Compartir a través de


Aprobación o rechazo de solicitudes de roles de recursos de Azure en Privileged Identity Management

Privileged Identity Management (PIM) de Microsoft Entra le permite configurar los roles de forma que requieran aprobación para su activación, así como elegir usuarios o grupos de la organización de Microsoft Entra ID como aprobadores delegados. Se recomienda seleccionar dos o más aprobadores para cada rol a fin de reducir la carga de trabajo para el administrador de roles con privilegios. Los aprobadores delegados tienen 24 horas para aprobar las solicitudes. Si no se aprueba una solicitud en un plazo de 24 horas, el usuario apto debe volver a enviar una nueva solicitud. El período de aprobación de 24 horas no se puede configurar.

Siga los pasos que se describen en este artículo para aprobar o denegar solicitudes para los roles de recursos de Azure.

Ver solicitudes en espera

Como aprobador delegado, recibirá una notificación por correo electrónico cuando una solicitud de rol de recursos de Azure esté pendiente de su aprobación. Puede ver estas solicitudes pendientes en Privileged Identity Management.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Gobierno de identidades>Privileged Identity Management>Aprobación de solicitudes.

    Captura de pantalla de la página Aprobar solicitudes: recursos de Azure que muestra la solicitud de revisión.

    En la sección Solicitudes de activación de roles, verá una lista de solicitudes pendientes de su aprobación.

Aprobar solicitudes

  1. Busque y seleccione la solicitud que desea aprobar. Aparece una página aprobar o denegar.
  2. En el cuadro Justificación, escriba la justificación empresarial.
  3. Seleccione Aprobar. Recibirá una notificación de Azure de su aprobación.

Aprobación de solicitudes pendientes mediante la API de ARM de Microsoft

Nota:

La aprobación de solicitudes de ampliación y renovación no es compatible actualmente con la API de ARM de Microsoft

Obtención de los id. para los pasos que requieren aprobación

Para obtener los detalles de cualquier fase de una aprobación de asignación de roles, puede usar la API de REST Paso de aprobación de asignación de roles: obtener por id..

Solicitud HTTP

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview

Aprobación del paso de solicitud de activación

Solicitud HTTP

PATCH 
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

Respuesta HTTP

Las llamadas PATCH correctas generan una respuesta vacía.

Para más información, consulte Uso de aprobaciones de asignación de roles para aprobar solicitudes de activación de roles de PIM con API de REST

Denegar solicitudes

  1. Busque y seleccione la solicitud que desea aprobar. Aparece una página aprobar o denegar.
  2. En el cuadro Justificación, escriba la justificación empresarial.
  3. Seleccione Denegar. Aparecerá una notificación con su denegación.

Notificaciones de flujo de trabajo

A continuación proporcionamos información sobre las notificaciones de flujo de trabajo:

  • Los aprobadores reciben una notificación por correo cuando una solicitud de un rol está pendiente de su revisión. Las notificaciones por correo electrónico incluyen un vínculo directo a la solicitud donde el aprobador puede aprobarla o rechazarla.
  • Las solicitudes las resuelve el primer aprobador que aprueba o rechaza.
  • Cuando un aprobador responde a la solicitud, se notifica a todos los aprobadores de la acción.
  • Los administradores de recursos reciben una notificación cuando un usuario aprobado se activa en su rol.

Nota

Un administrador de recursos que cree que un usuario aprobado no debe estar activo puede quitar la asignación de roles activa en Privileged Identity Management. Aunque los administradores de recursos no reciben notificaciones de solicitudes pendientes a menos que sean aprobadores, pueden ver y cancelar solicitudes pendientes para todos los usuarios viendo solicitudes pendientes en Privileged Identity Management.

Pasos siguientes