Condividi tramite


Approvare o rifiutare le richieste per i ruoli di Microsoft Entra in Privileged Identity Management

Con Privileged Identity Management (PIM) in Microsoft Entra ID è possibile configurare ruoli per richiedere l'approvazione per l'attivazione e scegliere uno o più utenti o gruppi come responsabili dell'approvazione con delega. I responsabili approvazione delegati hanno 24 ore di tempo per approvare le richieste. Se una richiesta non viene approvata entro 24 ore, l'utente idoneo deve inviare una nuova richiesta. L'intervallo di tempo di 24 ore per l'approvazione non è configurabile.

Visualizzare le richieste in sospeso

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.

In qualità di responsabile approvazione delegato, si riceverà una notifica di posta elettronica quando una richiesta di ruolo di Microsoft Entra è in attesa di approvazione. È possibile visualizzare queste richieste in sospeso in Privileged Identity Management.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Andare a Identity Governance>Privileged Identity Management>Approva richieste.

    Screenshot che mostra la pagina di approvazione delle richieste con la richiesta di rivedere i ruoli di Microsoft Entra.

    Nella sezione Requests for role activations (Richieste di attivazioni di ruoli) verrà visualizzato un elenco di richieste in attesa di approvazione.

Visualizzare le richieste in sospeso usando l'API Microsoft Graph

Richiesta HTTP

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval' 

Risposta HTTP

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest", 
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", 
            "status": "PendingApproval", 
            "createdDateTime": "2021-07-15T19:57:17.76Z", 
            "completedDateTime": "2021-07-15T19:57:17.537Z", 
            "approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", 
            "customData": null, 
            "action": "SelfActivate", 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "d96ea738-3b95-4ae7-9e19-78a083066d5b" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": null, 
                "recurrence": null, 
                "expiration": { 
                    "type": "afterDuration", 
                    "endDateTime": null, 
                    "duration": "PT5H30M" 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        } 
    ] 
} 

Approvare le richieste

Nota

I responsabili approvazione non possono approvare le proprie richieste di attivazione del ruolo.

  1. Trovare e selezionare la richiesta che si intende approvare. Viene visualizzata una pagina di approvazione o rifiuto.
  2. Nella casella Giustificazione, immettere la motivazione aziendale.
  3. Selezionare Invia. Si riceverà una notifica di avvenuta approvazione da parte di Azure.

Approvare le richieste in sospeso usando l'API Microsoft Graph

Nota

L'approvazione per estendere e rinnovare le richieste non è attualmente supportata dall'API Microsoft Graph

Ottenere gli ID per i passaggi che richiedono l'approvazione

Per una richiesta di attivazione specifica, questo comando consente di ottenere tutti i passaggi di approvazione che richiedono l'approvazione. Le approvazioni in più passaggi non sono attualmente supportate.

Richiesta HTTP

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID> 

Risposta HTTP

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity", 
    "id": "<request-ID-GUID>",
    "steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps", 
    "steps": [ 
        { 
            "id": "<approval-step-ID-GUID>", 
            "displayName": null, 
            "reviewedDateTime": null, 
            "reviewResult": "NotReviewed", 
            "status": "InProgress", 
            "assignedToMe": true, 
            "justification": "", 
            "reviewedBy": null 
        } 
    ] 
} 

Approvare il passaggio della richiesta di attivazione

Richiesta HTTP

PATCH 
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID> 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

Risposta HTTP

Le chiamate PATCH riuscite generano una risposta vuota.

Rifiutare le richieste

  1. Trovare e selezionare la richiesta che si intende approvare. Viene visualizzata una pagina di approvazione o rifiuto.
  2. Nella casella Giustificazione, immettere la motivazione aziendale.
  3. Seleziona Nega. Viene visualizzata una notifica con la negazione.

Notifiche dei flussi di lavoro

Ecco alcune informazioni sulle notifiche del flusso di lavoro:

  • I Responsabili di approvazione ricevono una notifica tramite posta elettronica quando una richiesta per un ruolo è in attesa di revisione. Le notifiche tramite posta elettronica includono un collegamento diretto alla richiesta, in cui il Responsabile di approvazione può approvare o rifiutare la richiesta.
  • Le richieste vengono risolte dal primo Responsabile di approvazione che approva o rifiuta la richiesta.
  • Quando un Responsabile di approvazione risponde alla richiesta, tutti i Responsabili di approvazione ricevono una notifica dell'azione.
  • Gli amministratori globali e dei ruoli con privilegi ricevono una notifica quando un utente approvato diventa attivo nel ruolo.

Nota

Un amministratore globale o un amministratore ruolo con privilegi che ritiene che un utente approvato non debba essere attivo può rimuovere l'assegnazione di ruolo attivo in Privileged Identity Management. Gli amministratori non ricevono una notifica delle richieste in sospeso a meno che non siano responsabili approvazione, ma possono comunque visualizzare e annullare eventuali richieste in sospeso per tutti gli utenti visualizzandole in Privileged Identity Management.

Passaggi successivi