Compartir a través de

在 Privileged Identity Management 中扩展或续订 Azure 资源角色分配

概述

Microsoft Entra Privileged Identity Management(PIM)提供控制来管理Azure资源的访问和分配生命周期。 管理员可以使用开始和结束日期时间属性分配角色。 当分配结束时,Privileged Identity Management向受影响的用户或组发送电子邮件通知。 此外,它还向资源管理员发送电子邮件通知,确保能够保持相应的访问权限。 即便访问权限未延长,任务仍然可以续订,并在长达 30 天内以过期状态继续显示。

谁可以延期和续订?

只有资源管理员可以延期或续订角色分配。 受影响的用户或组可以请求延期即将过期的角色,以及请求续订已过期的角色。

何时发送通知?

Privileged Identity Management 向管理员和即将在接下来 14 天或到期前一天过期的角色的受影响用户或角色组发送电子邮件通知。 分配正式过期后,会额外发送一封电子邮件。

当被分配即将过期或已过期的角色的用户或组请求延长或续订时,管理员会收到通知。 当特定管理员解决请求时,做出决定(批准或拒绝)的其他所有管理员会收到通知。 然后,发出请求的用户或组会收到决定结果。

扩展角色分配

以下步骤概述了请求、解决或管理角色分配延期或续订的过程。

自行延长即将过期的任务

分配到某个角色的用户可以直接从资源的EligibleActive选项卡的我的角色页面,以及Privileged Identity Management门户的顶级我的角色页面延长即将过期的角色分配。 在门户中,用户可以请求将于未来 14 天到期的符合条件的或正在使用中(已分配)的角色延期。

“我的角色”页的屏幕截图,其中列出了带有“操作”列的符合条件的角色。

当工作分配结束日期时间在 14 天内时,指向 Extend 的链接在Microsoft Entra 管理中心中处于活动状态。 以下示例假设当前日期为 3 月 27 日。

注意

对于分配给角色的组,Extend链接永远不可用,因此具有继承分配的用户无法延长该组的分配期限。

带有“激活”或“延期”链接的“操作”列的屏幕截图。

若要请求延期此角色分配,请选择“延期”打开请求窗体。

包含“原因”框的“延期角色分配”窗格的屏幕截图。

若要查看有关原始分配的信息,请展开“分配详细信息”。 输入延期请求的原因,然后选择“延期”。

注意

包括为何需要扩展的详细信息,以及应授予扩展多长时间(如果有此信息)。

“扩展角色分配”窗格中已展开“分配详细信息”的屏幕截图。

片刻之后,资源管理员会收到一封电子邮件通知,要求他们审阅延期请求。 如果已提交延期请求,门户中会显示Azure通知。

关于已有待处理角色分配扩展的通知的屏幕截图。

转到“挂起的请求”页查看请求状态或取消请求。

Azure 资源的屏幕截图 - 挂起请求页面,其中列出所有挂起的请求,以及一个用于取消的链接。

管理员批准的延期

当用户或组提交延期角色分配的请求时,资源管理员会收到一封电子邮件通知,其中包含原始分配的详细信息,以及请求的原因。 此通知还包含一个直接链接,让管理员批准或拒绝该请求。

除了点击电子邮件中的链接,管理员还可以通过进入 Privileged Identity Management 管理门户并在左侧窗格中选择 批准请求 来批准或拒绝请求。

Azure 资源的截屏 - 批准请求页面列出了请求和用于批准或拒绝的链接。

当管理员选择 “批准 ”或 “拒绝”时,将显示请求的详细信息,以及一个字段来为审核日志提供业务理由。

包括请求者原因、分配类型、开始时间、结束时间和原因的审批角色分配请求的屏幕截图。

批准延期角色分配的请求时,资源管理员可以选择新的开始日期和结束日期以及分配类型。 如果管理员希望提供受限的访问权限来完成特定的任务(例如,一天的访问权限),则可能需要更改分配类型。 在此示例中,管理员可以将分配从符合条件更改为活动。 这意味着,他们可为请求者提供访问权限,而无需让请求者激活。

管理员发起的延期

如果分配到某个角色的用户未请求角色分配延期,管理员可以代表该用户延期分配。 角色分配的管理延期不需要审批,但在角色延期后,系统会向其他所有管理员发送通知。

若要扩展角色分配,请浏览到Privileged Identity Management中的资源角色或分配视图。 找到需要延期的任务。 在操作列中选择“延期”。

Azure 资源的截图 - 分配页,其中列出了具有可延长链接的合格角色。

续订角色分配

续订已过期角色分配的过程虽然在概念上与请求延期的过程类似,但两者确实存在差异。 分配和管理员可根据需要,使用以下步骤来续订对已过期角色的访问权限。

自动续订

不再能够访问资源的用户可以访问最长 30 天的已过期分配历史记录。 为此,请浏览到左侧窗格中的 My Roles,然后选择“Azure 资源角色”部分中的“过期角色”标签。

“我的角色”页 -“已过期的角色”选项卡的屏幕截图。

显示的角色列表默认为“符合条件的角色”。 使用下拉菜单在“可用”与“活动”分配角色之间切换。

若要请求续订列表中的任何角色分配,请选择“续订”操作。 然后提供请求原因。 提供持续时间以及任何其他上下文或业务理由,以帮助资源管理员决定是否批准或拒绝。

“续订角色分配”窗格的屏幕截图,其中显示“原因”框。

提交请求后,系统会通知资源管理员接收一个续订角色分配的待定请求。

管理员审批

资源管理员可以通过电子邮件通知中的链接访问续订请求,或者从 Microsoft Entra 管理中心访问特权身份管理,并从左侧窗格中选择“批准请求”。

Azure 资源的截图 - 请求批准页面列出请求及其批准或拒绝链接。

当管理员选择“批准”或“拒绝”时,将显示请求的详细信息,同时会显示一个字段,让管理员提供审核日志的业务理由。

包括请求者原因、分配类型、开始时间、结束时间和原因的审批角色分配请求的屏幕截图。

批准续订角色分配的请求时,资源管理员必须输入新的开始日期和结束日期以及分配类型。

管理员续订

资源管理员可以通过资源左侧导航菜单中的“成员”选项卡,续订已过期的角色分配。 资源管理员还可以从资源角色的“ 过期 角色”选项卡中续订过期的角色分配。

若要查看所有已过期角色分配的列表,请在“成员”屏幕中选择“已过期角色”。

Azure 资源的截图 - 成员页,其中列出了过期角色,并提供链接以进行续期。

后续步骤

  • Last updated on