Privileged Identity Management'ta Azure kaynak rolü atamalarını genişletme veya yenileme
Microsoft Entra Privileged Identity Management (PIM), Azure kaynaklarına yönelik erişim ve atama yaşam döngüsünü yönetmek için denetimler sağlar. Yönetici istrator'lar başlangıç ve bitiş tarih-saat özelliklerini kullanarak rol atayabilir. Atama sona erdiğinde Privileged Identity Management, etkilenen kullanıcılara veya gruplara e-posta bildirimleri gönderir. Ayrıca, uygun erişimin korunmasını sağlamak için kaynağın yöneticilerine e-posta bildirimleri gönderir. Erişim uzatılmasa bile atamalar yenilenebilir ve süresi dolan bir durumda 30 güne kadar görünebilir.
Kimler uzatabilir ve yenileyebilir?
Rol atamalarını yalnızca kaynağın yöneticileri genişletebilir veya yenileyebilir. Etkilenen kullanıcı veya grup, süresi dolmak üzere olan rolleri genişletmeyi ve süresi dolmuş rolleri yenilemeyi isteyebilir.
Bildirimler ne zaman gönderilir?
Privileged Identity Management, yöneticilere ve etkilenen kullanıcılara veya süresi dolmadan önceki 14 gün içinde ve bir gün önce süresi dolan rol gruplarına e-posta bildirimleri gönderir. Ödevin süresi resmi olarak dolduğunda ek bir e-posta gönderir.
Yönetici istrator'lar, bir kullanıcı veya grup süresi dolan veya süresi dolan bir rol için genişletme veya yenileme isteği atadığında bildirim alır. Belirli bir yönetici isteği çözümlediğinde, çözüm kararı diğer tüm yöneticilere bildirilir (onaylanır veya reddedilir). Ardından istekte bulunan kullanıcı veya gruba karar bildirilir.
Rol atamalarını genişletme
Aşağıdaki adımlarda, rol atamasının uzantısını veya yenilemesini isteme, çözme veya yönetme işlemi özetlenmiştir.
Süresi dolan atamaları kendi kendine genişletme
Bir role atanan kullanıcılar, süresi dolan rol atamalarını doğrudan kaynağın Rollerim sayfasındaki Uygun veya Etkin sekmesinden ve Privileged Identity Management portalının üst düzey Rollerim sayfasından genişletebilir. Portalda kullanıcılar, önümüzdeki 14 gün içinde süresi dolan uygun veya etkin (atanmış) rolleri genişletme isteğinde bulunabilir.
Atama bitiş tarihi-saati 14 gün içinde olduğunda, Genişlet bağlantısı Microsoft Entra yönetim merkezinde etkin hale gelir. Aşağıdaki örnekte geçerli tarihin 27 Mart olduğunu varsayalım.
Not
Bir role atanan bir grup için, devralınan atamaya sahip bir kullanıcının grup atamasını genişletememesini sağlamak için Genişlet bağlantısı hiçbir zaman kullanılamaz.
Bu rol atamasının uzantısını istemek için Genişlet'i seçerek istek formunu açın.
Özgün atama hakkındaki bilgileri görüntülemek için Atama ayrıntıları'nı genişletin. Uzantı isteği için bir neden girin ve genişlet'i seçin.
Not
Uzantının neden gerekli olduğuna ve uzantının ne kadar süreyle verileceğine ilişkin ayrıntıları (bu bilgilere sahipseniz) eklemenizi öneririz.
Birkaç dakika içinde kaynak yöneticileri, uzantı isteğini gözden geçirmelerini isteyen bir e-posta bildirimi alır. Genişletme isteği zaten gönderildiyse portalda bir Azure bildirimi görüntülenir.
İsteğinizin durumunu görüntülemek veya iptal etmek için Bekleyen istekler sayfasına gidin.
Yönetici onaylı uzantı
Bir kullanıcı veya grup rol atamasını genişletmek için bir istek gönderdiğinde, kaynak yöneticileri özgün atamanın ayrıntılarını ve isteğin nedenini içeren bir e-posta bildirimi alır. Bildirim, yöneticinin onaylaması veya reddetmesi isteğine doğrudan bir bağlantı içerir.
Yöneticiler, e-postadan gelen bağlantıyı izleyerek kullanmaya ek olarak Privileged Identity Management yönetim portalına gidip sol bölmede İstekleri onayla'yı seçerek istekleri onaylayabilir veya reddedebilir.
bir Yönetici istrator Onayla veya Reddet'i seçtiğinde, isteğin ayrıntıları ve denetim günlükleri için bir iş gerekçesi sağlamak üzere bir alan gösterilir.
Kaynak yöneticileri rol atamasını genişletme isteğini onaylarken yeni bir başlangıç tarihi, bitiş tarihi ve atama türü seçebilir. Yönetici belirli bir görevi (örneğin bir gün) tamamlamak için sınırlı erişim sağlamak istiyorsa atama türünü değiştirmek gerekebilir. Bu örnekte, yönetici atamayı Uygun yerine Etkin olarak değiştirebilir. Bu, istek sahibine etkinleştirmesine gerek kalmadan erişim sağlayabilecekleri anlamına gelir.
Yönetici başlatılan uzantı
Role atanan bir kullanıcı rol ataması için uzantı istemezse, yönetici kullanıcı adına bir atamayı genişletebilir. Rol atamasının Yönetici uzantıları onay gerektirmez, ancak rol genişletildikten sonra diğer tüm yöneticilere bildirimler gönderilir.
Rol atamasını genişletmek için Privileged Identity Management'ta kaynak rolüne veya atama görünümüne göz atın. Uzantı gerektiren atamayı bulun. Ardından eylem sütununda Genişlet'i seçin.
Rol atamalarını yenileme
Kavramsal olarak uzantı isteme işlemine benzer olsa da süresi dolan rol atamasını yenileme işlemi farklıdır. Aşağıdaki adımları kullanarak, atamalar ve yöneticiler gerektiğinde süresi dolan rollere erişimi yenileyebilir.
Kendi kendini yenileme
Kaynaklara artık erişemeyen kullanıcılar 30 güne kadar süresi dolmuş atama geçmişine erişebilir. Bunu yapmak için sol bölmedeki Rollerim'e göz atıp Azure kaynak rolleri bölümünde Süresi dolan roller sekmesini seçer.
Gösterilen rollerin listesi varsayılan olarak Uygun roller olarak gösterilir. Uygun ve Etkin atanan roller arasında geçiş yapmak için açılan menüyü kullanın.
Listedeki rol atamalarından herhangi biri için yenileme isteğinde bulunmak için Yenile eylemini seçin. Ardından istek için bir neden belirtin. Kaynak yöneticisinin onaylamaya veya reddetmeye karar vermesine yardımcı olabilecek ek bağlamlara veya iş gerekçelerine ek olarak bir süre sağlamak yararlı olur.
İstek gönderildikten sonra, kaynak yöneticilerine rol atamasını yenilemek için bekleyen bir istek bildirilir.
Yönetici onaylar
Kaynak yöneticileri yenileme isteğine e-posta bildirimindeki bağlantıdan veya Azure portalından Privileged Identity Management'a erişip sol bölmeden İstekleri onayla'yı seçerek erişebilir.
Yönetici Onayla veya Reddet'i seçtiğinde, denetim günlükleri için iş gerekçesi sağlamak üzere isteğin ayrıntılarıyla birlikte bir alan gösterilir.
Rol atamasını yenileme isteğini onaylarken, kaynak yöneticilerinin yeni bir başlangıç tarihi, bitiş tarihi ve atama türü girmesi gerekir.
Yönetici yenileme
Kaynak yöneticileri, bir kaynağın sol gezinti menüsündeki Üyeler sekmesinden süresi dolan rol atamalarını yenileyebilir. Ayrıca, bir kaynak rolünün Süresi dolan roller sekmesinden süresi dolan rol atamalarını yenileyebilirler.
Süresi dolan tüm rol atamalarının listesini görüntülemek için Üyeler ekranında Süresi dolan roller'i seçin.