Schválení nebo zamítnutí žádostí o role Microsoft Entra ve službě Privileged Identity Management
Privileged Identity Management (PIM) v Microsoft Entra ID umožňuje konfigurovat role tak, aby vyžadovaly schválení aktivace, a jako delegované schvalovatele zvolit jednoho nebo více uživatelů nebo skupin. Delegovaní schvalovatelé mají 24 hodin na schválení žádostí. Pokud žádost není schválená do 24 hodin, musí oprávněný uživatel znovu odeslat novou žádost. Časový interval schválení 24 hodin není konfigurovatelný.
Zobrazení žádostí čekajících na vyřízení
Jako delegovaný schvalovatel obdržíte e-mailové oznámení, když žádost o roli Microsoft Entra čeká na schválení. Tyto čekající požadavky můžete zobrazit ve službě Privileged Identity Management.
Přihlaste se do Centra pro správu Microsoft Entra.
Přejděte na >žádosti o schválení identity privileged Identity Management.>
V části Žádosti o aktivaci rolí můžete zobrazit seznam žádostí čekajících na schválení.
Zobrazení čekajících žádostí pomocí rozhraní Microsoft Graph API
Žádost HTTP
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
Odpověď protokolu HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"customData": null,
"action": "SelfActivate",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Schvalování žádostí
Poznámka:
Schvalovatelé nemůžou schválit vlastní žádosti o aktivaci rolí. Navíc služební principály nesmí schvalovat žádosti.
- Vyhledejte a vyberte žádost, kterou chcete schválit. Zobrazí se stránka schvalovat nebo odepřít.
- Do pole Odůvodnění zadejte obchodní odůvodnění.
- Vyberte položku Odeslat. V tomto okamžiku systém odešle oznámení Azure o vašem schválení.
Schválení nevyřízených žádostí pomocí rozhraní Microsoft Graph API
Poznámka:
Rozhraní Microsoft Graph API v současné době nepodporuje schválení žádostí o prodloužení a prodloužení platnosti.
Získání ID kroků, které vyžadují schválení
U konkrétní žádosti o aktivaci tento příkaz získá všechny kroky schválení, které potřebují schválení. Schválení s více kroky se v současné době nepodporuje.
Žádost HTTP
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
Odpověď protokolu HTTP
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Schválení kroku žádosti o aktivaci
Žádost HTTP
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
Odpověď protokolu HTTP
Úspěšná volání PATCH generují prázdnou odpověď.
Odepřít žádosti
- Vyhledejte a vyberte žádost, kterou chcete schválit. Zobrazí se stránka schvalovat nebo odepřít.
- Do pole Odůvodnění zadejte obchodní odůvodnění.
- Vyberte Odepřít. Zobrazí se oznámení s vaším odepřením.
Oznámení pracovního postupu
Tady jsou některé informace o oznámeních pracovního postupu:
- Schvalovatelé jsou upozorněni e-mailem, když žádost o roli čeká na revizi. E-mailová oznámení obsahují přímý odkaz na žádost, kde může schvalovatel schválit nebo odepřít.
- Žádosti vyřeší první schvalovatel, který schválí nebo odmítne.
- Všichni schvalovatelé jsou upozorněni, když schvalovatel odpoví na žádost o schválení.
- Globální správci a správci privilegovaných rolí jsou upozorněni, když se schválený uživatel stane aktivní ve své roli.
Poznámka:
Globální správce nebo správce privilegovaných rolí, kteří se domnívají, že schválený uživatel by neměl být aktivní, může odebrat aktivní přiřazení role ve službě Privileged Identity Management. I když správci nejsou upozorněni na nevyřízené žádosti, pokud nejsou schvalovatelem, můžou zobrazit a zrušit všechny čekající žádosti pro všechny uživatele zobrazením čekajících žádostí ve službě Privileged Identity Management.