Godkänna eller neka begäranden för Microsoft Entra-roller i Privileged Identity Management

  • Artikel

Med Privileged Identity Management (PIM) i Microsoft Entra-ID kan du konfigurera roller för att kräva godkännande för aktivering och välja en eller flera användare eller grupper som delegerade godkännare. Delegerade godkännare har 24 timmar på sig att godkänna begäranden. Om en begäran inte godkänns inom 24 timmar måste den berättigade användaren skicka en ny begäran igen. Tidsperioden för 24-timmars godkännande kan inte konfigureras.

Visa väntande begäranden

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Som delegerad godkännare får du ett e-postmeddelande när en Microsoft Entra-rollbegäran väntar på ditt godkännande. Du kan visa dessa väntande begäranden i Privileged Identity Management.

  1. Logga in på administrationscentret för Microsoft Entra.

  2. Bläddra till Begäranden om godkännande av privilegierad identitetshantering>för identitetsstyrning.>

    Skärmbild som visar sidan godkänna begäranden som visar begäran om att granska Microsoft Entra-roller.

    I avsnittet Begäranden om rollaktivering visas en lista över begäranden som väntar på ditt godkännande.

Visa väntande begäranden med Hjälp av Microsoft Graph API

HTTP-begäran

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'

HTTP-svar

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest", 
            "id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "status": "PendingApproval", 
            "createdDateTime": "2021-07-15T19:57:17.76Z", 
            "completedDateTime": "2021-07-15T19:57:17.537Z", 
            "approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "customData": null, 
            "action": "SelfActivate", 
            "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
            "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "d96ea738-3b95-4ae7-9e19-78a083066d5b" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": null, 
                "recurrence": null, 
                "expiration": { 
                    "type": "afterDuration", 
                    "endDateTime": null, 
                    "duration": "PT5H30M" 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        } 
    ] 
}

Godkänn förfrågningar

Kommentar

Godkännare kan inte godkänna sina egna rollaktiveringsbegäranden.

  1. Leta upp och välj den begäran som du vill godkänna. Sidan Godkänn eller neka visas.
  2. I rutan Motivering anger du affärsmotiven.
  3. Välj Skicka. