Создание или утверждение запроса на предоставление разрешений

В этой статье описывается, как создать или утвердить запрос на разрешения на панели мониторинга исправления в Управление разрешениями Microsoft Entra. вы можете создавать и утверждать запросы для систем авторизации Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP).

Панель мониторинга Исправление имеет два рабочих процесса для предоставления привилегий по требованию:

• Новый запрос — рабочий процесс, используемый пользователем для создания запроса разрешений на указанный период.
• Утверждающий — рабочий процесс, используемый утверждающим для просмотра и утверждения или отклонения запроса разрешений от пользователя.

Примечание.

Для просмотра панели мониторинга Исправление необходимо разрешение Читатель, Контроллер или Администратор. Чтобы внести изменения на этой вкладке, необходимы разрешения Контроллер или Администратор. Если у вас нет этих разрешений, обратитесь к системному администратору.

Создание запроса разрешений

1. На домашней странице Управления разрешениями выберите вкладку Исправление, а затем перейдите во вложенную вкладку Мои запросы.

   На вложенной вкладке My Requests (Мои запросы) отображаются следующие параметры:

   • Ожидающие — список ваших запросов, которые еще не рассмотрены.
   • Утвержденные — список запросов, которые утверждающий проверил и утвердил. Эти запросы либо уже были активированы, либо находятся в процессе активации.
   • Обработанные — сводка созданных вами запросов, которые были утверждены (Выполнены), Отклонены и Отменены.

2. Чтобы создать запрос разрешений, выберите New Request (Новый запрос).

3. На странице Роли/задачи:

   1. В раскрывающемся списке Authorization System Type (Тип системы авторизации) выберите тип системы авторизации, к которой вы хотите получить доступ: AWS, Azure или GCP.

   2. В раскрывающемся списке Система авторизации выберите учетные записи, к которым требуется получить доступ.

   3. В раскрывающемся списке Удостоверение выберите удостоверение, от имени которого запрашивается доступ.

      • Если выбранное удостоверение является пользователем SAML, выберите роль пользователя в поле Роль, поскольку пользователь SAML получает доступ к системе с помощью предположения роли.

      • Если выбранное вами удостоверение является локальным пользователем, выберите нужные политики:

        1. Выберите Request Policy(s) (Политики запросов).
        2. В области Available Policies (Доступные политики) выберите нужные политики.
        3. Чтобы выбрать конкретную политику, выберите значок "плюс", а затем найдите и выберите нужную политику.

        Выбранные политики отобразятся в поле Выбранные политики.

      • Если выбранное вами удостоверение является локальным пользователем, выберите нужные задачи:

        1. Выберите Задачи запросов.
        2. В списке Доступные задачи выберите нужные задачи.
        3. Чтобы выбрать конкретную задачу, щелкните значок "плюс", а затем выберите нужную задачу.

        Выбранные задачи отображаются в поле Выбранные задачи.

   Если у пользователя уже есть политики, они отображаются в разделе Существующие политики.

4. Выберите Далее.

5. Если вы выбрали AWS, откроется страница Область.

   1. В области выбора выберите:
      • Все ресурсы.
      • Конкретные ресурсы, а затем выберите нужные ресурсы.
      • Ни один из ресурсов.
   2. В условиях запроса:
      1. Выберите JSON, чтобы добавить блок кода JSON.
      2. Нажмите кнопку Готово, чтобы принять введенный код, или Очистить, чтобы удалить введенные данные и начать заново.
   3. В разделе Действие выберите Разрешить или Запретить.
   4. Выберите Далее.

6. Откроется страница Подтверждение.

7. В разделе Сводка запроса введите сводку по запросу.

8. При необходимости в поле Примечание можно ввести примечание для утверждающего.

9. В разделе Расписание выберите, как быстро нужно обрабатывать запросы:

   • Как можно скорее
   • Однократно
     • В разделе Создать расписание выберите частоту, дату, время и длительность, а затем выберите Расписание.
   • Ежедневно
   • Еженедельно;
   • ежемесячно

10. Выберите Отправить.

    Появится следующее сообщение: Your Request Has Been Successfully Submitted (Запрос успешно отправлен).

    Отправленный запрос появится в списке Ожидающие запросы.

Ниже приведены ограничения времени для каждого типа частоты при создании запроса.

Тип частоты	Ограничение времени (в часах)
Как можно скорее	24
Однократно	2160
Ежедневно	23
Неделя	23
Месяц	672

Утверждение или отклонение запроса разрешений

1. На домашней странице Управления разрешениями выберите вкладку Исправление, а затем перейдите во вложенную вкладку Мои запросы.

2. Чтобы посмотреть список запросов, которые еще не были рассмотрены, выберите Ожидающие запросы.

3. В списке Сводка запроса выберите меню с многоточием (...) справа от запроса, а затем выберите:

   • Сведения, чтобы посмотреть сведения о запросе.
   • Утвердить, чтобы утвердить запрос.
   • Отклонить, чтобы отклонить запрос.

4. При необходимости добавьте заметку для запрашивающего, а затем нажмите кнопку Подтвердить.

   Вложенная вкладка Утвержденные содержит список запросов, которые утверждающий проверил и утвердил. Эти запросы либо уже были активированы, либо находятся в процессе активации. Вложенная вкладка Обработанные содержит сводку запросов, которые были утверждены, отклонены или отменены.

Следующие шаги

• Сведения о том, как присоединить и отсоединить разрешения для удостоверений Amazon Web Services (AWS), см. в статье Присоединение и отсоединение политик для удостоверений AWS.
• Сведения о том, как добавлять и удалять роли и задачи для удостоверений Microsoft Azure и Google Cloud Platform (GCP), см. в статье Добавление и удаление ролей и задач для удостоверений Azure и GCP.
• Сведения о том, как отозвать связанные с высоким риском и неиспользуемые задачи или назначить состояние "только для чтения" для удостоверений Microsoft Azure и Google Cloud Platform (GCP), см. в статье Отозвать связанные с высоким риском и неиспользуемые задачи или назначить состояние "только для чтения" для удостоверений Azure и GCP.