Estendere o rinnovare le assegnazioni di ruolo delle risorse di Azure in Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM), fornisce controlli per gestire il ciclo di vita di accesso e assegnazione per le risorse di Azure. Gli amministratori possono assegnare ruoli usando le proprietà di data e ora di inizio e di fine. Quando l'assegnazione termina, Privileged Identity Management invia notifiche tramite posta elettronica agli utenti o ai gruppi interessati. Invia inoltre notifiche tramite posta elettronica agli amministratori della risorsa per garantire che venga mantenuto l'accesso appropriato. Le assegnazioni potrebbero essere rinnovate e rimanere visibili in uno stato scaduto per un massimo di 30 giorni, anche se l'accesso non viene esteso.
Chi può estendere e rinnovare?
Solo gli amministratori della risorsa possono estendere o rinnovare le assegnazioni di ruolo. L'utente o il gruppo interessato può richiedere di estendere i ruoli che stanno per scadere e richiedere di rinnovare i ruoli già scaduti.
Quando vengono inviate notifiche?
Privileged Identity Management invia notifiche tramite posta elettronica agli amministratori e ai gruppi di ruoli interessati che scadono entro 14 giorni e un giorno prima della scadenza. Invia un messaggio di posta elettronica aggiuntivo alla scadenza ufficiale di un'assegnazione.
Gli amministratori ricevono notifiche quando un utente o un gruppo, a cui è assegnato un ruolo in scadenza o scaduto, chiede di estendere o rinnovare il ruolo. Quando un amministratore specifico risolve la richiesta, tutti gli altri amministratori ricevono una notifica della decisione di risoluzione (approvata o negata). L'utente o il gruppo richiedente riceve quindi una notifica della decisione.
Estendere le assegnazioni di ruolo
I passaggi seguenti descrivono il processo di richiesta, risoluzione o amministrazione di un'estensione o rinnovo di un'assegnazione di ruolo.
Assegnazioni in scadenza che si estendono automaticamente
Gli utenti assegnati a un ruolo possono estendere le assegnazioni di ruolo in scadenza direttamente dalla scheda Idonea o Attiva nella pagina Ruoli personali di una risorsa e dalla pagina di primo livello Ruoli personali del portale Privileged Identity Management. Nel portale gli utenti possono richiedere di estendere i ruoli idonei o attivi (assegnati) che scadono nei prossimi 14 giorni.
Quando la data di fine dell'assegnazione è entro 14 giorni, il collegamento a Estendi diventa attivo nell'interfaccia di amministrazione di Microsoft Entra. Nell'esempio seguente si supponga che la data corrente sia il 27 marzo.
Nota
Per un gruppo assegnato a un ruolo, il collegamento Estendi non diventa mai disponibile, quindi un utente con un'assegnazione ereditata non può estendere l'assegnazione del gruppo.
Per richiedere un'estensione di questa assegnazione di ruolo, selezionare Estendi per aprire il modulo di richiesta.
Per visualizzare informazioni sull'incarico originale, espandere i dettagli dell'incarico. Immettere un motivo per la richiesta di estensione e quindi selezionare Estendi.
Nota
È consigliabile includere i dettagli del motivo per cui è necessaria l'estensione e per quanto tempo deve essere concessa l'estensione (se si dispone di queste informazioni).
In pochi istanti, gli amministratori delle risorse ricevono una notifica tramite posta elettronica che richiede di esaminare la richiesta di estensione. Se è già stata inviata una richiesta di estensione, viene visualizzata una notifica di Azure nel portale.
Vai alla pagina Richieste in sospeso per visualizzare lo stato della tua richiesta o annullarla.
Estensione approvata dall'amministratore
Quando un utente o un gruppo invia una richiesta per estendere un'assegnazione di ruolo, gli amministratori delle risorse ricevono una notifica tramite posta elettronica contenente i dettagli dell'assegnazione originale e il motivo della richiesta. La notifica include un collegamento diretto alla richiesta di approvazione o negazione da parte dell'amministratore.
