Microsoft Entra ID 中的 Privileged Identity Management (PIM) 提供的控制措施用于管理组成员身份和所有权的访问与分配生命周期。 管理员可为组成员身份与所有权分配开始和结束日期时间属性。 当分配结束时间即将到来时,Privileged Identity Management 会向受影响的用户或组发送电子邮件通知。 此外,它还向资源管理员发送电子邮件通知,确保能够保持相应的访问权限。 即使访问权限未延期,分配也可以续订,并在长达 30 天内以过期状态保持可见。
仅有权管理组的用户才能扩展或续订组成员身份或所有权限时分配。 受影响的用户或组可以请求延期即将过期的分配,以及请求续订已过期的分配。
可分配角色的组可至少由特权角色管理员或组的所有者管理。 不可分配角色的组可至少由目录编写者、组管理员、标识治理管理员、用户管理员或组所有者管理。 管理员的角色分配应限定在目录级别(而不是管理单元级别)。
备注
具有管理组权限的其他角色(例如,不可分配角色的 M365 组的 Exchange 管理员)以及分配限定在管理单元级别的管理员可以通过组 API/UX 来管理组,并替代在 Microsoft Entra PIM 中所做的更改。
Privileged Identity Management 会向管理员以及过期的适用于组的 PIM 分配中的受影响用户发送电子邮件通知:
- 到期前 14 天内
- 到期前一天
- 当分配过期时
当用户或组请求延期或续订即将过期或已过期的分配时,管理员会收到通知。 当管理员解决该请求时,所有管理员和发出请求的用户都会收到批准或拒绝的通知。
以下步骤概述了请求、解决或者管理组成员身份或所有权分配延期或续订的过程。
用户分配的组成员身份或所有权可以直接在该组的“分配”页上通过“符合条件”或“活动”选项卡,来延期即将过期的组分配。 用户或组可以请求延期在后续 14 天过期的符合条件且处于活动状态的分配。
如果分配结束日期-时间在 14 天以内,可使用“延期”命令。 若要请求延期组分配,请选择“延期”以打开请求窗体。
备注
我们建议详细说明为何有必要延期,以及要同意延期多久(如果知道此信息)。
管理员会收到一封电子邮件通知,要求他们评审延期请求。 如果已提交延期请求,门户中会显示一条 Azure 通知。
要查看请求的状态或取消请求,请打开组分配的“待处理请求”页面。
当用户或组提交延期组分配的请求时,管理员会收到一封电子邮件通知,其中包含原始分配的详细信息,以及请求的原因。 此通知还包含一个直接链接,让管理员批准或拒绝该请求。
除了使用电子邮件中的链接以外,管理员还可以通过转到 Privileged Identity Management 管理门户,并从左窗格中选择“审批请求”来批准或拒绝请求。
当管理员选择“批准”或“拒绝”时,将显示请求的详细信息,同时会显示一个字段,让管理员提供审核日志的业务理由。
批准延期组分配的请求时,资源管理员可以选择新的开始日期、结束日期和分配类型。 如果管理员希望提供受限的访问权限来完成特定的任务(例如,一天的访问权限),则可能需要更改分配类型。 在此示例中,管理员可将分配从“符合条件”更改为“活动”。 这意味着,他们可为请求者提供访问权限,而无需让请求者激活。
如果分配到某个组的用户未请求组分配延期,管理员可以代表该用户延期分配。 组分配的管理延期不需要审批,但在完成分配延期后,系统会向其他所有管理员发送通知。
若要延期组分配,请浏览 Privileged Identity Management 中的分配视图。 找到需要延期的分配。 在操作列中选择“延期”。
续订已过期组分配的过程虽然在概念上与请求延期的过程类似,但两者确实存在差异。 分配和管理员可根据需要,使用以下步骤来续订对已过期分配的访问权限。
不再能够访问资源的用户可以访问最长 30 天的已过期分配历史记录。 为此,他们可以在左窗格中浏览“我的角色”,并选择“已过期的分配”选项卡。
显示的分配列表默认为“符合条件”的分配。 使用下拉菜单在“符合条件”与“活动”分配之间切换。
若要请求续订列表中的任何组分配,请选择“续订”操作。 然后提供请求原因。 建议提供持续时间和任何其他上下文或业务理由,以帮助资源管理员做出批准或拒绝的决定。
提交请求后,资源管理员会收到一个续订组分配的待定请求的通知。
资源管理员可以通过电子邮件通知中的链接,或者通过在 Microsoft Entra 管理中心中访问 Privileged Identity Management 然后在左窗格中选择“审批请求”来访问续订请求。
当管理员选择“批准”或“拒绝”时,将显示请求的详细信息,同时会显示一个字段,让管理员提供审核日志的业务理由。
批准续订组分配的请求时,资源管理员必须输入新的开始日期、结束日期和分配类型。