Menyetujui atau menolak permintaan untuk peran Microsoft Entra dalam Privileged Identity Management
Dengan Privileged Identity Management (PIM) di MICROSOFT Entra ID, Anda dapat mengonfigurasi peran untuk memerlukan persetujuan untuk aktivasi, dan memilih satu atau beberapa pengguna atau grup sebagai pemberi izin yang didelegasikan. Pemberi persetujuan yang didelegasikan memiliki waktu 24 jam untuk menyetujui permintaan. Jika permintaan tidak disetujui dalam waktu 24 jam, maka pengguna yang memenuhi syarat harus mengirimkan ulang permintaan baru. Jendela waktu persetujuan 24 jam tidak dapat dikonfigurasi.
Melihat permintaan tertunda
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Sebagai pemberi izin yang didelegasikan, Anda menerima pemberitahuan email saat permintaan peran Microsoft Entra menunggu persetujuan Anda. Anda dapat melihat permintaan yang tertunda ini dalam Privileged Identity Management.
Masuk ke Pusat Admin Microsoft Entra.
Telusuri tata kelola>identitas Privileged Identity Management>Menyetujui permintaan.
Di bagian Permintaan aktivasi peran, Anda akan melihat daftar permintaan yang menunggu persetujuan Anda.
Menampilkan permintaan yang tertunda menggunakan API Microsoft Graph
Permintaan HTTP
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
Respons HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"customData": null,
"action": "SelfActivate",
"principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Menyetujui permintaan
Catatan
Pemberi persetujuan tidak dapat menyetujui permintaan aktivasi peran mereka sendiri.
- Temukan dan pilih permintaan yang ingin Anda setujui. Halaman menyetujui atau menolak muncul.
- Di kotak Justifikasi, masukkan justifikasi bisnis.
- Pilih kirim. Anda akan menerima pemberitahuan Azure atas persetujuan Anda.
Menyetujui permintaan yang tertunda menggunakan API Microsoft Graph
Catatan
Persetujuan untuk permintaan perpanjangan dan perpanjangan saat ini tidak didukung oleh Microsoft Graph API
Mendapatkan ID untuk langkah-langkah yang memerlukan persetujuan
Untuk permintaan aktivasi tertentu, perintah ini mendapatkan semua langkah persetujuan yang memerlukan persetujuan. Persetujuan multi-langkah saat ini tidak didukung.
Permintaan HTTP
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
Respons HTTP
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Menyetujui langkah permintaan aktivasi
Permintaan HTTP
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
Respons HTTP
Panggilan PATCH yang berhasil menghasilkan respons kosong.
Menolak permintaan
- Temukan dan pilih permintaan yang ingin Anda setujui. Halaman menyetujui atau menolak muncul.
- Di kotak Justifikasi, masukkan justifikasi bisnis.
- Pilih Tolak. Pemberitahuan muncul dengan penolakan Anda.
Pemberitahuan alur kerja
Berikut ini beberapa informasi tentang pemberitahuan alur kerja:
- Pemberi izin diberitahu melalui email ketika permintaan peran tertunda peninjauannya. Pemberitahuan email menyertakan tautan langsung ke permintaan, di mana pemberi izin dapat menyetujui atau menolak.
- Permintaan diselesaikan oleh pemberi izin pertama yang menyetujui atau menolak.
- Saat pemberi izin menanggapi permintaan, semua pemberi izin akan diberi tahu tentang tindakan tersebut.
- Admin global dan admin peran Istimewa diberi tahu ketika pengguna yang disetujui menjadi aktif dalam peran mereka.
Catatan
Administrator Global atau admin peran Istimewa yang percaya bahwa pengguna yang disetujui tidak boleh aktif dapat menghapus penetapan peran aktif di Privileged Identity Management. Meskipun administrator tidak diberitahu tentang permintaan yang tertunda kecuali mereka adalah pemberi izin, mereka dapat melihat dan membatalkan permintaan yang tertunda untuk semua pengguna dengan melihat permintaan yang tertunda dalam Privileged Identity Management.