Zatwierdzanie lub odrzucanie żądań dotyczących ról zasobów platformy Azure w usłudze Privileged Identity Management

  • Artykuł

Usługa Microsoft Entra Privileged Identity Management (PIM) umożliwia konfigurowanie ról tak, aby wymagały zatwierdzenia aktywacji, a następnie wybierać użytkowników lub grupy z organizacji Firmy Microsoft Entra jako osoby zatwierdzające delegowane. Zalecamy wybranie co najmniej dwóch osób zatwierdzających dla każdej roli w celu zmniejszenia obciążenia dla administratora ról uprzywilejowanych. Osoby zatwierdzające delegowane mają 24 godziny na zatwierdzenie żądań. Jeśli żądanie nie zostanie zatwierdzone w ciągu 24 godzin, uprawniony użytkownik musi ponownie przesłać nowe żądanie. Okno czasu zatwierdzania 24 godzin nie jest konfigurowalne.

Wykonaj kroki opisane w tym artykule, aby zatwierdzić lub odrzucić żądania dotyczące ról zasobów platformy Azure.

Wyświetlanie oczekujących żądań

Jako osoba zatwierdzająca delegowana otrzymasz powiadomienie e-mail, gdy żądanie roli zasobu platformy Azure oczekuje na zatwierdzenie. Te oczekujące żądania można wyświetlić w usłudze Privileged Identity Management.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator roli uprzywilejowanej.

  2. Przejdź do strony Zarządzanie tożsamościami>Privileged Identity Management>Zatwierdź żądania.

    Zrzut ekranu przedstawiający stronę Zatwierdzanie żądań — zasoby platformy Azure z żądaniem przeglądu.

    W sekcji Żądania aktywacji ról zostanie wyświetlona lista żądań oczekujących na zatwierdzenie.

Zatwierdzanie żądań

  1. Znajdź i wybierz żądanie, które chcesz zatwierdzić. Pojawi się strona zatwierdzania lub odmowy.
  2. W polu Uzasadnienie wprowadź uzasadnienie biznesowe.
  3. Wybierz Zatwierdź. Otrzymasz powiadomienie platformy Azure o zatwierdzeniu.

Zatwierdzanie oczekujących żądań przy użyciu interfejsu API usługi Microsoft ARM

Uwaga

Zatwierdzanie żądań rozszerzania i odnawiania nie jest obecnie obsługiwane przez interfejs API usługi Microsoft ARM

Pobieranie identyfikatorów kroków wymagających zatwierdzenia

Aby uzyskać szczegółowe informacje na temat dowolnego etapu zatwierdzania przypisania roli, możesz użyć kroku zatwierdzania przypisania roli — uzyskiwanie według identyfikatora interfejsu API REST.

Żądanie systemu HTTP

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview

Zatwierdzanie kroku żądania aktywacji

Żądanie systemu HTTP

PATCH 
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
}

Odpowiedź HTTP

Pomyślne wywołania PATCH generują pustą odpowiedź.

Aby uzyskać więcej informacji, zobacz Use Role Assignment Zatwierdzenia to approve PIM role activation requests with REST API (Używanie Zatwierdzenia przypisywania ról do zatwierdzania żądań aktywacji roli usługi PIM za pomocą interfejsu API REST)

Odrzucanie żądań

  1. Znajdź i wybierz żądanie, które chcesz zatwierdzić. Pojawi się strona zatwierdzania lub odmowy.
  2. W polu Uzasadnienie wprowadź uzasadnienie biznesowe.
  3. Wybierz pozycję Odmów. Zostanie wyświetlone powiadomienie z odmową.

Powiadomienia dotyczące przepływu pracy

Oto kilka informacji o powiadomieniach przepływu pracy:

  • Osoby zatwierdzające są powiadamiane pocztą e-mail, gdy żądanie roli oczekuje na ich przegląd. Powiadomienia e-mail zawierają bezpośredni link do żądania, w którym osoba zatwierdzająca może zatwierdzić lub odrzucić.
  • Żądania są rozwiązywane przez pierwszą osoba zatwierdzającą lub odmawiającą.
  • Gdy osoba zatwierdzająca odpowie na żądanie, wszystkie osoby zatwierdzające są powiadamiane o akcji.
  • Administratorzy zasobów są powiadamiani, gdy zatwierdzony użytkownik staje się aktywny w swojej roli.

Uwaga

Administrator zasobów, który uważa, że zatwierdzony użytkownik nie powinien być aktywny, może usunąć aktywne przypisanie roli w usłudze Privileged Identity Management. Mimo że administratorzy zasobów nie są powiadamiani o oczekujących żądaniach, chyba że są osobami zatwierdzającym, mogą wyświetlać i anulować oczekujące żądania dla wszystkich użytkowników, wyświetlając oczekujące żądania w usłudze Privileged Identity Management.

Następne kroki