核准群組成員和擁有者的啟用要求

  • 文章

使用 Privileged Identity Management (PIM) 和 Microsoft Entra ID,您可以設定群組成員資格和擁有權的啟用,以要求核准。 您也可以從 Microsoft Entra 組織選擇使用者或群組作為委派核准者。

建議您為每個群組選取兩個或多個核准者。 委派的核准者有24小時可核准要求。 如果在24小時內未核准要求,合格用戶必須重新提交新的要求。 無法設定24小時的核准時間範圍。

請遵循本文中的步驟,核准或拒絕群組成員資格或擁有權的要求。

檢視擱置的要求

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

身為委派的核准者,您會在 Azure 資源角色要求擱置核准時收到電子郵件通知。 您可以在 Privileged Identity Management 中檢視擱置的要求。

  1. 以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別治理>特殊許可權身分識別管理>核准要求>群組]。

  3. 在 [ 要求角色啟用 ] 區段中,您會看到擱置核准的要求清單。

    Screenshot that shows requests for role activations.

核准要求

  1. 尋找並選取您想要核准的要求,然後選取 [ 核准]。

  2. 在 [ 理由] 方塊 中,輸入業務理由。

  3. 選取確認。 您的核准會產生 Azure 通知。

    Screenshot that shows what an Azure notification generated by your approval looks like.

拒絕要求

  1. 尋找並選取您想要拒絕的要求,然後選取 [ 拒絕]。

  2. 在 [ 理由] 方塊 中,輸入業務理由。

  3. 選取確認。 您的拒絕會產生 Azure 通知。

工作流程通知

以下是有關工作流程通知的一些資訊:

  • 核准者在群組指派要求擱置檢閱時,會透過電子郵件接收通知。 電子郵件通知包括要求的直接連結,核准者可以在其中核准或拒絕。
  • 要求由核准或拒絕的第一個核准者解决。
  • 當核准這回應要求時,將通知所有核准者該動作。

注意

認為核准的使用者不應該作用中的系統管理員,可以在 Privileged Identity Management 中移除作用中的群組指派。 除非資源管理員是核准者,否則不會收到擱置要求通知。 但是,他們可以檢視和取消所有使用者的擱置要求,方法是在 Privileged Identity Management 中檢視擱置的要求。

疑難排解

以下是疑難解答提示。

啟用角色之後不會授與許可權

當您在 Privileged Identity Management 中啟動角色時,啟用可能不會立即傳播到需要特殊許可權角色的所有入口網站。 有時候,即使傳播變更,入口網站中的 Web 快取可能會導致變更不會立即生效。

如果您的啟用延遲:

  1. 註銷 Microsoft Entra 系統管理中心,然後重新登入。
  2. 在 Privileged Identity Management 中,確認您已列為角色的成員。

下一步

設定群組設定的 PIM