Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
使用Privileged Identity Management(PIM)和Microsoft Entra ID,可以配置组成员身份和所有权的激活,以要求批准。 还可以选择Microsoft Entra组织中的用户或组作为委派审批者。
我们建议为每个组选择两名或更多审批者。 委派的审批者有 24 小时可以审批请求。 如果请求未在 24 小时内获得批准,则符合条件的用户必须重新提交新请求。 24 小时的审批时间窗口无法配置。
按照本文中的步骤,审批或拒绝有关组成员资格或所有权的请求。
查看待处理请求
作为委派的审批者,当Azure资源角色请求等待审批时,你会收到电子邮件通知。 可以在 Privileged Identity Management 中查看挂起的请求。
以已设置为审批者的用户身份登录到 Microsoft Entra 管理中心。
浏览到 ID Governance>Privileged Identity Management>批准请求>组。
在 “角色激活请求 ”部分中,会看到等待审批的请求列表。
批准请求
注意事项
审批者无法批准自己的角色激活请求。 此外,不允许服务主体批准请求。
找到并选择要审批的请求,然后选择“批准”。
在“理由”框中,输入业务理由。
选择“确认”。 审批将生成Azure通知。
拒绝请求
找到并选择要拒绝的请求,然后选择“拒绝”。
在“理由”框中,输入业务理由。
选择“确认”。 拒绝会生成Azure通知。
工作流通知
下面是一些有关工作流通知的信息:
- 当组分配的请求等待审批者审阅时,审批者将收到电子邮件通知。 电子邮件通知包含请求的直接链接,审批者可通过此链接批准或拒绝请求。
- 请求由第一个审批者通过批准或拒绝来解决。
- 当审批者响应请求时,会通知所有审批者该操作。
注意事项
认为已批准的用户不应处于活动状态的管理员可以在Privileged Identity Management中删除活动组分配。 除非资源管理员是审批者,否则他们不会收到待处理请求的通知。 但是,他们可以通过查看Privileged Identity Management中的挂起请求来查看和取消所有用户的挂起请求。
故障排除
下面是故障排除提示。
激活角色后,不会自动授予权限。
在特权身份管理中激活角色时,激活结果可能不会立即传播到所有需要该特权角色的门户。 有时,即使更改已传播,门户中的 Web 缓存也可能会导致更改不能立即生效。
如果激活出现延迟:
- 注销Microsoft Entra管理中心,然后重新登录。
- 在特权身份管理中,验证您是否被列为角色成员。