Подтверждение и отклонение запросов для ролей ресурсов Azure в Azure AD Privileged Identity Management
Microsoft Entra управление привилегированными пользователями (PIM) позволяет настраивать роли таким образом, чтобы они требовали утверждения для активации, а также выбирать пользователей или группы из организации Microsoft Entra в качестве делегированных утверждающих. Мы рекомендуем выбрать двух или более утверждающих лиц для каждой роли, чтобы сократить рабочую нагрузку для администратора привилегированных ролей. Делегированные утверждающие лица имеют 24 часа на утверждение запросов. Если запрос не утвержден в течение 24 часов, пользователь должен повторно отправить новый запрос. Период времени утверждения 24 часа не настраивается.
Выполните действия, описанные в этой статье, чтобы утверждать или отклонять запросы для ролей ресурсов Azure.
Просмотр ожидающих запросов
Как делегированный утверждающий вы получаете уведомление по электронной почте, когда запрос роли ресурса Azure ожидает утверждения. Вы можете просмотреть эти ожидающие запросы в Azure AD Privileged Identity Management.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к управлению удостоверениями> управление привилегированными пользователями> ЗапросыApprove.
В разделе "Запросы активации ролей" отображается список запросов, ожидающих утверждения.
Утверждение запросов
- Найдите и выберите запрос, который требуется утвердить. Откроется страница утверждения и отклонения.
- В поле Обоснование введите коммерческое обоснование.
- Выберите Утвердить. Вы получите уведомление Azure об утверждении.
Утверждение ожидающих запросов с помощью API Microsoft ARM
Примечание.
Утверждение для расширений и возобновления запросов в настоящее время не поддерживается API Microsoft ARM
Получение идентификаторов для шагов, которые требуют утверждения
Чтобы получить сведения о любом этапе утверждения назначения ролей, можно использовать шаг утверждения назначения ролей . Получение ПО REST API идентификатора .
HTTP-запрос
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
Утвердить этап запроса на активацию
HTTP-запрос
PATCH
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP-ответ
Успешные вызовы PATCH создают пустой ответ.
Дополнительные сведения см. в статье Использование Утверждения назначения ролей для утверждения запросов активации ролей PIM с помощью REST API
Отклонение запросов
- Найдите и выберите запрос, который требуется утвердить. Откроется страница утверждения и отклонения.
- В поле Обоснование введите коммерческое обоснование.
- Выберите Отклонить. Появится уведомление о вашем отказе.
Уведомления о рабочем процессе
Ниже приведена информация об уведомлениях рабочего процесса.
- Утверждающие получают уведомление по электронной почте, когда запрос на роль находится на рассмотрении. Уведомления по электронной почте содержат прямую ссылку на запрос, где утверждающий может одобрить или отклонить его.
- Запросы разрешаются первым утверждающим, который утверждает или отклоняет.
- Когда утверждающий отвечает на запрос, все утверждающие уведомляются об этом действии.
- Администраторы ресурсов получают уведомление, когда роль пользователя, запрос которого утвержден, становится активной.
Примечание.
Если администратор ресурса считает, что не нужно активировать роль для пользователя, запрос которого был утвержден, он может удалить назначение активной роли в PIM. Хотя администраторы ресурсов не уведомляются об ожидающих запросах, если они не являются утверждающими, они могут просматривать и отменять ожидающие запросы для всех пользователей, просматривая ожидающие запросы в управлении привилегированными пользователями.