Aprovar ou negar solicitações para funções do Azure AD no Privileged Identity Management

Com o PIM (Privileged Identity Management) no Azure AD (Azure Active Directory), parte do Microsoft Entra, você pode configurar funções para exigir aprovação para ativação e escolher um ou vários usuários ou grupos como aprovadores delegados. Os aprovadores representantes têm 24 horas para aprovar as solicitações. Se a solicitação não for aprovada dentro de 24 horas, o usuário qualificado deverá enviar outra. A janela de tempo de aprovação de 24 horas não é configurável.

Exibir solicitações pendentes

Como um aprovador delegado, você receberá uma notificação por email quando uma solicitação de função do Azure AD estiver aguardando a aprovação. Você pode exibir essas solicitações pendentes no Privileged Identity Management.

  1. Entre no portal do Azure.

  2. Abra o Azure AD Privileged Identity Management.

  3. Selecione Aprovar solicitações.

    Aprovar solicitações – página mostrando solicitação para examinar as funções do Azure AD

    Na seção Solicitações para ativações de função você verá uma lista de solicitações aguardando a aprovação.

Exibir solicitações pendentes usando a API do Microsoft Graph

Solicitação HTTP

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval' 

Resposta HTTP

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest", 
            "id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "status": "PendingApproval", 
            "createdDateTime": "2021-07-15T19:57:17.76Z", 
            "completedDateTime": "2021-07-15T19:57:17.537Z", 
            "approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "customData": null, 
            "action": "SelfActivate", 
            "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
            "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "d96ea738-3b95-4ae7-9e19-78a083066d5b" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": null, 
                "recurrence": null, 
                "expiration": { 
                    "type": "afterDuration", 
                    "endDateTime": null, 
                    "duration": "PT5H30M" 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        } 
    ] 
} 

Aprovar solicitações

Observação

Os aprovadores não podem aprovar as próprias solicitações de ativação de função.

  1. Localize e selecione a solicitação que você quer aprovar. Uma página para aprovar ou negar é exibida.

    Captura de tela que mostra a página

  2. Na caixa Justificativa, insira a justificativa comercial.

  3. Selecione Aprovar. Você receberá uma notificação do Azure de sua aprovação.

    Notificação de aprovação mostrando que a solicitação foi aprovada

Aprovar solicitações pendentes usando a API do Microsoft Graph

Obter IDs para as etapas que exigem aprovação

Para uma solicitação de ativação específica, esse comando obtém todas as etapas de aprovação que precisam de aprovação. Não há suporte para aprovações de várias etapas atualmente.

Solicitação HTTP

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID> 

Resposta HTTP

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity", 
    "id": "<request-ID-GUID>",
    "steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps", 
    "steps": [ 
        { 
            "id": "<approval-step-ID-GUID>", 
            "displayName": null, 
            "reviewedDateTime": null, 
            "reviewResult": "NotReviewed", 
            "status": "InProgress", 
            "assignedToMe": true, 
            "justification": "", 
            "reviewedBy": null 
        } 
    ] 
} 

Aprovar a etapa de solicitação de ativação

Solicitação HTTP

PATCH 
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID> 
{ 
    "reviewResult": "Approve", 
    "justification": "abcdefg" 
} 

Resposta HTTP

As chamadas de PATCH bem-sucedidas geram uma resposta vazia.

Negar solicitações

  1. Localize e selecione a solicitação que você quer negar. Uma página para aprovar ou negar é exibida.

    Aprovar solicitações – painel aprovar ou negar com detalhes e caixa Justificativa

  2. Na caixa Justificativa, insira a justificativa comercial.

  3. Selecione Negar. Uma notificação é exibida com a negação.

Notificações de fluxo de trabalho

Veja algumas informações sobre notificações de fluxo de trabalho:

  • Os aprovadores são notificados por email quando uma solicitação para uma função está aguardando revisão. As notificações por email incluem um link direto para a solicitação no qual o aprovador pode aprovar ou negar.
  • As solicitações são resolvidas pelo primeiro aprovador que aprova ou nega.
  • Quando um aprovador responde à solicitação, todos os aprovadores são notificados da ação.
  • Administradores globais e administradores de função privilegiada são notificados quando um usuário aprovado se torna ativo em sua função.

Observação

Um administrador global ou administrador de função com privilégios que acredita que um usuário aprovado não deve estar ativo pode remover a atribuição de função ativa em Privileged Identity Management. Embora os administradores não sejam notificados de solicitações pendentes a menos que sejam aprovadores, eles podem exibir e cancelar solicitações pendentes de todos os usuários exibindo solicitações pendentes no Privileged Identity Management.

Próximas etapas