Aprovar ou negar solicitações para funções do Microsoft Entra no Privileged Identity Management
Com o PIM (Privileged Identity Management) no Microsoft Entra ID, você pode configurar funções para exigir aprovação para ativação e escolher um ou vários usuários ou grupos como aprovadores delegados. Os aprovadores representantes têm 24 horas para aprovar as solicitações. Se uma solicitação não for aprovada em 24 horas, o usuário qualificado deverá enviar novamente uma nova solicitação. A janela de tempo de aprovação de 24 horas não é configurável.
Exibir solicitações pendentes
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Como um aprovador delegado, você receberá uma notificação por email quando uma solicitação de função do Microsoft Entra estiver aguardando a aprovação. Você pode exibir essas solicitações pendentes no Privileged Identity Management.
Navegue até Governança de identidade>Privileged Identity Management>Aprovar solicitações.
Na seção Solicitações para ativações de função você verá uma lista de solicitações aguardando a aprovação.
Exibir solicitações pendentes usando a API do Microsoft Graph
Solicitação HTTP
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
Resposta HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"customData": null,
"action": "SelfActivate",
"principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Aprovar solicitações
Observação
Os aprovadores não podem aprovar as próprias solicitações de ativação de função.
- Localize e selecione a solicitação que você quer aprovar. Uma página para aprovar ou negar é exibida.
- Na caixa Justificativa, insira a justificativa comercial.
- Selecione Enviar. Você receberá uma notificação do Azure de sua aprovação.
Aprovar solicitações pendentes usando a API do Microsoft Graph
Observação
Atualmente, a aprovação de solicitações de prorrogação e renovação não é compatível com a API do Microsoft Graph
Obter IDs para as etapas que exigem aprovação
Para uma solicitação de ativação específica, esse comando obtém todas as etapas de aprovação que precisam de aprovação. Não há suporte para aprovações de várias etapas atualmente.
Solicitação HTTP
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
Resposta HTTP
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Aprovar a etapa de solicitação de ativação
Solicitação HTTP
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
Resposta HTTP
As chamadas de PATCH bem-sucedidas geram uma resposta vazia.
Negar solicitações
- Localize e selecione a solicitação que você quer aprovar. Uma página para aprovar ou negar é exibida.
- Na caixa Justificativa, insira a justificativa comercial.
- Selecione Negar. Uma notificação é exibida com a negação.
Notificações de fluxo de trabalho
Veja algumas informações sobre notificações de fluxo de trabalho:
- Os aprovadores são notificados por email quando uma solicitação para uma função está aguardando revisão. As notificações por email incluem um link direto para a solicitação no qual o aprovador pode aprovar ou negar.
- As solicitações são resolvidas pelo primeiro aprovador que aprova ou nega.
- Quando um aprovador responde à solicitação, todos os aprovadores são notificados da ação.
- Administradores globais e administradores de função privilegiada são notificados quando um usuário aprovado se torna ativo em sua função.
Observação
Um Administrador Global ou administrador de função com privilégios que acredita que um usuário aprovado não deve estar ativo pode remover a atribuição de função ativa no Privileged Identity Management. Embora os administradores não sejam notificados de solicitações pendentes a menos que sejam aprovadores, eles podem exibir e cancelar solicitações pendentes de todos os usuários exibindo solicitações pendentes no Privileged Identity Management.