Condividi tramite

Approvare o rifiutare le richieste per i ruoli delle risorse di Azure in Privileged Identity Management

  • Articolo

Microsoft Entra Privileged Identity Management (PIM) consente di configurare i ruoli in modo che richiedano l'approvazione per l'attivazione e scelgano utenti o gruppi dell'organizzazione Microsoft Entra come responsabili approvazione delegati. È consigliabile selezionare due o più responsabili approvazione per ogni ruolo per ridurre il carico di lavoro per l'amministratore del ruolo con privilegi. I responsabili approvazione delegati hanno 24 ore di tempo per approvare le richieste. Se una richiesta non viene approvata entro 24 ore, l'utente idoneo deve inviare una nuova richiesta. L'intervallo di tempo di 24 ore per l'approvazione non è configurabile.

Seguire i passaggi descritti in questo articolo per approvare o rifiutare le richieste per i ruoli delle risorse di Azure.

Visualizzare le richieste in sospeso

In qualità di responsabile dell'approvazione delegato, si riceverà una notifica di posta elettronica quando una richiesta è in attesa di approvazione. È possibile visualizzare queste richieste in sospeso in Privileged Identity Management.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Andare a Identity Governance>Privileged Identity Management>Approva richieste.

    Screenshot della pagina Approva richieste - Risorse di Azure che mostra la richiesta di revisione.

    Nella sezione Richieste di attivazioni di ruoli verrà visualizzato un elenco di richieste in attesa di approvazione.

Approvare le richieste

  1. Trovare e selezionare la richiesta che si intende approvare. Viene visualizzata una pagina di approvazione o rifiuto.
  2. Nella casella Giustificazione, immettere la motivazione aziendale.
  3. Selezionare Approva. Si riceverà una notifica di avvenuta approvazione da parte di Azure.

Approvare le richieste in sospeso usando l'API Microsoft ARM

Nota

L'approvazione per le richieste di estensione e rinnovo non è attualmente supportata dall'API Arm Microsoft

Ottenere gli ID per i passaggi che richiedono l'approvazione

Per ottenere i dettagli di qualsiasi fase dell'approvazione di un'assegnazione di ruolo, è possibile usare il passaggio di approvazione dell'assegnazione di ruolo - Get By ID API REST.

Richiesta HTTP

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview

Approvare il passaggio della richiesta di attivazione

Richiesta HTTP

PATCH 
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
}

Risposta HTTP

Le chiamate PATCH riuscite generano una risposta vuota.

Per altre informazioni, vedere Usare le approvazioni delle assegnazioni di ruolo per approvare le richieste di attivazione dei ruoli PIM con l'API REST

Rifiutare le richieste

  1. Trovare e selezionare la richiesta che si intende approvare. Viene visualizzata una pagina di approvazione o rifiuto.
  2. Nella casella Giustificazione, immettere la motivazione aziendale.
  3. Seleziona Nega. Viene visualizzata una notifica con la negazione.

Notifiche dei flussi di lavoro

Ecco alcune informazioni sulle notifiche del flusso di lavoro:

  • I Responsabili di approvazione ricevono una notifica tramite posta elettronica quando una richiesta per un ruolo è in attesa di revisione. Le notifiche tramite posta elettronica includono un collegamento diretto alla richiesta, in cui il Responsabile di approvazione può approvare o rifiutare la richiesta.
  • Le richieste vengono risolte dal primo Responsabile di approvazione che approva o rifiuta la richiesta.
  • Quando un Responsabile di approvazione risponde alla richiesta, tutti i Responsabili di approvazione ricevono una notifica dell'azione.
  • Gli amministratori delle risorse ricevono una notifica quando un utente approvato diventa attivo nel proprio ruolo.

Nota

Un amministratore delle risorse che ritiene che un utente approvato non debba essere attivo può rimuovere l'assegnazione di ruolo attiva in Privileged Identity Management. Anche se gli amministratori delle risorse non ricevono notifiche relative alle richieste in sospeso a meno che non siano responsabili approvazione, possono visualizzare e annullare richieste in sospeso per tutti gli utenti visualizzando le richieste in sospeso in Privileged Identity Management.

Passaggi successivi