Rozszerzanie lub odnawianie usługi PIM dla przypisań grup

  • Artykuł

Usługa Privileged Identity Management (PIM) w usłudze Microsoft Entra ID udostępnia mechanizmy kontroli zarządzania cyklem życia dostępu i przypisywania dla członkostwa w grupach i własności. Administracja istratory mogą przypisywać właściwości daty i godziny rozpoczęcia dla członkostwa w grupie i własności. Po zakończeniu przypisywania usługa Privileged Identity Management wysyła powiadomienia e-mail do użytkowników lub grup, których dotyczy problem. Wysyła również powiadomienia e-mail do administratorów zasobu, aby zapewnić utrzymanie odpowiedniego dostępu. Przypisania mogą być odnawiane i nadal widoczne w stanie wygaśnięcia przez maksymalnie 30 dni, nawet jeśli dostęp nie zostanie rozszerzony.

KtoTo może rozszerzać i odnawiać

Tylko użytkownicy z uprawnieniami do zarządzania grupami mogą rozszerzać lub odnawiać członkostwo w grupie lub przydziały związane z czasem własności. Użytkownik lub grupa, której dotyczy problem, może zażądać rozszerzenia przydziałów, które wkrótce wygaśnie, i zażądać odnowienia przydziałów, które już wygasły.

Grupy z możliwością przypisywania ról mogą być zarządzane przez globalnego Administracja istratora, Administracja istratora ról uprzywilejowanych lub właściciela grupy. Grupy nieprzypisania ról można zarządzać za pomocą globalnego Administracja istratora, składnika zapisywania katalogów, grup Administracja istratora, Administracja istratora ładu tożsamości, Administracja istratora użytkowników lub właściciela grupy. Przypisania ról dla administratorów powinny być ograniczone na poziomie katalogu (nie Administracja poziom jednostkowym).

Uwaga

Inne role z uprawnieniami do zarządzania grupami (takimi jak exchange Administracja istratory dla grup nieprzypisanych do roli M365) i administratorzy z przypisaniami o określonym zakresie na poziomie jednostki administracyjnej mogą zarządzać grupami za pośrednictwem interfejsu API/środowiska użytkownika grup i zastąpić zmiany wprowadzone w usłudze Microsoft Entra PIM.

Kiedy są wysyłane powiadomienia

Usługa Privileged Identity Management wysyła powiadomienia e-mail do administratorów i użytkowników usługi PIM dla wygasających przypisań grup:

  • W ciągu 14 dni przed wygaśnięciem
  • Jeden dzień przed wygaśnięciem
  • Po wygaśnięciu przypisania

Administracja istratory otrzymują powiadomienia, gdy użytkownik lub grupa żąda rozszerzenia lub odnowienia wygasającego lub wygasłego przypisania. Gdy administrator rozwiąże żądanie, wszyscy administratorzy i żądający użytkownik zostaną powiadomieni o zatwierdzeniu lub odmowie.

Rozszerzanie przypisań grup

W poniższych krokach opisano proces żądania, rozwiązywania lub administrowania rozszerzeniem lub odnawianiem członkostwa w grupie lub przypisania własności.

Samodzielne rozszerzanie wygasających przypisań

Użytkownicy przypisani do członkostwa w grupie lub własności mogą rozszerzać wygasające przypisania grup bezpośrednio z karty Kwalifikujące się lub Aktywne na stronie Przypisania dla grupy. Użytkownicy lub grupy mogą poprosić o przedłużenie kwalifikujących się i aktywnych przypisań, które wygasają w ciągu najbliższych 14 dni.

Screenshot of where to self-extend expiring assignments.

Gdy data zakończenia przydziału przypada w ciągu 14 dni, dostępne jest polecenie Extend . Aby zażądać rozszerzenia przypisania grupy, wybierz pozycję Rozszerz , aby otworzyć formularz żądania.

Screenshot of where to extend group assignment pane with a Reason box and details.

Uwaga

Zalecamy uwzględnienie szczegółowych informacji o tym, dlaczego rozszerzenie jest niezbędne, oraz o tym, jak długo powinno zostać przyznane rozszerzenie (jeśli masz te informacje).

Administracja istratory otrzymują powiadomienie e-mail z żądaniem przejrzenia żądania rozszerzenia. Jeśli żądanie rozszerzenia zostało już przesłane, w portalu zostanie wyświetlone powiadomienie platformy Azure.

Aby wyświetlić stan żądania lub anulować je, otwórz stronę Oczekujące żądania dla przypisania grupy.

