概觀
使用 Privileged Identity Management (PIM) 和 Microsoft Entra ID,您可以設定啟用群組成員資格和擁有權,以要求核准。 您也可以從 Microsoft Entra 組織選擇使用者或群組作為委派核准者。
每個組別選擇兩位或以上的審核員。 委派核准者會有 24 小時的時間來核准要求。 如果未在 24 小時內核准要求,符合資格的使用者就必須重新提交新要求。 24 小時核准時間範圍無法進行設定。
請遵循本文中的步驟,核准或拒絕群組成員資格或擁有權的要求。
檢視擱置的要求
身為委派核准者,若 Azure 資源角色要求正等待您的核准,您會收到電子郵件通知。 您可以在 Privileged Identity Management 中檢視擱置的要求。
以已設定為審核者的使用者身份登入 Microsoft Entra 管理中心 。
流覽至 身分識別治理>特權身份管理>核准要求>群組。
在 [要求啟用角色] 區段中,您會看見正等待您核准的要求清單。
核准要求
備註
審核者無法批准自己提出的角色啟用請求。 此外,服務負責人也不能批准申請。
尋找並選取您想要核准的要求,然後選取 [核准]。
在 [理由] 方塊中,輸入業務理由。
選取確認。 您的核准會產生 Azure 通知。
拒絕要求
尋找並選取您想要拒絕的要求,然後選取 [拒絕]。
在 [理由] 方塊中,輸入業務理由。
選取確認。 您的拒絕會產生 Azure 通知。
工作流程通知
以下是一些工作流程通知相關資訊:
- 若群組指派的要求正在等待審核,核准者會收到電子郵件通知。 電子郵件通知包括要求的直接連結,核准者可以在其中核准或拒絕。
- 要求由第一位核准或拒絕請求的核准者進行解決。
- 當審核者回應請求時,將通知所有審核者該回應的動作。
備註
如果系統管理員認為已核准的使用者不應處於作用中狀態,則可以在 Privileged Identity Management 中移除有效群組指派。 除非資源管理員是核准者,否則不會收到擱置要求通知。 但是,他們可以檢視和取消所有使用者的擱置要求,方法是在 Privileged Identity Management 中檢視擱置的要求。
疑難排解
以下是疑難排解秘訣。
啟用角色之後不會授與權限
在 Privileged Identity Management 中啟動角色時,啟動可能不會立即傳播到所有需要該特殊權限角色的入口網站。 有時候,即使該變更已傳遞,入口網站中的 Web 快取也可能導致變更無法立即生效。
若啟用延遲:
- 登出 Microsoft Entra 系統管理中心,然後重新登入。
- 在特權身分管理中,請確認您已被列為角色的成員。