审批组成员和所有者的激活请求
借助 Privileged Identity Management (PIM) 和 Microsoft Entra ID,可以将组成员资格和所有权配置为需要审批才能激活。 你还可以从 Microsoft Entra 组织中选择用户或组作为委托的审批者。
我们建议为每个组选择两名或更多审批者。 委派的审批者有 24 小时可以审批请求。 如果请求未在 24 小时内获得批准,则符合条件的用户必须重新提交新请求。 24 小时的审批时间范围不可供配置。
按照本文中的步骤,审批或拒绝有关组成员资格或所有权的请求。
查看待处理请求
提示
本文中的步骤可能因开始使用的门户而略有不同。
有 Azure 资源角色请求正在等待审批时,委派的审批者将收到电子邮件通知。 可以在 Privileged Identity Management 中查看挂起的请求。
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“Privileged Identity Management”>“审批请求”>“组”。
在“请求激活角色”部分,将会看到等待审批的请求列表。
审批请求
找到并选择要审批的请求,然后选择“批准”。
在“理由”框中,输入业务理由。
选择“确认”。 审批会生成 Azure 通知。
拒绝请求
找到并选择要拒绝的请求,然后选择“拒绝”。
在“理由”框中,输入业务理由。
选择“确认”。 拒绝也会生成 Azure 通知。
工作流通知
下面是一些有关工作流通知的信息:
- 当组分配的请求等待审批者审阅时,审批者将收到电子邮件通知。 电子邮件通知包含请求的直接链接,审批者可通过此链接批准或拒绝请求。
- 请求由第一个批准或拒绝的审批者来解析。
- 当审批者响应请求时,会通知所有审批者该操作。
注意
如果管理员认为获批准的用户不应被激活,则可在 Privileged Identity Management 中删除已激活的组分配。 除非资源管理员是审批者,否则他们不会收到待处理请求的通知。 但是,他们可以通过在 Privileged Identity Management 中查看待处理请求来查看和取消所有用户的待处理请求。
故障排除
下面是故障排除提示。
激活角色后,未授予权限
在 Privileged Identity Management 中激活角色时,激活操作可能不会立即传播到需要特权角色的所有门户。 有时,即使更改已传播,门户中的 Web 缓存也可能会导致更改不能立即生效。
如果激活出现延迟:
- 退出登录 Microsoft Entra 管理中心,然后重新登录。
- 在 Privileged Identity Management 中,验证是否已将你列为角色的成员。