Screenshot of the pending requests page showing the link to Cancel.

Administracja zatwierdzone rozszerzenie

Gdy użytkownik lub grupa przesyła żądanie rozszerzenia przypisania grupy, administratorzy otrzymają powiadomienie e-mail zawierające szczegóły oryginalnego przypisania i przyczynę żądania. Powiadomienie zawiera bezpośredni link do żądania zatwierdzenia lub odmowy przez administratora.

Oprócz korzystania z poniższego linku z poczty e-mail administratorzy mogą zatwierdzać lub odrzucać żądania, przechodząc do portalu administracyjnego usługi Privileged Identity Management i wybierając pozycję Zatwierdź żądania w okienku po lewej stronie.

Screenshot of the approve requests page listing requests and links to approve or deny.

Gdy Administracja istrator wybierze pozycję Zatwierdź lub Odmów, zostaną wyświetlone szczegóły żądania wraz z polem, aby podać uzasadnienie biznesowe dla dzienników inspekcji.

Screenshot of where to approve group assignment request with requestor reason, assignment type, start time, end time, and reason.

Podczas zatwierdzania żądania rozszerzenia przypisania grupy administratorzy zasobów mogą wybrać nową datę rozpoczęcia, datę zakończenia i typ przypisania. Zmiana typu przypisania może być konieczna, jeśli administrator chce zapewnić ograniczony dostęp do wykonania określonego zadania (na przykład jeden dzień). W tym przykładzie administrator może zmienić przypisanie z Kwalifikujące się na Aktywne. Oznacza to, że mogą oni zapewnić dostęp do osoby żądającej bez konieczności ich aktywowania.

rozszerzenie inicjowane przez Administracja

Jeśli użytkownik przypisany do grupy nie zażąda rozszerzenia przypisania grupy, administrator może rozszerzyć przypisanie w imieniu użytkownika. Administracja rozszerzenia przypisania grupy nie wymagają zatwierdzenia, ale powiadomienia są wysyłane do wszystkich innych administratorów po rozszerzeniu przypisania.

Aby rozszerzyć przypisanie grupy, przejdź do widoku przypisania w usłudze Privileged Identity Management. Znajdź przypisanie, które wymaga rozszerzenia. Następnie wybierz pozycję Rozszerz w kolumnie akcji.

Screenshot of the assignments page listing eligible group assignments with links to extend.

Odnawianie przypisań grup

Chociaż koncepcyjnie podobny do procesu żądania rozszerzenia, proces odnawiania wygasłego przypisania grupy jest inny. Wykonując poniższe kroki, przypisania i administratorzy mogą w razie potrzeby odnowić dostęp do wygasłych przypisań.

Samodzielne odnawianie

Użytkownicy, którzy nie mogą już uzyskiwać dostępu do zasobów, mogą uzyskać dostęp do 30 dni historii wygasłych przypisań. W tym celu przechodzą do pozycji Moje role w okienku po lewej stronie, a następnie wybierają kartę Wygasłe przypisania.

Lista przypisań wyświetlanych domyślnie do kwalifikujących się przypisań. Użyj menu rozwijanego, aby przełączać się między kwalifikującymi się i aktywnymi przypisaniami.

Aby zażądać odnowienia dowolnych przypisań grup na liście, wybierz akcję Odnów . Następnie podaj przyczynę żądania. Warto podać czas trwania oprócz dodatkowego kontekstu lub uzasadnienia biznesowego, które może pomóc administratorowi zasobów zdecydować się na zatwierdzenie lub odmowę.

Po przesłaniu żądania administratorzy zasobów są powiadamiani o oczekującym żądaniu odnowienia przypisania grupy.

Administracja zatwierdza

Administratorzy zasobów mogą uzyskać dostęp do żądania odnowienia z linku w powiadomieniu e-mail lub przez uzyskanie dostępu do usługi Privileged Identity Management w centrum administracyjnym firmy Microsoft Entra i wybranie pozycji Zatwierdź żądania w okienku po lewej stronie.

Gdy administrator wybierze pozycję Zatwierdź lub Odmów, szczegóły żądania zostaną wyświetlone wraz z polem, aby podać uzasadnienie biznesowe dla dzienników inspekcji.

Podczas zatwierdzania żądania odnowienia przypisania grupy administratorzy zasobów muszą wprowadzić nową datę rozpoczęcia, datę zakończenia i typ przypisania.

Następne kroki