Grup atamaları için PIM'i genişletme veya yenileme

Microsoft Entra ID'deki Privileged Identity Management (PIM), grup üyeliği ve sahipliği için erişim ve atama yaşam döngüsünü yönetme denetimleri sağlar. Yönetici istrator'lar, grup üyeliği ve sahipliği için başlangıç ve bitiş tarih-saat özellikleri atayabilir. Atama sona erdiğinde Privileged Identity Management, etkilenen kullanıcılara veya gruplara e-posta bildirimleri gönderir. Ayrıca, uygun erişimin korunmasını sağlamak için kaynağın yöneticilerine e-posta bildirimleri gönderir. Erişim uzatılmasa bile atamalar yenilenebilir ve süresi dolan bir durumda 30 güne kadar görünebilir.

Kimler uzatabilir ve yenileyebilir?

Yalnızca grupları yönetme izinlerine sahip kullanıcılar grup üyeliğini veya sahiplik zamana bağlı atamaları genişletebilir veya yenileyebilir. Etkilenen kullanıcı veya grup, süresi dolmak üzere olan atamaları genişletmeyi ve süresi dolmuş olan atamaların yenilenmesini isteyebilir.

Rol atanabilir gruplar, en azından grubun Ayrıcalıklı Rol Yönetici istratörü veya Sahibi tarafından yönetilebilir. Rol atanamayan gruplar en azından Dizin Yazıcısı, Gruplar Yönetici istrator, Kimlik İdaresi Yönetici strator, Kullanıcı Yönetici istrator veya Grubun Sahibi tarafından yönetilebilir. Yöneticiler için rol atamalarının kapsamı dizin düzeyinde (Yönetici istrative Birim düzeyinde değil) yapılmalıdır.

Not

Grupları yönetme izinlerine sahip diğer roller (rol atanamayan M365 grupları için Exchange Yönetici istrator'ları gibi) ve atamaları yönetim birimi düzeyinde belirlenmiş yöneticiler Grupları Gruplar API/UX aracılığıyla yönetebilir ve Microsoft Entra PIM'de yapılan değişiklikleri geçersiz kılabilir.

Bildirimler gönderildiğinde

Privileged Identity Management, süresi dolan Gruplar için PIM atamaları için yöneticilere ve etkilenen kullanıcılara e-posta bildirimleri gönderir:

  • Süresi dolmadan önceki 14 gün içinde
  • Süre dolmadan bir gün önce
  • Atamanın süresi dolduğunda

Yönetici istrator'lar, bir kullanıcı veya grup süresi dolan veya süresi dolan bir atamayı uzatmak veya yenilemek istediğinde bildirim alır. Bir yönetici isteği çözümlediğinde, tüm yöneticilere ve istekte bulunan kullanıcıya onay veya reddetme bildirimi gönderilir.

Grup atamalarını genişletme

Aşağıdaki adımlarda, grup üyeliği veya sahiplik atamasının uzantısını veya yenilemesini isteme, çözme veya yönetme işlemi özetlenmiştir.

Süresi dolan atamaları kendi kendine genişletme

Grup üyeliği veya sahipliği atanan kullanıcılar, süresi dolan grup atamalarını doğrudan grubun Atamalar sayfasındaki Uygun veya Etkin sekmesinden genişletebilir. Kullanıcılar veya gruplar, önümüzdeki 14 gün içinde süresi dolan uygun ve etkin atamaları uzatmayı isteyebilir.

Süresi dolan atamaların kendi kendine genişletileceği yerin ekran görüntüsü.

Atama bitiş tarihi-saati 14 gün içinde olduğunda Genişlet komutu kullanılabilir. Grup atamasının uzantısını istemek için Genişlet'i seçerek istek formunu açın.

Neden kutusu ve ayrıntılar içeren grup ataması bölmesinin genişletileceği yerin ekran görüntüsü.

Not

Uzantının neden gerekli olduğuna ve uzantının ne kadar süreyle verileceğine ilişkin ayrıntıları (bu bilgilere sahipseniz) eklemenizi öneririz.

Yönetici istrator'lar, uzantı isteğini gözden geçirmelerini isteyen bir e-posta bildirimi alır. Genişletme isteği zaten gönderildiyse portalda bir Azure bildirimi görüntülenir.

İsteğinizin durumunu görüntülemek veya iptal etmek için grup ataması için Bekleyen istekler sayfasını açın.

