Estendere o rinnovare le assegnazioni di ruolo di Microsoft Entra in Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) fornisce controlli per gestire il ciclo di vita di accesso e assegnazione per i ruoli in Microsoft Entra ID. Gli amministratori possono assegnare ruoli usando proprietà di data/ora di inizio e fine. Quando l'assegnazione termina, Azure AD Privileged Identity Management invia notifiche tramite posta elettronica agli utenti o ai gruppi interessati. Invia inoltre notifiche tramite posta elettronica agli amministratori di Microsoft Entra per garantire che venga mantenuto l'accesso appropriato. Anche qualora l'accesso non venga esteso, le assegnazioni possono essere rinnovate e rimanere visibili nello stato scaduti fino a 30 giorni.

Chi può estendere e rinnovare?

Solo gli amministratori globali o gli amministratori di ruoli con privilegi possono estendere o rinnovare le assegnazioni di ruolo di Microsoft Entra. L'utente o il gruppo interessato può chiedere di estendere i ruoli che stanno per scadere e richiedere di rinnovare i ruoli già scaduti.

Quando vengono inviate le notifiche?

Azure AD Privileged Identity Management invia notifiche tramite posta elettronica agli amministratori e agli utenti o gruppi interessati dei ruoli in scadenza entro 14 giorni e un giorno prima della scadenza. Invia un altro messaggio di posta elettronica quando un'assegnazione scade ufficialmente.

Gli amministratori ricevono notifiche quando un utente o un gruppo con un ruolo in scadenza o scaduto assegnato richiede l'estensione o il rinnovo. Quando un amministratore risolve una richiesta come approvata o negata, tutti gli altri amministratori ricevono una notifica della decisione. L'utente o il gruppo richiedente riceve quindi una notifica della decisione.

Estendere le assegnazioni di ruoli

I passaggi seguenti descrivono la procedura per la richiesta, la risoluzione o l'amministrazione di un'estensione o del rinnovo di un'assegnazione di ruolo.

Estendere automaticamente le assegnazioni in scadenza

Gli utenti assegnati a un ruolo possono estendere le assegnazioni di ruolo in scadenza direttamente dalla scheda Idoneo o Attivo nella pagina Ruoli personali, in Ruoli di Microsoft Entra o dalla pagina Ruoli personali di primo livello del portale di Privileged Identity Management. Nel portale, gli utenti possono richiedere l'estensione dei ruoli idonei o attivi (assegnati) con scadenza entro 14 giorni.

Quando la data e l'ora di fine dell'assegnazione sono entro 14 giorni, il pulsante Estensione diventa un collegamento attivo nell'interfaccia utente. Nell'esempio seguente, si suppone che la data corrente sia il 27 marzo.

Nota

Per un gruppo assegnato a un ruolo, il collegamento Estendi non diventa mai disponibile in modo che un utente con un'assegnazione ereditata non possa estendere l'assegnazione del gruppo.

Per richiedere un'estensione di questa assegnazione di ruolo, selezionare Estendi per aprire il modulo di richiesta.

Immettere un motivo per la richiesta di estensione e fare clic su Estendi.

Nota

È consigliabile includere i dettagli del motivo per cui è necessaria l'estensione e il tempo di estensione da concedere (se noto).

Gli amministratori ricevono una notifica tramite posta elettronica per esaminare la richiesta di estensione. Se una richiesta di estensione è già stata inviata, viene visualizzata una notifica di Azure nel portale.

Passare alla pagina Richieste in sospeso per visualizzare lo stato o annullare la richiesta.

Estensione approvata dall'amministratore

Quando un utente o un gruppo invia una richiesta per estendere un'assegnazione di ruolo, gli amministratori ricevono una notifica tramite posta elettronica contenente i dettagli dell'assegnazione originale e il motivo della richiesta. La notifica include un collegamento diretto alla richiesta che l'amministratore dovrà approvare o rifiutare.

Oltre a seguire il collegamento dal messaggio di posta elettronica, gli amministratori possono approvare o rifiutare le richieste andando al portale di amministrazione di Privileged Identity Management e selezionando Approva richieste dal riquadro a sinistra.

Quando un amministratore seleziona Approva o Rifiuta, vengono visualizzati i dettagli della richiesta insieme a un campo per fornire una giustificazione aziendale per i log di controllo.

