Rozszerzanie lub odnawianie przypisań ról usługi Microsoft Entra w usłudze Privileged Identity Management
Usługa Microsoft Entra Privileged Identity Management (PIM) udostępnia mechanizmy kontroli zarządzania cyklem życia dostępu i przypisywania ról w usłudze Microsoft Entra ID. Administratorzy mogą przypisywać role przy użyciu właściwości daty rozpoczęcia i zakończenia. Po zakończeniu przypisywania usługa Privileged Identity Management wysyła powiadomienia e-mail do użytkowników lub grup, których dotyczy problem. Wysyła również powiadomienia e-mail do administratorów firmy Microsoft Entra, aby zapewnić utrzymanie odpowiedniego dostępu. Przypisania mogą być odnawiane i pozostają widoczne w stanie wygaśnięcia przez maksymalnie 30 dni, nawet jeśli dostęp nie zostanie rozszerzony.
Kto może rozszerzyć i odnowić?
Tylko administratorzy globalni lub administratorzy ról uprzywilejowanych mogą rozszerzać lub odnawiać przypisania ról firmy Microsoft Entra. Użytkownik lub grupa, której dotyczy problem, może poprosić o rozszerzenie ról, które wkrótce wygaśnie, i zażądać odnowienia ról, które już wygasły.
Kiedy są wysyłane powiadomienia?
Usługa Privileged Identity Management wysyła powiadomienia e-mail do administratorów i dotkniętych użytkowników lub grup ról, które wygasają w ciągu 14 dni i jednego dnia przed wygaśnięciem. Wysyła inną wiadomość e-mail, gdy przydział oficjalnie wygaśnie.
Administratorzy otrzymują powiadomienia, gdy użytkownik lub grupa przypisał wygasające lub wygasłe żądania roli do rozszerzenia lub odnowienia. Gdy administrator rozpozna żądanie jako zatwierdzone lub odrzucone, wszyscy inni administratorzy zostaną powiadomieni o decyzji. Następnie żądanie użytkownika lub grupy jest powiadamiane o decyzji.
Rozszerzanie przypisań ról
W poniższych krokach opisano proces żądania, rozwiązywania lub administrowania rozszerzeniem lub odnawianiem przypisania roli.
Samodzielne rozszerzanie wygasających przypisań
Użytkownicy przypisani do roli mogą rozszerzać wygasające przypisania ról bezpośrednio z karty Kwalifikujące się lub Aktywne na stronie Moje role w obszarze Role firmy Microsoft entra lub na stronie Moje role najwyższego poziomu w portalu Privileged Identity Management. W portalu użytkownicy mogą zażądać rozszerzenia kwalifikujących się lub aktywnych (przypisanych) ról, które wygasają w ciągu najbliższych 14 dni.
Gdy data i godzina zakończenia przypisania mieści się w ciągu 14 dni, przycisk Rozszerz staje się aktywnym linkiem w interfejsie użytkownika. W poniższym przykładzie przyjęto założenie, że bieżąca data to 27 marca.
Uwaga
W przypadku grupy przypisanej do roli link Rozszerzanie nigdy nie staje się dostępny, aby użytkownik z dziedziczonego przypisania nie mógł rozszerzyć przypisania grupy.
Aby zażądać rozszerzenia tego przypisania roli, wybierz pozycję Rozszerz , aby otworzyć formularz żądania.
Wprowadź przyczynę żądania rozszerzenia, a następnie wybierz pozycję Rozszerz.
Uwaga
Zalecamy uwzględnienie szczegółowych informacji o tym, dlaczego rozszerzenie jest niezbędne, oraz o tym, jak długo powinno zostać przyznane rozszerzenie (jeśli masz te informacje).
Administratorzy otrzymują powiadomienie e-mail, aby przejrzeć żądanie rozszerzenia. Jeśli żądanie rozszerzenia zostało już przesłane, w portalu zostanie wyświetlone powiadomienie platformy Azure.
Przejdź do strony Oczekujące żądania , aby wyświetlić stan żądania lub anulować je.
Zatwierdzone przez administratora rozszerzenie
Gdy użytkownik lub grupa przesyła żądanie rozszerzenia przypisania roli, administratorzy otrzymają powiadomienie e-mail zawierające szczegóły oryginalnego przypisania i przyczynę żądania. Powiadomienie zawiera bezpośredni link do żądania zatwierdzenia lub odmowy przez administratora.
