Утверждение или отклонение запросов для ролей Microsoft Entra в управление привилегированными пользователями

С помощью управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra можно настроить роли для утверждения для активации и выбрать одного или нескольких пользователей или групп в качестве делегированных утверждающих. Делегированные утверждающие лица имеют 24 часа на утверждение запросов. Если запрос не был утвержден в течение 24 часов, пользователю, наделенному соответствующим правом, необходимо повторно отправить запрос. Продолжительность 24-часового периода для утверждения нельзя изменить.

Просмотр ожидающих запросов

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Как делегированный утверждающий вы получаете уведомление по электронной почте, когда запрос роли Microsoft Entra ожидает утверждения. Вы можете просмотреть эти ожидающие запросы в Azure AD Privileged Identity Management.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> ЗапросыApprove.

    Approve requests - page showing request to review Microsoft Entra roles

    В разделе Запросы на активацию ролей вы увидите список запросов, ожидающих вашего утверждения.

Просмотр ожидающих запросов с помощью API Microsoft Graph

HTTP-запрос

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval' 

HTTP-ответ

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest", 
            "id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "status": "PendingApproval", 
            "createdDateTime": "2021-07-15T19:57:17.76Z", 
            "completedDateTime": "2021-07-15T19:57:17.537Z", 
            "approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "customData": null, 
            "action": "SelfActivate", 
            "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
            "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "d96ea738-3b95-4ae7-9e19-78a083066d5b" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": null, 
                "recurrence": null, 
                "expiration": { 
                    "type": "afterDuration", 
                    "endDateTime": null, 
                    "duration": "PT5H30M" 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        } 
    ] 
} 

Утверждение запросов

Примечание.

Утверждающие не могут утверждать собственные запросы на активацию ролей.

  1. Найдите и выберите запрос, который требуется утвердить. Откроется страница утверждения и отклонения.
  2. В поле Обоснование введите коммерческое обоснование.
  3. Выберите Отправить. Вы получите уведомление Azure об утверждении.

Утверждение ожидающих запросов с помощью API Microsoft Graph

Примечание.

Утверждение для запросов на продление и продление в настоящее время не поддерживается API Microsoft Graph

Получение идентификаторов для шагов, которые требуют утверждения

Для конкретного запроса на активацию эта команда получает все утверждения шагов, которые требуют утверждения. Многоступенчатые утверждения в настоящее время не поддерживаются.

HTTP-запрос

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID> 

HTTP-ответ

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity", 
    "id": "<request-ID-GUID>",
    "steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps", 
    "steps": [ 
        { 
            "id": "<approval-step-ID-GUID>", 
            "displayName": null, 
            "reviewedDateTime": null, 
            "reviewResult": "NotReviewed", 
            "status": "InProgress", 
            "assignedToMe": true, 
            "justification": "", 
            "reviewedBy": null 
        } 
    ] 
} 

Утвердить этап запроса на активацию

HTTP-запрос

PATCH 
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID> 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

HTTP-ответ

Успешные вызовы PATCH создают пустой ответ.

Отклонение запросов

  1. Найдите и выберите запрос, который требуется утвердить. Откроется страница утверждения и отклонения.
  2. В поле Обоснование введите коммерческое обоснование.
  3. Выберите Отклонить. Появится уведомление о вашем отказе.

Уведомления о рабочем процессе

Ниже приведена информация об уведомлениях рабочего процесса.

  • Утверждающие получают уведомление по электронной почте, когда запрос на роль находится на рассмотрении. Уведомления по электронной почте содержат прямую ссылку на запрос, где утверждающий может одобрить или отклонить его.
  • Запросы разрешаются первым утверждающим, который утверждает или отклоняет.
  • Когда утверждающий отвечает на запрос, все утверждающие уведомляются об этом действии.
  • Глобальные администраторы и администраторы привилегированных ролей получают уведомление, когда утвержденный пользователь становится активным в их роли.

Примечание.

Глобальный администратор роли Администратор istrator или привилегированный администратор роли, который считает, что утвержденный пользователь не должен быть активным, может удалить активное назначение ролей в управление привилегированными пользователями. Хотя администраторы не получают уведомления об ожидающих запросах (если только они не являются участниками в списке утверждающих лиц), они могут проверить и отменить ожидающие запросы для всех пользователей, просмотрев эти запросы в Управлении привилегированными пользователями.

Следующие шаги