Estendere o rinnovare PIM per le assegnazioni di gruppi
Privileged Identity Management (PIM) in Microsoft Entra ID fornisce controlli per gestire il ciclo di vita di accesso e assegnazione per l'appartenenza e la proprietà del gruppo. Amministrazione istrator possono assegnare proprietà di data e ora di inizio e di fine per l'appartenenza al gruppo e la proprietà. Quando l'assegnazione termina, Privileged Identity Management invia notifiche tramite posta elettronica agli utenti o ai gruppi interessati. Inoltre, invia notifiche tramite posta elettronica agli amministratori della risorsa per garantire che venga mantenuto l'accesso appropriato. Le assegnazioni potrebbero essere rinnovate e rimanere visibili in uno stato scaduto per un massimo di 30 giorni, anche se l'accesso non viene esteso.
Chi può estendere e rinnovare
Solo gli utenti con autorizzazioni per gestire i gruppi possono estendere o rinnovare l'appartenenza al gruppo o le assegnazioni associate al tempo. L'utente o il gruppo interessato può richiedere di estendere le assegnazioni che stanno per scadere e richiedere di rinnovare le assegnazioni già scadute.
I gruppi assegnabili a ruoli possono essere gestiti da Global Amministrazione istrator, Privileged Role Amministrazione istrator o Proprietario del gruppo. I gruppi non assegnabili a ruoli possono essere gestiti da Global Amministrazione istrator, Directory Writer, Groups Amministrazione istrator, Identity Governance Amministrazione istrator, User Amministrazione istrator o Owner del gruppo. Le assegnazioni di ruolo per gli amministratori devono essere con ambito a livello di directory (non a livello di unità Amministrazione istrative).
Nota
Altri ruoli con autorizzazioni per gestire i gruppi (ad esempio Exchange Amministrazione istrator per i gruppi M365 non assegnabili da ruoli) e gli amministratori con assegnazioni con ambito a livello di unità amministrativa possono gestire i gruppi tramite l'API/l'esperienza utente dei gruppi ed eseguire l'override delle modifiche apportate in Microsoft Entra PIM.
Quando vengono inviate notifiche
Privileged Identity Management invia notifiche tramite posta elettronica agli amministratori e agli utenti interessati di PIM per le assegnazioni di gruppi in scadenza:
- Entro 14 giorni dalla scadenza
- Un giorno prima della scadenza
- Quando un'assegnazione scade
Amministrazione istrators ricevono notifiche quando un utente o un gruppo richiede di estendere o rinnovare un'assegnazione scaduta o scaduta. Quando un amministratore risolve la richiesta, tutti gli amministratori e l'utente richiedente ricevono una notifica dell'approvazione o della negazione.
Estendere le assegnazioni di gruppo
I passaggi seguenti descrivono il processo di richiesta, risoluzione o amministrazione di un'estensione o rinnovo di un'appartenenza a un gruppo o di un'assegnazione di proprietà.
Assegnazioni in scadenza self-extend
L'appartenenza o la proprietà dei gruppi assegnati agli utenti possono estendere le assegnazioni di gruppo in scadenza direttamente dalla scheda Idoneo o Attivo nella pagina Assegnazioni per il gruppo. Gli utenti o i gruppi possono richiedere di estendere le assegnazioni idonee e attive che scadono nei prossimi 14 giorni.
Quando la data di fine dell'assegnazione è entro 14 giorni, il comando Estendi è disponibile. Per richiedere un'estensione di un'assegnazione di gruppo, selezionare Estendi per aprire il modulo di richiesta.
Nota
È consigliabile includere i dettagli del motivo per cui è necessaria l'estensione e il tempo di estensione da concedere (se noto).
Amministrazione istrator ricevono una notifica tramite posta elettronica che richiede di esaminare la richiesta di estensione. Se è già stata inviata una richiesta di estensione, viene visualizzata una notifica di Azure nel portale.