İptal bağlantısını gösteren bekleyen istekler sayfasının ekran görüntüsü.

Yönetici onaylı uzantı

Bir kullanıcı veya grup bir grup atamasını genişletmek için istek gönderdiğinde, yöneticiler özgün atamanın ayrıntılarını ve isteğin nedenini içeren bir e-posta bildirimi alır. Bildirim, yöneticinin onaylaması veya reddetmesi isteğine doğrudan bir bağlantı içerir.

Yöneticiler, e-postadan gelen bağlantıyı izleyerek kullanmaya ek olarak Privileged Identity Management yönetim portalına gidip sol bölmede İstekleri onayla'yı seçerek istekleri onaylayabilir veya reddedebilir.

onay veya reddetme isteklerini ve bağlantıları listeleyen onay istekleri sayfasının ekran görüntüsü.

bir Yönetici istrator Onayla veya Reddet'i seçtiğinde, isteğin ayrıntıları ve denetim günlükleri için bir iş gerekçesi sağlamak üzere bir alan gösterilir.

İstek sahibi nedeni, atama türü, başlangıç zamanı, bitiş saati ve neden içeren grup atama isteğinin onaylandığı yerin ekran görüntüsü.

Bir grup atamasını genişletme isteğini onaylarken, kaynak yöneticileri yeni bir başlangıç tarihi, bitiş tarihi ve atama türü seçebilir. Yönetici belirli bir görevi (örneğin bir gün) tamamlamak için sınırlı erişim sağlamak istiyorsa atama türünü değiştirmek gerekebilir. Bu örnekte, yönetici atamayı Uygun yerine Etkin olarak değiştirebilir. Bu, istek sahibine etkinleştirmesine gerek kalmadan erişim sağlayabilecekleri anlamına gelir.

Yönetici başlatılan uzantı

Gruba atanan bir kullanıcı grup ataması için uzantı istemezse, yönetici kullanıcı adına bir atamayı genişletebilir. Grup atamasının Yönetici uzantıları onay gerektirmez, ancak atama genişletildikten sonra diğer tüm yöneticilere bildirimler gönderilir.

Grup atamasını genişletmek için Privileged Identity Management'taki atama görünümüne göz atın. Uzantı gerektiren atamayı bulun. Ardından eylem sütununda Genişlet'i seçin.

Genişletecek bağlantılar içeren uygun grup atamalarını listeleyen ödevler sayfasının ekran görüntüsü.

Grup atamalarını yenileme

Kavramsal olarak uzantı isteme işlemine benzer olsa da süresi dolan grup atamasını yenileme işlemi farklıdır. Aşağıdaki adımları kullanarak, atamalar ve yöneticiler gerektiğinde süresi dolan atamalara erişimi yenileyebilir.

Kendi kendini yenileme

Kaynaklara artık erişemeyen kullanıcılar 30 güne kadar süresi dolmuş atama geçmişine erişebilir. Bunu yapmak için sol bölmedeki Rollerim'e göz atar ve ardından Süresi dolan atamalar sekmesini seçer.

Gösterilen ödev listesi varsayılan olarak Uygun atamalar olarak gösterilir. Uygun ve Etkin ödevler arasında geçiş yapmak için açılan menüyü kullanın.

Listedeki grup atamalarından herhangi biri için yenileme isteğinde bulunmak için Yenile eylemini seçin. Ardından istek için bir neden belirtin. Kaynak yöneticisinin onaylamaya veya reddetmeye karar vermesine yardımcı olabilecek ek bağlamlara veya iş gerekçelerine ek olarak bir süre sağlamak yararlı olur.

İstek gönderildikten sonra, kaynak yöneticilerine grup atamasını yenilemek için bekleyen bir istek bildirilir.

Yönetici onaylar

Kaynak yöneticileri yenileme isteğine e-posta bildirimindeki bağlantıdan veya Microsoft Entra yönetim merkezinden Privileged Identity Management'a erişip sol bölmeden İstekleri onayla'yı seçerek erişebilir.

Yönetici Onayla veya Reddet'i seçtiğinde, denetim günlükleri için iş gerekçesi sağlamak üzere isteğin ayrıntılarıyla birlikte bir alan gösterilir.

Grup atamasını yenileme isteğini onaylarken, kaynak yöneticilerinin yeni bir başlangıç tarihi, bitiş tarihi ve atama türü girmesi gerekir.

Sonraki adımlar