Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Privileged Identity Management (PIM) dans Microsoft Entra ID vous permet de configurer des rôles afin d’exiger une approbation pour les activations. Vous pouvez également choisir un ou plusieurs utilisateurs ou groupes en tant qu’approbateurs délégués. Les approbateurs délégués ont 24 heures pour approuver les demandes. Si une requête n’est pas approuvée sous 24 heures, l’utilisateur éligible doit soumettre une nouvelle requête. Le délai d’approbation de 24 heures n’est pas configurable.
Afficher les demandes en attente
En tant qu’approbateur délégué, vous recevez une notification par e-mail quand une demande de rôle de ressource Microsoft Entra est en attente d’approbation. Ces demandes en attente sont affichées dans Privileged Identity Management.
Connectez-vous au Centre d’administration Microsoft Entra.
Accédez à Gouvernance d'ID>Gestion des identités privilégiées>Approuver les demandes.
Dans la section Demandes d’activations de rôle , vous pouvez voir la liste des demandes en attente de votre approbation.
Voir les demandes en attente à l’aide de l’API Microsoft Graph
Demande HTTP
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
Réponse HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"customData": null,
"action": "SelfActivate",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Approuver les demandes
Notes
Les approbateurs ne peuvent pas approuver leurs propres demandes d’activation de rôle. En outre, les principaux de service ne sont pas autorisés à approuver les demandes.
- Recherchez et sélectionnez la demande que vous souhaitez approuver. Une page Approuver ou rejeter s’affiche.
- Dans la zone Justification , entrez la justification commerciale.
- Sélectionnez Envoyer. À ce stade, le système envoie une notification Azure de votre approbation.
Approuver les demandes en attente à l’aide de l’API Microsoft Graph
Notes
L’approbation des demandes d’extension et de renouvellement n’est actuellement pas prise en charge par l’API Microsoft Graph
Obtenir les ID des étapes qui nécessitent une approbation
Pour une demande d’activation spécifique, cette commande obtient toutes les étapes d’approbation nécessaires. Les approbations par étapes ne sont pas prises en charge actuellement.
Demande HTTP
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
Réponse HTTP
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Approuver l’étape de demande d’activation
Demande HTTP
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
Réponse HTTP
Les appels PATCH réussis génèrent une réponse vide.
Refuser des demandes
- Recherchez et sélectionnez la demande que vous souhaitez approuver. Une page Approuver ou rejeter s’affiche.
- Dans la zone Justification , entrez la justification commerciale.
- Sélectionnez Refuser. Une notification s’affiche avec votre refus.
Notifications de flux de travail
Voici quelques informations sur les notifications de flux de travail :
- Les approbateurs sont avertis par courrier électronique lorsqu’une demande concernant un rôle est en attente de leur examen. Les notifications par e-mail comportent un lien direct vers la demande, grâce auquel l’approbateur peut approuver ou refuser cette demande.
- Les demandes sont traitées par le premier approbateur qui les approuve ou les rejette.
- Tous les approbateurs sont informés lorsqu’un approbateur répond à une demande d’approbation.
- Les administrateurs généraux et les administrateurs de rôle privilégié sont avertis de l’activation d’un(e) utilisateur(-trice) approuvé(e) dans leur rôle.
Notes
Un administrateur général ou un administrateur de rôle privilégié qui croit qu’un utilisateur approuvé ne doit pas être actif peut supprimer l’attribution de rôle active dans Privileged Identity Management. Bien que les administrateurs ne soient pas avertis des demandes en attente, sauf s’ils sont approbateurs, ils peuvent afficher et annuler toutes les demandes en attente pour tous les utilisateurs en affichant les demandes en attente dans Privileged Identity Management.