Privileged Identity Management で Microsoft Entra ロールに対する要求を承認または拒否する
Microsoft Entra ID の Privileged Identity Management (PIM) を使用すると、アクティブ化の承認を要求するようにロールを構成し、委任された承認者として 1 つまたは複数のユーザーまたはグループを選択できます。 代理承認者は、要求を承認するまでに 24 時間あります。 要求が 24 時間以内に承認されない場合、その資格のあるユーザーは新しい要求をもう一度送信する必要があります。 24 時間の承認時間枠は構成を変えることができません。
保留中の要求を表示する
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
Microsoft Entra ロール要求が、代理承認者の承認を待っている状態になると、電子メール通知が届きます。 これらの保留中の要求は、Privileged Identity Management で表示できます。
Microsoft Entra 管理センターにサインインします。
[ID ガバナンス]>[Privileged Identity Management]>[要求の承認] に移動します。
の「ロールアクティベーション要求」セクションには、あなたの承認を待っている要求一覧が表示されます。
Microsoft Graph API を使用して保留中の要求を表示する
HTTP 要求
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
HTTP 応答
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"customData": null,
"action": "SelfActivate",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
要求の承認
Note
承認者は自分自身のロールのアクティブ化要求を承認できません。 さらに、サービス プリンシパルは要求の承認を許可されません。
- 承認する要求を見つけて選択します。 承認または拒否のページが表示されます。
- [理由] ボックスに、業務上の正当な理由を入力します。
- 送信を選択します。 この時点で、システムは承認の Azure 通知を送信します。
Microsoft Graph API を使用して保留中の要求を承認する
Note
現在、延長および更新要求の承認は Microsoft Graph API ではサポートされていません
承認が必要なステップの ID を取得する
特定のアクティブ化要求については、このコマンドによって、承認が必要とされる承認手順が取得されます。 現在、複数段階の承認はサポートされていません。
HTTP 要求
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
HTTP 応答
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
アクティブ化要求の手順を承認する
HTTP 要求
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP 応答
PATCH の呼び出しに成功すると、空の応答が生成されます。
要求を拒否する
- 承認する要求を見つけて選択します。 承認または拒否のページが表示されます。
- [理由] ボックスに、業務上の正当な理由を入力します。
- [拒否] を選択します。 拒否すると同時に通知が表示されます。
ワークフロー通知
ワークフロー通知に関するいくつかの情報を次に示します。
- ロールの要求のレビューが保留中の場合、承認者にメールで通知されます。 電子メール通知には、承認者が承認または拒否できる、要求への直接リンクが含まれています。
- 要求は、承認または拒否した最初の承認者によって解決されます。
- 承認者が承認要求に応答すると、すべての承認者に通知されます。
- 全体管理者と特権ロール管理者には、承認されたユーザーがそのロール内でアクティブになると通知されます。
Note
承認されたユーザーをアクティブにしない方が良いと判断した場合、グローバル管理者や特権ロール管理者は、Privileged Identity Management でアクティブなロールの割り当てを削除できます。 管理者は、承認者でない限り、保留中の要求の通知を受け取りませんが、Privileged Identity Management で保留中の要求を表示することで、すべてのユーザーの保留中の要求を確認およびキャンセルできます。