Obtener aprobación
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Recupere las propiedades de un objeto de aprobación . Este aprobador realiza esta solicitud de API en los siguientes escenarios:
- En la administración de derechos, proporcione el identificador de la solicitud de asignación de paquetes de acceso.
- En PIM para Microsoft Entra roles, proporciona el identificador de la solicitud de programación de asignación de roles.
- En PIM para grupos, proporciona el identificador de la solicitud de programación de asignación.
Esta API está disponible en las siguientes implementaciones nacionales de nube.
| Servicio global | Gobierno de EE. UU. L4 | Us Government L5 (DOD) | China operada por 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Permisos
Se requiere uno de los siguientes permisos para llamar a esta API. Para obtener más información, incluido cómo elegir permisos, vea Permisos.
Para la administración de derechos
| Tipo de permiso | Permisos (de menos a más privilegiados) |
|---|---|
| Delegado (cuenta profesional o educativa) | EntitlementManagement.Read.All, EntitlementManagement.ReadWrite.All |
| Delegado (cuenta personal de Microsoft) | No admitida. |
| Aplicación | No admitida. |
Sugerencia
En escenarios delegados con cuentas profesionales o educativas, al usuario que ha iniciado sesión también se le debe asignar un rol de administrador con permisos de rol admitidos mediante una de las siguientes opciones:
-
Un rol en el sistema de administración de derechos donde los roles con privilegios mínimos son:
- Lector de catálogos. Esta es la opción con menos privilegios
- Creador del catálogo
- Administrador de paquetes de acceso
- Roles de Microsoft Entra con más privilegios admitidos para esta operación:
- Lector de seguridad
- Lector global
- Administrador de cumplimiento
- Administrador de seguridad
- Administrador de gobernanza de identidades
En escenarios de solo aplicación, se puede asignar a la aplicación que realiza la llamada uno de los roles admitidos anteriores en lugar del permiso de EntitlementManagement.Read.All aplicación. El rol lector de catálogo tiene menos privilegios que el permiso de aplicación EntitlementManagement.Read.All .
Para obtener más información, vea Delegación y roles en la administración de derechos y cómo delegar la gobernanza del acceso a administradores de paquetes de acceso en la administración de derechos.
Para PIM para roles de Microsoft Entra
| Tipo de permiso | Permisos (de menos a más privilegiados) |
|---|---|
| Delegado (cuenta profesional o educativa) | RoleAssignmentSchedule.Read.Directory, RoleAssignmentSchedule.ReadWrite.Directory |
| Delegado (cuenta personal de Microsoft) | No admitida. |
| Aplicación | No admitida. |
Para PIM para grupos
| Tipo de permiso | Permisos (de menos a más privilegiados) |
|---|---|
| Delegado (cuenta profesional o educativa) | PrivilegedAssignmentSchedule.Read.AzureADGroup, PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| Delegado (cuenta personal de Microsoft) | No admitida. |
| Aplicación | No admitida. |
Solicitud HTTP
Para obtener objetos de aprobación en la administración de derechos:
GET /identityGovernance/entitlementManagement/accessPackageAssignmentApprovals/{id}
Para obtener objetos de aprobación en PIM para roles de Microsoft Entra:
GET /roleManagement/directory/roleAssignmentApprovals/{id}
Para obtener objetos de aprobación en PIM para grupos:
GET /identityGovernance/privilegedAccess/group/assignmentApprovals/{id}
Encabezados de solicitud
| Nombre | Descripción |
|---|---|
| Authorization | {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización. |
Cuerpo de la solicitud
No proporcione un cuerpo de solicitud para este método.
Respuesta
Si se ejecuta correctamente, este método devuelve un 200 OK código de respuesta y el objeto de aprobación solicitado en el cuerpo de la respuesta. Sin embargo, si el autor de la llamada no tiene los permisos adecuados, el método devuelve un código de 403 Forbidden respuesta.
Ejemplos
Solicitud
En el ejemplo siguiente se muestra la solicitud.
GET https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/accessPackageAssignmentApprovals/abd306ef-f7b2-4a10-9fd1-493454322489
Respuesta
En el ejemplo siguiente se muestra la respuesta.
Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.
HTTP/1.1 200 OK
Content-type: application/json
{
"id": "abd306ef-f7b2-4a10-9fd1-493454322489",
"steps": [
{
"id": "d4fa4045-4716-436d-aec5-57b0a713f095",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}