Расширение или продление назначений ролей ресурсов Azure в службе "Управление привилегированными пользователями"

Microsoft Entra Privileged Identity Management (PIM) предоставляет элементы управления для управления жизненным циклом доступа и назначения для ресурсов Azure. Администраторы могут назначать роли с помощью свойств времени начала и окончания. Когда приближается конец назначения, управление привилегиями отправляет уведомления по электронной почте пользователям или группам, которых это касается. Он также отправляет уведомления по электронной почте администраторам ресурса, чтобы обеспечить соответствующий доступ. Назначения могут обновляться и оставаться видимыми в истекшем состоянии до 30 дней, даже если доступ не продлен.

Кто может продлить и обновить?

Только администраторы ресурса могут расширять или обновлять назначения ролей. Затронутый пользователь или группа может запросить продление ролей, срок действия которых истек, и запрос на продление ролей, которые уже истекли.

Когда отправляются уведомления?

Управление привилегированными пользователями отправляет уведомления по электронной почте администраторам и затронутым пользователям или группам ролей, срок действия которых истекает в течение 14 дней и один день до истечения срока действия. Он отправляет дополнительное сообщение электронной почты, когда срок действия назначения официально истекает.

Администраторы получают уведомления, когда пользователь или группа с истекающей или истекшей ролью запрашивает продление или обновление. Когда конкретный администратор разрешает запрос, все остальные администраторы уведомляются о решении решения (одобренном или отклоненном). Затем запрашивающий пользователь или группа уведомляется о решении.

Расширение назначений ролей

Ниже описан процесс запроса, разрешения или администрирования расширения или продления назначения роли.

Самостоятельное продление назначений с истекающим сроком действия

Пользователи, назначенные к роли, могут продлить срок действия назначений ролей непосредственно на вкладке "Допустимые" или "Активные" на странице "Мои роли" ресурса и на верхнем уровне на странице "Мои роли" на портале управления привилегированными удостоверениями. На портале пользователи могут запросить продление соответствующих или активных (назначенных) ролей, срок действия которого истекает в течение следующих 14 дней.

Когда дата окончания назначения находится в пределах 14 дней, ссылка на Extend становится активной в Центре администрирования Microsoft Entra. В следующем примере предположим, что текущая дата — 27 марта.

Заметка

Для группы, назначенной на роль, ссылка на расширение никогда не становится доступной, чтобы пользователь с унаследованным назначением не мог продлить назначение группы.

Чтобы запросить продление этого назначения роли, выберите Расширить, чтобы открыть форму запроса.

Чтобы просмотреть сведения о исходном назначении, разверните сведения о назначении. Введите причину запроса расширения, а затем выберите Расширить.

Заметка

Мы рекомендуем включить сведения о том, почему необходимо расширение, и насколько долго должно быть предоставлено расширение (если у вас есть эти сведения).

В течение нескольких моментов администраторы ресурсов получают уведомление по электронной почте, запрашивающее, что они просматривают запрос на расширение. Если запрос на продление уже отправлен, на портале появится уведомление Azure.

Перейдите на страницу ожидающих запросов, чтобы просмотреть состояние запроса или отменить его.

Утвержденное администратором расширение

Когда пользователь или группа отправляет запрос на расширение назначения ролей, администраторы ресурсов получают уведомление по электронной почте, содержащее сведения о исходном назначении и причину запроса. Уведомление содержит прямую ссылку на запрос администратора на утверждение или отклонение.

Помимо использования ссылки из электронной почты администраторы могут утвердить или запретить запросы, перейдя на портал администрирования управления привилегированными пользователями и выбрав Утвердить запросы в левой области.

Когда администратор выбирает утвердить или запретить, отображаются сведения о запросе вместе с полем, чтобы предоставить бизнес-обоснование для журналов аудита.

При утверждении запроса на расширение назначения ролей администраторы ресурсов могут выбрать новую дату начала, дату окончания и тип назначения. Изменение типа назначения может потребоваться, если администратор хочет предоставить ограниченный доступ для выполнения определенной задачи (например, один день). В этом примере администратор может изменить назначение с допустимого на активного. Это означает, что они могут предоставлять доступ к запрашивающему объекту, не требуя активации.

Расширение, инициированное администратором

Если пользователь, назначенный роли, не запрашивает расширение для назначения роли, администратор может расширить назначение от имени пользователя. Административные расширения назначения ролей не требуют утверждения, но уведомления отправляются всем другим администраторам после расширения роли.

Чтобы расширить назначение ролей, перейдите к роли ресурса или представлению назначения в службе "Управление привилегированными пользователями". Найдите назначение, которое требует расширения. Затем выберите Расширить в столбце действий.

Продление назначений ролей

Хотя концептуально похоже на процесс запроса расширения, процесс возобновления назначения ролей с истекшим сроком действия отличается. Используя следующие шаги, назначения и администраторы могут при необходимости продлить доступ к истекшим ролям.

Самостоятельное продление

Пользователи, которые больше не могут получить доступ к ресурсам, могут получить доступ к истории назначений за последние 30 дней после истечения их срока действия. Чтобы сделать это, перейдите к Мои роли в левой панели, а затем выберите вкладку Просроченные роли в разделе ролей ресурсов Azure.

Список ролей по умолчанию отображает доступные роли. Используйте раскрывающееся меню для переключения между соответствующими и активными назначенными ролями.

Чтобы запросить обновление любого из назначений ролей в списке, выберите действие Продление. Затем укажите причину запроса. Полезно предоставить длительность в дополнение к любому другому контексту или бизнес-обоснование, которое может помочь администратору ресурсов решить утвердить или запретить.

После отправки запроса администраторы ресурсов уведомляются о ожидающих запросах на продление назначения ролей.

Администратор утверждает

Администраторы ресурсов могут получить доступ к запросу на продление из ссылки в уведомлении электронной почты или зайдя в управление привилегированными идентификациями на портале Azure и выбрав одобрить запросы на левой панели.

Когда администратор выбирает утвердить или запретить, сведения о запросе отображаются вместе с полем, чтобы предоставить бизнес-обоснование для журналов аудита.

При утверждении запроса на продление назначения ролей администраторы ресурсов должны ввести новую дату начала, дату окончания и тип назначения.

Обновление прав администратора

Администраторы ресурсов могут продлить истекшие назначения ролей из вкладки "Члены" в левой панели навигации ресурса. Они также могут обновлять назначения ролей с истекшим сроком действия в вкладке истекших ролей ресурса .

Чтобы просмотреть список всех назначений ролей с истекшим сроком действия, на экране членов выберите .

Дальнейшие действия

• Утвердить или отклонить запросы на роли ресурсов Azure в Управлении привилегированными удостоверениями
• Настройте параметры роли ресурсов Azure в "Управление привилегированными идентификациями"