Aanvragen voor Microsoft Entra-rollen goedkeuren of weigeren in Privileged Identity Management
Met Privileged Identity Management (PIM) in Microsoft Entra ID kunt u rollen configureren om goedkeuring te vereisen voor activering en een of meerdere gebruikers of groepen kiezen als gedelegeerde goedkeurders. Gedelegeerde goedkeurders hebben 24 uur de tijd om aanvragen goed te keuren. Als een aanvraag niet binnen 24 uur wordt goedgekeurd, moet de in aanmerking komende gebruiker een nieuwe aanvraag opnieuw indienen. Het goedkeuringstijdvenster van 24 uur kan niet worden geconfigureerd.
Aanvragen in behandeling weergeven
Tip
Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.
Als gedelegeerde fiatteur ontvangt u een e-mailmelding wanneer een Microsoft Entra-rolaanvraag in behandeling is voor uw goedkeuring. U kunt deze aanvragen in behandeling bekijken in Privileged Identity Management.
Meld u aan bij het Microsoft Entra-beheercentrum.
Blader naar Aanvragen voor identiteitsbeheer>privileged identity management>goedkeuren.
In de sectie Aanvragen voor rolactivering ziet u een lijst met aanvragen die wachten op uw goedkeuring.
Wachtende aanvragen weergeven met behulp van Microsoft Graph API
HTTP-aanvraag
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
HTTP-antwoord
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"customData": null,
"action": "SelfActivate",
"principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Aanvragen goedkeuren
Notitie
Goedkeurders kunnen hun eigen aanvragen voor rolactivering niet goedkeuren.
- Zoek en selecteer de aanvraag die u wilt goedkeuren. Er wordt een goedkeurings- of weigeringspagina weergegeven.
- Voer in het vak Uitvullen de zakelijke reden in.
- Selecteer Indienen. U ontvangt een Azure-melding van uw goedkeuring.
Wachtende aanvragen goedkeuren met behulp van Microsoft Graph API
Notitie
Goedkeuring voor verlengings- en verlengingsaanvragen wordt momenteel niet ondersteund door de Microsoft Graph API
Id's ophalen voor de stappen waarvoor goedkeuring is vereist
Voor een specifieke activeringsaanvraag haalt deze opdracht alle goedkeuringsstappen op die goedkeuring nodig hebben. Goedkeuringen voor meerdere stappen worden momenteel niet ondersteund.
HTTP-aanvraag
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
HTTP-antwoord
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
De stap voor de activeringsaanvraag goedkeuren
HTTP-aanvraag
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP-antwoord
Geslaagde PATCH-aanroepen genereren een leeg antwoord.
Aanvragen weigeren
- Zoek en selecteer de aanvraag die u wilt goedkeuren. Er wordt een goedkeurings- of weigeringspagina weergegeven.
- Voer in het vak Uitvullen de zakelijke reden in.
- Selecteer Weigeren. Er wordt een melding weergegeven met uw weigering.
Werkstroommeldingen
Hier vindt u informatie over werkstroommeldingen:
- Goedkeurders worden per e-mail op de hoogte gesteld wanneer een aanvraag voor een rol in behandeling is. E-mailmeldingen bevatten een directe koppeling naar de aanvraag, waar de fiatteur kan goedkeuren of weigeren.
- Aanvragen worden opgelost door de eerste fiatteur die goedkeurt of weigert.
- Wanneer een fiatteur reageert op de aanvraag, worden alle goedkeurders op de hoogte gesteld van de actie.
- Globale beheerders en beheerders met bevoorrechte rollen worden op de hoogte gesteld wanneer een goedgekeurde gebruiker actief wordt in hun rol.
Notitie
Een globale Beheer beheerder of beheerder met bevoorrechte rollen die van mening is dat een goedgekeurde gebruiker niet actief mag zijn, kan de actieve roltoewijzing in Privileged Identity Management verwijderen. Hoewel beheerders niet op de hoogte worden gesteld van aanvragen die in behandeling zijn, tenzij ze een fiatteur zijn, kunnen ze alle aanvragen voor alle gebruikers bekijken en annuleren door openstaande aanvragen in Privileged Identity Management weer te geven.