Schválení nebo zamítnutí žádostí o role Microsoft Entra ve službě Privileged Identity Management
Pomocí nástroje Privileged Identity Management (PIM) v MICROSOFT Entra ID můžete nakonfigurovat role tak, aby vyžadovaly schválení aktivace, a jako delegované schvalovatele zvolit jednoho nebo více uživatelů nebo skupin. Delegovaní schvalovatelé mají 24 hodin na schválení žádostí. Pokud žádost není schválená do 24 hodin, musí oprávněný uživatel znovu odeslat novou žádost. Časový interval schválení 24 hodin není konfigurovatelný.
Zobrazení žádostí čekajících na vyřízení
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Jako delegovaný schvalovatel obdržíte e-mailové oznámení, když žádost o roli Microsoft Entra čeká na schválení. Tyto čekající požadavky můžete zobrazit ve službě Privileged Identity Management.
Přihlaste se do Centra pro správu Microsoft Entra.
Přejděte na >žádosti o schválení identity privileged Identity Management.>
V části Žádosti o aktivaci rolí se zobrazí seznam žádostí čekajících na schválení.
Zobrazení čekajících žádostí pomocí rozhraní Microsoft Graph API
Žádost HTTP
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
Odpověď protokolu HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"customData": null,
"action": "SelfActivate",
"principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Schvalování žádostí
Poznámka:
Schvalovatelé nemůžou schválit vlastní žádosti o aktivaci rolí.
- Vyhledejte a vyberte žádost, kterou chcete schválit. Zobrazí se stránka schvalovat nebo odepřít.
- Do pole Odůvodnění zadejte obchodní odůvodnění.
- Vyberte položku Odeslat. Zobrazí se oznámení Azure o vašem schválení.
Schválení nevyřízených žádostí pomocí rozhraní Microsoft Graph API
Poznámka:
Rozhraní Microsoft Graph API v současné době nepodporuje schválení žádostí o prodloužení a prodloužení platnosti.
Získání ID kroků, které vyžadují schválení
U konkrétní žádosti o aktivaci tento příkaz získá všechny kroky schválení, které potřebují schválení. Schválení s více kroky se v současné době nepodporuje.
Žádost HTTP
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
Odpověď protokolu HTTP
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Schválení kroku žádosti o aktivaci
Žádost HTTP
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
Odpověď protokolu HTTP
Úspěšná volání PATCH generují prázdnou odpověď.
Odepřít žádosti
- Vyhledejte a vyberte žádost, kterou chcete schválit. Zobrazí se stránka schvalovat nebo odepřít.
- Do pole Odůvodnění zadejte obchodní odůvodnění.
- Vyberte Odepřít. Zobrazí se oznámení s vaším odepřením.
Oznámení pracovního postupu
Tady jsou některé informace o oznámeních pracovního postupu:
- Schvalovatelé jsou upozorněni e-mailem, když žádost o roli čeká na revizi. E-mailová oznámení obsahují přímý odkaz na žádost, kde může schvalovatel schválit nebo odepřít.
- Žádosti vyřeší první schvalovatel, který schválí nebo odmítne.
- Když schvalovatel odpoví na žádost, budou všichni schvalovatelé upozorněni na akci.
- Globální správci a správci privilegovaných rolí jsou upozorněni, když se schválený uživatel stane aktivní ve své roli.
Poznámka:
Globální Správa istrator nebo správce privilegovaných rolí, který se domnívá, že schválený uživatel by neměl být aktivní, může odebrat přiřazení aktivní role ve službě Privileged Identity Management. I když správci nejsou upozorněni na nevyřízené žádosti, pokud nejsou schvalovatelem, můžou zobrazit a zrušit všechny čekající žádosti pro všechny uživatele zobrazením čekajících žádostí ve službě Privileged Identity Management.