延長或更新 PIM 的群組指派
Microsoft Entra ID 中的 Privileged Identity Management (PIM) 提供控制項,來管理群組成員資格和擁有權的存取權和指派生命週期。 系統管理員可以為群組成員資格和擁有權,指派開始和結束日期時間屬性。 當指派的結束日期接近時,Privileged Identity Management 會傳送電子郵件通知給受影響的使用者或群組。 也會傳送電子郵件通知給資源的系統管理員,以確保能維護正確的存取權。 如果存取權未延長,指派可能會進行更新,而且仍會以過期狀態顯示長達 30 天。
誰可以延長和更新
只有具有群組管理權限的使用者才能延長或更新群組成員資格或擁有權時間限制指派。 受影響的使用者或群組可以要求延長即將過期的指派,以及要求更新已經過期的指派。
可指派角色的群組至少可以由群組的特殊權限角色管理員或擁有者進行管理。 不可指派角色的群組至少可以由目錄寫入者、群組管理員、身分識別治理管理員、使用者管理員角色或群組擁有者進行管理。 系統管理員的角色指派應限於目錄層級 (而非管理單位層級)。
注意
具有管理群組權限的其他角色 (例如,非可指派角色 M365 群組的 Exchange 管理員) 和指派限於管理單位層級的管理員,可以透過群組 API/UX 來管理群組,以及覆寫在 Microsoft Entra PIM 中所做的變更。
通知的傳送時間
Privileged Identity Management 會為即將到期的群組指派,向 PIM 的系統管理員和受影響的使用者傳送電子郵件通知:
- 在到期前 14 天內
- 在到期前 1 天
- 當指派到期時
當即將過期或已過期指派的使用者或群組要求延長或更新時,管理員就會收到通知。 當系統管理員解決要求時,所有系統管理員和要求的使用者都會收到核准或拒絕的通知。
延長群組指派
下列步驟概述要求、解決或管理群組成員資格或擁有權指派的延長或更新流程。
自行擴充即將到期的指派
指派群組成員資格或擁有權的使用者,可以直接從該群組的 [指派] 頁面上的 [合格] 或 [有效] 索引標籤,延長即將到期的群組指派。 使用者或群組可以要求延長在 14 天後過期的合格和有效 (已指派) 角色。
當指派結束日期時間在 14 天內時,可以使用 [延長] 命令。 若要要求延長群組指派,請選取 [延長] 來開啟要求表單。
注意
建議包含為何需要延長的詳細資料,以及應該給予多久的延長 (如果您有此資訊的話)。
系統管理員會收到電子郵件通知,要求他們檢閱延長要求。 如果已提交要延長的要求,入口網站中會出現 Azure 通知。
若要檢視或取消要求的狀態,請開啟群組指派的 [擱置要求] 頁面。
系統管理員核准的延伸模組
當使用者或群組提交延長群組指派的要求時,管理員會收到電子郵件通知,其中包含原始指派的詳細資訊以及要求的原因。 通知包含可供管理員核准或拒絕要求的直接連結。
除了遵循電子郵件中的連結,管理員可以前往 Privileged Identity Management 管理入口網站並從左側窗格中選取 [核准要求],以核准或拒絕要求。
當管理員選取 [核准] 或 [拒絕] 時,要求的詳細資料會顯示,連同一個可提供業務理由作為稽核記錄的欄位。
資源管理員在核准延長群組指派的要求時,可以選擇新的開始日期、結束日期和指派類型。 如果管理員想要提供有限的存取權來完成特定工作 (例如一天),則可能需要變更指派類型。 在此範例中,管理員可將指派從 [合格] 變更為 [有效]。 這表示他們可以提供存取權給要求者,而不用要求他們啟用。
系統管理員起始的延長
如果指派給群組的使用者不會要求群組指派的延長功能,則系統管理員可以代表使用者延長指派。 群組指派的系統管理延伸不需要核准,但在指派延長之後,通知會傳送給所有其他系統管理員。
若要延長群組指派,請瀏覽至 Privileged Identity Management 中的指派視圖。 尋找需要延長的指派。 然後在動作欄中選取 [延長]。
更新群組指派
雖然在概念上類似要求延長的程序,但更新已過期群組指派的程序其實不同。 使用下列步驟,指派和管理員即可視需要更新已過期指派的存取權。
自我更新
無法再存取資源的使用者可以存取到期的指派歷程記錄達 30 天。 若要這樣做,請在左窗格中瀏覽至 [我的角色],然後選取 [過期的指派] 索引標籤。
顯示的指派清單會預設為 [合格] 指派。 使用下拉式功能表來切換 [合格] 與 [有效] 指派。
若要要求更新清單中的任何群組指派,請選取 [更新] 動作。 然後提供要求的原因。 除了提供其他相關背景或業務理由之外,提供時間長度有助於資源管理員決定是否核准或拒絕。
提交請求後,資源管理員會收到關於等待審核的群組任務更新請求的通知。
管理員核准
資源管理員可以從電子郵件通知中的連結,或透過下列方式,存取更新要求:從 Microsoft Entra 系統管理中心存取 Privileged Identity Management,然後選取左側窗格中的 [核准要求]。
當管理員選取 [核准] 或 [拒絕] 時,要求的詳細資料會顯示,連同一個可提供業務理由作為稽核記錄的欄位。
資源管理員在核准更新群組指派的要求時,必須輸入新的開始日期、結束日期和指派類型。