Aprovar ou negar pedidos de funções de Azure AD no Privileged Identity Management
Com Privileged Identity Management (PIM) no Azure Active Directory (Azure AD), parte do Microsoft Entra, pode configurar funções para exigir aprovação para ativação e escolher um ou vários utilizadores ou grupos como aprovadores delegados. Os aprovadores delegados têm 24 horas para aprovar pedidos. Se um pedido não for aprovado dentro de 24 horas, o utilizador elegível terá de submeter novamente um novo pedido. O período de tempo de aprovação de 24 horas não é configurável.
Ver pedidos pendentes
Como aprovador delegado, receberá uma notificação por e-mail quando um pedido de função Azure AD estiver pendente da sua aprovação. Pode ver estes pedidos pendentes no Privileged Identity Management.
Inicie sessão no Portal do Azure.
Abra o Azure Active Directory Privileged Identity Management.
Selecione Aprovar pedidos.
Na secção Pedidos de ativações de função , verá uma lista de pedidos pendentes da sua aprovação.
Ver pedidos pendentes com o Microsoft Graph API
Pedido HTTP
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
Resposta HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"customData": null,
"action": "SelfActivate",
"principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Aprovar pedidos
Nota
Os aprovadores não conseguem aprovar os seus próprios pedidos de ativação de função.
Localize e selecione o pedido que pretende aprovar. É apresentada uma página de aprovação ou negação.
Na caixa Justificação , introduza a justificação comercial.
Selecione Aprovar. Receberá uma notificação do Azure da sua aprovação.
Aprovar pedidos pendentes com o Microsoft Graph API
Obter IDs para os passos que requerem aprovação
Para um pedido de ativação específico, este comando obtém todos os passos de aprovação que precisam de aprovação. As aprovações de vários passos não são atualmente suportadas.
Pedido HTTP
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
Resposta HTTP
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Aprovar o passo do pedido de ativação
Pedido HTTP
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve",
"justification": "abcdefg"
}
Resposta HTTP
As chamadas PATCH bem-sucedidas geram uma resposta vazia.
Negar pedidos
Localize e selecione o pedido que pretende negar. É apresentada uma página de aprovação ou negação.
Na caixa Justificação , introduza a justificação comercial.
Selecione Negar. É apresentada uma notificação com a sua negação.
Notificações de fluxo de trabalho
Eis algumas informações sobre as notificações de fluxo de trabalho:
- Os aprovadores são notificados por e-mail quando um pedido de função está pendente da respetiva revisão. Email notificações incluem uma ligação direta para o pedido, onde o aprovador pode aprovar ou negar.
- Os pedidos são resolvidos pelo primeiro aprovador que aprova ou nega.
- Quando um aprovador responde ao pedido, todos os aprovadores são notificados da ação.
- Os administradores globais e os administradores da função Privileged são notificados quando um utilizador aprovado fica ativo na respetiva função.
Nota
Um Administrador Global ou administrador de funções Com Privilégios que acredita que um utilizador aprovado não deve estar ativo pode remover a atribuição de função ativa no Privileged Identity Management. Embora os administradores não sejam notificados de pedidos pendentes, a menos que sejam aprovadores, podem ver e cancelar quaisquer pedidos pendentes para todos os utilizadores ao visualizar pedidos pendentes no Privileged Identity Management.