Udostępnij za pośrednictwem


Rozszerzanie lub odnawianie usługi PIM dla przypisań grup

Usługa Privileged Identity Management (PIM) w usłudze Microsoft Entra ID udostępnia mechanizmy kontroli zarządzania cyklem życia dostępu i przypisywania dla członkostwa w grupach i własności. Administratorzy mogą przypisywać właściwości daty i godziny rozpoczęcia dla członkostwa w grupie i własności. Po zakończeniu przypisywania usługa Privileged Identity Management wysyła powiadomienia e-mail do użytkowników lub grup, których dotyczy problem. Wysyła również powiadomienia e-mail do administratorów zasobu, aby zapewnić utrzymanie odpowiedniego dostępu. Przypisania mogą być odnawiane i nadal widoczne w stanie wygaśnięcia przez maksymalnie 30 dni, nawet jeśli dostęp nie zostanie rozszerzony.

Kto może rozszerzać i odnawiać

Tylko użytkownicy z uprawnieniami do zarządzania grupami mogą rozszerzać lub odnawiać członkostwo w grupie lub przydziały związane z czasem własności. Użytkownik lub grupa, której dotyczy problem, może zażądać rozszerzenia przydziałów, które wkrótce wygaśnie, i zażądać odnowienia przydziałów, które już wygasły.

Grupy z możliwością przypisywania ról mogą być zarządzane przez co najmniej administratora ról uprzywilejowanych lub właściciela grupy. Grupy nieprzypisania ról mogą być zarządzane przez co najmniej składnik zapisywania katalogów, administratora grup, administratora ładu tożsamości, administratora użytkowników lub właściciela grupy. Przypisania ról dla administratorów powinny być ograniczone na poziomie katalogu (a nie na poziomie jednostki administracyjnej).

Uwaga

Inne role z uprawnieniami do zarządzania grupami (takimi jak Administratorzy programu Exchange dla grup nieprzypisanych do roli M365) i administratorzy z przypisaniami o określonym zakresie na poziomie jednostki administracyjnej mogą zarządzać grupami za pośrednictwem interfejsu API/środowiska użytkownika grup i zastąpić zmiany wprowadzone w usłudze Microsoft Entra PIM.

Kiedy są wysyłane powiadomienia

Usługa Privileged Identity Management wysyła powiadomienia e-mail do administratorów i użytkowników usługi PIM dla wygasających przypisań grup:

  • W ciągu 14 dni przed wygaśnięciem
  • Jeden dzień przed wygaśnięciem
  • Po wygaśnięciu przypisania

Administratorzy otrzymują powiadomienia, gdy użytkownik lub grupa żąda rozszerzenia lub odnowienia wygasającego lub wygasłego przypisania. Gdy administrator rozwiąże żądanie, wszyscy administratorzy i żądający użytkownik zostaną powiadomieni o zatwierdzeniu lub odmowie.

Rozszerzanie przypisań grup

W poniższych krokach opisano proces żądania, rozwiązywania lub administrowania rozszerzeniem lub odnawianiem członkostwa w grupie lub przypisania własności.

Samodzielne rozszerzanie wygasających przypisań

Użytkownicy przypisani do członkostwa w grupie lub własności mogą rozszerzać wygasające przypisania grup bezpośrednio z karty Kwalifikujące się lub Aktywne na stronie Przypisania dla grupy. Użytkownicy lub grupy mogą poprosić o przedłużenie kwalifikujących się i aktywnych przypisań, które wygasają w ciągu najbliższych 14 dni.

Zrzut ekranu przedstawiający sposób samodzielnego rozszerzania wygasających przypisań.

Gdy data zakończenia przydziału przypada w ciągu 14 dni, dostępne jest polecenie Extend . Aby zażądać rozszerzenia przypisania grupy, wybierz pozycję Rozszerz , aby otworzyć formularz żądania.

Zrzut ekranu przedstawiający miejsce rozszerzenia okienka przypisania grupy z polem Przyczyna i szczegółami.

Uwaga

Zalecamy uwzględnienie szczegółowych informacji o tym, dlaczego rozszerzenie jest niezbędne, oraz o tym, jak długo powinno zostać przyznane rozszerzenie (jeśli masz te informacje).

Administratorzy otrzymują powiadomienie e-mail z prośbą o przejrzenie żądania rozszerzenia. Jeśli żądanie rozszerzenia zostało już przesłane, w portalu zostanie wyświetlone powiadomienie platformy Azure.

Aby wyświetlić stan żądania lub anulować je, otwórz stronę Oczekujące żądania dla przypisania grupy.

Zrzut ekranu przedstawiający stronę oczekujących żądań z linkiem Do anulowania.

