Share via

PIM kiterjesztése vagy megújítása csoportok hozzárendeléseihez

  • Cikk

A Microsoft Entra ID privileged Identity Management (PIM) szolgáltatása vezérlőket biztosít a csoporttagság és a tulajdonjog hozzáférési és hozzárendelési életciklusának kezeléséhez. Rendszergazda istratorok hozzárendelhetnek kezdési és befejezési dátum-idő tulajdonságokat a csoporttagsághoz és a tulajdonjoghoz. Amikor a hozzárendelés vége közeledik, a Privileged Identity Management e-mail-értesítéseket küld az érintett felhasználóknak vagy csoportoknak. E-mail-értesítéseket is küld az erőforrás rendszergazdáinak a megfelelő hozzáférés fenntartása érdekében. A hozzárendelések megújíthatók, és akár 30 napig is láthatók maradnak lejárt állapotban, még akkor is, ha a hozzáférés nem bővül.

Ki hosszabbíthat és újíthat meg?

Csak a csoportok kezeléséhez engedéllyel rendelkező felhasználók hosszabbíthatják meg vagy újíthatják meg a csoporttagságokat vagy a tulajdonosi időhöz kötött hozzárendeléseket. Az érintett felhasználó vagy csoport kérheti a lejáró hozzárendelések meghosszabbítását, és kérheti a már lejárt hozzárendelések megújítását.

A szerepkör-hozzárendelhető csoportokat legalább a kiemelt szerepkör Rendszergazda istrator vagy a csoport tulajdonosa felügyelheti. A nem szerepkörhöz hozzárendelhető csoportokat legalább a címtáríró, a csoportok Rendszergazda istrator, az identitásszabályozási Rendszergazda istrator, a felhasználói Rendszergazda istrator vagy a csoport tulajdonosa kezelheti. A rendszergazdák szerepkör-hozzárendeléseit címtárszinten (nem Rendszergazda istrative Unit szinten) kell hatókörbe helyezni.

Feljegyzés

A csoportok felügyeletére jogosult egyéb szerepkörök (például a nem szerepkörhöz hozzárendelhető M365-csoportok Exchange Rendszergazda istratorjai) és a felügyeleti egység szintjén hatókörrel rendelkező hozzárendelésekkel rendelkező rendszergazdák a Csoportok API/UX használatával kezelhetik a csoportokat, és felülbírálhatják a Microsoft Entra PIM-ben végrehajtott módosításokat.

Értesítések küldésekor

A Privileged Identity Management e-mail-értesítéseket küld a rendszergazdáknak és a PIM érintett felhasználóinak a lejáró csoportok hozzárendeléseihez:

  • A lejárat előtti 14 napon belül
  • Egy nappal a lejárat előtt
  • Amikor egy hozzárendelés lejár

Rendszergazda istratorok értesítést kapnak, ha egy felhasználó vagy csoport egy lejáró vagy lejárt hozzárendelés meghosszabbítását vagy megújítását kéri. Amikor egy rendszergazda feloldja a kérést, a rendszer minden rendszergazdát és a kérelmező felhasználót értesíti a jóváhagyásról vagy a megtagadásról.

Csoporthozzárendelések kiterjesztése

Az alábbi lépések a csoporttagság vagy tulajdonjog-hozzárendelés meghosszabbításának vagy megújításának kérelmezésének, feloldásának vagy felügyeletének folyamatát ismertetik.

Lejáró hozzárendelések önkiterjesztése

A csoporttagsághoz vagy tulajdonoshoz rendelt felhasználók a lejáró csoporthozzárendeléseket közvetlenül a csoport Hozzárendelések lapJának Jogosult vagy Aktív lapjáról terjeszthetik ki. A felhasználók vagy csoportok kérhetik a jogosult és aktív hozzárendelések meghosszabbítását, amelyek a következő 14 napban lejárnak.

Képernyőkép a lejáró hozzárendelések önkiterjesztő helyéről.

Ha a hozzárendelés befejezési dátuma 14 napon belül van, elérhető a Extend parancs. Csoport-hozzárendelés kiterjesztésének igényléséhez válassza a Kiterjesztés lehetőséget a kéreleműrlap megnyitásához.

Képernyőkép arról, hogy hol bővítheti a csoport-hozzárendelés panelt egy Ok mezővel és részletekkel.

Feljegyzés

Javasoljuk, hogy adja meg annak részleteit, hogy miért van szükség a bővítményre, és mennyi ideig kell megadni a bővítményt (ha rendelkezik ezekkel az információkkal).

Rendszergazda istratorok e-mailben értesítést kapnak, amely azt kéri, hogy tekintse át a bővítménykérelmet. Ha már elküldött egy meghosszabbítási kérelmet, megjelenik egy Azure-értesítés a portálon.

A kérés állapotának megtekintéséhez vagy visszavonásához nyissa meg a csoport-hozzárendelés Függőben lévő kérések lapját.

Képernyőkép a függőben lévő kérelmek oldaláról, amelyen a Mégse hivatkozás látható.

