Share via


Approvare o negare le richieste per i ruoli di Microsoft Entra in Privileged Identity Management

Con Privileged Identity Management (PIM) in Microsoft Entra ID è possibile configurare i ruoli per richiedere l'approvazione per l'attivazione e scegliere uno o più utenti o gruppi come responsabili approvazione delegati. I responsabili approvazione delegati hanno 24 ore di tempo per approvare le richieste. Se una richiesta non viene approvata entro 24 ore, l'utente idoneo deve inviare nuovamente una nuova richiesta. L'intervallo di tempo di approvazione di 24 ore non è configurabile.

Visualizzare le richieste in sospeso

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

In qualità di responsabile approvazione delegato, si riceve una notifica tramite posta elettronica quando una richiesta di ruolo Microsoft Entra è in attesa dell'approvazione. È possibile visualizzare queste richieste in sospeso in Privileged Identity Management.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Passare a Identity Governance>Privileged Identity Management>Approva le richieste.

    Screenshot che mostra la pagina approva le richieste che mostra la richiesta di esaminare i ruoli di Microsoft Entra.

    Nella sezione Requests for role activations (Richieste di attivazioni di ruoli) verrà visualizzato un elenco di richieste in attesa di approvazione.

Visualizzare le richieste in sospeso usando l'API Microsoft Graph

Richiesta HTTP

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval' 

Risposta HTTP

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest", 
            "id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "status": "PendingApproval", 
            "createdDateTime": "2021-07-15T19:57:17.76Z", 
            "completedDateTime": "2021-07-15T19:57:17.537Z", 
            "approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "customData": null, 
            "action": "SelfActivate", 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "d96ea738-3b95-4ae7-9e19-78a083066d5b" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": null, 
                "recurrence": null, 
                "expiration": { 
                    "type": "afterDuration", 
                    "endDateTime": null, 
                    "duration": "PT5H30M" 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        } 
    ] 
} 

Approvare le richieste

Nota

I responsabili approvazione non sono in grado di approvare le proprie richieste di attivazione del ruolo.

  1. Trovare e selezionare la richiesta da approvare. Viene visualizzata una pagina approva o nega.
  2. Nella casella Giustificazione immettere la motivazione aziendale.
  3. Selezionare Invia. Si riceverà una notifica di Azure dell'approvazione.

Approvare le richieste in sospeso tramite l'API Microsoft Graph

Nota

L'approvazione per le richieste di estensione e rinnovo non è attualmente supportata dall'API Microsoft Graph

Ottenere gli ID per i passaggi che richiedono l'approvazione

Per una richiesta di attivazione specifica, questo comando ottiene tutti i passaggi di approvazione che richiedono l'approvazione. Le approvazioni in più passaggi non sono attualmente supportate.

Richiesta HTTP

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID> 

Risposta HTTP

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity", 
    "id": "<request-ID-GUID>",
    "steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps", 
    "steps": [ 
        { 
            "id": "<approval-step-ID-GUID>", 
            "displayName": null, 
            "reviewedDateTime": null, 
            "reviewResult": "NotReviewed", 
            "status": "InProgress", 
            "assignedToMe": true, 
            "justification": "", 
            "reviewedBy": null 
        } 
    ] 
} 

Approvare il passaggio della richiesta di attivazione

Richiesta HTTP

PATCH 
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID> 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

Risposta HTTP

Le chiamate PATCH riuscite generano una risposta vuota.

Rifiutare le richieste

  1. Trovare e selezionare la richiesta da approvare. Viene visualizzata una pagina approva o nega.
  2. Nella casella Giustificazione immettere la motivazione aziendale.
  3. Seleziona Nega. Viene visualizzata una notifica con la negazione.

Notifiche dei flussi di lavoro

Ecco alcune informazioni sulle notifiche del flusso di lavoro:

  • I Responsabili di approvazione ricevono una notifica tramite posta elettronica quando una richiesta per un ruolo è in attesa di revisione. Le notifiche tramite posta elettronica includono un collegamento diretto alla richiesta, in cui il Responsabile di approvazione può approvare o rifiutare la richiesta.
  • Le richieste vengono risolte dal primo Responsabile di approvazione che approva o rifiuta la richiesta.
  • Quando un Responsabile di approvazione risponde alla richiesta, tutti i Responsabili di approvazione ricevono una notifica dell'azione.
  • Gli Amministratori globali e gli Amministratori con ruoli con privilegi ricevono una notifica quando un utente approvato diventa attivo nel loro ruolo.

Nota

Un amministratore globale Amministrazione istrator o con ruolo con privilegi che ritiene che un utente approvato non debba essere attivo può rimuovere l'assegnazione di ruolo attiva in Privileged Identity Management. Anche se gli amministratori non ricevono notifiche di richieste in sospeso a meno che non siano responsabili approvazione, possono visualizzare e annullare eventuali richieste in sospeso per tutti gli utenti visualizzando le richieste in sospeso in Privileged Identity Management.

Passaggi successivi