Utöka eller förnya tilldelningar av Azure-resursroller i Privileged Identity Management

Privileged Identity Management (PIM) i Azure Active Directory (Azure AD), en del av Microsoft Entra, tillhandahåller kontroller för att hantera åtkomst- och tilldelningslivscykeln för Azure-resurser. Administratörer kan tilldela roller med hjälp av start- och slutdatumsegenskaper. När tilldelningsslutet närmar sig skickar Privileged Identity Management e-postaviseringar till berörda användare eller grupper. Den skickar också e-postaviseringar till administratörer av resursen för att säkerställa att lämplig åtkomst upprätthålls. Tilldelningar kan förnyas och vara synliga i ett utgånget tillstånd i upp till 30 dagar, även om åtkomsten inte utökas.

Vem kan utöka och förnya?

Endast administratörer av resursen kan utöka eller förnya rolltilldelningar. Den berörda användaren eller gruppen kan begära att utöka roller som snart upphör att gälla och begära att förnya roller som redan har upphört att gälla.

När skickas meddelanden?

Privileged Identity Management skickar e-postaviseringar till administratörer och berörda användare eller grupper av roller som upphör att gälla inom 14 dagar och en dag före förfallodatumet. Den skickar ytterligare ett e-postmeddelande när en tilldelning upphör att gälla officiellt.

Administratörer får meddelanden när en användare eller grupp har tilldelats en förfallen eller förfallen rollbegäran om att utöka eller förnya. När en specifik administratör löser begäran meddelas alla andra administratörer om resolutionsbeslutet (godkänt eller nekat). Sedan meddelas den begärande användaren eller gruppen om beslutet.

Utöka rolltilldelningar

Följande steg beskriver processen för att begära, lösa eller administrera ett tillägg eller förnya en rolltilldelning.

Självförlängande tilldelningar som upphör att gälla

Användare som har tilldelats en roll kan utöka upphörande rolltilldelningar direkt från fliken Berättigad eller Aktiv på sidan Mina roller för en resurs och från sidan Mina roller på den översta nivån i Privileged Identity Management portalen. I portalen kan användare begära att utöka berättigade eller aktiva (tilldelade) roller som upphör att gälla under de kommande 14 dagarna.

Azure resources - My roles page listing eligible roles with an Action column

När tilldelningens slutdatum är inom 14 dagar blir länken till Utöka aktiv i Azure Portal. Anta i följande exempel att det aktuella datumet är den 27 mars.

Anteckning

För en grupp som har tilldelats en roll blir länken Utöka aldrig tillgänglig så att en användare med en ärvd tilldelning inte kan utöka grupptilldelningen.

Action column with links to Activate or Extend

Om du vill begära ett tillägg för den här rolltilldelningen väljer du Utöka för att öppna begärandeformuläret.

Extend role assignment pane with a Reason box

Om du vill visa information om den ursprungliga tilldelningen expanderar du Tilldelningsinformation. Ange en orsak till tilläggsbegäran och välj sedan Utöka.

Anteckning

Vi rekommenderar att du inkluderar information om varför tillägget är nödvändigt och hur länge tillägget ska beviljas (om du har den här informationen).

Extend role assignment pane with Assignment details expanded

Om en stund får resursadministratörer ett e-postmeddelande där de uppmanas att granska tilläggsbegäran. Om en begäran om att utöka redan har skickats visas ett Azure-meddelande i portalen.

Notification explaining that there is already an existing pending role assignment extension

Gå till sidan Väntande begäranden om du vill visa status för din begäran eller avbryta den.

Azure resources - Pending requests page listing any pending requested and a link to Cancel

Admin godkänt tillägg

När en användare eller grupp skickar en begäran om att utöka en rolltilldelning får resursadministratörerna ett e-postmeddelande som innehåller information om den ursprungliga tilldelningen och orsaken till begäran. Meddelandet innehåller en direktlänk till begäran om att administratören ska godkänna eller neka.