Oprócz korzystania z poniższego linku z poczty e-mail administratorzy mogą zatwierdzać lub odrzucać żądania, przechodząc do portalu administracyjnego usługi Privileged Identity Management i wybierając pozycję Zatwierdź żądania w okienku po lewej stronie.
Gdy administrator wybierze pozycję Zatwierdź lub Odmów, zostaną wyświetlone szczegóły żądania wraz z polem umożliwiającym podanie uzasadnienia biznesowego dla dzienników inspekcji.
Podczas zatwierdzania żądania rozszerzenia przypisania roli administratorzy mogą wybrać nową datę rozpoczęcia, datę zakończenia i typ przypisania. Zmiana typu przypisania może być konieczna, jeśli administrator chce zapewnić ograniczony dostęp do wykonania określonego zadania (na przykład jeden dzień). W tym przykładzie administrator może zmienić przypisanie z Kwalifikujące się na Aktywne. Oznacza to, że mogą oni zapewnić dostęp do osoby żądającej bez konieczności ich aktywowania.
Rozszerzenie zainicjowane przez administratora
Jeśli użytkownik przypisany do roli nie zażąda rozszerzenia dla przypisania roli, administrator może rozszerzyć przypisanie w imieniu użytkownika. Rozszerzenia administracyjne przypisania roli nie wymagają zatwierdzenia, ale powiadomienia są wysyłane do wszystkich innych administratorów po rozszerzeniu roli.
Aby rozszerzyć przypisanie roli, przejdź do widoku roli lub przypisania w usłudze Privileged Identity Management. Znajdź przypisanie, które wymaga rozszerzenia. Następnie wybierz pozycję Rozszerz w kolumnie akcji.
Rozszerzanie przypisań ról przy użyciu interfejsu API programu Microsoft Graph
W poniższym żądaniu administrator rozszerza aktywne przypisanie przy użyciu interfejsu API programu Microsoft Graph.
Żądanie systemu HTTP
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
Odpowiedź HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Odnawianie przypisań ról
Chociaż koncepcyjnie podobny do procesu żądania rozszerzenia, proces odnawiania wygasłego przypisania roli jest inny. Korzystając z poniższych kroków, przypisania i administratorzy mogą odnawiać dostęp do wygasłych ról w razie potrzeby.
Samodzielne odnawianie
Użytkownicy, którzy nie mogą już uzyskiwać dostępu do zasobów, mogą uzyskać dostęp do 30 dni historii wygasłych przypisań. W tym celu przechodzą do pozycji Moje role w okienku po lewej stronie, a następnie wybierają kartę Wygasłe role w sekcji Role firmy Microsoft Entra.
Lista ról wyświetlanych domyślnie na kwalifikujących się rolach. Wybierz pozycję Kwalifikujące się lub Aktywne przypisane role.
Aby zażądać odnowienia dowolnych przypisań ról na liście, wybierz akcję Odnów . Następnie podaj przyczynę żądania. Warto podać czas trwania oprócz dodatkowego kontekstu lub uzasadnienia biznesowego, które może pomóc administratorowi zdecydować, czy zatwierdzić, czy odrzucić.
Po przesłaniu żądania administratorzy są powiadamiani o oczekującym żądaniu odnowienia przypisania roli.
Administrator zatwierdza
Administratorzy firmy Microsoft Entra mogą uzyskać dostęp do żądania odnowienia z linku w powiadomieniu e-mail lub przez uzyskanie dostępu do usługi Privileged Identity Management z centrum administracyjnego firmy Microsoft Entra i wybranie pozycji Zatwierdź żądania w usłudze PIM.
Gdy administrator wybierze pozycję Zatwierdź lub Odmów, szczegóły żądania zostaną wyświetlone wraz z polem, aby podać uzasadnienie biznesowe dla dzienników inspekcji.
Podczas zatwierdzania żądania odnowienia przypisania roli administratorzy muszą wprowadzić nową datę rozpoczęcia, datę zakończenia i typ przypisania.
Odnawianie przez administratora
Mogą również odnawiać wygasłe przypisania ról z poziomu karty Wygasłe role roli Firmy Microsoft Entra. Aby wyświetlić listę wszystkich wygasłych przypisań ról, na ekranie Przypisania wybierz pozycję Wygasłe role.
