Aprovar ou negar solicitações para funções de recurso do Azure no Privileged Identity Management
O Microsoft Entra Privileged Identity Management (PIM) permite configurar funções para que elas exijam aprovação para ativação e escolher usuários ou grupos de sua organização do Microsoft Entra como aprovadores delegados. Recomendamos selecionar dois ou mais aprovadores para cada função para reduzir a carga de trabalho do administrador de função privilegiada. Os aprovadores delegados têm 24 horas para aprovar os pedidos. Se uma solicitação não for aprovada dentro de 24 horas, o usuário qualificado deverá reenviar uma nova solicitação. A janela de tempo de aprovação de 24 horas não é configurável.
Siga as etapas neste artigo para aprovar ou negar solicitações para funções de recurso do Azure.
Ver pedidos pendentes
Como aprovador delegado, você recebe uma notificação por email quando uma solicitação de função de recurso do Azure está pendente de sua aprovação. Você pode exibir essas solicitações pendentes no Privileged Identity Management.
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de função privilegiada.
Navegue até Governança de identidade>, Gerenciamento privilegiado de identidades>Aprove solicitações.
Na seção Solicitações de ativações de função, você verá uma lista de solicitações pendentes de aprovação.
Aprovar pedidos
- Localize e selecione a solicitação que deseja aprovar. Uma página de aprovação ou negação é exibida.
- Na caixa Justificação, insira a justificativa comercial.
- Selecione Aprovar. Você receberá uma notificação do Azure de sua aprovação.
Aprovar solicitações pendentes usando a API do Microsoft ARM
Nota
Atualmente, a aprovação para estender e renovar solicitações não é suportada pela API do Microsoft ARM
Obter IDs para as etapas que exigem aprovação
Para obter os detalhes de qualquer estágio de uma aprovação de atribuição de função, você pode usar a Etapa de Aprovação de Atribuição de Função - Obter por ID API REST.
Pedido HTTP
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
Aprovar a etapa de solicitação de ativação
Pedido HTTP
PATCH
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP response
Chamadas PATCH bem-sucedidas geram uma resposta vazia.
Para obter mais informações, consulte Usar aprovações de atribuição de função para aprovar solicitações de ativação de função PIM com a API REST
Negar pedidos
- Localize e selecione a solicitação que deseja aprovar. Uma página de aprovação ou negação é exibida.
- Na caixa Justificação, insira a justificativa comercial.
- Selecione Negar. Uma notificação aparece com sua negação.
Notificações de fluxo de trabalho
Aqui estão algumas informações sobre notificações de fluxo de trabalho:
- Os aprovadores são notificados por e-mail quando uma solicitação de uma função está pendente de análise. As notificações por e-mail incluem um link direto para a solicitação, onde o aprovador pode aprovar ou negar.
- Os pedidos são resolvidos pelo primeiro aprovador que aprova ou nega.
- Quando um aprovador responde à solicitação, todos os aprovadores são notificados da ação.
- Os administradores de recursos são notificados quando um usuário aprovado se torna ativo em sua função.
Nota
Um administrador de recursos que acredita que um usuário aprovado não deve estar ativo pode remover a atribuição de função ativa no Privileged Identity Management. Embora os administradores de recursos não sejam notificados de solicitações pendentes, a menos que sejam aprovadores, eles podem exibir e cancelar solicitações pendentes para todos os usuários exibindo solicitações pendentes no Privileged Identity Management.