创建或批准权限请求
本文介绍如何在 Microsoft Entra 权限管理的“修正”仪表板中创建或批准权限请求。 你可以为 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP) 授权系统创建和批准请求。
“修正”仪表板具有两个按需特权 (POD) 工作流可供你使用:
- 新建请求:用户在指定的持续时间内创建权限请求所使用的工作流。
- 审批者:审批者用来查看和批准或拒绝用户权限请求的工作流。
注意
若要查看“修正”仪表板,必须拥有“查看者”、“控制者”或“管理员”权限。 若要在此选项卡上进行更改,必须拥有“控制者”或“管理员”权限。 如果没有这些权限,请联系系统管理员。
创建权限请求
在权限管理主页上,请选择“修正”选项卡,然后选择“我的请求”子选项卡。
“我的请求”子选项卡显示以下选项:
- 待处理:已提出但尚未审核的请求列表。
- 已批准:审批者已审核并批准的请求列表。 这些请求已被激活或正在激活。
- 已处理:你创建的已批准(完成)、已拒绝和已取消请求的摘要。
若要创建权限请求,请选择“新建请求”。
在“角色/任务”页中:
从“授权系统类型”下拉列表中,选择要访问的授权系统类型:AWS、Azure 或 GCP。
从“授权系统”下拉列表中,选择要访问的帐户。
请从“标识”下拉列表中,选择你代表其请求访问的标识。
如果你选择的标识是安全断言标记语言 (SAML) 用户,并且由于 SAML 用户通过承担角色来访问系统,请在“角色”中选择用户的角色。
如果选择的标识是本地用户,请选择所需的策略:
- 选择“请求策略”。
- 在“可用策略”中,选择所需的策略。
- 若要选择特定策略,请选择加号,然后查找并选择所需的策略。
选择的策略将显示在“已选策略”框中。
如果选择的标识是本地用户,请选择所需的任务:
- 选择“请求任务”。
- 在“可用任务”中,选择所需的任务。
- 若要选择特定任务,请选择加号,然后选择所需的任务。
选择的任务将显示在“已选任务”框中。
如果用户已有现有策略,这些策略将显示在“现有策略”中。
选择“下一步”。
如果选择 AWS,则会出现“范围”页面。
- 在“选择范围”中,选择:
- “所有资源”
- “特定资源”,然后选择所需的资源。
- “无资源”
- 在“请求条件”中:
- 选择 JSON 以添加 JSON 代码块。
- 选择“完成”以接受你输入的代码,或选择“清除”以删除你输入的内容并重新开始。
- 在“效果”中,选择“允许”或“拒绝”。
- 选择“下一步”。
- 在“选择范围”中,选择:
此时将显示“确认”页面。
在“请求摘要”中,输入请求的摘要。
可选:在“注释”中,为审批者输入注释。
在“计划”中,选择你希望何时(多快)处理请求:
- “尽快”
- 一次
- 在“创建计划”中,选择“频率”、“日期”、“时间”和“所需持续时间”,然后选择“计划”。
- 每日
- 每周
- 每月
选择“提交”。
将显示以下消息:“你的请求已成功提交。”
你提交的请求现在列在“待处理请求”中。
下面是创建请求时每种频率类型的时间限制。
| 频率类型 | 时间限制(以小时为单位) |
|---|---|
| ASAP | 24 |
| 一次 | 2160 |
| 每日 | 23 |
| 每周 | 23 |
| 每月 | 672 |
批准或拒绝权限请求
在权限管理主页上,请选择“修正”选项卡,然后选择“我的请求”子选项卡。
若要查看尚未审核的请求列表,请选择“待处理请求”。
在“请求摘要”列表中,选择请求右侧的省略号 (…) 菜单,然后选择:
- “详细信息”,以查看请求的详细信息。
- “批准”,以批准请求。
- “拒绝”,以拒绝请求。
(可选)向请求者添加注释,然后选择“确认”。
“已批准”子选项卡显示审批者已审核并批准的请求列表。 这些请求已被激活或正在激活。 “已处理”子选项卡显示已批准或拒绝以及已取消请求的摘要。
后续步骤
- 若要了解如何附加和拆离 Amazon Web Services (AWS) 标识的权限,请参阅附加和拆离 AWS 标识的策略。
- 若要了解如何为 Microsoft Azure 和 Google Cloud Platform (GCP) 标识添加和删除角色及任务,请参阅为 Azure 和 GCP 标识添加和删除角色及任务。
- 若要了解如何撤销高风险和未使用的任务,或如何为 Microsoft Azure 和 Google Cloud Platform (GCP) 标识分配只读状态,请参阅撤销高风险和未使用的任务或为 Azure 和 GCP 标识分配只读状态