Rozszerzanie lub odnawianie przypisań ról zasobów platformy Azure w usłudze Privileged Identity Management

Usługa Microsoft Entra Privileged Identity Management (PIM) udostępnia mechanizmy kontroli zarządzania cyklem życia dostępu i przypisywania zasobów platformy Azure. Administratorzy mogą przypisywać role przy użyciu właściwości daty rozpoczęcia i zakończenia. Gdy zbliża się koniec przypisywania, usługa Privileged Identity Management wysyła powiadomienia e-mail do użytkowników lub grup, których to dotyczy. Wysyła również powiadomienia e-mail do administratorów zasobu, aby zapewnić utrzymanie odpowiedniego dostępu. Przypisania mogą być przedłużane i nadal widoczne jako wygasłe do 30 dni, nawet jeśli dostępu nie przedłużono.

Kto może rozszerzyć i odnowić?

Tylko administratorzy zasobu mogą rozszerzać lub odnawiać przypisania ról. Użytkownik lub grupa, której dotyczy problem, może zażądać rozszerzenia ról, które wkrótce wygasną, i zażądać odnowienia ról, które już wygasły.

Kiedy są wysyłane powiadomienia?

Usługa Privileged Identity Management wysyła powiadomienia e-mail do administratorów i dotkniętych użytkowników lub grup ról, które wygasają w ciągu 14 dni i jednego dnia przed wygaśnięciem. Wysyła dodatkową wiadomość e-mail po oficjalnym wygaśnięciu przypisania.

Administratorzy otrzymują powiadomienia, gdy użytkownik lub grupa przypisana do wygasającej lub wygasłej roli prosi o jej przedłużenie lub odnowienie. Po rozwiązaniu żądania przez określonego administratora wszyscy inni administratorzy są powiadamiani o decyzji o rozwiązaniu problemu (zatwierdzonej lub odrzuconej). Następnie użytkownik lub grupa składająca żądanie zostaje powiadomiona o decyzji.

Rozszerzanie przypisań ról

W poniższych krokach opisano proces żądania, rozwiązywania lub administrowania rozszerzeniem lub odnawianiem przypisania roli.

Samodzielne przedłużanie wygasających przypisań

Użytkownicy przypisani do roli mogą rozszerzać wygasające przypisania ról bezpośrednio z karty Kwalifikowalnych lub Aktywnych na stronie Moje role zasobu oraz na stronie głównej Moje role portalu Zarządzania Tożsamościami z Uprawnieniami. W portalu użytkownicy mogą zażądać rozszerzenia kwalifikujących się lub aktywnych (przypisanych) ról, które wygasają w ciągu najbliższych 14 dni.

Gdy data zakończenia przypisania przypada w ciągu 14 dni, link do Extend staje się dostępny w centrum administracyjnym Microsoft Entra. W poniższym przykładzie przyjęto założenie, że bieżąca data to 27 marca.

Notatka

W przypadku grupy przypisanej do roli, link Rozszerzanie nigdy nie staje się dostępny, aby użytkownik, który odziedziczył przypisanie, nie mógł rozszerzyć przypisania grupy.

Aby złożyć wniosek o przedłużenie tego przypisania roli, wybierz Rozszerz, aby otworzyć formularz wniosku.

Aby wyświetlić informacje o oryginalnym zadaniu, rozwiń szczegóły zadania. Wprowadź przyczynę żądania rozszerzenia, a następnie wybierz pozycję Rozszerz.

Notatka

Zalecamy uwzględnienie szczegółowych informacji o tym, dlaczego rozszerzenie jest niezbędne, oraz o tym, jak długo powinno zostać przyznane rozszerzenie (jeśli masz te informacje).

W ciągu kilku minut administratorzy zasobów otrzymają powiadomienie e-mail z prośbą o przejrzenie żądania rozszerzenia. Jeśli żądanie rozszerzenia zostało już przesłane, w portalu zostanie wyświetlone powiadomienie platformy Azure.

Przejdź do strony Oczekujące żądania, aby wyświetlić stan żądania lub anulować je.

Zatwierdzone przez administratora rozszerzenie

Gdy użytkownik lub grupa przesyła żądanie rozszerzenia przypisania roli, administratorzy zasobów otrzymają powiadomienie e-mail zawierające szczegóły oryginalnego przypisania i przyczynę żądania. Powiadomienie zawiera bezpośredni link do żądania zatwierdzenia lub odmowy przez administratora.

