Aprovar ou negar pedidos de funções de Azure AD no Privileged Identity Management

Com Privileged Identity Management (PIM) no Azure Active Directory (Azure AD), parte do Microsoft Entra, pode configurar funções para exigir aprovação para ativação e escolher um ou vários utilizadores ou grupos como aprovadores delegados. Os aprovadores delegados têm 24 horas para aprovar pedidos. Se um pedido não for aprovado dentro de 24 horas, o utilizador elegível terá de submeter novamente um novo pedido. O período de tempo de aprovação de 24 horas não é configurável.

Ver pedidos pendentes

Como aprovador delegado, receberá uma notificação por e-mail quando um pedido de função Azure AD estiver pendente da sua aprovação. Pode ver estes pedidos pendentes no Privileged Identity Management.

  1. Inicie sessão no Portal do Azure.

  2. Abra o Azure Active Directory Privileged Identity Management.

  3. Selecione Aprovar pedidos.

    Aprovar pedidos – página que mostra o pedido de revisão Azure AD funções

    Na secção Pedidos de ativações de função , verá uma lista de pedidos pendentes da sua aprovação.

Ver pedidos pendentes com o Microsoft Graph API

Pedido HTTP

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval' 

Resposta HTTP

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest", 
            "id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "status": "PendingApproval", 
            "createdDateTime": "2021-07-15T19:57:17.76Z", 
            "completedDateTime": "2021-07-15T19:57:17.537Z", 
            "approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "customData": null, 
            "action": "SelfActivate", 
            "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
            "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "d96ea738-3b95-4ae7-9e19-78a083066d5b" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": null, 
                "recurrence": null, 
                "expiration": { 
                    "type": "afterDuration", 
                    "endDateTime": null, 
                    "duration": "PT5H30M" 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        } 
    ] 
} 

Aprovar pedidos

Nota

Os aprovadores não conseguem aprovar os seus próprios pedidos de ativação de função.

  1. Localize e selecione o pedido que pretende aprovar. É apresentada uma página de aprovação ou negação.

    Captura de ecrã que mostra a página

  2. Na caixa Justificação , introduza a justificação comercial.

  3. Selecione Aprovar. Receberá uma notificação do Azure da sua aprovação.

    Aprovar notificação que mostra que o pedido foi aprovado

Aprovar pedidos pendentes com o Microsoft Graph API

Obter IDs para os passos que requerem aprovação

Para um pedido de ativação específico, este comando obtém todos os passos de aprovação que precisam de aprovação. As aprovações de vários passos não são atualmente suportadas.

Pedido HTTP

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID> 

Resposta HTTP

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity", 
    "id": "<request-ID-GUID>",
    "steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps", 
    "steps": [ 
        { 
            "id": "<approval-step-ID-GUID>", 
            "displayName": null, 
            "reviewedDateTime": null, 
            "reviewResult": "NotReviewed", 
            "status": "InProgress", 
            "assignedToMe": true, 
            "justification": "", 
            "reviewedBy": null 
        } 
    ] 
} 

Aprovar o passo do pedido de ativação

Pedido HTTP

PATCH 
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID> 
{ 
    "reviewResult": "Approve", 
    "justification": "abcdefg" 
} 

Resposta HTTP

As chamadas PATCH bem-sucedidas geram uma resposta vazia.

Negar pedidos

  1. Localize e selecione o pedido que pretende negar. É apresentada uma página de aprovação ou negação.

    Aprovar pedidos – aprovar ou negar painel com detalhes e caixa Justificação

  2. Na caixa Justificação , introduza a justificação comercial.

  3. Selecione Negar. É apresentada uma notificação com a sua negação.

Notificações de fluxo de trabalho

Eis algumas informações sobre as notificações de fluxo de trabalho:

  • Os aprovadores são notificados por e-mail quando um pedido de função está pendente da respetiva revisão. Email notificações incluem uma ligação direta para o pedido, onde o aprovador pode aprovar ou negar.
  • Os pedidos são resolvidos pelo primeiro aprovador que aprova ou nega.
  • Quando um aprovador responde ao pedido, todos os aprovadores são notificados da ação.
  • Os administradores globais e os administradores da função Privileged são notificados quando um utilizador aprovado fica ativo na respetiva função.

Nota

Um Administrador Global ou administrador de funções Com Privilégios que acredita que um utilizador aprovado não deve estar ativo pode remover a atribuição de função ativa no Privileged Identity Management. Embora os administradores não sejam notificados de pedidos pendentes, a menos que sejam aprovadores, podem ver e cancelar quaisquer pedidos pendentes para todos os utilizadores ao visualizar pedidos pendentes no Privileged Identity Management.

Passos seguintes