你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

批准特权访问组成员和所有者的激活请求(预览)

利用属于 Microsoft Entra 的 Azure Active Directory (Azure AD) 中的 Privileged Identity Management (PIM),可以将特权访问组成员和所有者配置为需要审批才能激活,并从 Azure AD 组织中选择用户或组作为委托的审批者。 我们建议为每个组选择两个或更多审批者,以减少特权角色管理员的工作量。 委派的审批者有 24 小时可以审批请求。 如果请求未在 24 小时内获得审批,则符合条件的用户必须重新提交新请求。 24 小时的审批时间范围不可供配置。

按照本文中的步骤,审批或拒绝 Azure 资源角色的请求。

查看待处理请求

有 Azure 资源角色请求正在等待审批时,委派的审批者将收到电子邮件通知。 可以在 Privileged Identity Management 中查看挂起的请求。

  1. 登录到 Azure 门户

  2. 打开“Azure AD Privileged Identity Management”。

  3. 选择“审批请求”。

    显示要评审的请求的“审批请求 - Azure 资源”页

    在“请求激活角色”部分,将看到等待审批的请求列表

审批请求

  1. 找到并选择要审批的请求,然后选择“批准”。

    屏幕截图显示“审批请求”页,其中突出显示了“审批”和“确认”按钮。

  2. 在“理由”框中,输入业务理由。

  3. 选择“确认”。 批准将生成 Azure 通知。

拒绝请求

  1. 找到并选择要拒绝的请求,然后选择“拒绝”。

    “审批请求 - 批准或拒绝”窗格,其中包含详细信息和“理由”框

  2. 在“理由”框中,输入业务理由。

  3. 选择“确认”。 拒绝将生成 Azure 通知。

工作流通知

下面是一些有关工作流通知的信息:

  • 当组分配的请求等待审批者审阅时,审批者将收到电子邮件通知。 电子邮件通知包含请求的直接链接,审批者可通过此链接批准或拒绝请求。
  • 请求由第一个批准或拒绝的审批者来解析。
  • 当审批者响应请求时,会通知所有审批者该操作。

注意

如果管理员认为获批准的用户不应被激活,则可在 Privileged Identity Management 中删除已激活的组分配。 尽管资源管理员不会收到待处理请求的通知(除非他们是审批者),但他们可通过在 Privileged Identity Management 中查看待处理请求,来查看和取消所有用户的待处理请求。

故障排除

激活角色后,权限未被授予

在 Privileged Identity Management 中激活角色时,激活可能不会立即传播到需要特权角色的所有门户。 有时,即使更改已传播,门户中的 Web 缓存也可能会导致更改不能立即生效。 如果激活已延迟,应当按照以下步骤操作。

  1. 注销 Azure 门户,然后重新登录。
  2. 在 Privileged Identity Management 中,验证是否已将你列为角色的成员。

后续步骤