概述
使用Privileged Identity Management(PIM)和Microsoft Entra ID,可以配置组成员身份和所有权的激活,以要求批准。 还可以选择Microsoft Entra组织中的用户或组作为委派审批者。
为每个组选择两个或多个审批者。 委派的审批者有 24 小时可以审批请求。 如果请求未在 24 小时内获得批准,则符合条件的用户必须重新提交新请求。 24 小时的审批时间窗口无法配置。
按照本文中的步骤,审批或拒绝有关组成员资格或所有权的请求。
查看待处理请求
作为委派的审批者,当Azure资源角色请求等待审批时,你会收到电子邮件通知。 您可以在特权身份管理中查看挂起的请求。
以已设置为审批者的用户身份登录到 Microsoft Entra admin center。
浏览到 ID Governance>特权身份管理>审批请求>组。
在 “角色激活请求 ”部分中,会看到等待审批的请求列表。
批准请求
注意事项
审批者无法批准他们自己的角色激活请求。 此外,不允许服务主体批准请求。
找到并选择要审批的请求,然后选择“批准”。
在“理由”框中,输入业务理由。
选择“确认”。 审批将生成Azure通知。
拒绝请求
找到并选择要拒绝的请求,然后选择“拒绝”。
在“理由”框中,输入业务理由。
选择“确认”。 拒绝会生成Azure通知。
工作流通知
下面是一些有关工作流通知的信息:
- 当组分配的请求等待审批者审阅时,审批者将收到电子邮件通知。 电子邮件通知包含请求的直接链接,审批者可通过此链接批准或拒绝请求。
- 请求由第一个审批者通过批准或拒绝来解决。
- 当审批者响应请求时,会通知所有审批者该操作。
注意事项
认为已批准的用户不应处于活动状态的管理员可以在Privileged Identity Management中删除活动组分配。 除非资源管理员是审批者,否则他们不会收到待处理请求的通知。 但是,他们可以通过查看Privileged Identity Management中的挂起请求来查看和取消所有用户的挂起请求。
故障排除
下面是故障排除提示。
激活角色后,不会自动授予权限。
在特权身份管理中激活角色时,激活可能不会立即传播到所有需要该特权角色的门户。 有时,即使更改已传播,门户中的 Web 缓存也可能会导致更改不能立即生效。
如果激活出现延迟:
- 注销Microsoft Entra admin center,然后重新登录。
- 在“特权身份管理”中,验证是否已被列为某角色的成员。