Aprovar ou negar solicitações para funções do Microsoft Entra no Privileged Identity Management
O PIM (Privileged Identity Management) no Microsoft Entra ID permite que você configure funções para exigir aprovação para ativação e escolha um ou vários usuários ou grupos como aprovadores delegados. Os aprovadores representantes têm 24 horas para aprovar as solicitações. Se uma solicitação não for aprovada em 24 horas, o usuário qualificado deverá enviar novamente uma nova solicitação. A janela de tempo de aprovação de 24 horas não é configurável.
Exibir solicitações pendentes
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Como um aprovador delegado, você receberá uma notificação por email quando uma solicitação de função do Microsoft Entra estiver aguardando a aprovação. Você pode exibir essas solicitações pendentes no Privileged Identity Management.
Navegue até Governança de identidade>Privileged Identity Management>Aprovar solicitações.
Na seção Solicitações de ativações de função, você pode ver uma lista de solicitações pendentes de sua aprovação.
Exibir solicitações pendentes usando a API do Microsoft Graph
Solicitação HTTP
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
Resposta HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"customData": null,
"action": "SelfActivate",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Aprovar solicitações
Observação
Os aprovadores não podem aprovar as próprias solicitações de ativação de função.
- Localize e selecione a solicitação que você quer aprovar. Uma página para aprovar ou negar é exibida.
- Na caixa Justificativa, insira a justificativa comercial.
- Selecione Enviar. Neste ponto, o sistema envia uma notificação do Azure sobre sua aprovação.
Aprovar solicitações pendentes usando a API do Microsoft Graph
Observação
Atualmente, a aprovação de solicitações de prorrogação e renovação não é compatível com a API do Microsoft Graph
Obter IDs para as etapas que exigem aprovação
Para uma solicitação de ativação específica, esse comando obtém todas as etapas de aprovação que precisam de aprovação. Não há suporte para aprovações de várias etapas atualmente.
Solicitação HTTP
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
Resposta HTTP
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Aprovar a etapa de solicitação de ativação
Solicitação HTTP
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
Resposta HTTP
As chamadas de PATCH bem-sucedidas geram uma resposta vazia.
Negar solicitações
- Localize e selecione a solicitação que você quer aprovar. Uma página para aprovar ou negar é exibida.
- Na caixa Justificativa, insira a justificativa comercial.
- Selecione Negar. Uma notificação é exibida com a negação.
Notificações de fluxo de trabalho
Veja algumas informações sobre notificações de fluxo de trabalho:
- Os aprovadores são notificados por email quando uma solicitação para uma função está aguardando revisão. As notificações por email incluem um link direto para a solicitação no qual o aprovador pode aprovar ou negar.
- As solicitações são resolvidas pelo primeiro aprovador que aprova ou nega.
- Todos os aprovadores são notificados quando um aprovador responde a uma solicitação de aprovação.
- Administradores globais e administradores de função com privilégios são notificados quando um usuário aprovado se torna ativo em sua função.
Observação
Um Administrador global ou Administrador de função com privilégios que acredita que um usuário aprovado não deve estar ativo pode remover a atribuição de função ativa no Privileged Identity Management. Embora os administradores não sejam notificados de solicitações pendentes a menos que sejam aprovadores, eles podem exibir e cancelar solicitações pendentes de todos os usuários exibindo solicitações pendentes no Privileged Identity Management.