Oprócz korzystania z linku z poczty e-mail administratorzy mogą zatwierdzać lub odrzucać żądania, przechodząc do portalu administracyjnego usługi Privileged Identity Management i wybierając pozycję Zatwierdź żądania w okienku po lewej stronie.

Gdy administrator wybierze pozycję Zatwierdź lub Odmów, zostaną wyświetlone szczegóły żądania wraz z polem umożliwiającym podanie uzasadnienia biznesowego dla dzienników inspekcji.

Podczas zatwierdzania żądania rozszerzenia przypisania roli administratorzy zasobów mogą wybrać nową datę rozpoczęcia, datę zakończenia i typ przypisania. Zmiana typu przypisania może być konieczna, jeśli administrator chce zapewnić ograniczony dostęp do wykonania określonego zadania (na przykład jeden dzień). W tym przykładzie administrator może zmienić przypisanie z Kwalifikujące się na Aktywny. Oznacza to, że mogą oni zapewnić dostęp do osoby żądającej bez konieczności ich aktywowania.

Rozszerzenie zainicjowane przez administratora

Jeśli użytkownik przypisany do roli nie poprosi o przedłużenie przypisania roli, administrator może w imieniu użytkownika przedłużyć przypisanie. Rozszerzenia administracyjne przypisania roli nie wymagają zatwierdzenia, ale powiadomienia są wysyłane do wszystkich innych administratorów po rozszerzeniu roli.

Aby rozszerzyć przypisanie roli, przejdź do widoku roli zasobu lub widoku przypisania w usłudze Privileged Identity Management. Znajdź zadanie, które wymaga przedłużenia. Następnie wybierz pozycję Rozszerz w kolumnie akcji.

Odnowienie przypisań ról

Chociaż koncepcyjnie podobny do procesu żądania rozszerzenia, proces odnawiania wygasłego przypisania roli jest inny. Administratorzy mogą odnawiać dostęp do wygasłych ról, korzystając z przypisań i poniższych kroków, w razie potrzeby.

Samoodnawianie

Użytkownicy, którzy nie mogą już uzyskiwać dostępu do zasobów, mogą uzyskać dostęp do 30 dni historii wygasłych przypisań. W tym celu przechodzą do Moje role w okienku po lewej stronie, a następnie wybierają kartę Wygasłe role w sekcji Role zasobów platformy Azure.

Lista ról, które są wyświetlane domyślnie, to role kwalifikujące się. Użyj menu rozwijanego, aby przełączać się między przypisanymi rolami uprawnionymi i aktywnymi.

Aby zażądać odnowienia dowolnych przypisań ról na liście, wybierz akcję Odnów. Następnie podaj przyczynę żądania. Warto podać czas trwania oprócz innego kontekstu lub uzasadnienia biznesowego, które może pomóc administratorowi zasobów zdecydować się na zatwierdzenie lub odmowę.

Po przesłaniu żądania administratorzy zasobów są powiadamiani o oczekującym żądaniu odnowienia przypisania roli.

Administrator zatwierdza

Administratorzy zasobów mogą uzyskać dostęp do żądania odnowienia z linku w powiadomieniu e-mail lub przez uzyskanie dostępu do usługi Privileged Identity Management w witrynie Azure Portal i wybranie pozycji Zatwierdź żądania w okienku po lewej stronie.

Gdy administrator wybierze pozycję Zatwierdź lub Odmów, zostaną wyświetlone szczegóły żądania wraz z polem do podania uzasadnienia biznesowego dla logów audytu.

Podczas zatwierdzania żądania odnowienia przypisania roli administratorzy zasobów muszą wprowadzić nową datę rozpoczęcia, datę zakończenia i typ przypisania.

Odnawianie przez administratora

Administratorzy zasobów mogą odnawiać wygasłe przypisania ról z zakładki członkowie w menu nawigacyjnym po lewej stronie zasobu. Mogą również odnawiać wygasłe przypisania ról w karcie Wygasłe przypisań roli zasobu.

Aby wyświetlić listę wszystkich wygasłych przypisań ról, na ekranie Członkowie wybierz pozycję Wygasłe role.

Następne kroki

• Zatwierdź lub odrzuć żądania dotyczące ról zasobów platformy Azure w usłudze Privileged Identity Management
• Konfigurowanie ustawień roli zasobów platformy Azure w usłudze Privileged Identity Management