Aprovar ou negar solicitações para funções do Microsoft Entra no Privileged Identity Management
O Gerenciamento Privilegiado de Identidades (PIM) no Microsoft Entra ID permite configurar funções para exigir aprovação para ativação e escolher um ou vários usuários ou grupos como aprovadores delegados. Os aprovadores delegados têm 24 horas para aprovar os pedidos. Se uma solicitação não for aprovada dentro de 24 horas, o usuário qualificado deverá reenviar uma nova solicitação. A janela de tempo de aprovação de 24 horas não é configurável.
Ver pedidos pendentes
Como aprovador delegado, você recebe uma notificação por email quando uma solicitação de função do Microsoft Entra está pendente de sua aprovação. Você pode exibir essas solicitações pendentes no Privileged Identity Management.
Inicie sessão no centro de administração do Microsoft Entra.
Navegue até Governança de identidade>, Gerenciamento privilegiado de identidades>Aprove solicitações.
Na seção Solicitações para ativações de função, pode ver uma lista de solicitações pendentes da sua aprovação.
Exibir solicitações pendentes usando a API do Microsoft Graph
Pedido HTTP
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
HTTP response
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"customData": null,
"action": "SelfActivate",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Aprovar pedidos
Nota
Os aprovadores não podem aprovar suas próprias solicitações de ativação de função. Além disso, as entidades de serviço não têm permissão para aprovar solicitações.
- Localize e selecione a solicitação que deseja aprovar. Uma página de aprovação ou negação é exibida.
- Na caixa Justificação, insira a justificativa comercial.
- Selecione Submeter. Neste ponto, o sistema envia uma notificação do Azure de sua aprovação.
Aprovar solicitações pendentes usando a API do Microsoft Graph
Nota
Atualmente, a aprovação para estender e renovar solicitações não é suportada pela API do Microsoft Graph
Obter IDs para as etapas que exigem aprovação
Para uma solicitação de ativação específica, esse comando obtém todas as etapas de aprovação que precisam de aprovação. Atualmente, não há suporte para aprovações em várias etapas.
Pedido HTTP
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
HTTP response
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Aprovar a etapa de solicitação de ativação
Pedido HTTP
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP response
Chamadas PATCH bem-sucedidas geram uma resposta vazia.
Negar pedidos
- Localize e selecione a solicitação que deseja aprovar. Uma página de aprovação ou negação é exibida.
- Na caixa Justificação, insira a justificativa comercial.
- Selecione Negar. Uma notificação aparece com sua negação.
Notificações de fluxo de trabalho
Aqui estão algumas informações sobre notificações de fluxo de trabalho:
- Os aprovadores são notificados por e-mail quando uma solicitação de uma função está pendente de análise. As notificações por e-mail incluem um link direto para a solicitação, onde o aprovador pode aprovar ou negar.
- Os pedidos são resolvidos pelo primeiro aprovador que aprova ou nega.
- Todos os aprovadores são notificados quando um aprovador responde a uma solicitação de aprovação.
- Os Administradores Globais e os Administradores de Função Privilegiada são notificados quando um usuário aprovado se torna ativo em sua função.
Nota
Um Administrador Global ou Administrador de Função Privilegiada que acredita que um usuário aprovado não deve estar ativo pode remover a atribuição de função ativa no Gerenciamento de Identidades Privilegiadas. Embora os administradores não sejam notificados de solicitações pendentes, a menos que sejam aprovadores, eles podem exibir e cancelar quaisquer solicitações pendentes para todos os usuários exibindo solicitações pendentes no Privileged Identity Management.