Rozšíření nebo prodloužení přiřazení rolí Microsoft Entra ve službě Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM) poskytuje ovládací prvky pro správu životního cyklu přístupu a přiřazení pro role v Microsoft Entra ID. Správci mohou přiřadit role pomocí vlastností počátečního a koncového data a času. Když se přiřazení ukončí, Privileged Identity Management odešle ovlivněným uživatelům nebo skupinám e-mailová oznámení. Odesílá také e-mailová oznámení správcům Microsoft Entra, aby se zajistilo, že je zachován vhodný přístup. Přiřazení se můžou prodloužit a zůstat viditelná ve stavu vypršení platnosti po dobu až 30 dnů, i když se přístup neprodlouží.
Kdo může prodloužit a prodloužit platnost?
Pouze globální správci nebo správci privilegovaných rolí můžou rozšířit nebo obnovit přiřazení rolí Microsoft Entra. Ovlivněný uživatel nebo skupina mohou požádat o rozšíření rolí, jejichž platnost brzy vyprší, a požádat o prodloužení platnosti rolí, jejichž platnost již vypršela.
Kdy se odesílají oznámení?
Privileged Identity Management posílá správcům e-mailová oznámení a ovlivněným uživatelům nebo skupinám rolí, jejichž platnost vyprší do 14 dnů a jeden den před vypršením platnosti. Odešle další e-mail, když přiřazení oficiálně vyprší.
Správci obdrží oznámení, když uživatel nebo skupina přiřadili žádosti o roli, jejichž platnost vypršela nebo vypršela. Když správce žádost vyřeší jako schválenou nebo zamítnutou, budou o rozhodnutí upozorněni všichni ostatní správci. O rozhodnutí se pak informuje žádající uživatel nebo skupina.
Rozšíření přiřazení rolí
Následující kroky popisují proces žádosti, řešení nebo správy rozšíření nebo obnovení přiřazení role.
Samoobslužné prodloužení přiřazení vypršení platnosti
Uživatelé přiřazení role přiřazené k roli můžou rozšířit přiřazení rolí s vypršenou platností přímo na kartě Způsobilé nebo Aktivní na stránce Moje role, a to buď v části Role Microsoft Entra, nebo na stránce Moje role na portálu Privileged Identity Management. Na portálu můžou uživatelé požádat o prodloužení oprávněné nebo aktivní (přiřazené) role, jejichž platnost vyprší během následujících 14 dnů.
Když je koncové datum a čas zadání do 14 dnů, tlačítko Rozšířit se stane aktivním odkazem v uživatelském rozhraní. V následujícím příkladu předpokládejme, že aktuální datum je 27. března.
Poznámka:
U skupiny přiřazené k roli nebude odkaz Rozšířit nikdy dostupný, aby uživatel s zděděným přiřazením nemohl rozšířit přiřazení skupiny.
Pokud chcete požádat o rozšíření tohoto přiřazení role, vyberte Rozšířit a otevřete formulář žádosti.
Zadejte důvod žádosti o rozšíření a pak vyberte Rozšířit.
Poznámka:
Doporučujeme uvést podrobnosti o tom, proč je rozšíření nezbytné a jak dlouho má být rozšíření uděleno (pokud máte tyto informace).
Správci obdrží e-mailové oznámení o kontrole žádosti o rozšíření. Pokud již byla odeslána žádost o rozšíření, na portálu se zobrazí oznámení Azure.
Přejděte na stránku Čekající žádosti a zobrazte stav vaší žádosti nebo ji zrušte.
Schválené rozšíření pro správce
Když uživatel nebo skupina odešle žádost o rozšíření přiřazení role, obdrží správci e-mailové oznámení, které obsahuje podrobnosti o původním přiřazení a důvod žádosti. Oznámení obsahuje přímý odkaz na žádost správce o schválení nebo zamítnutí.
Kromě použití odkazu z e-mailu můžou správci žádosti schválit nebo zamítnout tak, že přejdou na portál pro správu Privileged Identity Management a vyberou možnost Schválit žádosti v levém podokně.
Když správce vybere možnost Schválit nebo Odepřít, zobrazí se podrobnosti žádosti spolu s polem, které poskytne obchodní odůvodnění protokolů auditu.
Při schvalování žádosti o rozšíření přiřazení role můžou správci zvolit nové počáteční datum, koncové datum a typ přiřazení. Změna typu přiřazení může být nutná, pokud správce chce poskytnout omezený přístup k dokončení konkrétního úkolu (například jeden den). V tomto příkladu může správce změnit přiřazení z Oprávnění na Aktivní. To znamená, že můžou žadateli poskytnout přístup, aniž by je museli aktivovat.
Rozšíření iniciované správcem
Pokud uživatel přiřazený k roli nepožádá o rozšíření pro přiřazení role, může správce rozšířit přiřazení jménem uživatele. Rozšíření správy přiřazení rolí nevyžadují schválení, ale oznámení se po rozšíření role posílají všem ostatním správcům.
Pokud chcete rozšířit přiřazení role, přejděte do zobrazení role nebo přiřazení ve službě Privileged Identity Management. Vyhledejte přiřazení, které vyžaduje rozšíření. Pak ve sloupci akce vyberte Rozšířit .
Rozšíření přiřazení rolí pomocí rozhraní Microsoft Graph API
V následujícím požadavku správce rozšíří aktivní přiřazení pomocí rozhraní Microsoft Graph API.
Žádost HTTP
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
Odpověď protokolu HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Obnovení přiřazení rolí
I když se koncepčně podobá procesu žádosti o rozšíření, proces prodloužení přiřazení role, jehož platnost vypršela, se liší. Pomocí následujícího postupu můžou přiřazení a správci v případě potřeby obnovit přístup k prošlým rolím.
Samoobslužné prodlužování platnosti
Uživatelé, kteří už nemají přístup k prostředkům, mají přístup až 30 dnů od historie přiřazení s vypršenou platností. Uděláte to tak, že v levém podokně přejde do části Moje role a pak v části Role Microsoft Entra vyberou kartu Role s vypršenou platností.
Seznam rolí, které se zobrazují jako výchozí pro oprávněné role. Vyberte oprávněné nebo aktivní přiřazené role.
Pokud chcete požádat o prodloužení pro všechna přiřazení rolí v seznamu, vyberte akci Obnovit . Pak zadejte důvod žádosti. Kromě jakéhokoli dalšího kontextu nebo obchodního odůvodnění, které může správci pomoct rozhodnout, jestli se má schválit nebo odepřít, je užitečné poskytnout dobu trvání.
Po odeslání žádosti budou správci upozorněni na nevyřízenou žádost o obnovení přiřazení role.
Správce schválí
Správci Microsoft Entra můžou získat přístup k žádosti o obnovení z odkazu v e-mailovém oznámení nebo přístupem k Privileged Identity Management z Centra pro správu Microsoft Entra a výběrem možnosti Schválit žádosti v PIM.
Když správce vybere možnost Schválit nebo Odepřít, zobrazí se spolu s polem, které poskytne obchodní odůvodnění protokolů auditu.
Při schvalování žádosti o prodloužení přiřazení role musí správci zadat nové počáteční datum, koncové datum a typ přiřazení.
Prodloužení platnosti správce
Můžou také obnovit přiřazení rolí, jejichž platnost vypršela, na kartě Prošlé role v roli Microsoft Entra. Pokud chcete zobrazit seznam všech přiřazení rolí s vypršenou platností, na obrazovce Přiřazení vyberte Role s vypršenou platností.
