Approvare o negare le richieste per i ruoli delle risorse di Azure in Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM) consente di configurare i ruoli in modo che richiedano l'approvazione per l'attivazione e scelgano utenti o gruppi dell'organizzazione Microsoft Entra come responsabili approvazione delegati. È consigliabile selezionare due o più responsabili approvazione per ogni ruolo per ridurre il carico di lavoro per l'amministratore del ruolo con privilegi. I responsabili approvazione delegati hanno 24 ore di tempo per approvare le richieste. Se una richiesta non viene approvata entro 24 ore, l'utente idoneo deve inviare nuovamente una nuova richiesta. L'intervallo di tempo di approvazione di 24 ore non è configurabile.
Seguire i passaggi descritti in questo articolo per approvare o rifiutare le richieste per i ruoli delle risorse di Azure.
Visualizzare le richieste in sospeso
In qualità di responsabile approvazione delegato, si riceve una notifica tramite posta elettronica quando una richiesta di ruolo della risorsa di Azure è in attesa dell'approvazione. È possibile visualizzare queste richieste in sospeso in Privileged Identity Management.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del ruolo con privilegi.
Passare a Identity Governance>Privileged Identity Management>Approva le richieste.
Nella sezione Richieste di attivazioni dei ruoli viene visualizzato un elenco di richieste in attesa dell'approvazione.
Approvare le richieste
- Trovare e selezionare la richiesta da approvare. Viene visualizzata una pagina approva o nega.
- Nella casella Giustificazione immettere la motivazione aziendale.
- Selezionare Approva. Si riceverà una notifica di Azure dell'approvazione.
Approvare le richieste in sospeso usando l'API Microsoft ARM
Nota
L'approvazione per le richieste di estensione e rinnovo non è attualmente supportata dall'API Arm Microsoft
Ottenere gli ID per i passaggi che richiedono l'approvazione
Per ottenere i dettagli di qualsiasi fase dell'approvazione di un'assegnazione di ruolo, è possibile usare il passaggio di approvazione dell'assegnazione di ruolo - Get By ID API REST.
Richiesta HTTP
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
Approvare il passaggio della richiesta di attivazione
Richiesta HTTP
PATCH
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
Risposta HTTP
Le chiamate PATCH riuscite generano una risposta vuota.
Per altre informazioni, vedere Usare l'assegnazione di ruolo Approvazioni per approvare le richieste di attivazione dei ruoli PIM con l'API REST
Rifiutare le richieste
- Trovare e selezionare la richiesta da approvare. Viene visualizzata una pagina approva o nega.
- Nella casella Giustificazione immettere la motivazione aziendale.
- Seleziona Nega. Viene visualizzata una notifica con la negazione.
Notifiche dei flussi di lavoro
Ecco alcune informazioni sulle notifiche del flusso di lavoro:
- I Responsabili di approvazione ricevono una notifica tramite posta elettronica quando una richiesta per un ruolo è in attesa di revisione. Le notifiche tramite posta elettronica includono un collegamento diretto alla richiesta, in cui il Responsabile di approvazione può approvare o rifiutare la richiesta.
- Le richieste vengono risolte dal primo Responsabile di approvazione che approva o rifiuta la richiesta.
- Quando un Responsabile di approvazione risponde alla richiesta, tutti i Responsabili di approvazione ricevono una notifica dell'azione.
- Gli amministratori delle risorse ricevono una notifica quando un utente approvato diventa attivo nel proprio ruolo.
Nota
Un amministratore delle risorse che ritiene che un utente approvato non debba essere attivo può rimuovere l'assegnazione di ruolo attiva in Privileged Identity Management. Anche se gli amministratori delle risorse non ricevono notifiche relative alle richieste in sospeso a meno che non siano responsabili approvazione, possono visualizzare e annullare richieste in sospeso per tutti gli utenti visualizzando le richieste in sospeso in Privileged Identity Management.