Azure-resourceroltoewijzingen uitbreiden of vernieuwen in Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM) biedt besturingselementen voor het beheren van de toegangs- en toewijzingslevenscyclus voor Azure-resources. Beheerders kunnen rollen toewijzen met eigenschappen voor begin- en einddatum. Wanneer de toewijzing eindigt, verzendt Privileged Identity Management e-mailmeldingen naar de betrokken gebruikers of groepen. Er worden ook e-mailmeldingen verzonden naar beheerders van de resource om ervoor te zorgen dat de juiste toegang wordt gehandhaafd. Toewijzingen kunnen worden vernieuwd en blijven gedurende maximaal 30 dagen zichtbaar in een verlopen status, zelfs als de toegang niet is verlengd.
Wie kan verlengen en vernieuwen?
Alleen beheerders van de resource kunnen roltoewijzingen uitbreiden of vernieuwen. De betrokken gebruiker of groep kan aanvragen om rollen uit te breiden die binnenkort verlopen en aanvragen om rollen te vernieuwen die al zijn verlopen.
Wanneer worden meldingen verzonden?
Privileged Identity Management verzendt e-mailmeldingen naar beheerders en betrokken gebruikers of groepen rollen die binnen 14 dagen en één dag voor de vervaldatum verlopen. Er wordt een extra e-mail verzonden wanneer een opdracht officieel verloopt.
Beheerders ontvangen meldingen wanneer een gebruiker of groep met een rol die verloopt of is verlopen, vraagt om deze te verlengen of te vernieuwen. Wanneer een specifieke beheerder de aanvraag oplost, worden alle andere beheerders op de hoogte gesteld van de oplossingsbeslissing (goedgekeurd of geweigerd). Vervolgens wordt de gebruiker of groep die een aanvraag indient op de hoogte gesteld van de beslissing.
Roltoewijzingen uitbreiden
De volgende stappen geven een overzicht van het proces voor het aanvragen, oplossen of beheren van een uitbreiding of verlenging van een roltoewijzing.
Vervallende opdrachten automatisch verlengen
Gebruikers die aan een rol zijn toegewezen, kunnen aflopende roltoewijzingen rechtstreeks uitbreiden via het tabblad In Aanmerking Komende of Actieve op de Mijn Rollen pagina van een resource en vanaf de bovenste niveau Mijn Rollen pagina van de Privileged Identity Management portal. In de portal kunnen gebruikers aanvragen om in aanmerking komende of actieve (toegewezen) rollen uit te breiden die de komende 14 dagen verlopen.
Wanneer de einddatum van de opdracht binnen 14 dagen valt, wordt de koppeling naar Uitbreiden actief in het Microsoft Entra-beheercentrum. In het volgende voorbeeld wordt ervan uitgegaan dat de huidige datum 27 maart is.
Notitie
Voor een groep die aan een rol is toegewezen, wordt de koppeling uitbreiden nooit beschikbaar, zodat een gebruiker met een overgenomen toewijzing de groepstoewijzing niet kan verlengen.
Als u een uitbreiding van deze roltoewijzing wilt aanvragen, selecteert u Uitbreiden om het aanvraagformulier te openen.
Als u informatie over de oorspronkelijke opdracht wilt bekijken, vouwt u de Opdrachtgegevensuit. Voer een reden in voor de extensieaanvraag en selecteer vervolgens Uitbreiden.
Notitie
We raden u aan de details op te geven waarom de extensie nodig is en voor hoe lang de verlenging moet worden verleend (als u deze informatie hebt).
Over enkele ogenblikken ontvangen resourcebeheerders een e-mailmelding waarin wordt verzocht om de extensieaanvraag te controleren. Als er al een aanvraag voor uitbreiding is ingediend, wordt er een Azure-melding weergegeven in de portal.
Ga naar de pagina Aanvragen in behandeling om de status van uw aanvraag weer te geven of om deze te annuleren.
Door de beheerder goedgekeurde extensie
Wanneer een gebruiker of groep een aanvraag indient om een roltoewijzing uit te breiden, ontvangen resourcebeheerders een e-mailmelding met de details van de oorspronkelijke toewijzing en de reden voor de aanvraag. De melding bevat een directe koppeling naar de aanvraag, zodat de beheerder deze kan goedkeuren of weigeren.
