Privileged Identity Management'ta Azure kaynak rolü atamalarını genişletme veya yenileme

  • Makale

Microsoft Entra Privileged Identity Management (PIM), Azure kaynaklarına yönelik erişim ve atama yaşam döngüsünü yönetmek için denetimler sağlar. Yönetici istrator'lar başlangıç ve bitiş tarih-saat özelliklerini kullanarak rol atayabilir. Atama sona erdiğinde Privileged Identity Management, etkilenen kullanıcılara veya gruplara e-posta bildirimleri gönderir. Ayrıca, uygun erişimin korunmasını sağlamak için kaynağın yöneticilerine e-posta bildirimleri gönderir. Erişim uzatılmasa bile atamalar yenilenebilir ve süresi dolan bir durumda 30 güne kadar görünebilir.

Kimler uzatabilir ve yenileyebilir?

Rol atamalarını yalnızca kaynağın yöneticileri genişletebilir veya yenileyebilir. Etkilenen kullanıcı veya grup, süresi dolmak üzere olan rolleri genişletmeyi ve süresi dolmuş rolleri yenilemeyi isteyebilir.

Bildirimler ne zaman gönderilir?

Privileged Identity Management, yöneticilere ve etkilenen kullanıcılara veya süresi dolmadan önceki 14 gün içinde ve bir gün önce süresi dolan rol gruplarına e-posta bildirimleri gönderir. Ödevin süresi resmi olarak dolduğunda ek bir e-posta gönderir.

Yönetici istrator'lar, bir kullanıcı veya grup süresi dolan veya süresi dolan bir rol için genişletme veya yenileme isteği atadığında bildirim alır. Belirli bir yönetici isteği çözümlediğinde, çözüm kararı diğer tüm yöneticilere bildirilir (onaylanır veya reddedilir). Ardından istekte bulunan kullanıcı veya gruba karar bildirilir.

Rol atamalarını genişletme

Aşağıdaki adımlarda, rol atamasının uzantısını veya yenilemesini isteme, çözme veya yönetme işlemi özetlenmiştir.

Süresi dolan atamaları kendi kendine genişletme

Bir role atanan kullanıcılar, süresi dolan rol atamalarını doğrudan kaynağın Rollerim sayfasındaki Uygun veya Etkin sekmesinden ve Privileged Identity Management portalının üst düzey Rollerim sayfasından genişletebilir. Portalda kullanıcılar, önümüzdeki 14 gün içinde süresi dolan uygun veya etkin (atanmış) rolleri genişletme isteğinde bulunabilir.

Eylem sütunuyla uygun rolleri listeleyen Rollerim sayfasının ekran görüntüsü.

Atama bitiş tarihi-saati 14 gün içinde olduğunda, Genişlet bağlantısı Microsoft Entra yönetim merkezinde etkin hale gelir. Aşağıdaki örnekte geçerli tarihin 27 Mart olduğunu varsayalım.

Not

Bir role atanan bir grup için, devralınan atamaya sahip bir kullanıcının grup atamasını genişletememesini sağlamak için Genişlet bağlantısı hiçbir zaman kullanılamaz.

Etkinleştir veya Genişlet bağlantılarını içeren eylem sütununun ekran görüntüsü.

Bu rol atamasının uzantısını istemek için Genişlet'i seçerek istek formunu açın.

Neden kutusuyla rol atamasını genişlet bölmesinin ekran görüntüsü.

Özgün atama hakkındaki bilgileri görüntülemek için Atama ayrıntıları'nı genişletin. Uzantı isteği için bir neden girin ve genişlet'i seçin.

Not

Uzantının neden gerekli olduğuna ve uzantının ne kadar süreyle verileceğine ilişkin ayrıntıları (bu bilgilere sahipseniz) eklemenizi öneririz.

Atama ayrıntıları genişletilmiş rol atamasını genişlet bölmesinin ekran görüntüsü.

Birkaç dakika içinde kaynak yöneticileri, uzantı isteğini gözden geçirmelerini isteyen bir e-posta bildirimi alır. Genişletme isteği zaten gönderildiyse portalda bir Azure bildirimi görüntülenir.

Zaten bekleyen bir rol atama uzantısı olduğunu açıklayan bir Bildirimin ekran görüntüsü.

İsteğinizin durumunu görüntülemek veya iptal etmek için Bekleyen istekler sayfasına gidin.

Azure kaynaklarının ekran görüntüsü - Bekleyen istekler sayfasının istenen bekleyenleri ve İptal bağlantısını listelemektedir.

Yönetici onaylı uzantı

Bir kullanıcı veya grup rol atamasını genişletmek için bir istek gönderdiğinde, kaynak yöneticileri özgün atamanın ayrıntılarını ve isteğin nedenini içeren bir e-posta bildirimi alır. Bildirim, yöneticinin onaylaması veya reddetmesi isteğine doğrudan bir bağlantı içerir.

