在 Privileged Identity Management 中延期或续订 Microsoft Entra 角色分配
Microsoft Entra Privileged Identity Management (PIM) 可提供控件,用于在 Microsoft Entra ID 中管理角色的访问权限和分配生命周期。 管理员可以使用开始和结束日期时间属性分配角色。 当分配结束时间即将到来时,Privileged Identity Management 会向受影响的用户或组发送电子邮件通知。 此外,它还向 Microsoft Entra 管理员发送电子邮件通知,确保能够保持相应的访问权限。 即使访问权限未延期,分配也可以续订,并在长达 30 天内以过期状态保持可见。
谁可以延期和续订?
只有全局管理员或特权角色管理员才能延期或续订 Microsoft Entra 角色分配。 受影响的用户或组可以请求延期即将过期的角色,以及请求续订已过期的角色。
何时发送通知?
对于在 14 天内过期的角色,Privileged Identity Management 会在过期前的一天向管理员和受影响用户或组发送电子邮件通知。 分配正式过期后,它会发送另一封电子邮件。
当即将过期或已过期的角色的用户或组请求延期或续订时,管理员会收到通知。 当某个管理员批准或拒绝了请求时,将会向所有其他管理员通知此决定。 然后,发出请求的用户或组会收到决定结果。
延期角色分配
以下步骤概述了请求、解决或管理角色分配延期或续订的过程。
自我延期即将过期的分配
分配给某个角色的用户可以直接从“我的角色”页上的“符合条件”或“活动”选项卡将即将过期的角色分配延期,也可以在“Microsoft Entra 角色”下或 Privileged Identity Management 门户的顶层“我的角色”页执行此操作。 在门户中,用户可以请求将在未来 14 天内到期的符合条件或活动(已分配)角色延期。
如果分配结束日期和时间在 14 天内,则“延期”按钮在用户界面中将变为活动的链接。 以下示例假设当前日期为 3 月 27 日。
注意
对于分配给角色的组,“延期”链接永远不可用,因此具有继承分配的用户无法将组分配延期。
若要请求延期此角色分配,请选择“延期”打开请求窗体。
输入延期请求的原因,然后选择“延期”。
注意
我们建议详细说明为何有必要延期,以及要同意延期多久(如果知道此信息)。
管理员在收到电子邮件通知后会查看延期请求。 如果已提交延期请求,门户中会显示一条 Azure 通知。
转到“挂起的请求”页查看请求状态或取消请求。
管理员批准的延期
当用户或组提交延期角色分配的请求时,管理员会收到一封电子邮件通知,其中包含原始分配的详细信息,以及请求的原因。 此通知还包含一个直接链接,让管理员批准或拒绝该请求。
除了使用电子邮件中的链接以外,管理员还可以通过转到 Privileged Identity Management 管理门户,并从左窗格中选择“审批请求”来批准或拒绝请求。
当管理员选择“批准”或“拒绝”时,将显示请求的详细信息,同时会显示一个字段,让管理员提供审核日志的业务理由。
批准角色分配延期请求时,管理员可以选择新的开始日期、结束日期和分配类型。 如果管理员希望提供受限的访问权限来完成特定的任务(例如,一天的访问权限),则可能需要更改分配类型。 在此示例中,管理员可将分配从“符合条件”更改为“活动”。 这意味着,他们可为请求者提供访问权限,而无需让请求者激活。
管理员发起的延期
如果分配到某个角色的用户未请求角色分配延期,管理员可以代表该用户延期分配。 角色分配的管理延期不需要审批,但在完成角色延期后,系统会向其他所有管理员发送通知。
若要将角色分配延期,请浏览到 Privileged Identity Management 中的角色或分配视图。 找到需要延期的分配。 在操作列中选择“延期”。
使用 Microsoft Graph API 扩展角色分配
在以下请求中,管理员使用 Microsoft Graph API 扩展活动分配。
HTTP 请求
POST https://microsoftgraph.chinacloudapi.cn/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
HTTP 响应
{
"@odata.context": "https://microsoftgraph.chinacloudapi.cn/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
续订角色分配
续订已过期角色分配的过程虽然在概念上与请求延期的过程类似,但两者确实存在差异。 分配和管理员可根据需要,使用以下步骤来续订对已过期角色的访问权限。
自我续订
不再能够访问资源的用户可以访问最长 30 天的已过期分配历史记录。 为此,他们可以浏览到左窗格中的“我的角色”,并在“Microsoft Entra 角色”部分选择“已过期的角色”选项卡。
显示的角色列表默认为“符合条件的角色”。 选择“符合条件的”或“活动的”已分配角色。
若要请求续订列表中的任何角色分配,请选择“续订”操作。 然后提供请求原因。 建议提供持续时间和任何附加的上下文或业务理由,以便管理员决定是批准还是拒绝。
提交请求后,系统会通知管理员收到了一个续订角色分配的待处理请求。
管理员审批
Microsoft Entra 管理员可以通过电子邮件通知中的链接,或者通过在 Microsoft Entra 管理员中心访问 Privileged Identity Management 并在 PIM 中选择“审批请求”来访问续订请求。
当管理员选择“批准”或“拒绝”时,将显示请求的详细信息,同时会显示一个字段,让管理员提供审核日志的业务理由。
批准续订角色分配的请求时,管理员必须输入新的开始日期、结束日期以及分配类型。
管理员续订
他们也可以在 Microsoft Entra 角色的“已过期”角色选项卡中续订已过期的角色分配。 若要查看所有已过期角色分配的列表,请在“分配”屏幕上选择“已过期角色”。
