Godkänna eller neka begäranden för Azure-resursroller i Privileged Identity Management

  • Artikel

Med Microsoft Entra Privileged Identity Management (PIM) kan du konfigurera roller så att de kräver godkännande för aktivering och välja användare eller grupper från din Microsoft Entra-organisation som delegerade godkännare. Vi rekommenderar att du väljer två eller flera godkännare för varje roll för att minska arbetsbelastningen för den privilegierade rolladministratören. Delegerade godkännare har 24 timmar på sig att godkänna begäranden. Om en begäran inte godkänns inom 24 timmar måste den berättigade användaren skicka en ny begäran igen. Tidsperioden för 24-timmars godkännande kan inte konfigureras.

Följ stegen i den här artikeln för att godkänna eller neka begäranden för Azure-resursroller.

Visa väntande begäranden

Som delegerad godkännare får du ett e-postmeddelande när en Azure-resursrollbegäran väntar på ditt godkännande. Du kan visa dessa väntande begäranden i Privileged Identity Management.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Begäranden om godkännande av privilegierad identitetshantering>för identitetsstyrning.>

    Skärmbild av sidan Godkänn begäranden – Azure-resurser som visar begäran om granskning.

    I avsnittet Begäranden om rollaktivering visas en lista över begäranden som väntar på ditt godkännande.

Godkänn förfrågningar

  1. Leta upp och välj den begäran som du vill godkänna. Sidan Godkänn eller neka visas.
  2. I rutan Motivering anger du affärsmotiven.
  3. Välj godkänn. Du får ett Azure-meddelande om ditt godkännande.

Godkänna väntande begäranden med Hjälp av Microsoft ARM API

Kommentar

Godkännande för att utöka och förnya begäranden stöds för närvarande inte av Microsoft ARM API

Hämta ID:er för de steg som kräver godkännande

Om du vill få information om alla steg i ett godkännande av rolltilldelning kan du använda steget för godkännande av rolltilldelning – Hämta efter ID REST API.

HTTP-begäran

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview

Godkänn steget för aktiveringsbegäran

HTTP-begäran

PATCH 
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
}

HTTP-svar

Lyckade PATCH-anrop genererar ett tomt svar.

Mer information finns i Använda rolltilldelning Godkännanden för att godkänna PIM-rollaktiveringsbegäranden med REST API

Neka begäranden

  1. Leta upp och välj den begäran som du vill godkänna. Sidan Godkänn eller neka visas.
  2. I rutan Motivering anger du affärsmotiven.
  3. Välj Neka. Ett meddelande visas med ditt nekande.

Arbetsflödesaviseringar

Här är lite information om arbetsflödesaviseringar:

  • Godkännare meddelas via e-post när en begäran om en roll väntar på granskning. E-postmeddelanden innehåller en direktlänk till begäran, där godkännaren kan godkänna eller neka.
  • Begäranden löses av den första godkännaren som godkänner eller nekar.
  • När en godkännare svarar på begäran meddelas alla godkännare om åtgärden.
  • Resursadministratörer meddelas när en godkänd användare blir aktiv i sin roll.

Kommentar

En resursadministratör som anser att en godkänd användare inte ska vara aktiv kan ta bort den aktiva rolltilldelningen i Privileged Identity Management. Även om resursadministratörer inte meddelas om väntande begäranden om de inte är godkännare kan de visa och avbryta väntande begäranden för alla användare genom att visa väntande begäranden i Privileged Identity Management.

Nästa steg