Privileged Identity Management'ta Microsoft Entra rol atamalarını genişletme veya yenileme

Microsoft Entra Privileged Identity Management (PIM), Microsoft Entra Id'deki roller için erişim ve atama yaşam döngüsünü yönetme denetimleri sağlar. Yöneticiler başlangıç ve bitiş tarih-saat özelliklerini kullanarak rol atayabilir. Atama sona erdiğinde Privileged Identity Management, etkilenen kullanıcılara veya gruplara e-posta bildirimleri gönderir. Ayrıca uygun erişimin korunmasını sağlamak için Microsoft Entra yöneticilerine e-posta bildirimleri gönderir. Erişim uzatılmasa bile atamalar yenilenebilir ve süresi dolan bir durumda 30 güne kadar görünebilir.

Kimler uzatabilir ve yenileyebilir?

Microsoft Entra rol atamalarını yalnızca Genel Yöneticiler veya Ayrıcalıklı Rol Yöneticileri genişletebilir veya yenileyebilir. Etkilenen kullanıcı veya grup, süresi dolmak üzere olan rolleri genişletmeyi isteyebilir ve süresi dolmuş rolleri yenileme isteğinde bulunabilir.

Bildirimler ne zaman gönderilir?

Privileged Identity Management, yöneticilere ve etkilenen kullanıcılara veya süresi dolmadan önceki 14 gün içinde ve bir gün önce süresi dolan rol gruplarına e-posta bildirimleri gönderir. Ödevin süresi resmi olarak dolduğunda başka bir e-posta gönderir.

Yöneticiler, bir kullanıcı veya grup süresi dolan veya süresi dolan bir rol için genişletme veya yenileme isteği atadığında bildirim alır. Bir yönetici isteği onaylandı veya reddedildi olarak çözümlediğinde, karar diğer tüm yöneticilere bildirilir. Ardından istekte bulunan kullanıcı veya gruba karar bildirilir.

Rol atamalarını genişletme

Aşağıdaki adımlarda, rol atamasının uzantısını veya yenilemesini isteme, çözme veya yönetme işlemi özetlenmiştir.

Süresi dolan atamaları kendi kendine genişletme

Bir role atanan kullanıcılar, süresi dolan rol atamalarını doğrudan Rollerim sayfasındaki Uygun veya Etkin sekmesinden, Microsoft Entra rolleri'nin altında veya Privileged Identity Management portalının üst düzey Rollerim sayfasından genişletebilir. Portalda kullanıcılar, önümüzdeki 14 gün içinde süresi dolan uygun veya etkin (atanmış) rolleri genişletme isteğinde bulunabilir.

Microsoft Entra rolleri - Eylem sütunuyla uygun rolleri listeleyen rollerim sayfası.

Atama bitiş tarihi ve saati 14 gün içinde olduğunda, Genişlet düğmesi kullanıcı arabiriminde etkin bir bağlantı haline gelir. Aşağıdaki örnekte geçerli tarihin 27 Mart olduğunu varsayalım.

Not

Bir role atanan bir grup için, devralınan atamaya sahip bir kullanıcının grup atamasını genişletememesini sağlamak için Genişlet bağlantısı hiçbir zaman kullanılamaz.

Etkinleştir veya Genişlet bağlantılarını içeren eylem sütununu gösteren ekran görüntüsü.

Bu rol atamasının uzantısını istemek için Genişlet'i seçerek istek formunu açın.

Neden kutusuyla rol atamasını genişletme bölmesini gösteren ekran görüntüsü.

Uzantı isteği için bir neden girin ve genişlet'i seçin.

Not

Uzantının neden gerekli olduğuna ve uzantının ne kadar süreyle verileceğine ilişkin ayrıntıları (bu bilgilere sahipseniz) eklemenizi öneririz.

Yöneticiler, uzantı isteğini gözden geçirmek için bir e-posta bildirimi alır. Genişletme isteği zaten gönderildiyse portalda bir Azure bildirimi görüntülenir.

Zaten bekleyen bir rol atama uzantısı olduğunu açıklayan bildirimi gösteren ekran görüntüsü.

İsteğinizin durumunu görüntülemek veya iptal etmek için Bekleyen istekler sayfasına gidin.

Microsoft Entra rollerini gösteren ekran görüntüsü - Bekleyen istekler sayfasının istenen beklemede olup olmadığını ve İptal bağlantısının listelendiği ekran görüntüsü.

Yönetici onaylı uzantı

Bir kullanıcı veya grup rol atamasını genişletmek için bir istek gönderdiğinde, yöneticiler özgün atamanın ayrıntılarını ve isteğin nedenini içeren bir e-posta bildirimi alır. Bildirim, yöneticinin onaylaması veya reddetmesi isteğine doğrudan bir bağlantı içerir.

Yöneticiler, e-postadan gelen bağlantıyı izleyerek kullanmaya ek olarak Privileged Identity Management yönetim portalına gidip sol bölmede İstekleri onayla'yı seçerek istekleri onaylayabilir veya reddedebilir.

