Zatwierdzanie lub odrzucanie żądań dotyczących ról zasobów platformy Azure w usłudze Privileged Identity Management
Usługa Microsoft Entra Privileged Identity Management (PIM) umożliwia konfigurowanie ról tak, aby wymagały zatwierdzenia aktywacji, a następnie wybierać użytkowników lub grupy z organizacji Firmy Microsoft Entra jako osoby zatwierdzające delegowane. Zalecamy wybranie co najmniej dwóch osób zatwierdzających dla każdej roli w celu zmniejszenia obciążenia administratora ról uprzywilejowanych. Osoby zatwierdzające delegowane mają 24 godziny na zatwierdzenie żądań. Jeśli żądanie nie zostanie zatwierdzone w ciągu 24 godzin, uprawniony użytkownik musi ponownie przesłać nowe żądanie. Okno czasu zatwierdzania 24 godzin nie jest konfigurowalne.
Wykonaj kroki opisane w tym artykule, aby zatwierdzić lub odrzucić żądania dotyczące ról zasobów platformy Azure.
Wyświetlanie oczekujących żądań
Jako osoba zatwierdzająca delegowana otrzymasz powiadomienie e-mail, gdy żądanie roli zasobu platformy Azure oczekuje na zatwierdzenie. Te oczekujące żądania można wyświetlić w usłudze Privileged Identity Management.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Przejdź do strony Zarządzanie tożsamościami>Privileged Identity Management>Zatwierdź żądania.
W sekcji Żądania aktywacji ról zostanie wyświetlona lista żądań oczekujących na zatwierdzenie.
Zatwierdzanie żądań
- Znajdź i wybierz żądanie, które chcesz zatwierdzić. Pojawi się strona zatwierdzania lub odmowy.
- W polu Uzasadnienie wprowadź uzasadnienie biznesowe.
- Wybierz Zatwierdź. Otrzymasz powiadomienie platformy Azure o zatwierdzeniu.
Zatwierdzanie oczekujących żądań przy użyciu interfejsu API usługi Microsoft ARM
Uwaga
Zatwierdzanie żądań rozszerzania i odnawiania nie jest obecnie obsługiwane przez interfejs API usługi Microsoft ARM
Pobieranie identyfikatorów kroków wymagających zatwierdzenia
Aby uzyskać szczegółowe informacje na temat dowolnego etapu zatwierdzania przypisania roli, możesz użyć kroku zatwierdzania przypisania roli — uzyskiwanie według identyfikatora interfejsu API REST.
Żądanie systemu HTTP
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
Zatwierdzanie kroku żądania aktywacji
Żądanie systemu HTTP
PATCH
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
Odpowiedź HTTP
Pomyślne wywołania PATCH generują pustą odpowiedź.
Aby uzyskać więcej informacji, zobacz Używanie zatwierdzeń przypisania ról do zatwierdzania żądań aktywacji roli usługi PIM za pomocą interfejsu API REST
Odrzucanie żądań
- Znajdź i wybierz żądanie, które chcesz zatwierdzić. Pojawi się strona zatwierdzania lub odmowy.
- W polu Uzasadnienie wprowadź uzasadnienie biznesowe.
- Wybierz pozycję Odmów. Zostanie wyświetlone powiadomienie z odmową.
Powiadomienia dotyczące przepływu pracy
Oto kilka informacji o powiadomieniach przepływu pracy:
- Osoby zatwierdzające są powiadamiane pocztą e-mail, gdy żądanie roli oczekuje na ich przegląd. Powiadomienia e-mail zawierają bezpośredni link do żądania, w którym osoba zatwierdzająca może zatwierdzić lub odrzucić.
- Żądania są rozwiązywane przez pierwszą osoba zatwierdzającą lub odmawiającą.
- Gdy osoba zatwierdzająca odpowie na żądanie, wszystkie osoby zatwierdzające są powiadamiane o akcji.
- Administratorzy zasobów są powiadamiani, gdy zatwierdzony użytkownik staje się aktywny w swojej roli.
Uwaga
Administrator zasobów, który uważa, że zatwierdzony użytkownik nie powinien być aktywny, może usunąć aktywne przypisanie roli w usłudze Privileged Identity Management. Mimo że administratorzy zasobów nie są powiadamiani o oczekujących żądaniach, chyba że są osobami zatwierdzającym, mogą wyświetlać i anulować oczekujące żądania dla wszystkich użytkowników, wyświetlając oczekujące żądania w usłudze Privileged Identity Management.