Quando si approva una richiesta per estendere l'assegnazione di ruolo, gli amministratori possono scegliere una nuova data di inizio, una data di fine e un tipo di assegnazione. La modifica del tipo di assegnazione potrebbe essere necessaria se l'amministratore vuole fornire accesso limitato per completare un'attività specifica (un giorno, ad esempio). In questo esempio, l'amministratore può modificare l'assegnazione da Idonea ad Attiva. Ciò significa che possono fornire l'accesso al richiedente senza necessità di attivazione.

Estensione avviata dall'amministratore

Se un utente assegnato a un ruolo non richiede un'estensione per l'assegnazione di ruolo, un amministratore può estendere un'assegnazione per conto dell'utente. Le estensioni amministrative dell'assegnazione di ruolo non richiedono l'approvazione, ma le notifiche vengono inviate a tutti gli altri amministratori dopo l'estensione del ruolo.

Per estendere un'assegnazione di ruolo, passare alla visualizzazione ruolo o assegnazione in Privileged Identity Management. Trovare l'assegnazione che richiede un'estensione. Quindi selezionare Estendi nella colonna relativa all'azione.

Estendere le assegnazioni di ruolo usando l'API Microsoft Graph

Nella richiesta seguente un amministratore estende un'assegnazione attiva usando l'API Microsoft Graph.

Richiesta HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
 
{
    "action": "adminExtend",
    "justification": "TEST",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

Risposta HTTP

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T16:18:36.3647674Z",
    "completedDateTime": "2022-05-13T16:18:40.0835993Z",
    "approvalId": null,
    "customData": null,
    "action": "adminExtend",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "justification": "TEST",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T16:18:40.0835993Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Rinnovare le assegnazioni di ruolo

Anche se concettualmente simile alla richiesta di estensione, il processo di rinnovo di un'assegnazione di ruolo scaduto è diverso da quello appena citato. Usando la procedura descritta di seguito le assegnazioni e gli amministratori possono rinnovare l'accesso ai ruoli scaduti quando necessario.

Rinnovo automatico

Gli utenti che non possono più accedere alle risorse possono accedere alla cronologia dell'assegnazione scaduta fino a 30 giorni. A tale scopo, passano a Ruoli personali nel riquadro sinistro e quindi selezionano la scheda Ruoli scaduti nella sezione Ruoli di Microsoft Entra.

L'elenco dei ruoli visualizzati include le impostazioni predefinite per i Ruoli idonei. Selezionare Ruoli assegnati idonei o attivi .

Per richiedere il rinnovo per qualsiasi assegnazione di ruolo nell'elenco, selezionare l'azione Rinnova. Quindi, specificare un motivo per la richiesta. È utile fornire una durata oltre a qualsiasi contesto aggiuntivo o una motivazione aziendale che può aiutare l'amministratore a decidere se approvare o rifiutare.

Dopo l'invio della richiesta, gli amministratori ricevono una notifica di una richiesta in sospeso per rinnovare un'assegnazione di ruolo.

Approvazione degli amministratori

Gli amministratori di Microsoft Entra possono accedere alla richiesta di rinnovo dal collegamento nella notifica tramite posta elettronica oppure accedendo a Privileged Identity Management dall'interfaccia di amministrazione di Microsoft Entra e selezionando Approva richieste in PIM.

Quando un amministratore seleziona Approva o Rifiuta, vengono visualizzati i dettagli della richiesta insieme a un campo per fornire una giustificazione aziendale per i log di controllo.

Quando si approva una richiesta di rinnovo dell'assegnazione di ruolo, gli amministratori devono immettere una nuova data di inizio, una data di fine e un tipo di assegnazione.

Rinnovo richiesto dagli amministratori

Possono anche rinnovare le assegnazioni di ruolo scadute dalla scheda Ruoli scaduti di un ruolo Microsoft Entra. Per visualizzare un elenco di tutte le assegnazioni di ruolo scadute, nella schermata Assegnazioni selezionare Ruoli scaduti.

Passaggi successivi

• Approvare o negare le richieste per i ruoli di Microsoft Entra in Privileged Identity Management
• Configurare le impostazioni dei ruoli di Microsoft Entra in Privileged Identity Management