Microsoft Entra rollerini gösteren ekran görüntüsü - onay veya reddetme isteklerini ve bağlantıları listeleyen İstekleri onayla sayfası.

Yönetici Onayla veya Reddet'i seçtiğinde, isteğin ayrıntıları ve denetim günlükleri için bir iş gerekçesi sağlamak üzere bir alan gösterilir.

İstek sahibi nedeni, atama türü, başlangıç saati, bitiş saati ve neden içeren Rol atamasını onayla isteğini gösteren ekran görüntüsü.

Yöneticiler rol atamasını genişletme isteğini onaylarken yeni bir başlangıç tarihi, bitiş tarihi ve atama türü seçebilir. Yönetici belirli bir görevi (örneğin bir gün) tamamlamak için sınırlı erişim sağlamak istiyorsa atama türünü değiştirmek gerekebilir. Bu örnekte, yönetici atamayı Uygun yerine Etkin olarak değiştirebilir. Bu, istek sahibine etkinleştirmesine gerek kalmadan erişim sağlayabilecekleri anlamına gelir.

Yönetici tarafından başlatılan uzantı

Role atanan bir kullanıcı rol ataması için uzantı istemezse, yönetici kullanıcı adına bir atamayı genişletebilir. Rol atamasının yönetim uzantıları onay gerektirmez, ancak rol genişletildikten sonra diğer tüm yöneticilere bildirim gönderilir.

Rol atamasını genişletmek için Privileged Identity Management'ta rol veya atama görünümüne göz atın. Uzantı gerektiren atamayı bulun. Ardından eylem sütununda Genişlet'i seçin.

Microsoft Entra rollerini gösteren ekran görüntüsü - Genişletilmesi gereken bağlantılar içeren uygun rolleri listeleyen Atamalar sayfası.

Microsoft Graph API'sini kullanarak rol atamalarını genişletme

Aşağıdaki istekte, bir yönetici Microsoft Graph API'sini kullanarak etkin atamayı genişletir.

HTTP isteği

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
 
{
    "action": "adminExtend",
    "justification": "TEST",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP yanıtı

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T16:18:36.3647674Z",
    "completedDateTime": "2022-05-13T16:18:40.0835993Z",
    "approvalId": null,
    "customData": null,
    "action": "adminExtend",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "justification": "TEST",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T16:18:40.0835993Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Rol atamalarını yenileme

Kavramsal olarak uzantı isteme işlemine benzer olsa da süresi dolan rol atamasını yenileme işlemi farklıdır. Aşağıdaki adımları kullanarak, atamalar ve yöneticiler gerektiğinde süresi dolan rollere erişimi yenileyebilir.

Kendi kendini yenileme

Kaynaklara artık erişemeyen kullanıcılar 30 güne kadar süresi dolmuş atama geçmişine erişebilir. Bunu yapmak için sol bölmedeki Rollerim'e göz atıp Microsoft Entra rolleri bölümünde Süresi dolan roller sekmesini seçer.

Rollerim sayfası - Süresi dolan roller sekmesini gösteren ekran görüntüsü.

Gösterilen rollerin listesi varsayılan olarak Uygun roller olarak gösterilir. Uygun veya Etkin atanan roller'i seçin.

Listedeki rol atamalarından herhangi biri için yenileme isteğinde bulunmak için Yenile eylemini seçin. Ardından istek için bir neden belirtin. Yöneticinin onaylamaya veya reddetmeye karar vermesine yardımcı olabilecek ek bağlamlara veya iş gerekçelerine ek olarak bir süre sağlamak yararlı olur.

Neden kutusunu gösteren Rol ataması bölmesini yenile'nin gösterildiği ekran görüntüsü.

İstek gönderildikten sonra yöneticilere rol atamasını yenilemek için bekleyen bir istek bildirilir.

Yönetici onaylıyor

Microsoft Entra yöneticileri yenileme isteğine e-posta bildirimindeki bağlantıdan veya Microsoft Entra yönetim merkezinden Privileged Identity Management'a erişip PIM'de istekleri onayla'yı seçerek erişebilir.

Onay veya reddetme isteklerini ve bağlantıları listeleyen Microsoft Entra rollerini - İstekleri onayla sayfasını gösteren ekran görüntüsü.

Yönetici Onayla veya Reddet'i seçtiğinde, denetim günlükleri için iş gerekçesi sağlamak üzere isteğin ayrıntılarıyla birlikte bir alan gösterilir.

Rol ataması isteği sayfasını gösteren ekran görüntüsü.

Rol atamasını yenileme isteğini onaylarken, yöneticilerin yeni bir başlangıç tarihi, bitiş tarihi ve atama türü girmesi gerekir.

Yönetici yenilemesi

Ayrıca, süresi dolan rol atamalarını bir Microsoft Entra rolünün Süresi Dolan roller sekmesinden yenileyebilirler. Süresi dolan tüm rol atamalarının listesini görüntülemek için Atamalar ekranında Süresi dolan roller'i seçin.

Yenilenecek bağlantılar içeren süresi dolan rolleri listeleyen Microsoft Entra rolleri - Atamalar sayfasının ekran görüntüsü.

Sonraki adımlar