在 Privileged Identity Management 中批准或拒绝 Azure 资源角色的请求

利用 Microsoft Entra Privileged Identity Management (PIM),你可以将角色配置为需要审批才能激活,并从 Microsoft Entra 组织中选择用户或组作为委托的审批者。 我们建议为每个角色选择两个或更多审批者,以减少特权角色管理员的工作量。 委派的审批者有 24 小时可以审批请求。 如果请求未在 24 小时内获得审批,则符合条件的用户必须重新提交新请求。 24 小时的审批时间范围不可供配置。

按照本文中的步骤,审批或拒绝 Azure 资源角色的请求。

查看待处理请求

有 Azure 资源角色请求正在等待审批时,委派的审批者将收到电子邮件通知。 可以在 Privileged Identity Management 中查看这些挂起的请求。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“批准请求”。

    Approve requests - Azure resources page showing request to review

    在“请求激活角色”部分,将会看到等待审批的请求列表。

审批请求

  1. 找到并选择要审批的请求。 此时将显示“批准或拒绝”页。
  2. 在“理由”框中,输入业务理由。
  3. 选择“批准”。 你将收到 Azure 批准通知。

使用 Microsoft ARM API 审批待处理的请求

注意

Microsoft ARM API 目前不支持批准延期和续订请求

获取需要审批的步骤的 ID

若要获取有关角色分配审批的任何阶段的详细信息,可以使用角色分配审批步骤 - 按 ID 获取 REST API。

HTTP 请求

GET https://management.chinacloudapi.cn/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview

审批激活请求步骤

HTTP 请求

PATCH 
PATCH https://management.chinacloudapi.cn/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

HTTP 响应

成功的 PATCH 调用会生成空响应。

有关详细信息,请参阅使用角色分配审批通过 REST API 批准 PIM 角色激活请求

拒绝请求

  1. 找到并选择要审批的请求。 此时将显示“批准或拒绝”页。
  2. 在“理由”框中,输入业务理由。
  3. 选择“拒绝”。 拒绝后会出现一个通知。

工作流通知

下面是一些有关工作流通知的信息:

  • 当某个角色的请求等待审阅时,审批者将收到电子邮件通知。 电子邮件通知包含请求的直接链接,审批者可通过此链接批准或拒绝请求。
  • 请求由第一个批准或拒绝的审批者来解析。
  • 当审批者响应请求时,会通知所有审批者该操作。
  • 获批准的用户激活其角色后,资源管理员会收到通知。

注意

如果资源管理员认为获批准的用户不应被激活,则可在 Privileged Identity Management 中删除已激活的角色分配。 尽管资源管理员不会收到待处理请求的通知(除非他们是审批者),但他们可通过在 Privileged Identity Management 中查看待处理请求,来查看和取消所有用户的待处理请求。

后续步骤