Zatwierdzone przez administratora rozszerzenie

Gdy użytkownik lub grupa przesyła żądanie rozszerzenia przypisania grupy, administratorzy otrzymają powiadomienie e-mail zawierające szczegóły oryginalnego przypisania i przyczynę żądania. Powiadomienie zawiera bezpośredni link do żądania zatwierdzenia lub odmowy przez administratora.

Oprócz korzystania z poniższego linku z poczty e-mail administratorzy mogą zatwierdzać lub odrzucać żądania, przechodząc do portalu administracyjnego usługi Privileged Identity Management i wybierając pozycję Zatwierdź żądania w okienku po lewej stronie.

Zrzut ekranu przedstawiający stronę zatwierdzania żądań z listą żądań i linków do zatwierdzenia lub odmowy.

Gdy administrator wybierze pozycję Zatwierdź lub Odmów, zostaną wyświetlone szczegóły żądania wraz z polem umożliwiającym podanie uzasadnienia biznesowego dla dzienników inspekcji.

Zrzut ekranu przedstawiający miejsce zatwierdzania żądania przypisania grupy z przyczyną żądania, typem przypisania, czasem rozpoczęcia, czasem zakończenia i przyczyną.

Podczas zatwierdzania żądania rozszerzenia przypisania grupy administratorzy zasobów mogą wybrać nową datę rozpoczęcia, datę zakończenia i typ przypisania. Zmiana typu przypisania może być konieczna, jeśli administrator chce zapewnić ograniczony dostęp do wykonania określonego zadania (na przykład jeden dzień). W tym przykładzie administrator może zmienić przypisanie z Kwalifikujące się na Aktywne. Oznacza to, że mogą oni zapewnić dostęp do osoby żądającej bez konieczności ich aktywowania.

Rozszerzenie zainicjowane przez administratora

Jeśli użytkownik przypisany do grupy nie zażąda rozszerzenia przypisania grupy, administrator może rozszerzyć przypisanie w imieniu użytkownika. Rozszerzenia administracyjne przypisania grupy nie wymagają zatwierdzenia, ale powiadomienia są wysyłane do wszystkich innych administratorów po rozszerzeniu przypisania.

Aby rozszerzyć przypisanie grupy, przejdź do widoku przypisania w usłudze Privileged Identity Management. Znajdź przypisanie, które wymaga rozszerzenia. Następnie wybierz pozycję Rozszerz w kolumnie akcji.

Zrzut ekranu przedstawiający stronę przypisania zawierającą listę kwalifikujących się przypisań grup z linkami do rozszerzenia.

Odnawianie przypisań grup

Chociaż koncepcyjnie podobny do procesu żądania rozszerzenia, proces odnawiania wygasłego przypisania grupy jest inny. Wykonując poniższe kroki, przypisania i administratorzy mogą w razie potrzeby odnowić dostęp do wygasłych przypisań.

Samodzielne odnawianie

Użytkownicy, którzy nie mogą już uzyskiwać dostępu do zasobów, mogą uzyskać dostęp do 30 dni historii wygasłych przypisań. W tym celu przechodzą do pozycji Moje role w okienku po lewej stronie, a następnie wybierają kartę Wygasłe przypisania.

Lista przypisań wyświetlanych domyślnie do kwalifikujących się przypisań. Użyj menu rozwijanego, aby przełączać się między kwalifikującymi się i aktywnymi przypisaniami.

Aby zażądać odnowienia dowolnych przypisań grup na liście, wybierz akcję Odnów . Następnie podaj przyczynę żądania. Warto podać czas trwania oprócz dodatkowego kontekstu lub uzasadnienia biznesowego, które może pomóc administratorowi zasobów zdecydować się na zatwierdzenie lub odmowę.

Po przesłaniu żądania administratorzy zasobów są powiadamiani o oczekującym żądaniu odnowienia przypisania grupy.

Administrator zatwierdza

Administratorzy zasobów mogą uzyskać dostęp do żądania odnowienia z linku w powiadomieniu e-mail lub przez uzyskanie dostępu do usługi Privileged Identity Management w centrum administracyjnym firmy Microsoft Entra i wybranie pozycji Zatwierdź żądania w okienku po lewej stronie.

Gdy administrator wybierze pozycję Zatwierdź lub Odmów, szczegóły żądania zostaną wyświetlone wraz z polem, aby podać uzasadnienie biznesowe dla dzienników inspekcji.

Podczas zatwierdzania żądania odnowienia przypisania grupy administratorzy zasobów muszą wprowadzić nową datę rozpoczęcia, datę zakończenia i typ przypisania.

Następne kroki