建立或核准權限要求

本文描述如何在 Microsoft Entra 權限管理的 [補救] 儀表板中建立或核准權限的要求。 您可以建立和核准 Amazon Web Services (AWS)、Microsoft Azure或 Google Cloud Platform (GCP) 授權系統的要求。

補救儀表板有兩個可以使用的隨選權限 (POD) 工作流程：

• 新增要求：使用者用來建立指定期間權限要求的工作流程。
• 核准者：核准者用來檢閱和核准或拒絕使用者權限要求的工作流程。

注意

若要檢視補救儀表板，您必須擁有檢視器、控制器或管理員授權。 若要在此索引標籤上進行變更，您必須擁有控制器或管理員授權。 如果您沒有這些的權限，請連絡您的系統管理員。

建立權限要求

1. 在 [權限管理] 首頁上，選取 [補救] 索引標籤，然後選取 [我的要求] 子索引標籤。

   我的要求子索引標籤會顯示下列選項：

   • 暫止中：您已提出但尚未檢閱的要求清單。
   • 已核准：核准者已檢閱和核准的要求清單。 這些要求已經啟動或正在啟動。
   • 已處理：您建立的要求摘要已核准 (完成)、已拒絕，以及已取消的要求。

2. 若要建立權限的要求，請選取 [新增要求]。

3. 在 [角色/工作] 頁面中：

   1. 從 [授權系統類型] 下拉式清單中，選取您想要存取的授權系統類型：AWS、Azure 或 GCP。

   2. 從 [授權系統] 下拉式清單中，選取您想要存取的帳戶。

   3. 從 [身分識別] 下拉式清單中，選取代表您要求存取權的身分識別。

      • 如果您選取的身分識別是安全性判斷提示標記語言 (SAML) 使用者，而且因為 SAML 使用者透過假設角色存取系統，請在 [角色] 中選取使用者的角色。

      • 如果您選取的身分識別是本機使用者，在選取您想使用的原則時：

        1. 選取 [要求原則]。
        2. 在 [可用的原則] 中，選取您想使用的原則。
        3. 若要選取特定原則，請選取加號，然後尋找並選取您想使用的原則。

        您選取的原則會出現在 [選取的原則] 方塊中。

      • 如果您選取的身分識別是本機使用者，則選取您想使用的工作：

        1. 選取 [要求工作]。
        2. 在 [可用的工作] 中，選取您想使用的工作。
        3. 若要選取特定工作，請選取加號，然後選取您想使用的工作。

        您選取的工作會出現在 [選取的工作] 方塊中。

   如果使用者已經有現有的原則，則會顯示在現有原則中。

4. 選取 [下一步]。

5. 如果您選取 AWS，[範圍] 頁面隨即出現。

   1. 在 [選取範圍] 中，選取：
      • 所有資源
      • 特定資源，然後選取想使用的資源。
      • 沒有任何資源
   2. 在要求條件中：
      1. 選取 [JSON] 以新增 JSON 程式碼區塊。
      2. 選取 [完成] 以接受您輸入的程式碼，或選取 [清除] 以刪除您輸入的程式碼，然後再次啟動。
   3. 在 [效果] 中，選取 [允許] 或 [拒絕]。
   4. 選取 [下一步]。

6. [確認] 頁面隨即出現。

7. 在 [要求摘要] 中，輸入您要求的摘要。

8. 選擇性：在 [注意] 中，輸入核准者的附註。

9. 在 [排程] 中，選取何時 (多快速) 希望處理要求：

   • ASAP
   • 一次
     • 在 [建立排程]中，選取 [頻率]、[日期]、[時間] 然後針對必要持續時間，選取 [排程]。
   • 每日
   • 每週
   • 每月

10. 選取 [提交]。

    下列訊息隨即出現：已成功提交您的要求。

    您提交的要求現在會列在暫止要求中。

以下是建立要求時，每個頻率類型的時間限制。

頻率類型	時間限制 (以小時為單位)
ASAP	24
一次	2160
每日	23
每週	23
每月	672

核准或拒絕權限要求

1. 在 [權限管理] 首頁上，選取 [補救] 索引標籤，然後選取 [我的要求] 子索引標籤。

2. 若要檢視尚未檢閱的要求清單，請選取 [暫止要求]。

3. 在 [要求摘要] 清單中，選取要求右側的省略號 (...) 功能表，然後選取：

   • [詳細資料]，以檢視要求的詳細資料。
   • [核准]，以核准要求。
   • [拒絕]，以拒絕要求。

4. (選擇性) 將附註新增至要求者，然後選取 [確認]。

   已核准子索引標籤顯示核准者已檢閱和核准的要求清單。 這些要求已經啟動或正在啟動。 已處理子索引標籤顯示要求摘要已核准、已拒絕，以及已取消的要求。

下一步

• 如需如何附加和中斷連結 Amazon Web Services (AWS) 身分識別權限的資訊，請參閱附加和中斷連結 AWS 身分識別的原則。
• 如需如何新增和移除 Microsoft Azure 和 Google Cloud Platform (GCP) 身分識別的角色和工作的資訊，請參閱新增和移除 Azure 和 GCP 身分識別的角色和工作。
• 如需如何撤銷高風險和未使用的工作，或為 Azure 和 GCP 身分識別指派唯讀狀態的資訊，請參閱撤銷高風險和未使用的工作，或為 Microsoft Azure 和 Google Cloud Platform (GCP) 身分識別指派唯讀狀態