Oltre a usare il collegamento seguente dal messaggio di posta elettronica, gli amministratori possono approvare o negare le richieste accedendo al portale di amministrazione di Privileged Identity Management e selezionando Approva richieste nel riquadro sinistro.
Quando un amministratore seleziona Approva o Nega, vengono visualizzati i dettagli della richiesta, insieme a un campo per fornire una giustificazione aziendale per i log di controllo.
Quando si approva una richiesta di estensione dell'assegnazione di ruolo, gli amministratori delle risorse possono scegliere una nuova data di inizio, una data di fine e un tipo di assegnazione. La modifica del tipo di assegnazione potrebbe essere necessaria se l'amministratore vuole fornire accesso limitato per completare un'attività specifica ,ad esempio un giorno. In questo esempio, l'amministratore può modificare l'assegnazione da Idonea a Attivo. Ciò significa che possono fornire l'accesso al richiedente senza richiedere l'attivazione.
Estensione avviata dall'amministratore
Se un utente assegnato a un ruolo non richiede un'estensione per l'assegnazione di ruolo, un amministratore può estendere un'assegnazione per conto dell'utente. Le estensioni amministrative dell'assegnazione di ruolo non richiedono l'approvazione, ma le notifiche vengono inviate a tutti gli altri amministratori dopo l'estensione del ruolo.
Per estendere un'assegnazione di ruolo, passare alla visualizzazione del ruolo o dell'assegnazione delle risorse in Privileged Identity Management. Trova il compito che richiede un'estensione. Selezionare quindi Estendi nella colonna delle azioni.
Rinnovare le assegnazioni di ruolo
Sebbene concettualmente simile al processo per richiedere un'estensione, il processo di rinnovo di un'assegnazione di ruolo scaduta è diverso. Seguendo i passaggi seguenti, le assegnazioni e gli amministratori possono rinnovare l'accesso ai ruoli scaduti quando necessario.
Rinnovo automatico
Gli utenti che non possono più accedere alle risorse possono visualizzare fino a 30 giorni di cronologia delle assegnazioni passate. Per fare ciò, passano a I miei ruoli nel riquadro sinistro e quindi selezionano la scheda Ruoli scaduti nella sezione dei ruoli delle risorse di Azure.
L'elenco dei ruoli visualizzati per impostazione predefinita è ruoli idonei. Usare il menu a discesa per passare tra i ruoli assegnati idonei e attivi.
Selezionare l'azione Rinnova per richiedere il rinnovo delle assegnazioni di ruolo nell'elenco. Specificare quindi un motivo per la richiesta. È utile fornire una durata oltre a qualsiasi altro contesto o giustificazione aziendale che può aiutare l'amministratore delle risorse a decidere di approvare o rifiutare.
Dopo l'invio della richiesta, gli amministratori delle risorse ricevono una notifica di una richiesta pendente per rinnovare un'assegnazione di ruolo.
L'amministratore approva
Gli amministratori delle risorse possono accedere alla richiesta di rinnovo dal collegamento nella notifica tramite posta elettronica o accedendo a Privileged Identity Management dal portale di Azure e selezionando Approva richieste dal riquadro sinistro.
Quando un amministratore seleziona Approva o Nega, i dettagli della richiesta vengono visualizzati insieme a un campo per fornire una giustificazione aziendale per i log di controllo.
Quando si approva una richiesta di rinnovo dell'assegnazione di ruolo, gli amministratori delle risorse devono immettere una nuova data di inizio, una data di fine e un tipo di assegnazione.
Rinnovo amministratore
Gli amministratori delle risorse possono rinnovare le assegnazioni di ruolo scadute dalla scheda Membri nel menu di navigazione a sinistra di una risorsa. Possono anche rinnovare le assegnazioni di ruolo scadute dall'interno della scheda Ruoli scaduti di un ruolo della risorsa.
Per visualizzare un elenco di tutte le assegnazioni di ruolo scadute, nella schermata Membri selezionare Ruoli Scaduti.
