Utöka eller förnya PIM för grupptilldelningar

  • Artikel

Privileged Identity Management (PIM) i Microsoft Entra ID tillhandahåller kontroller för att hantera åtkomst- och tilldelningslivscykeln för gruppmedlemskap och ägarskap. Administratörer kan tilldela start- och slutdatumsegenskaper för gruppmedlemskap och ägarskap. När tilldelningsslutet närmar sig skickar Privileged Identity Management e-postaviseringar till de berörda användarna eller grupperna. Den skickar också e-postaviseringar till resursadministratörer för att säkerställa att lämplig åtkomst upprätthålls. Tilldelningar kan förnyas och vara synliga i ett utgånget tillstånd i upp till 30 dagar, även om åtkomsten inte utökas.

Vem kan utöka och förnya

Endast användare med behörighet att hantera grupper kan utöka eller förnya tidsbundna tilldelningar för gruppmedlemskap eller ägarskap. Den berörda användaren eller gruppen kan begära att utöka tilldelningar som snart upphör att gälla och begära att förnya tilldelningar som redan har upphört att gälla.

Rolltilldelningsbara grupper kan hanteras av global administratör, privilegierad rolladministratör eller ägare av gruppen. Grupper som inte kan tilldelas roller kan hanteras av global administratör, katalogförfattare, gruppadministratör, administratör för identitetsstyrning, användaradministratör eller ägare av gruppen. Rolltilldelningar för administratörer bör begränsas på katalognivå (inte på administrativ enhetsnivå).

Kommentar

Andra roller med behörighet att hantera grupper (till exempel Exchange-administratörer för icke-rolltilldelningsbara M365-grupper) och administratörer med tilldelningar som är begränsade på administrativ enhetsnivå kan hantera grupper via gruppers API/UX och åsidosätta ändringar som gjorts i Microsoft Entra PIM.

När meddelanden skickas

Privileged Identity Management skickar e-postaviseringar till administratörer och berörda användare av PIM för grupptilldelningar som upphör att gälla:

  • Inom 14 dagar före förfallodatum
  • En dag före förfallodatumet
  • När en tilldelning upphör att gälla

Administratörer får meddelanden när en användare eller grupp begär att utöka eller förnya en tilldelning som upphör att gälla eller har upphört att gälla. När en administratör löser begäran meddelas alla administratörer och den begärande användaren om godkännande eller avslag.

Utöka grupptilldelningar

Följande steg beskriver processen för att begära, lösa eller administrera ett tillägg eller förnyelse av ett gruppmedlemskap eller ägartilldelning.

Självförlängande tilldelningar som upphör att gälla

Användare som tilldelats gruppmedlemskap eller ägarskap kan utöka utgångna grupptilldelningar direkt från fliken Berättigade eller Aktivasidan Tilldelningar för gruppen. Användare eller grupper kan begära att utöka berättigade och aktiva tilldelningar som upphör att gälla under de kommande 14 dagarna.

Screenshot of where to self-extend expiring assignments.

När tilldelningens slutdatum är inom 14 dagar är kommandot Utöka tillgängligt. Om du vill begära ett tillägg för en grupptilldelning väljer du Utöka för att öppna formuläret för begäran.

Screenshot of where to extend group assignment pane with a Reason box and details.

Kommentar

Vi rekommenderar att du tar med information om varför tillägget är nödvändigt och hur länge tillägget ska beviljas (om du har den här informationen).

Administratörer får ett e-postmeddelande där de uppmanas att granska tilläggsbegäran. Om en begäran om att utöka redan har skickats visas ett Azure-meddelande i portalen.

Om du vill visa status för eller avbryta din begäran öppnar du sidan Väntande begäranden för grupptilldelningen.

Screenshot of the pending requests page showing the link to Cancel.

Administratörsgodkänt tillägg

När en användare eller grupp skickar en begäran om att utöka en grupptilldelning får administratörer ett e-postmeddelande som innehåller information om den ursprungliga tilldelningen och orsaken till begäran. Meddelandet innehåller en direktlänk till begäran om att administratören ska godkänna eller neka.

Förutom att använda följande länk från e-post kan administratörer godkänna eller neka begäranden genom att gå till administrationsportalen för privileged Identity Management och välja Godkänn begäranden i den vänstra rutan.

Screenshot of the approve requests page listing requests and links to approve or deny.

När en administratör väljer Godkänn eller Neka visas information om begäran, tillsammans med ett fält för att ange en affärsmotivering för granskningsloggarna.

Screenshot of where to approve group assignment request with requestor reason, assignment type, start time, end time, and reason.

När du godkänner en begäran om att utöka en grupptilldelning kan resursadministratörer välja ett nytt startdatum, slutdatum och tilldelningstyp. Det kan vara nödvändigt att ändra tilldelningstyp om administratören vill ge begränsad åtkomst för att slutföra en viss uppgift (till exempel en dag). I det här exemplet kan administratören ändra tilldelningen från Berättigad till Aktiv. Det innebär att de kan ge åtkomst till beställaren utan att kräva att de aktiveras.

Administratörsinitierat tillägg

Om en användare som tilldelats en grupp inte begär ett tillägg för grupptilldelningen kan en administratör utöka en tilldelning åt användaren. Administrativa tillägg för grupptilldelning kräver inte godkännande, men meddelanden skickas till alla andra administratörer när tilldelningen har utökats.

Om du vill utöka en grupptilldelning bläddrar du till tilldelningsvyn i Privileged Identity Management. Leta reda på tilldelningen som kräver ett tillägg. Välj sedan Utöka i åtgärdskolumnen.

Screenshot of the assignments page listing eligible group assignments with links to extend.

Förnya grupptilldelningar

Även om det konceptuellt liknar processen för att begära ett tillägg, skiljer sig processen för att förnya en grupptilldelning som har upphört att gälla. Med hjälp av följande steg kan tilldelningar och administratörer förnya åtkomsten till utgångna tilldelningar vid behov.

Förnya själv

Användare som inte längre kan komma åt resurser kan komma åt upp till 30 dagars tilldelningshistorik som har upphört att gälla. För att göra detta bläddrar de till Mina roller i den vänstra rutan och väljer sedan fliken Förfallna tilldelningar .

Listan över tilldelningar som visas som standard för Berättigade tilldelningar. Använd den nedrullningsbara menyn för att växla mellan berättigade och aktiva tilldelningar.

Om du vill begära förnyelse för någon av grupptilldelningarna i listan väljer du åtgärden Förnya . Ange sedan en orsak till begäran. Det är bra att ange en varaktighet utöver eventuella ytterligare kontexter eller en affärsmotivering som kan hjälpa resursadministratören att besluta att godkänna eller neka.

När begäran har skickats meddelas resursadministratörer om en väntande begäran om att förnya en grupptilldelning.

Administratören godkänner

Resursadministratörer kan komma åt förnyelsebegäran från länken i e-postmeddelandet eller genom att komma åt Privileged Identity Management från administrationscentret för Microsoft Entra och välja Godkänn begäranden i den vänstra rutan.

När en administratör väljer Godkänn eller Neka visas information om begäran tillsammans med ett fält för att ange en affärsmotivering för granskningsloggarna.

När du godkänner en begäran om att förnya en grupptilldelning måste resursadministratörer ange ett nytt startdatum, slutdatum och tilldelningstyp.

Nästa steg