在 Privileged Identity Management 中批准或拒绝 Azure 资源角色的请求

利用 Microsoft Entra Privileged Identity Management (PIM)，你可以将角色配置为需要审批才能激活，并从 Microsoft Entra 组织中选择用户或组作为委托的审批者。 我们建议为每个角色选择两个或更多审批者，以减少特权角色管理员的工作量。 委派的审批者有 24 小时可以审批请求。 如果请求未在 24 小时内获得审批，则符合条件的用户必须重新提交新请求。 24 小时的审批时间范围不可供配置。

按照本文中的步骤，审批或拒绝 Azure 资源角色的请求。

查看待处理请求

有 Azure 资源角色请求正在等待审批时，委派的审批者将收到电子邮件通知。 可以在 Privileged Identity Management 中查看这些挂起的请求。

1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识治理”>“Privileged Identity Management”>“批准请求”。

   

   在“请求激活角色”部分，将会看到等待审批的请求列表。

审批请求

1. 找到并选择要审批的请求。 此时将显示“批准或拒绝”页。
2. 在“理由”框中，输入业务理由。
3. 选择“批准”。 你将收到 Azure 批准通知。

使用 Microsoft ARM API 审批待处理的请求

注意

Microsoft ARM API 目前不支持批准延期和续订请求

获取需要审批的步骤的 ID

若要获取有关角色分配审批的任何阶段的详细信息，可以使用角色分配审批步骤 - 按 ID 获取 REST API。

HTTP 请求

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview

审批激活请求步骤

HTTP 请求

PATCH 
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

HTTP 响应

成功的 PATCH 调用会生成空响应。

有关详细信息，请参阅使用角色分配审批通过 REST API 批准 PIM 角色激活请求

拒绝请求

1. 找到并选择要审批的请求。 此时将显示“批准或拒绝”页。
2. 在“理由”框中，输入业务理由。
3. 选择“拒绝”。 拒绝后会出现一个通知。

工作流通知

下面是一些有关工作流通知的信息：

• 当某个角色的请求等待审阅时，审批者将收到电子邮件通知。 电子邮件通知包含请求的直接链接，审批者可通过此链接批准或拒绝请求。
• 请求由第一个批准或拒绝的审批者来解析。
• 当审批者响应请求时，会通知所有审批者该操作。
• 获批准的用户激活其角色后，资源管理员会收到通知。

注意

如果资源管理员认为获批准的用户不应被激活，则可在 Privileged Identity Management 中删除已激活的角色分配。 尽管资源管理员不会收到待处理请求的通知（除非他们是审批者），但他们可通过在 Privileged Identity Management 中查看待处理请求，来查看和取消所有用户的待处理请求。

后续步骤

• Privileged Identity Management 中的电子邮件通知
• 在 Privileged Identity Management 中批准或拒绝 Microsoft Entra 角色的请求