你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

批准特权访问组成员和所有者的激活请求(预览)

利用 Azure Active Directory (Azure AD) 中的 Privileged Identity Management (PIM),可以将特权访问组成员和所有者配置为需要审批才能激活,并从 Azure AD 组织中选择用户或组作为委托的审批者。 我们建议为每个组选择两个或更多审批者,以减少特权角色管理员的工作量。 委派的审批者有 24 小时可以审批请求。 如果请求未在 24 小时内获得审批,则符合条件的用户必须重新提交新请求。 24 小时的审批时间范围不可供配置。

按照本文中的步骤,审批或拒绝 Azure 资源角色的请求。

查看待处理请求

有 Azure 资源角色请求正在等待审批时,委派的审批者将收到电子邮件通知。 可以在 Privileged Identity Management 中查看挂起的请求。

  1. 登录到 Azure 门户

  2. 打开“Azure AD Privileged Identity Management”。

  3. 选择“审批请求”。

    Approve requests - Azure resources page showing request to review

    在“请求激活角色”部分,将看到等待审批的请求列表

审批请求

  1. 找到并选择要审批的请求,然后选择“批准”。

    Screenshot that shows the

  2. 在“理由”框中,输入业务理由。

  3. 选择“确认”。 批准将生成 Azure 通知。

拒绝请求

  1. 找到并选择要拒绝的请求,然后选择“拒绝”。

    Approve requests - approve or deny pane with details and Justification box

  2. 在“理由”框中,输入业务理由。

  3. 选择“确认”。 拒绝将生成 Azure 通知。

工作流通知

下面是一些有关工作流通知的信息:

  • 当组分配的请求等待审批者审阅时,审批者将收到电子邮件通知。 电子邮件通知包含请求的直接链接,审批者可通过此链接批准或拒绝请求。
  • 请求由第一个批准或拒绝的审批者来解析。
  • 当审批者响应请求时,会通知所有审批者该操作。

注意

如果管理员认为获批准的用户不应被激活,则可在 Privileged Identity Management 中删除已激活的组分配。 尽管资源管理员不会收到待处理请求的通知(除非他们是审批者),但他们可通过在 Privileged Identity Management 中查看待处理请求,来查看和取消所有用户的待处理请求。

后续步骤