核准群組成員和擁有者的啟用要求
使用 Privileged Identity Management (PIM) 和 Microsoft Entra ID,您可以設定啟用群組成員資格和擁有權,以要求核准。 您也可以從 Microsoft Entra 組織選擇使用者或群組作為委派核准者。
建議您為每個群組選取兩個以上核准者。 委派核准者會有 24 小時的時間來核准要求。 如果未在 24 小時內核准要求,符合資格的使用者就必須重新提交新要求。 24 小時核准時間範圍無法進行設定。
請遵循本文中的步驟,核准或拒絕群組成員資格或擁有權的要求。
檢視擱置的要求
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
身為委派核准者,若 Azure 資源角色要求正等待您的核准,您會收到電子郵件通知。 您可以在 Privileged Identity Management 中檢視擱置的要求。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理] > [Privileged Identity Management] > [核准要求] > [群組]。
在 [要求啟用角色] 區段中,您會看見正等待您核准的要求清單。
核准要求
尋找並選取您想要核准的要求,然後選取 [核准]。
在 [理由] 方塊中,輸入業務理由。
選取確認。 您的核准會產生 Azure 通知。
拒絕要求
尋找並選取您想要拒絕的要求,然後選取 [拒絕]。
在 [理由] 方塊中,輸入業務理由。
選取確認。 您的拒絕會產生 Azure 通知。
工作流程通知
以下是一些工作流程通知相關資訊:
- 若群組指派的要求正等待檢閱,核准者會收到電子郵件通知。 電子郵件通知包括要求的直接連結,核准者可以在其中核准或拒絕。
- 要求由核准或拒絕的第一個核准者解决。
- 當核准這回應要求時,將通知所有核准者該動作。
注意
如果系統管理員認為已核准的使用者不應處於作用中狀態,則可以在 Privileged Identity Management 中移除有效群組指派。 除非資源管理員是核准者,否則不會收到擱置要求通知。 但是,他們可以檢視和取消所有使用者的擱置要求,方法是在 Privileged Identity Management 中檢視擱置的要求。
疑難排解
以下是疑難排解秘訣。
啟用角色之後不會授與權限
在 Privileged Identity Management 中啟動角色時,啟動可能不會立即傳播到所有需要該特殊權限角色的入口網站。 有時候,即使該變更已傳遞,入口網站中的 Web 快取也可能導致變更無法立即生效。
若啟用延遲:
- 登出 Microsoft Entra 系統管理中心,然後重新登入。
- 在 Privileged Identity Management 中,確認您已列為角色的成員。