Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Entra управление привилегированными пользователями (PIM) позволяет настраивать роли таким образом, чтобы они требовали утверждения для активации, а также выбирать пользователей или группы из организации Microsoft Entra в качестве делегированных утверждающих. Мы рекомендуем выбрать двух или более утверждающих для каждой роли, чтобы уменьшить рабочую нагрузку для администратора привилегированных ролей. Делегированные утверждающие лица имеют 24 часа на утверждение запросов. Если запрос не утвержден в течение 24 часов, пользователь должен повторно отправить новый запрос. Период времени утверждения 24 часа не настраивается.
Выполните действия, описанные в этой статье, чтобы утверждать или отклонять запросы для ролей ресурсов Azure.
Просмотр ожидающих запросов
Как делегированный утверждающий вы получаете уведомление по электронной почте, когда запрос роли ресурса Azure ожидает утверждения. Вы можете просмотреть эти ожидающие запросы в Azure AD Privileged Identity Management.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к Управление идентификаторами>Управление привилегированными удостоверениями>Утверждение запросов.
В разделе "Запросы активации ролей " отображается список запросов, ожидающих утверждения.
Утверждение запросов
- Найдите и выберите запрос, который требуется утвердить. Откроется страница утверждения и отклонения.
- В поле "Обоснование " введите бизнес-обоснование.
- Выберите "Утвердить". Вы получите уведомление Azure об утверждении.
Утверждение ожидающих запросов с помощью API Microsoft Azure Resource Manager
Примечание.
Утверждение запросов на продление и обновление в настоящее время не поддерживается API Microsoft ARM
Получение идентификаторов для шагов, которые требуют утверждения
Чтобы получить сведения о любом этапе утверждения назначения ролей, можно использовать REST API Role Assignment Approval Step - Get By ID.
HTTP-запрос
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
Утвердить этап запроса на активацию
HTTP-запрос
PATCH
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP-ответ
Успешные вызовы PATCH создают пустой ответ.
Дополнительные сведения см. в разделе "Использование утверждений назначения ролей" для утверждения запросов на активацию ролей PIM с помощью REST API
Отклонение запросов
- Найдите и выберите запрос, который требуется утвердить. Откроется страница утверждения и отклонения.
- В поле "Обоснование " введите бизнес-обоснование.
- Выберите "Запретить". Появится уведомление о вашем отказе.
Уведомления о рабочем процессе
Ниже приведена информация об уведомлениях рабочего процесса.
- Утверждающие получают уведомление по электронной почте, когда запрос на роль находится на рассмотрении. Уведомления по электронной почте содержат прямую ссылку на запрос, где утверждающий может одобрить или отклонить его.
- Запросы разрешаются первым утверждающим, который утверждает или отклоняет.
- Когда утверждающий отвечает на запрос, все утверждающие уведомляются об этом действии.
- Администраторы ресурсов получают уведомление, когда роль пользователя, запрос которого утвержден, становится активной.
Примечание.
Если администратор ресурса считает, что не нужно активировать роль для пользователя, запрос которого был утвержден, он может удалить назначение активной роли в PIM. Хотя администраторы ресурсов не уведомляются об ожидающих запросах, если они не являются утверждающими, они могут просматривать и отменять ожидающие запросы для всех пользователей, просматривая ожидающие запросы в управлении привилегированными пользователями.