Partager via


Approuver ou rejeter des requêtes de rôles de ressources Azure AD dans Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) vous permet de configurer des rôles pour exiger une approbation pour les activations, et désigner des utilisateurs ou groupes de votre organisation Microsoft Entra comme approbateurs délégués. Nous vous recommandons de sélectionner plusieurs approbateurs pour chaque rôle afin de réduire la charge de travail pour l’administrateur de rôle privilégié. Les approbateurs délégués ont 24 heures pour approuver les demandes. Si une demande n’est pas approuvée dans les 24 heures, l’utilisateur éligible doit soumettre une nouvelle demande. Le délai d’approbation de 24 heures n’est pas configurable.

Suivez les étapes décrites dans cet article pour approuver ou refuser des demandes de rôles de ressources Azure.

Afficher les demandes en attente

En tant qu’approbateur délégué, vous recevez une notification par e-mail quand une demande de rôle de ressource Azure est en attente d’approbation. Ces demandes en attente sont affichées dans Privileged Identity Management.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance des identités>Privileged Identity Management>Approuver les demandes.

    Capture d’écran de la page **Approuver les demandes - Ressources Azure** montrant la demande de révision.

    Dans la section Demandes d’activations de rôles, vous voyez la liste des demandes en attente d’approbation.

Approuver les demandes

  1. Recherchez et sélectionnez la demande que vous souhaitez approuver. Une page Approuver ou rejeter s’affiche.
  2. Dans la zoneJustification, entrez la justification professionnelle.
  3. Sélectionnez Approuver. Vous recevez une notification Azure de votre approbation.

Approuver les demandes en attente à l’aide de l’API Microsoft Azure Resource Manager

Remarque

L’approbation des requêtes d’extension et de renouvellement n’est actuellement pas prise en charge par l’API ARM de Microsoft

Obtenir les ID des étapes qui nécessitent une approbation

Pour obtenir les détails de n’importe quelle étape de l’approbation d’une attribution de rôle, vous pouvez utiliser l’API REST Étape d’approbation d’attribution de rôle : obtenir par ID.

Requête HTTP

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview

Approuver l’étape de demande d’activation

Requête HTTP

PATCH 
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

Réponse HTTP

Les appels PATCH réussis génèrent une réponse vide.

Pour plus d’informations, consultez Utiliser les approbations d’attribution de rôle pour approuver les requêtes d’activation de rôle PIM avec l’API REST

Refuser des demandes

  1. Recherchez et sélectionnez la demande que vous souhaitez approuver. Une page Approuver ou rejeter s’affiche.
  2. Dans la zoneJustification, entrez la justification professionnelle.
  3. Sélectionner Rejeter. Une notification s’affiche avec votre refus.

Notifications de flux de travail

Voici quelques informations sur les notifications de flux de travail :

  • Les approbateurs sont avertis par courrier électronique lorsqu’une demande concernant un rôle est en attente de leur examen. Les notifications par e-mail comportent un lien direct vers la demande, grâce auquel l’approbateur peut approuver ou refuser cette demande.
  • Les demandes sont traitées par le premier approbateur qui les approuve ou les rejette.
  • Lorsqu’un approbateur répond à la demande, tous les approbateurs sont informés de l’action.
  • Les administrateurs de ressources sont avertis de l’activation d’un utilisateur approuvé dans leur rôle.

Remarque

Un administrateur de ressources qui estime qu’un utilisateur approuvé ne doit pas être actif peut supprimer l’attribution de rôle active dans Privileged Identity Management. Bien que les administrateurs de ressources ne soient informés des demandes en attente que s’ils sont approbateurs, ils peuvent voir et annuler les demandes en attente de tous les utilisateurs en les affichant dans Privileged Identity Management.

Étapes suivantes