Memperpanjang atau memperbarui penetapan peran Microsoft Entra di Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM) menyediakan kontrol untuk mengelola akses dan siklus hidup penugasan untuk peran di ID Microsoft Entra. Administrator dapat menetapkan peran menggunakan properti tanggal-waktu mulai dan selesai. Saat penetapan berakhir, Privileged Identity Management akan mengirimkan email pemberitahuan kepada pengguna atau grup yang terpengaruh. Ini juga mengirim pemberitahuan email ke administrator Microsoft Entra untuk memastikan bahwa akses yang sesuai dipertahankan. Penugasan mungkin diperbarui dan tetap terlihat dalam status kedaluwarsa hingga 30 hari, meskipun akses tidak diperpanjang.
Siapa yang dapat memperpanjang dan memperbarui?
Hanya Administrator Global atau administrator Peran Istimewa yang dapat memperpanjang atau memperbarui penetapan peran Microsoft Entra. Pengguna atau grup yang terpengaruh dapat meminta untuk memperpanjang peran yang akan kedaluwarsa dan meminta untuk memperbarui peran yang sudah kedaluwarsa.
Kapan pemberitahuan dikirim?
Privileged Identity Management mengirimkan pemberitahuan email ke admin dan pengguna yang terpengaruh atau grup peran yang akan kedaluwarsa dalam 14 hari dan satu hari sebelum kedaluwarsa. PIM mengirimkan email lain ketika penugasan secara resmi kedaluwarsa.
Admin menerima pemberitahuan saat pengguna atau grup menetapkan permintaan peran yang sedang kedaluwarsa atau sudah kedaluwarsa untuk diperpanjang atau diperbarui. Ketika administrator menyelesaikan permintaan yang disetujui atau ditolak, semua administrator lain diberi tahu tentang keputusan tersebut. Kemudian pengguna atau grup yang meminta diberitahu tentang keputusan tersebut.
Memperpanjang penetapan peran
Langkah-langkah berikut menguraikan proses untuk meminta, menyelesaikan, atau mengelola ekstensi atau pembaruan penetapan peran.
Memperpanjang sendiri penetapan yang akan kedaluwarsa
Pengguna yang ditetapkan ke peran dapat memperluas penetapan peran yang kedaluwarsa langsung dari tab Memenuhi Syarat atau Aktif di halaman Peran saya, baik di bawah peran Microsoft Entra atau dari tingkat atas halaman Peran saya di portal Privileged Identity Management. Di portal, pengguna dapat meminta untuk memperpanjang peran (yang ditetapkan) yang memenuhi syarat atau aktif yang akan berakhir dalam 14 hari ke depan.
Jika waktu dan tanggal akhir penugasan dalam 14 hari, tombol untuk Perpanjang menjadi tautan aktif di antarmuka pengguna. Dalam contoh berikut, asumsikan tanggal saat ini adalah 27 Maret.
Catatan
Untuk grup yang ditetapkan ke suatu peran, tautan Perpanjang tidak akan pernah tersedia, sehingga pengguna dengan penetapan warisan tidak dapat memperpanjang penetapan grup.
Untuk meminta ekstensi penetapan peran ini, pilih Perpanjang untuk membuka formulir permintaan.
Masukkan alasan permintaan ekstensi, lalu pilih Perpanjang.
Catatan
Sebaiknya sertakan detail mengapa perpanjangan diperlukan dan untuk berapa lama perpanjangan harus diberikan (jika Anda memiliki informasi ini).
Administrator menerima pemberitahuan email untuk meninjau permintaan ekstensi. Jika permintaan untuk memperpanjang telah dikirimkan, pemberitahuan Azure muncul di portal.
Buka halaman Permintaan tertunda untuk menampilkan status permintaan Anda atau untuk membatalkannya.
Ekstensi yang disetujui admin
Saat pengguna atau grup mengirimkan permintaan untuk memperpanjang penetapan peran, admin akan menerima email pemberitahuan yang berisi detail penetapan asli dan alasan permintaan tersebut. Pemberitahuan tersebut mencakup tautan langsung ke permintaan untuk disetujui atau ditolak oleh admin.
