概述
Microsoft Entra Privileged Identity Management(PIM)使你能够配置角色,以便这些角色需要审批才能激活,并从Microsoft Entra组织选择用户或组作为委派审批人。 为每个角色选择两个或多个审批者,以减少特权角色管理员的工作负荷。 委派的审批者有 24 小时可以审批请求。 如果请求未在 24 小时内获得批准,则符合条件的用户必须重新提交新请求。 24 小时的审批时间窗口无法配置。
按照本文中的步骤批准或拒绝Azure资源角色的请求。
查看待处理请求
作为委派的审批者,当Azure资源角色请求等待审批时,你会收到电子邮件通知。 可以在特权身份管理 中查看这些待处理的请求。
以特权角色管理员身份登录到Microsoft Entra 管理中心。
浏览到 ID Governance>特权身份管理>批准请求。
在“请求激活角色”部分,将会看到等待审批的请求列表。
审批请求
- 找到并选择要审批的请求。 此时将显示“批准或拒绝”页。
- 在“理由”框中,输入业务理由。
- 选择“批准”。 你会收到一条来自Azure关于许可的通知。
使用 Azure 资源管理器 API 批准挂起的请求
注意
Microsoft ARM API 目前不支持审批 extend 和续订请求。
获取需要审批的步骤的 ID
若要获取有关角色分配审批的任何阶段的详细信息,可以使用角色分配审批步骤 - 按 ID 获取 REST API。
HTTP 请求
GET https://management.chinacloudapi.cn/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
审批激活请求步骤
若要批准激活请求步骤,请进行以下 API 调用。
HTTP 请求
PATCH https://management.chinacloudapi.cn/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP 响应
成功的 PATCH 调用会生成空响应。
有关详细信息,请参阅 使用角色分配审批通过 REST API 批准 PIM 角色激活请求。
拒绝请求
- 找到并选择要拒绝的请求。 此时将显示“批准或拒绝”页。
- 在“理由”框中,输入业务理由。
- 选择“拒绝”。 拒绝后会出现一个通知。
工作流通知
下面是一些有关工作流通知的信息:
- 当角色请求等待审批时,审批人将收到电子邮件通知。 电子邮件通知包含请求的直接链接,审批者可通过此链接批准或拒绝请求。
- 请求由第一个批准或拒绝的审批者来处理。
- 当审批者响应请求时,会通知所有审批者该操作。
- 获批准的用户激活其角色后,资源管理员会收到通知。
注意
认为已批准用户不应处于活动状态的资源管理员可以删除Privileged Identity Management中的活动角色分配。 尽管资源管理员不会收到挂起请求的通知,除非他们是审批者,但他们可以通过在 Privileged Identity Management 中查看挂起的请求来查看和取消所有用户的挂起请求。
后续步骤
- Privileged Identity Management 中的电子邮件通知
审批或拒绝Microsoft Entra中Privileged Identity Management角色的请求