Расширение или продление назначений ролей Microsoft Entra в управление привилегированными пользователями
Microsoft Entra управление привилегированными пользователями (PIM) предоставляет элементы управления для управления жизненным циклом доступа и назначения для ролей в идентификаторе Microsoft Entra. Администраторы могут назначать роли с указанием свойств даты и времени начала и окончания назначения. Перед завершением срока назначения PIM отправляет уведомления по электронной почте всем пользователям или группам, которых это коснется. Он также отправляет Уведомления по электронной почте администраторам Microsoft Entra, чтобы обеспечить соответствующий доступ. Назначения нужно возобновить. Для удобства они остаются видимыми в течение 30 дней после истечения срока действия, даже если доступ не продлевается.
Кто может продлить и возобновить назначение?
Только глобальные администраторы или администраторы привилегированных ролей могут расширять или обновлять назначения ролей Microsoft Entra. Пользователь или группа могут попросить продлить роли с истекающим сроком действия или возобновить роли с уже истекшим сроком действия.
Когда оправляются уведомления?
Управление привилегированными пользователями отправляет уведомления по электронной почте администраторам и пользователям или группам тех ролей, срок действия которых истекает в течение 14 дней. Оно отправляет еще одно электронное письмо, когда срок действия назначения официально истекает.
Администраторы получают уведомления, когда участник с ролью с истекающим (или истекшим) сроком действия запрашивает продление или возобновление. Когда администратор помечает запрос как утвержденный или отклоненный, все остальные администраторы получают уведомления об таком решении. Также об этом решении оповещаются пользователь или группа, направившие запрос.
Продление назначений ролей
Ниже описаны шаги, входящие в процессы запроса, ответа на запрос или продления или возобновления назначения роли.
Самостоятельные назначений с истекающим сроком действия
Пользователи, назначенные роли, могут расширить срок действия назначений ролей непосредственно на вкладке "Допустимые" или "Активные" на странице "Мои роли" на странице "Мои роли" в microsoft Entra или на странице "Мои роли" верхнего уровня на портале управление привилегированными пользователями. На портале пользователи могут запросить продление разрешенных или активных (назначенных) ролей, срок действия которых истекает в ближайшие 14 дней.
Когда до окончания назначения остается менее 14 дней, кнопка Продлить в пользовательском интерфейсе превращается в активную ссылку. В приведенном ниже примере текущей датой является 27 марта.
Примечание.
Для группы, назначенной роли, ссылка расширить никогда не станет доступной, поэтому пользователь с унаследованным назначением не может расширить назначение группы.
Чтобы запросить продление такого назначения роли, нажмите кнопку Продлить после чего откроется форма запроса.
Введите причину для запроса на продление и щелкните Продлить.
Примечание.
Мы рекомендуем подробно описать, для чего требуется продление и на какой срок (если у вас есть такая информация).
Администраторы получают уведомление по электронной почте для просмотра запроса на продление. Если запрос на продление уже отправлен, на портале появится уведомление Azure.
Откройте страницу Ожидающие запросы, чтобы просмотреть состояние запроса или отменить его.
Расширение утверждено администратором
Когда пользователь или группа отправляют запрос на продление назначения роли, администраторы получают по электронной почте уведомление со сведениями об исходном назначении и причине запроса. Уведомление содержит прямую ссылку на утверждение или отклонение запроса для администратора.
Администраторы могут утвердить или отклонить запрос по ссылкам прямо из электронного письма или через портал администрирования Управления привилегированными пользователями, выбрав раздел Утверждение запросов на панели слева.
Когда администратор выбирает ссылку Утвердить или Отклонить, отображаются сведения о запросе и поле для бизнес-обоснования, которое будет сохранено в журналы аудита.
Утверждая запрос на продление назначения роли, администраторы ресурсов могут выбрать новые даты начала и окончания, а также изменить тип назначения. Изменение типа назначения применяется в тех случаях, когда администратор предоставляет ограниченный доступ для выполнения конкретной задачи (например, на один день). В нашем примере администратор может изменить статус назначения с Доступно на Активно. Это означает, что запрашивающая сторона сразу получит указанный доступ, без необходимости активации.
Продление, инициированное администратором
Если пользователь, которому была назначена роль, не запрашивает расширение для назначения роли, администратор может расширить назначение от имени пользователя. Продление ролей администратором не требует дополнительного утверждения, но всем другим администраторам отправляется уведомление о продлении роли.
Чтобы продлить назначение роли, перейдите к роли ресурса или в представление назначения в PIM. Найдите назначение, которое вы хотите продлить. Выберите Продлить в столбце действий.
Расширение списка назначений ролей с помощью API Microsoft Graph
В следующем запросе администратор расширяет активное назначение с помощью API Microsoft Graph.
HTTP-запрос
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
HTTP-ответ
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Возобновление назначения ролей
В принципе, возобновление назначения роли похоже на продление назначения, но процесс для уже истекшего назначения существенно отличается. Описанные ниже шаги, назначения и администраторы позволяют возобновить доступ к ролям с истекшим сроком действия, если это потребуется.
Самостоятельное продление
Пользователи, которым уже не предоставляется доступ к ресурсам, еще в течение 30 дней могут получить информацию об истечении срока действия назначения. Для этого перейдите на вкладку "Мои роли" в левой области, а затем откройте вкладку "Просроченные роли" в разделе ролей Microsoft Entra.
По умолчанию в этом списке ролей отображаются доступные роли. Выберите назначенные роли со статусом Соответствующая или Активная.
Чтобы запросить возобновление для любого из назначений ролей в списке, выберите действие Возобновить. Укажите также причину запроса. Мы рекомендуем всегда указывать продолжительность и дополнительный контекст или бизнес-обоснование, которые помогут администратору принять решение об утверждении или отклонении запроса.
После отправки запроса администраторы получают уведомления об ожидающем запросе на возобновление назначения роли.
Утверждение администратором
Администраторы Microsoft Entra могут получить доступ к запросу на продление из ссылки в уведомлении электронной почты или путем доступа к управление привилегированными пользователями из Центра администрирования Microsoft Entra и выбора утверждения запросов в PIM.
Когда администратор выбирает Утвердить или Отклонить, сведения о запросе отображаются вместе с полем, чтобы предоставить бизнес-обоснование для журналов аудита.
При утверждении запроса на возобновление назначения роли администраторам необходимо указывать новые даты начала и окончания и выбирать тип назначения.
Возобновление администратором
Они также могут продлить назначения ролей с истекшим сроком действия на вкладке ролей с истекшим сроком действия роли Microsoft Entra. Чтобы просмотреть список всех назначений ролей с истекшим сроком действия, на экране Назначения щелкните Роли с истекшим сроком действия.