Förutom att följa länken från e-post kan administratörer godkänna eller neka begäranden genom att gå till Privileged Identity Management administrationsportalen och välja Godkänn begäranden i det vänstra fönstret.

Azure resources - Approve requests page listing requests and links to approve or deny

När en administratör väljer Godkänn eller Neka visas information om begäran, tillsammans med ett fält för att ange en affärsmotivering för granskningsloggarna.

Approve role assignment request with requestor reason, assignment type, start time, end time, and reason

När du godkänner en begäran om att utöka rolltilldelningen kan resursadministratörer välja ett nytt startdatum, slutdatum och tilldelningstyp. Det kan vara nödvändigt att ändra tilldelningstyp om administratören vill ge begränsad åtkomst för att slutföra en viss uppgift (till exempel en dag). I det här exemplet kan administratören ändra tilldelningen från Berättigad till Aktiv. Det innebär att de kan ge åtkomst till beställaren utan att de behöver aktiveras.

Admin initierat tillägg

Om en användare som har tilldelats en roll inte begär ett tillägg för rolltilldelningen kan en administratör utöka en tilldelning för användarens räkning. Administrativa tillägg för rolltilldelning kräver inte godkännande, men meddelanden skickas till alla andra administratörer när rollen har utökats.

Om du vill utöka en rolltilldelning bläddrar du till resursrollen eller tilldelningsvyn i Privileged Identity Management. Hitta tilldelningen som kräver ett tillägg. Välj sedan Utöka i åtgärdskolumnen.

Azure resources - assignments page listing eligible roles with links to extend

Förnya rolltilldelningar

Begreppsmässigt liknar processen för att begära ett tillägg, men processen för att förnya en förfallen rolltilldelning är annorlunda. Med hjälp av följande steg kan tilldelningar och administratörer förnya åtkomsten till utgångna roller vid behov.

Förnya själv

Användare som inte längre kan komma åt resurser kan komma åt upp till 30 dagars historik för förfallna tilldelningar. För att göra detta bläddrar de till Mina roller i det vänstra fönstret och väljer sedan fliken Förfallna roller i avsnittet Azure-resursroller.

My roles page - Expired roles tab

Listan över roller som visas som standard för Berättigade roller. Använd den nedrullningsbara menyn för att växla mellan berättigade och aktiva tilldelade roller.

Om du vill begära förnyelse för någon av rolltilldelningarna i listan väljer du åtgärden Förnya . Ange sedan en orsak till begäran. Det är bra att ange en varaktighet utöver eventuella ytterligare kontexter eller en affärsmotivering som kan hjälpa resursadministratören att godkänna eller neka.

Renew role assignment pane showing Reason box

När begäran har skickats meddelas resursadministratörer om en väntande begäran om att förnya en rolltilldelning.

Admin godkänner

Resursadministratörer kan komma åt förnyelsebegäran från länken i e-postmeddelandet eller genom att komma åt Privileged Identity Management från Azure Portal och välja Godkänn begäranden i den vänstra rutan.

Azure resources - Approve requests page listing requests and links to approve or deny

När en administratör väljer Godkänn eller Neka visas information om begäran tillsammans med ett fält för att ange en affärsmotivering för granskningsloggarna.

Approve role assignment request with requestor reason, assignment type, start time, end time, and reason

När du godkänner en begäran om att förnya rolltilldelningen måste resursadministratörer ange ett nytt startdatum, slutdatum och tilldelningstyp.

Admin förnya

Resursadministratörer kan förnya utgångna rolltilldelningar från fliken Medlemmar på den vänstra navigeringsmenyn för en resurs. De kan också förnya utgångna rolltilldelningar från fliken Förfallna roller i en resursroll.

Om du vill visa en lista över alla utgångna rolltilldelningar väljer du Förfallna roller på skärmen Medlemmar.

Azure resources - Members page listing expired roles with links to renew

Nästa steg