Naast het gebruik van de koppeling vanuit e-mail kunnen beheerders aanvragen goedkeuren of weigeren door naar de beheerportal van Privileged Identity Management te gaan en Aanvragen goedkeuren te selecteren in het linkerdeelvenster.
Wanneer een beheerder goedkeuren of weigerenselecteert, worden de details van de aanvraag weergegeven, samen met een veld om een zakelijke reden voor de auditlogboeken op te geven.
Wanneer een aanvraag voor het uitbreiden van roltoewijzing wordt goedgekeurd, kunnen resourcebeheerders een nieuwe begindatum, einddatum en toewijzingstype kiezen. Het wijzigen van het toewijzingstype kan nodig zijn als de beheerder beperkte toegang wil bieden om een specifieke taak te voltooien (bijvoorbeeld één dag). In dit voorbeeld kan de beheerder de toewijzing wijzigen van In aanmerking komend naar Actief. Dit betekent dat ze toegang kunnen verlenen tot de aanvrager zonder dat ze hoeven te activeren.
Door de beheerder geïnitieerde extensie
Als een gebruiker die is toegewezen aan een rol geen extensie aanvraagt voor de roltoewijzing, kan een beheerder een toewijzing namens de gebruiker uitbreiden. Beheerdersuitbreidingen van roltoewijzing vereisen geen goedkeuring, maar meldingen worden naar alle andere beheerders verzonden nadat de rol is uitgebreid.
Als u een roltoewijzing wilt uitbreiden, bladert u naar de resourcerol- of toewijzingsweergave in Privileged Identity Management. Zoek de opdracht waarvoor een extensie is vereist. Selecteer daarna Uitbreiden in de actiekolom.
Roltoewijzingen vernieuwen
Hoewel conceptueel vergelijkbaar is met het proces voor het aanvragen van een extensie, is het proces voor het vernieuwen van een verlopen roltoewijzing anders. Met behulp van de volgende stappen kunnen toewijzingen en beheerders de toegang tot verlopen rollen verlengen wanneer dat nodig is.
Zelf vernieuwen
Gebruikers die geen toegang meer hebben tot middelen, kunnen tot maximaal 30 dagen van de verstreken toewijzingsgeschiedenis bekijken. Hiervoor bladeren ze naar Mijn rollen in het linkerdeelvenster en selecteren ze vervolgens het tabblad Verlopen rollen in de sectie Azure-resourcerollen.
De lijst met weergegeven rollen wordt standaard ingesteld op in aanmerking komende rollen. Gebruik de vervolgkeuzelijst om te schakelen tussen in aanmerking komende en actieve toegewezen rollen.
Als u verlenging wilt aanvragen voor een van de roltoewijzingen in de lijst, selecteert u de actie Verlengen. Geef vervolgens een reden op voor de aanvraag. Het is handig om naast andere contexten of zakelijke redenen een duur op te geven die de resourcebeheerder kan helpen besluiten om goed te keuren of te weigeren.
Nadat de aanvraag is ingediend, ontvangen resourcebeheerders een melding over een aanvraag die in behandeling is om een roltoewijzing te vernieuwen.
Beheerder keurt goed
Resourcebeheerders hebben toegang tot de verlengingsaanvraag via de koppeling in de e-mailmelding of door Privileged Identity Management vanuit de Azure-portal te openen en in het linkerdeelvenster aanvragen goedkeuren te selecteren.
Wanneer een beheerder goedkeuren of weigerenselecteert, worden de details van de aanvraag samen met een veld weergegeven om een zakelijke reden voor de auditlogboeken op te geven.
Wanneer een aanvraag voor het vernieuwen van roltoewijzing wordt goedgekeurd, moeten resourcebeheerders een nieuwe begindatum, einddatum en toewijzingstype invoeren.
Admin vernieuwen
Resourcebeheerders kunnen verlopen roltoewijzingen vernieuwen vanaf het tabblad Leden in het linkernavigatiemenu van een resource. Ze kunnen ook verlopen roltoewijzingen vernieuwen vanuit het tabblad Verlopen rollen van een resourcerol.
Als u een lijst met alle verlopen roltoewijzingen wilt weergeven, selecteert u in het scherm LedenVerlopen rollen.