Approuver ou rejeter des demandes de rôles de ressources Microsoft Entra dans Privileged Identity Management
Avec Privileged Identity Management (PIM) dans Microsoft Entra ID, vous pouvez configurer des rôles afin d’exiger une approbation pour les activations. Vous pouvez également choisir un ou plusieurs utilisateurs ou groupes en tant qu’approbateurs délégués. Les approbateurs délégués ont 24 heures pour approuver les demandes. Si une requête n’est pas approuvée sous 24 heures, l’utilisateur éligible doit soumettre une nouvelle requête. Le délai d’approbation de 24 heures n’est pas configurable.
Afficher les demandes en attente
Conseil
Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.
En tant qu’approbateur délégué, vous recevez une notification par e-mail quand une demande de rôle de ressource Microsoft Entra est en attente d’approbation. Ces demandes en attente sont affichées dans Privileged Identity Management.
Connectez-vous au centre d’administration Microsoft Entra.
Accédez à Gouvernance des identités>Privileged Identity Management>Approuver les demandes.
Dans la section Demandes d’activations de rôles, vous voyez la liste des demandes en attente d’approbation.
Voir les demandes en attente à l’aide de l’API Microsoft Graph
Demande HTTP
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
Réponse HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"customData": null,
"action": "SelfActivate",
"principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Approuver les demandes
Notes
Les approbateurs ne peuvent pas approuver leurs propres requêtes d’activation de rôle.
- Recherchez et sélectionnez la demande que vous souhaitez approuver. Une page Approuver ou rejeter s’affiche.
- Dans la zoneJustification, entrez la justification professionnelle.
- Sélectionnez Soumettre. Vous allez recevoir une notification Azure de votre approbation.
Approuver les demandes en attente à l’aide de l’API Microsoft Graph
Remarque
L’approbation des demandes d’extension et de renouvellement n’est actuellement pas prise en charge par l’API Microsoft Graph
Obtenir les ID des étapes qui nécessitent une approbation
Pour une demande d’activation spécifique, cette commande obtient toutes les étapes d’approbation nécessaires. Les approbations par étapes ne sont pas prises en charge actuellement.
Demande HTTP
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
Réponse HTTP
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Approuver l’étape de demande d’activation
Demande HTTP
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
Réponse HTTP
Les appels PATCH réussis génèrent une réponse vide.
Refuser des demandes
- Recherchez et sélectionnez la demande que vous souhaitez approuver. Une page Approuver ou rejeter s’affiche.
- Dans la zoneJustification, entrez la justification professionnelle.
- Sélectionner Rejeter. Une notification s’affiche avec votre refus.
Notifications de flux de travail
Voici quelques informations sur les notifications de flux de travail :
- Les approbateurs sont avertis par courrier électronique lorsqu’une demande concernant un rôle est en attente de leur examen. Les notifications par e-mail comportent un lien direct vers la demande, grâce auquel l’approbateur peut approuver ou refuser cette demande.
- Les demandes sont traitées par le premier approbateur qui les approuve ou les rejette.
- Lorsqu’un approbateur répond à la demande, tous les approbateurs sont informés de l’action.
- Les Administrateurs généraux et les Administrateurs de rôle privilégié sont avertis de l’activation d’un utilisateur approuvé dans leur rôle.
Notes
Un Administrateur général ou un Administrateur de rôle privilégié qui estime qu’un utilisateur approuvé ne doit pas être actif peut supprimer l’attribution du rôle actif dans Privileged Identity Management. Bien que les administrateurs ne soient informés des demandes en attente que s’ils sont approbateurs, ils peuvent voir et annuler toute demande en attente des utilisateurs en affichant les demandes en attente dans Privileged Identity Management.