Sdílet prostřednictvím

Prodlužte nebo obnovte přiřazení rolí prostředků Azure ve službě Privileged Identity Management

  • Článek

Microsoft Entra Privileged Identity Management (PIM) poskytuje ovládací prvky pro správu životního cyklu přístupu a přiřazení prostředků Azure. Správci mohou přiřadit role pomocí vlastností počátečního a koncového data a času. Když se přiřazení ukončí, Privileged Identity Management odešle ovlivněným uživatelům nebo skupinám e-mailová oznámení. Odesílá také e-mailová oznámení správcům prostředku, aby se zajistilo, že je zachován vhodný přístup. Přiřazení se můžou prodloužit a zůstat viditelná ve stavu vypršení platnosti po dobu až 30 dnů, i když se přístup neprodlouží.

Kdo může prodloužit a obnovit?

Pouze správci prostředku mohou prodloužit nebo obnovit přiřazení rolí. Ovlivněný uživatel nebo skupina můžou požádat o rozšíření rolí, jejichž platnost brzy vyprší, a požádat o prodloužení platnosti rolí, jejichž platnost již vypršela.

Kdy se odesílají oznámení?

Privileged Identity Management posílá správcům e-mailová oznámení a ovlivněným uživatelům nebo skupinám rolí, jejichž platnost vyprší do 14 dnů a jeden den před vypršením platnosti. Po oficiálním vypršení platnosti zadání odešle další e-mail.

Správci obdrží oznámení, když uživatel nebo skupina požádají o prodloužení nebo obnovení role, jejíž platnost vyprší nebo již vypršela. Když konkrétní správce žádost vyřeší, budou všichni ostatní správci upozorněni na rozhodnutí o řešení problémů (schválené nebo zamítnuté). O rozhodnutí se pak informuje žádající uživatel nebo skupina.

Rozšíření přiřazení rolí

Následující kroky popisují proces žádosti, řešení nebo správy rozšíření nebo obnovení přiřazení role.

Samostatné prodloužení vypršených přiřazení

Uživatelé přiřazení k roli můžou prodloužit platnost přiřazení rolí přímo z karty Oprávnění nebo Aktivní na stránce Moje role prostředku a na stránce Moje role portálu Privileged Identity Management. Na portálu můžou uživatelé požádat o prodloužení oprávněné nebo aktivní (přiřazené) role, jejichž platnost vyprší během následujících 14 dnů.

snímek obrazovky se stránkou Moje role se seznamem oprávněných rolí se sloupcem Akce

Když je datum a čas ukončení přiřazení v rozmezí 14 dnů, odkaz na Prodloužit se v Centru pro správu Microsoft Entra stane aktivní. V následujícím příkladu předpokládejme, že aktuální datum je 27. března.

Poznámka

U skupiny přiřazené k roli nebude odkaz Rozšířit nikdy dostupný, aby uživatel s zděděným přiřazením nemohl přiřazení skupiny rozšířit.

snímek obrazovky se sloupcem akce s odkazy na Aktivovat nebo Rozšířit

Pokud chcete požádat o rozšíření tohoto přiřazení role, vyberte Rozšířit a otevřete formulář žádosti.

Snímek obrazovky s podoknem pro rozšíření přiřazení role s polem Důvod

Chcete-li zobrazit informace o původním zadání, rozbalte Podrobnosti o přiřazení. Zadejte důvod žádosti o rozšíření a pak vyberte Rozšířit.

Poznámka

Doporučujeme uvést podrobnosti o tom, proč je rozšíření nezbytné a jak dlouho má být rozšíření uděleno (pokud máte tyto informace).

Snímek obrazovky s podoknem pro rozšíření přiřazení role s rozbalenými podrobnostmi přiřazení

Správci prostředků obdrží e-mailové oznámení s žádostí o kontrolu žádosti o rozšíření. Pokud již byla odeslána žádost o rozšíření, na portálu se zobrazí oznámení Azure.

snímek obrazovky s oznámením s vysvětlením, že už existuje existující rozšíření čekajícího přiřazení role.

Přejděte na stránku Čekající žádosti a zobrazte stav vaší žádosti nebo ji zrušte.

snímek obrazovky s prostředky Azure – stránka s čekajícími žádostmi s jejich seznamem a odkazem na Zrušit

Správcem schválené rozšíření

Když uživatel nebo skupina odešle žádost o rozšíření přiřazení role, správci prostředků obdrží e-mailové oznámení, které obsahuje podrobnosti o původním přiřazení a důvod žádosti. Oznámení obsahuje přímý odkaz na žádost správce o schválení nebo zamítnutí.

