Compartilhar via


Aprovar ou negar solicitações para funções de recursos do Azure no Privileged Identity Management

O Microsoft Entra Privileged Identity Management (PIM) permite que você configure funções para que elas exijam aprovação para ativação e escolha usuários ou grupos da organização do Microsoft Entra como representantes de aprovação. Recomendamos selecionar dois ou mais aprovadores para cada função para reduzir a carga de trabalho do Administrador de Funções com Privilégios. Os aprovadores representantes têm 24 horas para aprovar as solicitações. Se uma solicitação não for aprovada em 24 horas, o usuário qualificado deverá enviar novamente uma nova solicitação. A janela de tempo de aprovação de 24 horas não é configurável.

Siga as etapas neste artigo para aprovar ou negar solicitações de funções de recursos do Azure.

Exibir solicitações pendentes

Como um aprovador delegado, você receberá uma notificação por email quando uma solicitação de função de recurso do Azure estiver aguardando a aprovação. Você pode exibir essas solicitações pendentes no Privileged Identity Management.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Governança de identidade>Privileged Identity Management>Aprovar solicitações.

    Captura de tela da página Aprovar solicitações – recursos do Azure mostrando a solicitação para revisão.

    Na seção Solicitações de ativação de função você verá uma lista de solicitações aguardando a aprovação.

Aprovar solicitações

  1. Localize e selecione a solicitação que você quer aprovar. Uma página para aprovar ou negar é exibida.
  2. Na caixa Justificativa, insira a justificativa comercial.
  3. Selecione Aprovar. Você receberá uma notificação do Azure de sua aprovação.

Aprovar solicitações pendentes usando a API do Microsoft ARM

Observação

Atualmente, a aprovação de solicitações de prorrogação e renovação não é compatível com a API do Microsoft ARM

Obter IDs para as etapas que exigem aprovação

Para obter os detalhes de qualquer fase de aprovação de atribuição de função, você pode usar a Etapa de aprovação de atribuição de função – Obter por ID da API REST.

Solicitação HTTP

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview

Aprovar a etapa de solicitação de ativação

Solicitação HTTP

PATCH 
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

Resposta HTTP

As chamadas de PATCH bem-sucedidas geram uma resposta vazia.

Para obter mais informações, consulte Usar aprovações de atribuição de função para aprovar solicitações de ativação de função do PIM com a API REST

Negar solicitações

  1. Localize e selecione a solicitação que você quer aprovar. Uma página para aprovar ou negar é exibida.
  2. Na caixa Justificativa, insira a justificativa comercial.
  3. Selecione Negar. Uma notificação é exibida com a negação.

Notificações de fluxo de trabalho

Veja algumas informações sobre notificações de fluxo de trabalho:

  • Os aprovadores são notificados por email quando uma solicitação para uma função está aguardando revisão. As notificações por email incluem um link direto para a solicitação no qual o aprovador pode aprovar ou negar.
  • As solicitações são resolvidas pelo primeiro aprovador que aprova ou nega.
  • Quando um aprovador responde à solicitação, todos os aprovadores são notificados da ação.
  • Os administradores de recursos são notificados quando um usuário aprovado se torna ativo em sua função.

Observação

Um administrador de recursos que acredite que o usuário aprovado não deve estar ativo pode remover a atribuição de função ativa no Privileged Identity Management. Embora os administradores de recursos não sejam notificados de solicitações pendentes a menos que sejam aprovadores, eles podem exibir e cancelar solicitações pendentes de todos os usuários exibindo solicitações pendentes no Privileged Identity Management.

Próximas etapas