Estendere o rinnovare le assegnazioni dei ruoli delle risorse di Azure in Azure AD Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM) per Microsoft Entra fornisce controlli per la gestione del ciclo di vita di accesso e di assegnazione per le risorse di Azure. Gli amministratori possono assegnare ruoli usando proprietà di data/ora di inizio e fine. Quando l'assegnazione termina, Azure AD Privileged Identity Management invia notifiche tramite posta elettronica agli utenti o ai gruppi interessati. Inoltre, invia notifiche tramite posta elettronica agli amministratori della risorsa per garantire che venga mantenuto l'accesso appropriato. Anche qualora l'accesso non venga esteso, le assegnazioni possono essere rinnovate e rimanere visibili nello stato scaduti fino a 30 giorni.
Chi può estendere e rinnovare?
Solo gli amministratori della risorsa possono estendere o rinnovare le assegnazioni di ruolo. L'utente o il membro interessato può richiedere di estendere i ruoli in procinto di scadere e richiedere il rinnovo dei ruoli già scaduti.
Quando vengono inviate le notifiche?
Azure AD Privileged Identity Management invia notifiche tramite posta elettronica agli amministratori e agli utenti o gruppi interessati dei ruoli in scadenza entro 14 giorni e un giorno prima della scadenza. Alla scadenza ufficiale di un'assegnazione, viene inviato un ulteriore messaggio di posta elettronica.
Gli amministratori ricevono notifiche quando un utente o un gruppo con un ruolo in scadenza o scaduto assegnato richiede l'estensione o il rinnovo. Quando un amministratore specifico risolve la richiesta, tutti gli altri amministratori ricevono la notifica con la decisione di risoluzione (approvazione o rifiuto). L'utente o il gruppo richiedente riceve quindi una notifica della decisione.
Estendere le assegnazioni di ruoli
I passaggi seguenti descrivono la procedura per la richiesta, la risoluzione o l'amministrazione di un'estensione o del rinnovo di un'assegnazione di ruolo.
Estendere automaticamente le assegnazioni in scadenza
Gli utenti a cui è assegnato un ruolo possono estendere le assegnazioni del ruolo in scadenza direttamente dalla scheda Idonea o Attiva nella pagina Ruoli personali di una risorsa e dalla pagina Ruoli personali di primo livello del portale Azure AD Privileged Identity Management. Nel portale, gli utenti possono richiedere l'estensione dei ruoli idonei o attivi (assegnati) con scadenza entro 14 giorni.
Quando la data/ora di fine dell'assegnazione è entro 14 giorni, il collegamento a Estendi diventa attivo nell'Interfaccia di amministrazione di Microsoft Entra. Nell'esempio seguente, si suppone che la data corrente sia il 27 marzo.
Nota
Per un gruppo assegnato a un ruolo, il collegamento Estendi non diventa mai disponibile in modo che un utente con un'assegnazione ereditata non possa estendere l'assegnazione del gruppo.
Per richiedere un'estensione di questa assegnazione di ruolo, selezionare Estendi per aprire il modulo di richiesta.
Espandere Dettagli dell'assegnazione per visualizzare le informazioni sull'assegnazione originale. Immettere un motivo per la richiesta di estensione e fare clic su Estendi.
Nota
È consigliabile includere i dettagli del motivo per cui è necessaria l'estensione e il tempo di estensione da concedere (se noto).
In pochi istanti, gli amministratori delle risorse riceveranno una notifica tramite posta elettronica con la richiesta di revisione della richiesta di estensione. Se una richiesta di estensione è già stata inviata, viene visualizzata una notifica di Azure nel portale.
Passare alla pagina Richieste in sospeso per visualizzare lo stato o annullare la richiesta.
Estensione approvata dall'amministratore
Quando un utente o un gruppo invia una richiesta per estendere un'assegnazione di ruolo, gli amministratori delle risorse ricevono una notifica tramite posta elettronica che contiene i dettagli dell'assegnazione originale e il motivo specificato dal richiedente. La notifica include un collegamento diretto alla richiesta che l'amministratore dovrà approvare o rifiutare.