Kromě použití odkazu z e-mailu můžou správci žádosti schválit nebo zamítnout tak, že přejdou na portál pro správu Privileged Identity Management a vyberou Schválit žádosti v levém podokně.

Snímek obrazovky prostředků Azure – Stránka s výpisem žádostí a odkazy pro schválení nebo zamítnutí.

Když správce vybere Schválit nebo Odepřít, zobrazí se podrobnosti žádosti spolu s polem, které poskytne obchodní odůvodnění protokolů auditu.

snímek obrazovky s žádostí o schválení přiřazení role s důvodem žadatele, typem přiřazení, časem zahájení, časem ukončení a důvodem.

Při schvalování žádosti o rozšíření přiřazení role můžou správci prostředků zvolit nové počáteční datum, koncové datum a typ přiřazení. Změna typu přiřazení může být nutná, pokud správce chce poskytnout omezený přístup k dokončení konkrétního úkolu (například jeden den). V tomto příkladu může správce změnit přiřazení ze způsobilého na aktivního. To znamená, že můžou žadateli poskytnout přístup, aniž by je museli aktivovat.

Rozšíření iniciované správcem

Pokud uživatel přiřazený k roli nepožádá o rozšíření pro přiřazení role, může správce rozšířit přiřazení jménem uživatele. Rozšíření správy přiřazení rolí nevyžadují schválení, ale po rozšíření role jsou oznámení posílána všem ostatním správcům.

Pokud chcete rozšířit přiřazení role, přejděte do zobrazení role nebo přiřazení prostředku ve službě Privileged Identity Management. Vyhledejte přiřazení, které vyžaduje rozšíření. Potom ve sloupci akce vyberte Rozšířit.

Snímek obrazovky prostředků Azure – stránka přiřazení se seznamem způsobilých rolí s odkazy pro rozšíření.

Obnovení přiřazení rolí

I když se koncepčně podobá procesu žádosti o rozšíření, proces prodloužení přiřazení role, jehož platnost vypršela, se liší. Pomocí následujícího postupu můžou přiřazení a správci v případě potřeby obnovit přístup k prošlým rolím.

Samoobnovení

Uživatelé, kteří už nemají přístup k prostředkům, mohou nahlížet do historie přiřazení, která vypršela až před 30 dny. Udělají to tak, že v levém podokně přejdou na Moje role a pak v části Role prostředků Azure vyberou kartu Vypršené role.

Snímek obrazovky stránky Moje role – záložka Vypršelé role.

Výchozí seznam zobrazených rolí je oprávněné role. Pomocí rozevírací nabídky můžete přepínat mezi oprávněnými a aktivními přiřazenými rolemi.

Pokud chcete požádat o prodloužení pro všechna přiřazení rolí v seznamu, vyberte akci Obnovit. Pak zadejte důvod žádosti. Je užitečné poskytnout dobu trvání kromě jakéhokoli jiného kontextu nebo obchodního odůvodnění, které může správci zdrojů pomoci rozhodnout se pro schválení nebo zamítnutí.

snímek obrazovky s podoknem Obnovení přiřazení role ukazující okno Důvod

Po odeslání žádosti budou správci prostředků upozorněni na nevyřízenou žádost o obnovení přiřazení role.

Správce schválí

Správci prostředků můžou získat přístup k žádosti o obnovení z odkazu v e-mailovém oznámení nebo přístupem k Privileged Identity Management z webu Azure Portal a výběrem možnosti Schválit žádosti v levém podokně.

snímek obrazovky prostředků Azure – stránka se seznamem žádostí a odkazy na schválení nebo zamítnutí.

Když správce vybere Schválit nebo Odepřít, zobrazí se podrobnosti žádosti spolu s polem pro poskytnutí obchodního odůvodnění pro protokoly auditu.

snímek obrazovky s žádostí o schválení přiřazení role s důvodem žadatele, typem přiřazení, časem zahájení, časem ukončení a důvodem.

Při schvalování žádosti o obnovení přiřazení role musí správci prostředků zadat nové počáteční datum, koncové datum a typ přiřazení.

Prodloužení platnosti správce

Správci prostředků můžou obnovit přiřazení rolí, jejichž platnost vypršela, na kartě Členové v levé navigační nabídce prostředku. Můžou také obnovit přiřazení rolí s vypršenou platností z karty Vypršela platnost role role prostředku.

Pokud chcete zobrazit seznam všech přiřazení rolí s vypršenou platností, vyberte na obrazovce Členovérole s vypršenou platností.

snímek obrazovky prostředků Azure: stránka členů se seznamem prošlých rolí s odkazy na prodloužení platnosti

Další kroky