Поделиться через

Утверждение запросов активации для участников группы и владельцев

  • Статья

С помощью управление привилегированными пользователями (PIM) и идентификатора Microsoft Entra можно настроить активацию членства в группе и владения, чтобы требовать утверждения. Вы также можете выбрать пользователей или группы из организации Microsoft Entra в качестве делегированных утверждающих.

Рекомендуется выбрать два или более утверждающих для каждой группы. Делегированные утверждающие лица имеют 24 часа на утверждение запросов. Если запрос не утвержден в течение 24 часов, пользователь должен повторно отправить новый запрос. Период времени утверждения 24 часа не настраивается.

Выполните действия, описанные в этой статье, чтобы утвердить или запретить запросы на членство в группах или владение.

Просмотр ожидающих запросов

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Как делегированный утверждающий вы получаете уведомление по электронной почте, когда запрос роли ресурса Azure ожидает утверждения. Вы можете просмотреть ожидающие запросы в управление привилегированными пользователями.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> Approve requests>Groups.

  3. В разделе "Запросы активации ролей" отображается список запросов, ожидающих утверждения.

    Снимок экрана: запросы на активацию ролей.

Утверждение запросов

  1. Найдите и выберите запрос, который вы хотите утвердить, и выберите Утвердить.

  2. В поле Обоснование введите коммерческое обоснование.

  3. Выберите Подтвердить. Ваше утверждение создает уведомление Azure.

    Снимок экрана, на котором показано, как выглядит уведомление Azure, созданное утверждением.

Отклонение запросов

  1. Найдите и выберите запрос, который вы хотите отклонить, и выберите Отклонить.

  2. В поле Обоснование введите коммерческое обоснование.

  3. Выберите Подтвердить. Отказ создает уведомление Azure.

Уведомления о рабочем процессе

Ниже приведена информация об уведомлениях рабочего процесса.

  • Утверждающие получают уведомления по электронной почте, когда ожидается проверка запроса на назначение группы. Уведомления по электронной почте содержат прямую ссылку на запрос, где утверждающий может одобрить или отклонить его.
  • Запросы разрешаются первым утверждающим, который утверждает или отклоняет.
  • Когда утверждающий отвечает на запрос, все утверждающие уведомляются об этом действии.

Примечание.

Администратор, который считает, что утвержденный пользователь не должен быть активным, может удалить активное назначение группы в управление привилегированными пользователями. Администраторы ресурсов не уведомляются о ожидающих запросах, если они не являются утверждающей. Но они могут просматривать и отменять ожидающие запросы для всех пользователей, просматривая ожидающие запросы в управление привилегированными пользователями.

Устранение неполадок

Ниже приведен совет по устранению неполадок.

Разрешения не предоставляются после активации роли

Когда вы активируете роль в Azure AD Privileged Identity Management, активация может не сразу распространиться на все порталы, где требуется привилегированная роль. Иногда, даже если изменение распространяется, веб-кэширование на портале может привести к тому, что изменение не вменяется немедленно.

Если активация отложена:

  1. Выйдите из Центра администрирования Microsoft Entra, а затем войдите в систему.
  2. В управление привилегированными пользователями убедитесь, что вы указаны в качестве члена роли.

Следующие шаги

Настройка параметров PIM для групп