Approuver ou rejeter des requêtes de rôles de ressources Azure AD dans Privileged Identity Management

Article
12/13/2023

Microsoft Entra Privileged Identity Management (PIM) vous permet de configurer des rôles pour exiger une approbation pour les activations, et désigner des utilisateurs ou groupes de votre organisation Microsoft Entra comme approbateurs délégués. Nous vous recommandons de sélectionner plusieurs approbateurs pour chaque rôle afin de réduire la charge de travail pour l’administrateur de rôle privilégié. Les approbateurs délégués ont 24 heures pour approuver les demandes. Si une requête n’est pas approuvée sous 24 heures, l’utilisateur éligible doit soumettre une nouvelle requête. Le délai d’approbation de 24 heures n’est pas configurable.

Suivez les étapes décrites dans cet article pour approuver ou refuser des demandes de rôles de ressources Azure.

Afficher les demandes en attente

En tant qu’approbateur délégué, vous recevez une notification par e-mail quand une demande de rôle de ressource Azure est en attente d’approbation. Ces demandes en attente sont affichées dans Privileged Identity Management.

Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de rôle privilégié.
Accédez à Gouvernance des identités>Privileged Identity Management>Approuver les demandes.

Dans la section Demandes d’activations de rôles, vous voyez la liste des demandes en attente d’approbation.

Approuver les demandes

Recherchez et sélectionnez la demande que vous souhaitez approuver. Une page Approuver ou rejeter s’affiche.
Dans la zoneJustification, entrez la justification professionnelle.
Sélectionnez Approuver. Vous allez recevoir une notification Azure de votre approbation.

Approuver les requêtes en attente à l’aide de l’API ARM de Microsoft

Remarque

L’approbation des requêtes d’extension et de renouvellement n’est actuellement pas prise en charge par l’API ARM de Microsoft

Obtenir les ID des étapes qui nécessitent une approbation

Pour obtenir les détails de n’importe quelle étape de l’approbation d’une attribution de rôle, vous pouvez utiliser l’API REST Étape d’approbation d’attribution de rôle : obtenir par ID.

Requête HTTP

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview

Approuver l’étape de demande d’activation

Demande HTTP

PATCH 
PATCH https://management.azure.com/providers/Microsoft.Authorization/roleAssignmentApprovals/{approvalId}/stages/{stageId}?api-version=2021-01-01-preview 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
}

Réponse HTTP

Les appels PATCH réussis génèrent une réponse vide.

Pour plus d’informations, consultez Utiliser les approbations d’attribution de rôle pour approuver les requêtes d’activation de rôle PIM avec l’API REST

Refuser des demandes

Recherchez et sélectionnez la demande que vous souhaitez approuver. Une page Approuver ou rejeter s’affiche.
Dans la zoneJustification, entrez la justification professionnelle.
Sélectionner Rejeter. Une notification s’affiche avec votre refus.

Notifications de flux de travail

Voici quelques informations sur les notifications de flux de travail :

Les approbateurs sont avertis par courrier électronique lorsqu’une demande concernant un rôle est en attente de leur examen. Les notifications par e-mail comportent un lien direct vers la demande, grâce auquel l’approbateur peut approuver ou refuser cette demande.
Les demandes sont traitées par le premier approbateur qui les approuve ou les rejette.
Lorsqu’un approbateur répond à la demande, tous les approbateurs sont informés de l’action.
Les administrateurs de ressources sont avertis de l’activation d’un utilisateur approuvé dans leur rôle.