在 Privileged Identity Management 中擴充或更新 Azure 資源角色指派
Microsoft Entra Privileged Identity Management (PIM),提供控制來管理 Azure 資源的存取和指派生命週期。 系統管理員可以使用開始和結束日期時間屬性來指派角色。 當指派結束時,Privileged Identity Management 會將電子郵件通知傳送給受影響的使用者或群組。 它也會將電子郵件通知傳送給資源的系統管理員,以確保維護適當的存取權。 即使存取未延長,指派仍可能會更新,且維持在過期狀態長達 30 天。
誰可以延長和續約?
只有資源的系統管理員可以擴充或更新角色指派。 受影響的使用者或群組可以要求擴充即將到期的角色,並要求更新已過期的角色。
何時傳送通知?
Privileged Identity Management 會將電子郵件通知傳送給系統管理員及受影響的使用者或角色群組,這些角色或群組在到期前的 14 天內以及到期前一天即將到期。 當指派正式到期時,它會傳送額外的電子郵件。
當具有即將到期或已過期角色的使用者或群組請求延長或更新時,系統管理員會收到通知。 當特定系統管理員解決要求時,所有其他系統管理員都會收到解決方案決策的通知(已核准或拒絕)。 然後,要求的使用者或群組會收到決策的通知。
擴充角色指派
下列步驟概述要求、解決或管理角色指派延伸或更新的流程。
自行延長即將到期任務
被指派到角色的使用者可以直接從資源的 合格 或 活躍 標籤頁上的 我的角色 頁面,以及從 [特殊許可權身分識別管理] 入口網站的頂層 我的角色 頁面,延長即將到期的角色指派。 在入口網站中,使用者可以要求延長那些在接下來 14 天內即將到期的合格或已被指派的作用中角色。
![[我的角色] 頁面的螢幕快照,其中列出具有 [動作] 數據行的合格角色。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-ui.png)
當工作分派結束日期時間在14天內時,Extend 的連結會在 Microsoft Entra 管理中心中變為可用。 在下列範例中,假設目前的日期為 3 月 27 日。
注意
對於被指派給某個角色的群組來說,Extend 鏈結始終不會啟用,因此具有繼承指派的使用者無法延展該群組的指派。
![動作數據行的螢幕快照,其中包含 [啟用] 或 [擴充] 連結。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-within-14.png)
若要延長此角色指派,請選取 延長 以開啟申請表單。
![[擴充角色指派] 窗格的螢幕快照,其中包含 [原因] 方塊。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-role-assignment-request.png)
若要檢視原始指派的相關信息,請展開 [工作分派詳細資料。 輸入擴充要求的原因,然後選取 [[擴充]。
註記
建議您包含為何需要延期的詳細資訊,以及應延長多久時間(如果您有此資訊)。
![[延伸角色指派面板] 的螢幕擷圖,其中已展開 [指派詳細資訊]。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-form-complete.png)
在幾分鐘內,資源管理員會收到電子郵件通知,要求他們檢閱擴充功能要求。 如果已提交擴充要求,Azure 通知會出現在入口網站中。
移至 擱置要求 頁面,以檢視要求的狀態或取消要求。
管理員核准的擴充功能
當使用者或群組提交擴充角色指派的要求時,資源管理員會收到包含原始指派詳細數據和要求原因的電子郵件通知。 通知包含系統管理員核准或拒絕要求的直接連結。
除了透過電子郵件中的連結,系統管理員還可以前往 Privileged Identity Management 管理入口網站,然後選取左窗格中的 核准要求,以核准或拒絕請求。
當系統管理員選取 [核准 或 拒絕時,會顯示要求的詳細數據,以及字段來提供稽核記錄的商業理由。
![[核准角色指派要求] 的螢幕快照,其中包含要求者原因、指派類型、開始時間、結束時間和原因。](media/pim-resource-roles-renew-extend/aadpim-rbac-extend-admin-approve-blade.png)
核准擴充角色指派的要求時,資源管理員可以選擇新的開始日期、結束日期和指派類型。 如果系統管理員想要提供有限的存取權來完成特定工作,可能需要變更指派類型(例如一天)。 在這裡範例中,系統管理員可以將指派從合格 變更為 Active。 這表示他們可以給予請求者存取權,而不需要請求者啟動任何程序。
系統管理員起始的擴充功能
如果指派給角色的使用者未要求延長角色指派,系統管理員可以代表使用者延長指派。 角色指派的系統管理延伸不需要核准,但在擴充角色之後,通知會傳送給所有其他系統管理員。
若要擴充角色指派,請流覽至 Privileged Identity Management 中的資源角色或指派檢視。 尋找需要延期的作業。 然後在動作欄中選取 延伸。
更新角色指派
雖然在概念上類似於要求擴充的程式,但更新過期角色指派的程式不同。 使用下列步驟,被指派者和系統管理員可以在必要時更新過期角色的存取權限。
自我更新
無法再存取資源的使用者可以存取最多 30 天的過期指派歷程記錄。 若要這樣做,他們會瀏覽至左窗格中的 [我的角色],然後在 [Azure 資源角色] 區段中選取 過期角色 索引卷標。
![[我的角色] 頁面的螢幕快照 - [過期的角色] 索引標籤。](media/pim-resource-roles-renew-extend/aadpim-rbac-renew-from-myroles.png)
顯示的角色清單預設為 合格角色。 使用下拉選單,將指派的角色切換為 [合格] 或 [作用中]。
若要要求清單中任何角色指派的續約,請選取 [續約 ] 動作。 然後提供要求的原因。 在提供其他內容或業務理由以協助資源管理員決定是否核准或拒絕的同時,加入持續時間也會很有幫助。
![[更新角色指派] 窗格的螢幕快照,其中顯示 [原因] 方塊。](media/pim-resource-roles-renew-extend/aadpim-rbac-renew-request-form.png)
提交要求後,資源管理員會收到有關更新角色指派的待處理要求通知。
系統管理員核准
資源管理員可以從電子郵件通知中的連結存取續約要求,或從 Azure 入口網站存取 Privileged Identity Management,然後從左窗格中選取 [核准要求]。
當系統管理員選擇 核准 或 拒絕時,請求的詳細資訊會顯示並包含一個欄位,以提供稽核記錄的商業理由。
核准更新角色指派的要求時,資源管理員必須輸入新的開始日期、結束日期和指派類型。
系統管理員更新
資源管理員可以從資源左側導覽列的 [成員] 選項卡續訂過期的角色指派。 他們也可以在資源角色的 過期 角色索引標籤中更新已過期的角色指派。
若要檢視所有過期角色指派的清單,請在 [成員] 畫面上,選取 [[過期的角色]。