Per visualizzare lo stato o annullare la richiesta, aprire la pagina Richieste in sospeso per l'assegnazione del gruppo.
Amministrazione'estensione approvata
Quando un utente o un gruppo invia una richiesta per estendere un'assegnazione di gruppo, gli amministratori ricevono una notifica tramite posta elettronica contenente i dettagli dell'assegnazione originale e il motivo della richiesta. La notifica include un collegamento diretto alla richiesta che l'amministratore dovrà approvare o rifiutare.
Oltre a usare il collegamento seguente dal messaggio di posta elettronica, gli amministratori possono approvare o negare le richieste accedendo al portale di amministrazione di Privileged Identity Management e selezionando Approva richieste nel riquadro sinistro.
Quando un Amministrazione istrator seleziona Approva o Nega, vengono visualizzati i dettagli della richiesta, insieme a un campo per fornire una giustificazione aziendale per i log di controllo.
Quando si approva una richiesta per estendere un'assegnazione di gruppo, gli amministratori delle risorse possono scegliere una nuova data di inizio, una data di fine e un tipo di assegnazione. La modifica del tipo di assegnazione potrebbe essere necessaria se l'amministratore vuole fornire accesso limitato per completare un'attività specifica (un giorno, ad esempio). In questo esempio, l'amministratore può modificare l'assegnazione da Idonea ad Attiva. Ciò significa che possono fornire l'accesso al richiedente senza necessità di attivazione.
Amministrazione'estensione avviata
Se un utente assegnato a un gruppo non richiede un'estensione per l'assegnazione del gruppo, un amministratore può estendere un'assegnazione per conto dell'utente. Amministrazione istrative estensioni di assegnazione di gruppo non richiedono l'approvazione, ma le notifiche vengono inviate a tutti gli altri amministratori dopo l'estensione dell'assegnazione.
Per estendere un'assegnazione di gruppo, passare alla visualizzazione assegnazione in Privileged Identity Management. Trovare l'assegnazione che richiede un'estensione. Quindi selezionare Estendi nella colonna relativa all'azione.
Rinnovare le assegnazioni di gruppo
Sebbene concettualmente simile al processo per richiedere un'estensione, il processo di rinnovo di un'assegnazione di gruppo scaduto è diverso. Seguendo questa procedura, le assegnazioni e gli amministratori possono rinnovare l'accesso alle assegnazioni scadute quando necessario.
Rinnovo automatico
Gli utenti che non possono più accedere alle risorse possono accedere fino a 30 giorni di cronologia delle assegnazioni scadute. A tale scopo, passare a Ruoli personali nel riquadro sinistro e quindi selezionare la scheda Assegnazioni scadute .
Elenco delle assegnazioni visualizzate per impostazione predefinita su Assegnazioni idonee. Usare il menu a discesa per alternare le assegnazioni idonee e attive.
Per richiedere il rinnovo per le assegnazioni di gruppo nell'elenco, selezionare l'azione Rinnova . Quindi, specificare un motivo per la richiesta. È utile fornire una durata oltre a qualsiasi contesto aggiuntivo o una motivazione aziendale che può aiutare l'amministratore delle risorse a decidere di approvare o rifiutare.
Dopo l'invio della richiesta, gli amministratori delle risorse ricevono una notifica di una richiesta in sospeso per rinnovare un'assegnazione di gruppo.
Approvazione degli amministratori
Gli amministratori delle risorse possono accedere alla richiesta di rinnovo dal collegamento nella notifica tramite posta elettronica o accedendo a Privileged Identity Management dall'interfaccia di amministrazione di Microsoft Entra e selezionando Approva richieste dal riquadro sinistro.
Quando un amministratore seleziona Approva o Nega, i dettagli della richiesta vengono visualizzati insieme a un campo per fornire una giustificazione aziendale per i log di controllo.
Quando si approva una richiesta di rinnovo di un'assegnazione di gruppo, gli amministratori delle risorse devono immettere una nuova data di inizio, una data di fine e un tipo di assegnazione.