在 Privileged Identity Management 中核准或拒絕 Azure 資源角色的要求

Microsoft Entra Privileged Identity Management (PIM) 可讓您設定角色,讓他們需要核准啟用,並從您的 Microsoft Entra 組織選擇使用者或群組作為委派的核准者。 我們建議為每個角色選取兩個或多個核准者,以減少特殊許可權角色管理員的工作負載。 委派的核准者有 24 小時可核准要求。 如果要求未在 24 小時內核准,則符合資格的使用者必須重新提交新的要求。 無法設定 24 小時核准時間範圍。

請遵循本文中的步驟,核准或拒絕 Azure 資源角色的要求。

檢視擱置的要求

身為委派的核准者,您會在 Azure 資源角色要求擱置核准時收到電子郵件通知。 您可以在 Privileged Identity Management 中檢視這些擱置的要求。

  1. 以至少具 特殊許可權的角色管理員 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [ 身分識別治理 > 特殊許可權身分識別管理 > 核准要求]。

    Approve requests - Azure resources page showing request to review

    在 [ 要求角色啟用 ] 區段中,您會看到擱置核准的要求清單。

核准要求

  1. 尋找並選取您想要核准的要求。 核准或拒絕頁面隨即出現。
  2. 在 [ 理由] 方塊 中,輸入業務理由。
  3. 選取核准。 您會收到核准的 Azure 通知。

使用 Microsoft ARM API 核准擱置的要求

注意

Microsoft ARM API 目前不支援延伸 和續約 要求的核准

取得需要核准之步驟的識別碼

若要取得角色指派核准的任何階段詳細資料,您可以使用 角色指派核准步驟 - 依識別碼 取得 REST API。

HTTP 要求

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview

核准啟用要求步驟

HTTP 要求

PATCH 
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

HTTP 回應

成功的 PATCH 呼叫會產生空的回應。

如需詳細資訊,請參閱 使用角色指派核准使用 REST API 核准 PIM 角色啟用要求

拒絕要求

  1. 尋找並選取您想要核准的要求。 核准或拒絕頁面隨即出現。
  2. 在 [ 理由] 方塊 中,輸入業務理由。
  3. 選取 [ 拒絕 ]。 您的拒絕即會出現通知。

工作流程通知

以下是有關工作流程通知的一些資訊:

  • 當對角色的要求等待核准時,將透過電子郵件通知核准者。 電子郵件通知包括要求的直接連結,核准者可以在其中核准或拒絕。
  • 要求由核准或拒絕的第一個核准者解决。
  • 當核准這回應要求時,將通知所有核准者該動作。
  • 資源管理員會在核准的使用者在其角色中成為作用中時收到通知。

注意

資源管理員,認為核准的使用者不應該處於作用中狀態,可以在 Privileged Identity Management 中移除作用中角色指派。 雖然資源管理員不會收到擱置要求通知,除非他們是核准者,但他們可以在 Privileged Identity Management 中檢視擱置要求,以檢視和取消所有使用者的擱置要求。

下一步