Расширьте или обновите назначение ролей по ресурсам в Управлении привилегированными пользователями

Microsoft Entra управление привилегированными пользователями (PIM) предоставляет элементы управления для управления жизненным циклом доступа и назначения для ресурсов Azure. Администраторы могут назначать роли с указанием свойств даты и времени начала и окончания назначения. Перед завершением срока назначения PIM отправляет уведомления по электронной почте всем пользователям или группам, которых это коснется. Также уведомления по электронной почте отправляются администраторам ресурса, чтобы они приняли меры для сохранения требуемого доступа. Назначения нужно возобновить. Для удобства они остаются видимыми в течение 30 дней после истечения срока действия, даже если доступ не продлевается.

Кто может продлить и возобновить назначение?

Только администраторы ресурса могут продлевать или возобновлять назначения ролей. Пользователь или группа могут запросить продление для ролей с истекающим сроком действия или возобновление для ролей с уже истекшим сроком действия.

Когда оправляются уведомления?

Управление привилегированными пользователями отправляет уведомления по электронной почте администраторам и пользователям или группам тех ролей, срок действия которых истекает в течение 14 дней. Еще одно сообщение отправляется по электронной почте в момент официального завершения срока назначения.

Администраторы получают уведомления, когда участник с ролью с истекающим (или истекшим) сроком действия запрашивает продление или возобновление. Когда конкретный администратор отвечает на запрос, его решение (утверждение или отклонение запроса) пересылается всем остальным администраторам. Также об этом решении оповещаются пользователь или группа, направившие запрос.

Продление назначений ролей

Ниже описаны шаги, входящие в процессы запроса, ответа на запрос или продления или возобновления назначения роли.

Самостоятельные назначений с истекающим сроком действия

Пользователи, которым назначена какая-либо роль, могут продлевать назначение роли, у которого истекает срок действия, непосредственно на вкладке Соответствующая или Активная на странице Мои роли ресурса или на странице верхнего уровня Мои роли на портале Azure Active Directory Privileged Identity Management. На портале пользователи могут запросить продление разрешенных или активных (назначенных) ролей, срок действия которых истекает в ближайшие 14 дней.

Когда дата окончания назначения находится в течение 14 дней, ссылка на расширение становится активной в Центре администрирования Microsoft Entra. В приведенном ниже примере текущей датой является 27 марта.

Примечание.

Для группы, назначенной роли, ссылка расширить никогда не станет доступной, поэтому пользователь с унаследованным назначением не может расширить назначение группы.

Чтобы запросить продление такого назначения роли, нажмите кнопку Продлить после чего откроется форма запроса.

Чтобы просмотреть информацию об исходном назначении, разверните пункт Сведения о назначении. Введите причину для запроса на продление и щелкните Продлить.

Примечание.

Мы рекомендуем подробно описать, для чего требуется продление и на какой срок (если у вас есть такая информация).

Уже через несколько секунд администраторы ресурсов получат по электронной почте уведомления с просьбой рассмотреть запрос на продление. Если запрос на продление уже отправлен, на портале появится уведомление Azure.

Откройте страницу Ожидающие запросы, чтобы просмотреть состояние запроса или отменить его.

Расширение утверждено администратором

Когда пользователь или группа отправляют запрос на продление назначения роли, администраторы ресурсов получают по электронной почте уведомление с информацией об исходном назначении и причине, указанной в запросе. Уведомление содержит прямую ссылку на утверждение или отклонение запроса для администратора.

Администраторы могут утвердить или отклонить запрос по ссылкам прямо из электронного письма или через портал администрирования Управления привилегированными пользователями, выбрав раздел Утверждение запросов на панели слева.

Когда администратор выбирает ссылку Утвердить или Отклонить, отображаются сведения о запросе и поле для бизнес-обоснования, которое будет сохранено в журналы аудита.

Утверждая запрос на продление назначения роли, администраторы ресурсов могут выбрать новые даты начала и окончания, а также изменить тип назначения. Изменение типа назначения применяется в тех случаях, когда администратор предоставляет ограниченный доступ для выполнения конкретной задачи (например, на один день). В нашем примере администратор может изменить статус назначения с Доступно на Активно. Это означает, что запрашивающая сторона сразу получит указанный доступ, без необходимости активации.

Продление, инициированное администратором

Если пользователь, которому была назначена роль, не запрашивает расширение для назначения роли, администратор может расширить назначение от имени пользователя. Администратор istrative расширения назначения ролей не требуют утверждения, но уведомления отправляются всем другим администраторам после расширения роли.

Чтобы расширить назначение ролей, перейдите к роли ресурса или представлению назначения в Управлении привилегированными пользователями. Найдите назначение, которое вы хотите продлить. Выберите Продлить в столбце действий.

Возобновление назначения ролей

В принципе, возобновление назначения роли похоже на продление назначения, но процесс для уже истекшего назначения существенно отличается. Описанные ниже шаги, назначения и администраторы позволяют возобновить доступ к ролям с истекшим сроком действия, если это потребуется.

Самостоятельное продление

Пользователи, которым уже не предоставляется доступ к ресурсам, еще в течение 30 дней могут получить информацию об истечении срока действия назначения. Для этого им нужно открыть раздел Мои роли в области слева и выбрать вкладку Роли с истекшим сроком действия в разделе ролей для ресурсов Azure.

По умолчанию в этом списке ролей отображаются доступные роли. Откройте раскрывающийся список, чтобы переключить режим отображения ("Доступные" или "Активные" роли).

Чтобы запросить возобновление для любого из назначений ролей в списке, выберите действие Возобновить. Укажите также причину запроса. Рекомендуем указать продолжительность в дополнение к контексту или бизнес-обоснованию, которое поможет администратору ресурсов сделать выбор: утвердить или отклонить запрос.

После отправки запроса администраторы ресурсов получают уведомления об ожидающем запросе на возобновление назначения роли.

Утверждение администратором

Администраторы ресурсов могут открыть запрос на возобновление, перейдя по ссылке в уведомлении по электронной почте или выбрав Утверждение запросов на панели слева в разделе PIM на портале Azure.

Когда администратор выбирает Утвердить или Отклонить, сведения о запросе отображаются вместе с полем, чтобы предоставить бизнес-обоснование для журналов аудита.

При утверждении запроса на возобновление назначения роли администраторы ресурсов должны указать новые даты начала и окончания и выбрать тип назначения.

Возобновление администратором

Администраторы ресурсов могут возобновлять назначения ролей с истекшим сроком действия на вкладке Участники в меню навигации слева для конкретного ресурса. Также они могут возобновить истекшие назначения роли на вкладке Истек срок действия для роли ресурса.

Чтобы просмотреть список всех назначений ролей, на экране Участники выберите Роли с истекшим сроком действия.

Следующие шаги

• Подтверждение и отклонение запросов для ролей ресурсов Azure в Azure AD Privileged Identity Management
• Настройте параметры роли ресурса Azure в разделе Управление привилегированными пользователями