Privileged Identity Management で Azure リソース ロールに対する要求を承認または拒否する

Microsoft Entra Privileged Identity Management (PIM) を使用すると、アクティブ化の承認が必要となるようにロールを構成し、委任された承認者として Microsoft Entra 組織からユーザーまたはグループを選択することができます。 特権ロール管理者の作業負荷を減らすには、ロールごとに 2 人以上の承認者を選択することをお勧めします。 代理承認者は、要求を承認するまでに 24 時間あります。 要求が 24 時間以内に承認されない場合、その資格のあるユーザーは新しい要求をもう一度送信する必要があります。 24 時間の承認時間枠は構成を変えることができません。

Azure リソース ロールの要求を承認または拒否するには、この記事の手順に従ってください。

保留中の要求を表示する

Azure リソース ロール要求が、代理承認者であるあなたの承認を待っている状態になると、あなたに電子メール通知が届きます。 これらの保留中の要求は、Privileged Identity Management で表示できます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID ガバナンス]>[Privileged Identity Management]>[要求の承認] に移動します。

    Approve requests - Azure resources page showing request to review

    [ロールのアクティブ化に関する要求] セクションに、承認が保留中の要求の一覧が表示されます。

要求の承認

  1. 承認する要求を見つけて選択します。 承認または拒否のページが表示されます。
  2. [理由] ボックスに、業務上の正当な理由を入力します。
  3. [承認] を選択します。 承認に関する Azure 通知を受信します。

Microsoft ARM API を使用して保留中の要求を承認する

Note

現在、延長および更新要求の承認は Microsoft ARM API ではサポートされていません

承認が必要なステップの ID を取得する

ロールの割り当てを承認するすべてのステージの詳細を取得するには、Role Assignment Approval Step - Get By ID REST API を使用できます。

HTTP 要求

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview

アクティブ化要求の手順を承認する

HTTP 要求

PATCH 
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

HTTP 応答

PATCH の呼び出しに成功すると、空の応答が生成されます。

詳細については、ロールの割り当ての承認を使用して REST API による PIM ロールのアクティブ化要求を承認することに関する記事を参照してください

要求を拒否する

  1. 承認する要求を見つけて選択します。 承認または拒否のページが表示されます。
  2. [理由] ボックスに、業務上の正当な理由を入力します。
  3. [拒否] を選択します。 拒否すると同時に通知が表示されます。

ワークフロー通知

ワークフロー通知に関するいくつかの情報を次に示します。

  • ロールの要求のレビューが保留中の場合、承認者にメールで通知されます。 電子メール通知には、承認者が承認または拒否できる、要求への直接リンクが含まれています。
  • 要求は、承認または拒否した最初の承認者によって解決されます。
  • 承認者が要求に応答すると、すべての承認者にその動作が通知されます。
  • リソース管理者には、承認されたユーザーがそのロール内でアクティブになると通知されます。

注意

承認されたユーザーをアクティブにしないほうがよいと見なしたリソース管理者は、Privileged Identity Management でアクティブなロールの割り当てを削除できます。 リソース管理者は、承認者でない限り、保留中の要求の通知を受け取りませんが、Privileged Identity Management で保留中の要求を表示することで、すべてのユーザーの保留中の要求を確認およびキャンセルできます。

次のステップ