Утверждение или отклонение запросов для ролей Microsoft Entra в управление привилегированными пользователями
С помощью управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra можно настроить роли для утверждения для активации и выбрать одного или нескольких пользователей или групп в качестве делегированных утверждающих. Делегированные утверждающие лица имеют 24 часа на утверждение запросов. Если запрос не утвержден в течение 24 часов, пользователь должен повторно отправить новый запрос. Период времени утверждения 24 часа не настраивается.
Просмотр ожидающих запросов
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Как делегированный утверждающий вы получаете уведомление по электронной почте, когда запрос роли Microsoft Entra ожидает утверждения. Вы можете просмотреть эти ожидающие запросы в Azure AD Privileged Identity Management.
Войдите в центр администрирования Microsoft Entra.
Перейдите к управлению удостоверениями> управление привилегированными пользователями> ЗапросыApprove.
В разделе Запросы на активацию ролей вы увидите список запросов, ожидающих вашего утверждения.
Просмотр ожидающих запросов с помощью API Microsoft Graph
HTTP-запрос
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
HTTP-ответ
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"customData": null,
"action": "SelfActivate",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Утверждение запросов
Примечание.
Утверждающие не могут утверждать собственные запросы на активацию ролей.
- Найдите и выберите запрос, который требуется утвердить. Откроется страница утверждения и отклонения.
- В поле Обоснование введите коммерческое обоснование.
- Выберите Отправить. Вы получите уведомление Azure об утверждении.
Утверждение ожидающих запросов с помощью API Microsoft Graph
Примечание.
Утверждение для запросов на продление и продление в настоящее время не поддерживается API Microsoft Graph
Получение идентификаторов для шагов, которые требуют утверждения
Для конкретного запроса на активацию эта команда получает все утверждения шагов, которые требуют утверждения. В настоящее время многофакторные утверждения не поддерживаются.
HTTP-запрос
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
HTTP-ответ
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Утвердить этап запроса на активацию
HTTP-запрос
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP-ответ
Успешные вызовы PATCH создают пустой ответ.
Отклонение запросов
- Найдите и выберите запрос, который требуется утвердить. Откроется страница утверждения и отклонения.
- В поле Обоснование введите коммерческое обоснование.
- Выберите Отклонить. Появится уведомление о вашем отказе.
Уведомления о рабочем процессе
Ниже приведена информация об уведомлениях рабочего процесса.
- Утверждающие получают уведомление по электронной почте, когда запрос на роль находится на рассмотрении. Уведомления по электронной почте содержат прямую ссылку на запрос, где утверждающий может одобрить или отклонить его.
- Запросы разрешаются первым утверждающим, который утверждает или отклоняет.
- Когда утверждающий отвечает на запрос, все утверждающие уведомляются об этом действии.
- Глобальные администраторы и администраторы привилегированных ролей уведомляются, когда утвержденный пользователь становится активным в своей роли.
Примечание.
Глобальный администратор или администратор привилегированных ролей, который считает, что утвержденный пользователь не должен быть активным, может удалить назначение активной роли в управление привилегированными пользователями. Хотя администраторы не получают уведомления об ожидающих запросах (если только они не являются участниками в списке утверждающих лиц), они могут проверить и отменить ожидающие запросы для всех пользователей, просмотрев эти запросы в Управлении привилегированными пользователями.