Oltre a seguire il collegamento dal messaggio di posta elettronica, gli amministratori possono approvare o rifiutare le richieste andando al portale di amministrazione di Azure AD Privileged Identity Management e selezionando Approva richieste dal riquadro a sinistra.
Quando un amministratore seleziona Approva o Rifiuta, vengono visualizzati i dettagli della richiesta insieme a un campo per fornire una giustificazione aziendale per i log di controllo.
Quando approvano una richiesta di estensione di un'assegnazione di ruolo, gli amministratori delle risorse possono scegliere una nuova data di inizio e di fine e un tipo di assegnazione. La modifica del tipo di assegnazione potrebbe essere necessaria se l'amministratore vuole fornire accesso limitato per completare un'attività specifica (un giorno, ad esempio). In questo esempio, l'amministratore può modificare l'assegnazione da Idonea ad Attiva. Ciò significa che possono fornire l'accesso al richiedente senza necessità di attivazione.
Estensione avviata dall'amministratore
Se un utente assegnato a un ruolo non richiede un'estensione per l'assegnazione di ruolo, un amministratore può estendere un'assegnazione per conto dell'utente. Le estensioni amministrative dell'assegnazione di ruolo non richiedono l'approvazione, ma vengono inviate notifiche a tutti gli altri amministratori al termine dell'estensione del ruolo.
Per estendere un'assegnazione di ruolo, passare alla visualizzazione del ruolo o dell'assegnazione delle risorse in Azure AD Privileged Identity Management. Trovare l'assegnazione che richiede un'estensione. Quindi selezionare Estendi nella colonna relativa all'azione.
Rinnovare le assegnazioni di ruolo
Anche se concettualmente simile alla richiesta di estensione, il processo di rinnovo di un'assegnazione di ruolo scaduto è diverso da quello appena citato. Usando la procedura descritta di seguito le assegnazioni e gli amministratori possono rinnovare l'accesso ai ruoli scaduti quando necessario.
Rinnovo automatico
Gli utenti che non possono più accedere alle risorse possono accedere alla cronologia dell'assegnazione scaduta fino a 30 giorni. A tale scopo, passare a Ruoli personali nel riquadro sinistro e quindi selezionare la scheda Ruoli scaduti nella sezione dei ruoli delle risorse di Azure.
L'elenco dei ruoli visualizzati include le impostazioni predefinite per i Ruoli idonei. Usare il menu a discesa per alternare i ruoli assegnati Idonea e Attiva.
Per richiedere il rinnovo per qualsiasi assegnazione di ruolo nell'elenco, selezionare l'azione Rinnova. Quindi, specificare un motivo per la richiesta. È utile indicare una durata oltre a qualsiasi altra informazione di contesto o giustificazione aziendale che possa essere utile all'amministratore delle risorse per decidere se approvare o rifiutare la richiesta.
Dopo l'invio della richiesta, gli amministratori delle risorse ricevono una notifica della presenza di una richiesta di rinnovo di un'assegnazione di ruolo in sospeso.
Approvazione degli amministratori
Gli amministratori delle risorse possono accedere alla richiesta di rinnovo dal collegamento nella notifica tramite posta elettronica o accedendo ad Azure AD Privileged Identity Management dal portale di Azure e selezionando Approva richieste dal riquadro a sinistra.
Quando un amministratore seleziona Approva o Rifiuta, vengono visualizzati i dettagli della richiesta insieme a un campo per fornire una giustificazione aziendale per i log di controllo.
Quando approvano una richiesta di rinnovo di un'assegnazione di ruolo, gli amministratori delle risorse devono immettere una nuova data di inizio, di fine e un tipo di assegnazione.
Rinnovo richiesto dagli amministratori
Gli amministratori delle risorse possono rinnovare le assegnazioni di ruolo scaduto dalla scheda Membri nel menu di spostamento a sinistra di una risorsa. Possono anche rinnovare le assegnazioni di ruolo scaduto nella scheda dei ruoli Scaduti di un ruolo di risorse.
Dalla schermata Membri selezionare Ruoli scaduti per visualizzare un elenco di tutte le assegnazioni di ruolo scadute.
