Genehmigen oder Ablehnen von Anforderungen für Azure-Ressourcenrollen in Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) ermöglicht es Ihnen, Rollen so zu konfigurieren, dass sie für die Aktivierung eine Genehmigung erfordern, und gibt Ihnen die Möglichkeit, Benutzer oder Gruppen aus Ihrer Microsoft Entra-Organisation als delegierte genehmigende Personen auszuwählen. Es wird empfohlen, mindestens zwei genehmigende Personen für jede Rolle auszuwählen, um die Arbeitsauslastung des Administrators bzw. der Administratorin für privilegierte Rollen zu verringern. Delegierte genehmigende Personen haben zum Genehmigen von Anforderungen 24 Stunden Zeit. Wenn eine Anforderung nicht innerhalb von 24 Stunden genehmigt wird, muss der berechtigte Benutzer eine neue Anforderung senden. Das 24-Stunden-Zeitfenster für die Genehmigung ist nicht konfigurierbar.

Führen Sie die in diesem Artikel beschriebenen Schritte aus, um Anforderungen für Azure-Ressourcenrollen zu genehmigen oder abzulehnen.

Anzeigen ausstehender Anforderungen

Als delegierte genehmigende Person erhalten Sie eine E-Mail-Benachrichtigung, wenn Ihre Genehmigung einer Anforderung für eine Azure-Ressourcenrolle aussteht. Sie können diese ausstehenden Anforderungen in Privileged Identity Management anzeigen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identity Governance>Privileged Identity Management>Anforderungen genehmigen.

    Screenshot der Seite „Anforderungen genehmigen – Azure-Ressourcen“ mit einer Überprüfungsanforderung

    Im Abschnitt Anforderungen für Rollenaktivierungen wird eine Liste der Anforderungen angezeigt, die Sie noch genehmigen müssen.

Genehmigen von Anforderungen

  1. Suchen Sie nach der zu genehmigenden Anforderung, und wählen Sie diese aus. Daraufhin wird eine Seite zum Genehmigen oder Ablehnen von Anforderungen angezeigt.
  2. Geben Sie im Feld Begründung die geschäftliche Begründung ein.
  3. Wählen Sie Genehmigen aus. Sie erhalten eine Azure-Benachrichtigung über Ihre Genehmigung.

Genehmigen von ausstehenden Anforderungen mithilfe der Microsoft-ARM-API

Hinweis

Die Genehmigung von Anforderungen zum Verlängern und Erneuern wird derzeit nicht von der Microsoft-ARM-API unterstützt.

Abrufen von IDs für die Schritte, die eine Genehmigung erfordern

Um die Details zu einer beliebigen Phase einer Rollenzuweisungsgenehmigung abzurufen, können Sie die REST-API Schritt zur Rollenzuweisungsgenehmigungsschritt –Abrufen nach ID verwenden.

HTTP-Anforderung

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview

Genehmigen des Aktivierungsanforderungsschritts

HTTP-Anforderung

PATCH 
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

HTTP-Antwort

Erfolgreiche PATCH-Aufrufe generieren eine leere Antwort.

Weitere Informationen finden Sie unter Verwenden von Rollenzuweisungsgenehmigungen zum Genehmigen von PIM-Rollenaktivierungsanforderungen mit der REST-API.

Ablehnen von Anforderungen

  1. Suchen Sie nach der zu genehmigenden Anforderung, und wählen Sie diese aus. Daraufhin wird eine Seite zum Genehmigen oder Ablehnen von Anforderungen angezeigt.
  2. Geben Sie im Feld Begründung die geschäftliche Begründung ein.
  3. Wählen Sie Ablehnen aus. Es wird eine Benachrichtigung mit Ihrer Ablehnung angezeigt.

Workflowbenachrichtigungen

Nachfolgend finden Sie einige Informationen zu Workflowbenachrichtigungen:

  • Die genehmigenden Personen werden per E-Mail benachrichtigt, wenn für die Anforderung einer Rolle die Überprüfung aussteht. E-Mail-Benachrichtigungen enthalten einen direkten Link zur Anforderung, damit diese von der genehmigenden Person genehmigt oder abgelehnt werden kann.
  • Anforderungen werden von der ersten genehmigenden Person bearbeitet, die sich mit der Genehmigung oder Ablehnung befasst.
  • Wenn eine genehmigende Person auf die Anforderung reagiert, werden alle genehmigenden Personen über die Aktion informiert.
  • Ressourcenadministratoren werden benachrichtigt, wenn ein genehmigter Benutzer in seiner Rolle aktiv wird.

Hinweis

Wenn ein Ressourcenadministrator der Meinung ist, dass ein genehmigter Benutzer nicht aktiv sein sollte, kann er die aktive Rollenzuweisung in Privileged Identity Management entfernen. Ressourcenadministratoren werden nur über ausstehende Anforderungen benachrichtigt, wenn sie genehmigende Personen sind. Sie können aber ausstehende Anforderungen aller Benutzer anzeigen und abbrechen, indem sie die ausstehenden Anforderungen in Privileged Identity Management anzeigen.

Nächste Schritte