核准或拒絕之外,也有助於提供持續時間。

提交要求之後,資源管理員會收到擱置要求以更新群組指派的通知。

管理員核准

資源管理員可以從電子郵件通知中的連結存取續約要求,或從 Microsoft Entra 系統管理中心存取 Privileged Identity Management,然後從左窗格中選取 [ 核准要求 ]。

當系統管理員選取 [核准 ] 或 [拒絕 ] 時,要求的詳細資料會連同欄位一起顯示,以提供稽核記錄的商業理由。

核准更新群組指派的要求時,資源管理員必須輸入新的開始日期、結束日期和指派類型。

下一步