Selain menggunakan tautan berikut dari email, admin dapat menyetujui atau menolak permintaan dengan membuka portal administrasi Privileged Identity Management dan memilih Setujui permintaan di panel sebelah kiri.
Saat Administrator memilih Setujui atau Tolak, detail permintaan akan ditampilkan, bersama dengan bidang untuk memberikan pertimbangan bisnis untuk log audit.
Saat menyetujui permintaan untuk memperpanjang penetapan peran, admin dapat memilih tanggal mulai, tanggal berakhir, dan jenis penugasan baru. Mengubah jenis penugasan mungkin diperlukan jika admin ingin menyediakan akses terbatas untuk menyelesaikan penugasan tertentu (suatu hari, misalnya). Dalam contoh ini, admin dapat mengubah penetapan dari Memenuhi Syarat menjadi Aktif. Ini berarti mereka dapat memberikan akses ke pemohon tanpa mengharuskan pemohon untuk mengaktifkan.
Perpanjangan yang dimulai oleh admin
Jika pengguna yang ditetapkan ke peran tidak meminta ekstensi untuk penetapan peran, admin dapat memperpanjang penugasan atas nama pengguna. Ekstensi administratif penetapan peran tidak memerlukan persetujuan, tetapi pemberitahuan dikirim ke semua admin lain setelah peran diperpanjang.
Untuk memperpanjang penetapan peran, telusuri ke tampilan peran atau penugasan dalam Privileged Identity Management. Temukan penetapan yang memerlukan perpanjangan. Lalu pilih Perpanjang di kolom tindakan.
Perluas penetapan peran menggunakan Microsoft Graph API
Dalam permintaan berikut, administrator memperluas tugas aktif menggunakan Microsoft Graph API.
Permintaan HTTP
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
Respons HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Memperbarui penetapan peran
Meskipun secara konseptual mirip dengan proses untuk meminta ekstensi, proses untuk memperbarui penetapan peran yang kedaluwarsa berbeda. Dengan menggunakan langkah-langkah berikut, penugasan dan admin dapat memperbarui akses ke peran yang kedaluwarsa bila diperlukan.
Perpanjangan mandiri
Pengguna yang tidak dapat lagi mengakses sumber daya dapat mengakses hingga 30 hari riwayat tugas yang sudah kedaluwarsa. Untuk melakukan ini, mereka menelusuri ke Peran Saya di panel kiri, lalu pilih tab Peran kedaluwarsa di bagian peran Microsoft Entra.
Daftar peran yang ditampilkan secara default adalah Peran yang memenuhi syarat. Pilih peran yang ditetapkan Memenuhi Syarat atau Aktif.
Untuk meminta perpanjangan untuk setiap penetapan peran dalam daftar, pilih tindakan Perbarui. Kemudian berikan alasan untuk permintaan tersebut. Sangat membantu untuk memberikan durasi selain konteks tambahan atau pertimbangan bisnis yang dapat membantu admin memutuskan apakah menyetujui atau menolak.
Setelah permintaan diajukan, admin diberi tahu tentang permintaan yang tertunda untuk memperbarui penetapan peran.
Admin menyetujui
Administrator Microsoft Entra dapat mengakses permintaan perpanjangan dari tautan di pemberitahuan email, atau dengan mengakses Privileged Identity Management dari pusat admin Microsoft Entra dan memilih Setujui permintaan di PIM.
Saat admin memilih Setujui atau Tolak, detail permintaan ditampilkan bersama dengan bidang untuk memberikan pertimbangan bisnis untuk log audit.
Saat menyetujui permintaan untuk memperbarui penetapan peran, admin harus memasukkan tanggal mulai, tanggal berakhir, dan jenis penugasan baru.
Perpanjangan admin
Mereka juga dapat memperbarui penetapan peran yang kedaluwarsa dari dalam tab Peran kedaluwarsa dari peran Microsoft Entra. Untuk melihat daftar semua penetapan peran yang kedaluwarsa, pada layar Penugasan, pilih Peran yang kedaluwarsa.