Rendszergazda jóváhagyott bővítmény

Amikor egy felhasználó vagy csoport kérelmet küld egy csoport-hozzárendelés meghosszabbítására, a rendszergazdák e-mailben kapnak értesítést, amely tartalmazza az eredeti hozzárendelés részleteit és a kérés okát. Az értesítés közvetlen hivatkozást tartalmaz a rendszergazda jóváhagyására vagy elutasítására irányuló kérésre.

Amellett, hogy az e-mail-hivatkozás követését használja, a rendszergazdák jóváhagyhatják vagy elutasíthatják a kéréseket a Privileged Identity Management felügyeleti portálon, és a kérések jóváhagyása lehetőséget választva a bal oldali panelen.

Képernyőkép a jóváhagyási kérelmek oldaláról, amely felsorolja a kérelmeket és a jóváhagyásra vagy elutasításra mutató hivatkozásokat.

Amikor egy Rendszergazda istrator a Jóváhagyás vagy a Megtagadás lehetőséget választja, megjelenik a kérés részletei, valamint egy mező, amely üzleti indoklást ad az auditnaplókhoz.

Képernyőkép arról, hogy hol hagyhatja jóvá a csoport-hozzárendelési kérelmet a kérelmező okával, a hozzárendelés típusával, a kezdési időponttal, a befejezési időponttal és az okokkal.

Amikor jóváhagy egy csoport-hozzárendelés meghosszabbítására vonatkozó kérelmet, az erőforrás-rendszergazdák új kezdési dátumot, befejezési dátumot és hozzárendeléstípust választhatnak. A hozzárendelés típusának módosítására akkor lehet szükség, ha a rendszergazda korlátozott hozzáférést szeretne biztosítani egy adott tevékenység elvégzéséhez (például egy nap). Ebben a példában a rendszergazda jogosultról aktívra módosíthatja a hozzárendelést. Ez azt jelenti, hogy anélkül biztosíthatnak hozzáférést a kérelmezőhöz, hogy aktiválniuk kellene őket.

Rendszergazda által kezdeményezett bővítmény

Ha egy csoporthoz rendelt felhasználó nem kér bővítményt a csoport-hozzárendeléshez, a rendszergazda a felhasználó nevében kiterjesztheti a hozzárendelést. Rendszergazda csoport-hozzárendelések nem igényelnek jóváhagyást, de a hozzárendelés meghosszabbítása után a rendszer értesítést küld az összes többi rendszergazdának.

Csoport-hozzárendelés kiterjesztéséhez keresse meg a Privileged Identity Management hozzárendelési nézetét. Keresse meg a bővítményt igénylő hozzárendelést. Ezután válassza a Kiterjesztés lehetőséget a műveletoszlopban.

Képernyőkép a kiterjesztendő hivatkozásokkal rendelkező jogosult csoport-hozzárendeléseket felsoroló hozzárendelések lapjáról.

Csoporthozzárendelések megújítása

Bár elméletileg hasonló a bővítmény kérésének folyamatához, a lejárt csoporthozzárendelés megújításának folyamata eltérő. A következő lépések végrehajtásával a hozzárendelések és a rendszergazdák szükség esetén megújíthatják a lejárt hozzárendelésekhez való hozzáférést.

Önmegújítás

Azok a felhasználók, akik már nem férnek hozzá az erőforrásokhoz, legfeljebb 30 nap lejárt hozzárendelési előzményhez férhetnek hozzá. Ehhez a bal oldali panelen keresse meg a Saját szerepkörök lapot, majd válassza a Lejárt hozzárendelések lapot.

A jogosult hozzárendelések alapértelmezettként megjelenített hozzárendeléseinek listája. A legördülő menüben válthat a Jogosult és az Aktív hozzárendelések között.

Ha a listában szereplő csoport-hozzárendelések bármelyikéhez szeretne megújítást kérni, válassza a Megújítás műveletet. Ezután adja meg a kérés okát. Hasznos, ha bármilyen további környezeten vagy üzleti indokláson kívül egy időtartamot is megad, amely segíthet az erőforrás-rendszergazda jóváhagyásának vagy elutasításának eldöntésében.

A kérés elküldése után az erőforrás-rendszergazdák értesítést kapnak a csoport-hozzárendelés megújítására vonatkozó függőben lévő kérésről.

Rendszergazda jóváhagyja

Az erőforrás-rendszergazdák az e-mail-értesítés hivatkozásáról, vagy a Microsoft Entra Felügyeleti központ Privileged Identity Management szolgáltatásának megnyitásával és a kérelmek jóváhagyásának kiválasztásával érhetik el a megújítási kérelmet a bal oldali panelen.

Amikor a rendszergazda a Jóváhagyás vagy a Megtagadás lehetőséget választja, a kérelem részletei megjelennek egy mezővel együtt, amely üzleti indoklást ad az auditnaplókhoz.

Csoport-hozzárendelés megújítására irányuló kérés jóváhagyásakor az erőforrás-rendszergazdáknak új kezdési dátumot, befejezési dátumot és hozzárendeléstípust kell megadniuk.

Következő lépések