Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
利用 Microsoft Entra Privileged Identity Management (PIM),你可以将角色配置为需要审批才能激活,并从 Microsoft Entra 组织中选择用户或组作为委托的审批者。 为每个角色选择两个或多个审批者,以减少特权角色管理员的工作负荷。 委派的审批者有 24 小时可以审批请求。 如果请求未在 24 小时内获得批准,则符合条件的用户必须重新提交新请求。 24 小时的审批时间窗口无法配置。
按照本文中的步骤,审批或拒绝 Azure 资源角色的请求。
查看待处理请求
有 Azure 资源角色请求正在等待审批时,委派的审批者将收到电子邮件通知。 可以在 Privileged Identity Management 中查看这些待处理的请求。
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>批准请求。
在“请求激活角色”部分,将会看到等待审批的请求列表。
审批请求
- 找到并选择要审批的请求。 此时将显示“批准或拒绝”页。
- 在“理由”框中,输入业务理由。
- 选择“批准”。 你将收到 Azure 批准通知。
使用 Azure 资源管理器 API 批准待处理的请求
注意
Microsoft ARM API 目前不支持批准 扩展和续订 请求。
获取需要审批的步骤的 ID
若要获取有关角色分配审批的任何阶段的详细信息,可以使用角色分配审批步骤 - 按 ID 获取 REST API。
HTTP 请求
GET https://management.chinacloudapi.cn/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
审批激活请求步骤
若要批准激活请求步骤,请进行以下 API 调用。
HTTP 请求
PATCH https://management.chinacloudapi.cn/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP 响应
成功的 PATCH 调用会生成空响应。
有关详细信息,请参阅 使用角色分配审批通过 REST API 批准 PIM 角色激活请求。
拒绝请求
- 找到并选择要拒绝的请求。 此时将显示“批准或拒绝”页。
- 在“理由”框中,输入业务理由。
- 选择“拒绝”。 拒绝后会出现一个通知。
工作流通知
下面是一些有关工作流通知的信息:
- 当角色请求等待审批时,审批人将收到电子邮件通知。 电子邮件通知包含请求的直接链接,审批者可通过此链接批准或拒绝请求。
- 请求由第一个批准或拒绝的审批者来处理。
- 当审批者响应请求时,会通知所有审批者该操作。
- 获批准的用户激活其角色后,资源管理员会收到通知。
注意
认为已批准的用户不应处于活动状态的资源管理员可以删除 Privileged Identity Management 中的活动角色分配。 尽管资源管理员不会收到挂起请求的通知,除非他们是审批者,但他们可以通过在 Privileged Identity Management 中查看挂起的请求来查看和取消所有用户的挂起请求。