通过

在 Privileged Identity Management 中扩展或续订 Azure 资源角色分配

  • 项目

Microsoft Entra Privileged Identity Management (PIM),提供用于管理 Azure 资源的访问和分配生命周期的控制措施。 管理员可以使用开始和结束日期时间属性分配角色。 分配结束时,Privileged Identity Management 将向受影响的用户或组发送电子邮件通知。 它还向资源管理员发送电子邮件通知,以确保维护适当的访问权限。 即使访问权限未延期,分配也可以续订,并在长达 30 天内以过期状态保持可见。

谁可以延长和续订?

只有资源的管理员才能扩展或续订角色分配。 受影响的用户或组可以请求扩展即将过期的角色,并请求续订已过期的角色。

何时发送通知?

对于在 14 天内过期的角色,Privileged Identity Management 会在过期前的一天向管理员和受影响用户或组发送电子邮件通知。 当分配正式过期时,它会发送其他电子邮件。

当所分配角色即将过期或已过期的用户或组请求延期或续订时,管理员会收到通知。 当特定管理员解决请求时,所有其他管理员都会收到解决方案决定(已批准或拒绝)的通知。 然后,请求的用户或组将收到决策的通知。

扩展角色分配

以下步骤概述了请求、解析或管理角色分配的扩展或续订的过程。

自我延期即将过期的分配

分配给某个角色的用户可以直接在特定资源中“我的角色”页的“符合条件”或“活动”选项卡中将即将过期的角色分配延期,也可以在 Privileged Identity Management 门户的顶层“我的角色”页执行此操作。 在门户中,用户可以请求延期在后续 14 天过期的符合条件或处于活动状态(已分配)的角色。

“我的角色”页的屏幕截图,其中列出了带有“操作”列的符合条件的角色。

如果分配结束日期时间在 14 天内,则“延期”链接将在 Microsoft Entra 管理门户中变为有效链接。 在以下示例中,假定当前日期为 3 月 27 日。

注意

对于分配给某个角色的组,“延期”链接永远不可用,因此具有继承分配的用户无法将组分配延期

操作列的屏幕截图,其中包含“激活”或“扩展”链接。

若要请求延期此角色分配,请选择“延期”打开请求窗体

包含“原因”框的“延期角色分配”窗格的屏幕截图。

若要查看原始任务的信息,请展开 任务详细信息。 输入扩展请求的原因,然后选择 扩展

注意

建议包括扩展必要原因的详细信息,以及应授予扩展的时间(如果有此信息)。

已展开“分配详细信息”的“延期角色分配”窗格的屏幕截图。

在片刻之后,资源管理员会收到一封电子邮件通知,请求他们查看扩展请求。 如果已提交延期请求,门户中会显示一条 Azure 通知。

说明已存在挂起的角色分配扩展的通知的屏幕截图。

转到 待处理请求 页面以查看或取消请求的状态。

“Azure 资源 - 挂起的请求”页的屏幕截图,其中列出任何挂起的请求和“取消”链接。

管理员批准的延期

当用户或组提交扩展角色分配的请求时,资源管理员会收到一封电子邮件通知,其中包含原始分配的详细信息以及请求原因。 通知包括指向管理员批准或拒绝请求的直接链接。

除了使用电子邮件中的链接以外,管理员还可以通过转到 Privileged Identity Management 管理门户,并从左窗格中选择“审批请求”来批准或拒绝请求

Azure 资源的屏幕截图 - 批准请求页列出请求和批准或拒绝的链接。

当管理员选择 批准拒绝时,将显示请求的详细信息,以及一个字段来为审核日志提供业务理由。

“批准角色分配请求”的屏幕截图,其中包含请求者原因、分配类型、开始时间、结束时间和原因。

批准扩展角色分配的请求时,资源管理员可以选择新的开始日期、结束日期和分配类型。 如果管理员希望提供有限的访问权限来完成特定任务(例如,一天),可能需要更改分配类型。 在此示例中,管理员可将分配从“符合条件”更改为“活动”。 这意味着他们可以提供对请求者的访问权限,而无需他们激活。

管理员发起的延期

如果分配给角色的用户未请求角色分配的扩展,管理员可以代表用户扩展分配。 角色分配的管理扩展不需要批准,但在扩展角色后,通知会发送给所有其他管理员。

若要扩展角色分配,请浏览到 Privileged Identity Management 中的资源角色或分配视图。 查找需要延期的作业。 然后在操作列中选择 扩展

Azure 资源的屏幕截图 - 分配页面列出了可以扩展的合格角色及其链接。

续订角色分配

虽然从概念上讲类似于请求扩展的过程,但续订过期角色分配的过程是不同的。 分配和管理员可根据需要,使用以下步骤来续订对已过期角色的访问权限。

自我续订

无法再访问资源的用户最多可以访问 30 天的过期分配历史记录。 为此,他们浏览到左侧窗格中 “我的角色”,然后在“Azure 资源角色”部分中选择“过期的角色”选项卡。

“我的角色”页的屏幕截图 - “过期的角色”选项卡。

显示的角色列表默认为“符合条件的角色”。 使用下拉菜单在“符合条件”与“活动”分配角色之间切换。

若要请求续订列表中的任何角色分配,请选择“续订”操作。 然后提供请求的原因。 建议提供持续时间和任何其他上下文或业务理由,以帮助资源管理员做出批准或拒绝的决定。

“续订角色分配”窗格的屏幕截图,其中显示“原因”框。

提交请求后,资源管理员将收到关于待处理的续订角色分配请求的通知。

管理员批准

资源管理员可以通过电子邮件通知中的链接访问续订请求,也可以通过 Azure 门户访问特权身份管理,并从左侧面板中选择“批准请求”

Azure 资源的屏幕截图 - 批准请求页列出请求和批准或拒绝的链接。

当管理员选择 批准拒绝时,将显示请求的详细信息,并提供一个字段用于填写审核日志的业务理由。

“批准角色分配请求”的屏幕截图,其中包含请求者原因、分配类型、开始时间、结束时间和原因。

批准续订角色分配的请求时,资源管理员必须输入新的开始日期、结束日期和分配类型。

管理员续订

资源管理员可以从资源左侧导航菜单中 成员 选项卡续订过期的角色分配。 他们也可以在资源角色的“已过期角色”选项卡中续订已过期的角色分配

若要查看所有过期角色分配的列表,请在 成员 屏幕上,选择 已过期的角色

“Azure 资源 - 成员”页的屏幕截图,其中列出了带有“续订”链接的已过期角色。

后续步骤