Yöneticiler, e-postadan gelen bağlantıyı izleyerek kullanmaya ek olarak Privileged Identity Management yönetim portalına gidip sol bölmede İstekleri onayla'yı seçerek istekleri onaylayabilir veya reddedebilir.

Onay veya reddetme isteklerini ve bağlantıları listeleyen Azure kaynaklarının ekran görüntüsü - İstekleri onayla sayfası.

bir Yönetici istrator Onayla veya Reddet'i seçtiğinde, isteğin ayrıntıları ve denetim günlükleri için bir iş gerekçesi sağlamak üzere bir alan gösterilir.

İstek sahibi nedeni, atama türü, başlangıç zamanı, bitiş saati ve neden içeren Rol ataması isteğini onayla seçeneğinin ekran görüntüsü.

Kaynak yöneticileri rol atamasını genişletme isteğini onaylarken yeni bir başlangıç tarihi, bitiş tarihi ve atama türü seçebilir. Yönetici belirli bir görevi (örneğin bir gün) tamamlamak için sınırlı erişim sağlamak istiyorsa atama türünü değiştirmek gerekebilir. Bu örnekte, yönetici atamayı Uygun yerine Etkin olarak değiştirebilir. Bu, istek sahibine etkinleştirmesine gerek kalmadan erişim sağlayabilecekleri anlamına gelir.

Yönetici başlatılan uzantı

Role atanan bir kullanıcı rol ataması için uzantı istemezse, yönetici kullanıcı adına bir atamayı genişletebilir. Rol atamasının Yönetici uzantıları onay gerektirmez, ancak rol genişletildikten sonra diğer tüm yöneticilere bildirimler gönderilir.

Rol atamasını genişletmek için Privileged Identity Management'ta kaynak rolüne veya atama görünümüne göz atın. Uzantı gerektiren atamayı bulun. Ardından eylem sütununda Genişlet'i seçin.

Genişletecek bağlantılar içeren uygun rollerin listelendiği Azure kaynakları - atamalar sayfasının ekran görüntüsü.

Rol atamalarını yenileme

Kavramsal olarak uzantı isteme işlemine benzer olsa da süresi dolan rol atamasını yenileme işlemi farklıdır. Aşağıdaki adımları kullanarak, atamalar ve yöneticiler gerektiğinde süresi dolan rollere erişimi yenileyebilir.

Kendi kendini yenileme

Kaynaklara artık erişemeyen kullanıcılar 30 güne kadar süresi dolmuş atama geçmişine erişebilir. Bunu yapmak için sol bölmedeki Rollerim'e göz atıp Azure kaynak rolleri bölümünde Süresi dolan roller sekmesini seçer.

Rollerim sayfası - Süresi dolan roller sekmesinin ekran görüntüsü.

Gösterilen rollerin listesi varsayılan olarak Uygun roller olarak gösterilir. Uygun ve Etkin atanan roller arasında geçiş yapmak için açılan menüyü kullanın.

Listedeki rol atamalarından herhangi biri için yenileme isteğinde bulunmak için Yenile eylemini seçin. Ardından istek için bir neden belirtin. Kaynak yöneticisinin onaylamaya veya reddetmeye karar vermesine yardımcı olabilecek ek bağlamlara veya iş gerekçelerine ek olarak bir süre sağlamak yararlı olur.

Neden kutusunu gösteren Rol ataması yenileme bölmesinin ekran görüntüsü.

İstek gönderildikten sonra, kaynak yöneticilerine rol atamasını yenilemek için bekleyen bir istek bildirilir.

Yönetici onaylar

Kaynak yöneticileri yenileme isteğine e-posta bildirimindeki bağlantıdan veya Azure portalından Privileged Identity Management'a erişip sol bölmeden İstekleri onayla'yı seçerek erişebilir.

Onay veya reddetme isteklerini ve bağlantıları listeleyen Azure kaynaklarının ekran görüntüsü - İstekleri onayla sayfası.

Yönetici Onayla veya Reddet'i seçtiğinde, denetim günlükleri için iş gerekçesi sağlamak üzere isteğin ayrıntılarıyla birlikte bir alan gösterilir.

İstek sahibi nedeni, atama türü, başlangıç zamanı, bitiş saati ve neden içeren Rol ataması isteğini onayla seçeneğinin ekran görüntüsü.

Rol atamasını yenileme isteğini onaylarken, kaynak yöneticilerinin yeni bir başlangıç tarihi, bitiş tarihi ve atama türü girmesi gerekir.

Yönetici yenileme

Kaynak yöneticileri, bir kaynağın sol gezinti menüsündeki Üyeler sekmesinden süresi dolan rol atamalarını yenileyebilir. Ayrıca, bir kaynak rolünün Süresi dolan roller sekmesinden süresi dolan rol atamalarını yenileyebilirler.

Süresi dolan tüm rol atamalarının listesini görüntülemek için Üyeler ekranında Süresi dolan roller'i seçin.

Azure kaynakları - Süresi dolan rollerin yenilenecek bağlantıların listelendiği Üyeler sayfasının ekran görüntüsü.

Sonraki adımlar