在 Privileged Identity Management 中核准或拒絕 Azure 資源角色的要求

透過 Azure Active Directory (Azure AD) (屬於 Microsoft Entra) 中的 Privileged Identity Management (PIM),您可以將角色設定為需經核准才能啟用,並從您的 Azure AD 組織選擇使用者或群組作為委派的核准者。 我們建議您為每個角色選取兩個或多個核准者,以降低特殊權限角色系統管理員的工作負載。 委派核准者會有 24 小時的時間來核准要求。 如果未在 24 小時內核准要求,符合資格的使用者就必須重新提交新要求。 24 小時核准時間範圍是不可設定的。

依照本文中的步驟核准或拒絕 Azure 資源角色的要求。

檢視擱置的要求

身為委派核准者,當有 Azure 資源角色要求正等待您的核准時,您會收到電子郵件通知。 您可以在 Privileged Identity Management 中檢視這些擱置的要求。

  1. 登入 Azure 入口網站

  2. 開啟 [Azure AD Privileged Identity Management]。

  3. 選取 [核准要求]。

    Approve requests - Azure resources page showing request to review

    在 [要求啟用角色] 區段中,您會看見正等待您核准的要求清單。

核准要求

  1. 尋找並選取您要核准的要求。 核准或拒絕頁面隨即出現。

    Approve requests - approve or deny pane with details and Justification box

  2. 在 [理由] 方塊中,輸入業務理由。

  3. 選取 [核准] 。 您將會收到 Azure 的核准通知。

    Approve notification showing request was approved

拒絕要求

  1. 尋找並選取您要拒絕的要求。 核准或拒絕頁面隨即出現。

    Approve requests - approve or deny pane with details and Justification box

  2. 在 [理由] 方塊中,輸入業務理由。

  3. 選取 [拒絕]。 表示您拒絕的通知隨即顯示。

工作流程通知

以下是一些工作流程通知相關資訊:

  • 當某個要求待審核時,核准者會收到電子郵件通知。 電子郵件通知包含可供核准者核准或拒絕要求的直接連結。
  • 要求是由核准或拒絕的第一位核准者解決。
  • 當核准者回應要求時,所有核准者都會得知該動作。
  • 已核准的使用者變成有效角色時,資源管理員會收到通知。

注意

如果資源管理員認為已核准的使用者不應啟用,可以在 Privileged Identity Management 中移除作用中的角色指派。 雖然資源管理員必須是核准者才會收到待核准要求的通知,但他們可以透過檢視 Privileged Identity Management 中的待核准要求,來檢視和取消所有使用者的待核准要求。

後續步驟