Compartir a través de


Aprobar o denegar solicitudes de funciones de Microsoft Entra en Privileged Identity Management

Con Privileged Identity Management (PIM) en Microsoft Entra ID, puede configurar roles para requerir la aprobación para la activación y elegir uno o varios usuarios o grupos como aprobadores delegados. Los aprobadores delegados tienen 24 horas para aprobar las solicitudes. Si no se aprueba una solicitud en un plazo de 24 horas, el usuario apto debe volver a enviar una nueva solicitud. El período de aprobación de 24 horas no se puede configurar.

Ver solicitudes en espera

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Como aprobador delegado, recibirá una notificación por correo electrónico cuando una solicitud de rol de Microsoft Entra esté pendiente de su aprobación. Puede ver estas solicitudes pendientes en Privileged Identity Management.

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya a Gobierno de identidades>Privileged Identity Management>Aprobación de solicitudes.

    Captura de pantalla que muestra la página aprobar solicitudes que muestra la solicitud para revisar los roles de Microsoft Entra.

    En la sección Solicitudes de activación de roles, verá una lista de solicitudes pendientes de su aprobación.

Visualización de solicitudes pendientes mediante Microsoft Graph API

Solicitud HTTP

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval' 

Respuesta HTTP

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest", 
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", 
            "status": "PendingApproval", 
            "createdDateTime": "2021-07-15T19:57:17.76Z", 
            "completedDateTime": "2021-07-15T19:57:17.537Z", 
            "approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", 
            "customData": null, 
            "action": "SelfActivate", 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "d96ea738-3b95-4ae7-9e19-78a083066d5b" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": null, 
                "recurrence": null, 
                "expiration": { 
                    "type": "afterDuration", 
                    "endDateTime": null, 
                    "duration": "PT5H30M" 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        } 
    ] 
} 

Aprobar solicitudes

Nota

Los aprobadores no pueden aprobar sus propias solicitudes de activación de roles.

  1. Busque y seleccione la solicitud que desea aprobar. Aparece una página aprobar o denegar.
  2. En el cuadro Justificación, escriba la justificación empresarial.
  3. Seleccione Submit (Enviar). Recibirá una notificación de Azure de su aprobación.

Aprobación de solicitudes pendientes mediante Microsoft Graph API

Nota:

La aprobación de solicitudes de ampliación y renovación no es compatible actualmente con Microsoft Graph API

Obtención de los id. para los pasos que requieren aprobación

En el caso de una solicitud de activación específica, este comando obtiene todos los pasos de aprobación que es necesario aprobar. Actualmente no se admiten aprobaciones de varios pasos.

Solicitud HTTP

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID> 

Respuesta HTTP

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity", 
    "id": "<request-ID-GUID>",
    "steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps", 
    "steps": [ 
        { 
            "id": "<approval-step-ID-GUID>", 
            "displayName": null, 
            "reviewedDateTime": null, 
            "reviewResult": "NotReviewed", 
            "status": "InProgress", 
            "assignedToMe": true, 
            "justification": "", 
            "reviewedBy": null 
        } 
    ] 
} 

Aprobación del paso de solicitud de activación

Solicitud HTTP

PATCH 
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID> 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

Respuesta HTTP

Las llamadas PATCH correctas generan una respuesta vacía.

Denegar solicitudes

  1. Busque y seleccione la solicitud que desea aprobar. Aparece una página aprobar o denegar.
  2. En el cuadro Justificación, escriba la justificación empresarial.
  3. Seleccione Denegar. Aparecerá una notificación con su denegación.

Notificaciones de flujo de trabajo

A continuación proporcionamos información sobre las notificaciones de flujo de trabajo:

  • Los aprobadores reciben una notificación por correo cuando una solicitud de un rol está pendiente de su revisión. Las notificaciones por correo electrónico incluyen un vínculo directo a la solicitud donde el aprobador puede aprobarla o rechazarla.
  • Las solicitudes las resuelve el primer aprobador que aprueba o rechaza.
  • Cuando un aprobador responde a la solicitud, se notifica a todos los aprobadores de la acción.
  • Los administradores globales y los administradores de roles con privilegios reciben una notificación cuando un usuario aprobado se activa en su rol.

Nota:

Un administrador global o administrador de roles con privilegios que considere que un usuario aprobado no debe estar activo puede quitar la asignación de roles activa en Privileged Identity Management. Aunque los administradores no reciben notificaciones de solicitudes pendientes a menos que sean aprobadores, pueden ver y cancelar todas las solicitudes pendientes de todos los usuarios, para lo cual deben dirigirse a las solicitudes pendientes en Privileged Identity Management.

Pasos siguientes