审批组成员和所有者的激活请求

  • 项目

借助 Privileged Identity Management (PIM) 和 Microsoft Entra ID,可以将组成员资格和所有权配置为需要审批才能激活。 你还可以从 Microsoft Entra 组织中选择用户或组作为委托的审批者。

我们建议为每个组选择两名或更多审批者。 委派的审批者有 24 小时可以审批请求。 如果请求未在 24 小时内获得批准,则符合条件的用户必须重新提交新请求。 24 小时的审批时间范围不可供配置。

按照本文中的步骤,审批或拒绝有关组成员资格或所有权的请求。

查看待处理请求

提示

本文中的步骤可能因开始使用的门户而略有不同。

有 Azure 资源角色请求正在等待审批时,委派的审批者将收到电子邮件通知。 可以在 Privileged Identity Management 中查看挂起的请求。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“审批请求”>“”。

  3. 在“请求激活角色”部分,将会看到等待审批的请求列表。

    Screenshot that shows requests for role activations.

审批请求

  1. 找到并选择要审批的请求,然后选择“批准”。

  2. 在“理由”框中,输入业务理由。

  3. 选择“确认”。 审批会生成 Azure 通知。

    Screenshot that shows what an Azure notification generated by your approval looks like.

拒绝请求

  1. 找到并选择要拒绝的请求,然后选择“拒绝”。

  2. 在“理由”框中,输入业务理由。

  3. 选择“确认”。 拒绝也会生成 Azure 通知。

工作流通知

下面是一些有关工作流通知的信息:

  • 当组分配的请求等待审批者审阅时,审批者将收到电子邮件通知。 电子邮件通知包含请求的直接链接,审批者可通过此链接批准或拒绝请求。
  • 请求由第一个批准或拒绝的审批者来解析。
  • 当审批者响应请求时,会通知所有审批者该操作。

注意

如果管理员认为获批准的用户不应被激活,则可在 Privileged Identity Management 中删除已激活的组分配。 除非资源管理员是审批者,否则他们不会收到待处理请求的通知。 但是,他们可以通过在 Privileged Identity Management 中查看待处理请求来查看和取消所有用户的待处理请求。

故障排除

下面是故障排除提示。

激活角色后,未授予权限

在 Privileged Identity Management 中激活角色时,激活操作可能不会立即传播到需要特权角色的所有门户。 有时,即使更改已传播,门户中的 Web 缓存也可能会导致更改不能立即生效。

如果激活出现延迟:

  1. 退出登录 Microsoft Entra 管理中心,然后重新登录。
  2. 在 Privileged Identity Management 中,验证是否已将你列为角色的成员。

后续步骤

配置 PIM 的组设置