Утверждение или отклонение запросов для ролей Microsoft Entra в управление привилегированными пользователями
Привилегированное управление удостоверениями (PIM) в Microsoft Entra ID позволяет настраивать роли таким образом, чтобы для активации требовалось одобрение, и выбирать одного или нескольких пользователей или групп как делегированных утверждающих. Делегированные утверждающие лица имеют 24 часа на утверждение запросов. Если запрос не утвержден в течение 24 часов, пользователь должен повторно отправить новый запрос. Период времени утверждения 24 часа не настраивается.
Просмотр ожидающих запросов
Как делегированный утверждающий вы получаете уведомление по электронной почте, когда запрос роли Microsoft Entra ожидает утверждения. Вы можете просмотреть эти ожидающие запросы в Azure AD Privileged Identity Management.
Войдите в центр администрирования Microsoft Entra.
Перейдите к управлению >
В разделе Запросов на активацию ролей вы увидите список запросов, ожидающих утверждения.
Просмотр ожидающих запросов с помощью API Microsoft Graph
HTTP-запрос
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
HTTP-ответ
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"customData": null,
"action": "SelfActivate",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Утверждение запросов
Примечание.
Утверждающие не могут утверждать собственные запросы на активацию ролей. Кроме того, служебные субъекты не могут утверждать запросы.
- Найдите и выберите запрос, который требуется утвердить. Откроется страница утверждения и отклонения.
- В поле Обоснование введите коммерческое обоснование.
- Выберите Отправить. На этом этапе система отправляет уведомление Об утверждении в Azure.
Утверждение ожидающих запросов с помощью API Microsoft Graph
Примечание.
Утверждение для запросов на продление и продление в настоящее время не поддерживается API Microsoft Graph
Получение идентификаторов для шагов, которые требуют утверждения
Для конкретного запроса на активацию эта команда получает все утверждения шагов, которые требуют утверждения. В настоящее время многофакторные утверждения не поддерживаются.
HTTP-запрос
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
HTTP-ответ
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Утвердить этап запроса на активацию
HTTP-запрос
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP-ответ
Успешные вызовы PATCH создают пустой ответ.
Отклонение запросов
- Найдите и выберите запрос, который требуется утвердить. Откроется страница утверждения и отклонения.
- В поле Обоснование введите коммерческое обоснование.
- Выберите Отклонить. Появится уведомление о вашем отказе.
Уведомления о рабочем процессе
Ниже приведена информация об уведомлениях рабочего процесса.
- Утверждающие получают уведомление по электронной почте, когда запрос на роль находится на рассмотрении. Уведомления по электронной почте содержат прямую ссылку на запрос, где утверждающий может одобрить или отклонить его.
- Запросы разрешаются первым утверждающим, который утверждает или отклоняет.
- Все участники процесса утверждения получают уведомления, когда один из них отвечает на запрос на одобрение.
- Глобальные администраторы и администраторы привилегированных ролей уведомляются, когда утвержденный пользователь становится активным в своей роли.
Примечание.
Глобальный администратор или администратор привилегированных ролей, который считает, что утвержденный пользователь не должен быть активным, может удалить назначение активной роли в управление привилегированными пользователями. Хотя администраторы не получают уведомления об ожидающих запросах (если только они не являются участниками в списке утверждающих лиц), они могут проверить и отменить ожидающие запросы для всех пользователей, просмотрев эти запросы в Управлении привилегированными пользователями.