在 Privileged Identity Management 中延長或更新 Microsoft Entra 角色指派
Microsoft Entra Privileged Identity Management (PIM) 提供控制項,來管理 Microsoft Entra ID 中角色的存取權和指派生命週期。 管理員可以使用開始和結束日期/時間屬性來指派成員角色。 當指派的結束日期接近時,Privileged Identity Management 會傳送電子郵件通知給受影響的使用者或群組。 也會傳送電子郵件通知給 Microsoft Entra 管理員,以確保能維護正確的存取權。 即使存取未延長,指派仍可能會更新,且維持在過期狀態長達 30 天。
誰可以延長和更新?
只有全域管理員或特殊權限角色管理員可以延長和更新 Microsoft Entra 角色指派。 受影響的使用者或群組可以詢問延長即將過期的角色,以及要求更新已經過期的角色。
何時傳送通知?
Privileged Identity Management 會在到期的前 14 天和前一天,將電子郵件通知傳送給角色管理員及受影響的使用者或群組。 當指派正式到期時,會傳送其他的電子郵件。
當即將過期或已過期角色的使用者或群組要求延長或更新時,管理員就會收到通知。 當管理員將請求解析為核准或拒絕時,所有其他管理員都會收到該決策的通知。 接著,要求使用者或群組也會獲知決策。
延長角色指派
下列步驟會概述要求程序、解決或管理角色指派延長或更新。
自行擴充即將到期的指派
指派給角色的使用者可以直接從 [我的角色] 頁面上的 [合格] 或 [有效] 索引標籤,也可以在 [Microsoft Entra 角色] 下,或從 Privileged Identity Management 入口網站的最上層 [我的角色] 頁面,延長即將過期的角色指派。 在入口網站中,使用者可以要求延長在 14 天後過期的合格或有效 (已指派) 角色。
如果指派結束日期和時間在 14 天內,則 [延長] 按鈕會變成使用者介面中的有效連結。 在下列範例中,假設目前日期為 3 月 27 日。
注意
針對指派給角色的群組,[延長] 連結永遠無法使用,因此具有繼承指派的使用者無法延長群組指派。
若要要求延長此角色指派,請選取 [延長] 來開啟要求表單。
輸入延長要求的原因,然後選取 [延長]。
注意
建議包含為何需要延長的詳細資料,以及應該給予多久的延長 (如果您有此資訊的話)。
管理員會收到電子郵件通知,以檢閱延長要求。 如果已提交要延長的要求,入口網站中會出現 Azure 通知。
請移至 [擱置要求] 頁面,以檢視要求狀態或取消要求。
系統管理員核准的延伸模組
當使用者或群組提交延長角色指派的要求時,管理員會收到電子郵件通知,其中包含原始指派的詳細資訊以及要求的原因。 通知包含可供管理員核准或拒絕要求的直接連結。
除了遵循電子郵件中的連結,管理員可以前往 Privileged Identity Management 管理入口網站並從左側窗格中選取 [核准要求],以核准或拒絕要求。
當管理員選取 [核准] 或 [拒絕] 時,要求的詳細資料會顯示,連同一個可提供業務理由作為稽核記錄的欄位。
管理員在核准延長角色指派的要求時,可以選擇新的開始日期、結束日期和指派類型。 如果管理員想要提供有限的存取權來完成特定工作 (例如一天),則可能需要變更指派類型。 在此範例中,管理員可將指派從 [合格] 變更為 [有效]。 這表示他們可以提供存取權給要求者,而不用要求他們啟用。
管理員起始的延長
如果指派給角色的使用者不會要求角色指派的延長,則管理員可以代表使用者延長指派。 角色指派的系統管理延伸不需要核准,但在擴充角色之後,通知會傳送給所有其他系統管理員。
若要延長角色指派,請瀏覽至 Privileged Identity Management 中的角色或指派視圖。 尋找需要延長的指派。 然後在動作欄中選取 [延長]。
使用 Microsoft Graph API 延長角色指派
在下列要求中,系統管理員會使用 Microsoft Graph API 延長使用中的指派。
HTTP 要求
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
HTTP 回應
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
更新角色指派
雖然在概念上類似要求延長的程序,但更新已過期角色指派的程序其實不同。 使用下列步驟,指派和管理員即可視需要更新已過期角色的存取權。
自我更新
無法再存取資源的使用者可以存取到期的指派歷程記錄達 30 天。 若要這樣做,請瀏覽至左側窗格中的 [我的角色],然後選取 Microsoft Entra 角色區段中 [到期的角色] 索引標籤。
顯示的角色清單會預設為 [合格角色]。 選取 [合格] 或 [作用中] 的已指派角色。
若要要求更新清單中的任何角色指派,請選取 [更新] 動作。 然後提供要求的原因。 附帶任何其他內容或業務理由,並提供持續時間,可協助系統管理員決定是否核准或拒絕。
提交要求後,管理員會獲知更新角色指派的要求擱置。
管理員核准
Microsoft Entra 管理員可以從電子郵件通知中的連結,或透過下列方式,存取更新要求:從 Microsoft Entra 系統管理中心存取 Privileged Identity Management,然後選取 PIM 中的 [核准要求]。
當管理員選取 [核准] 或 [拒絕] 時,要求的詳細資料會顯示,連同一個可提供業務理由作為稽核記錄的欄位。
管理員在核准更新角色指派的要求時,必須輸入新的開始日期、結束日期和指派類型。
管理員更新
他們也可從 Microsoft Entra 角色的 [到期的角色] 索引標籤內,更新已過期的角色指派。 若要檢視所有已過期的角色指派清單,請從 [指派] 畫面中選取 [到期的角色]。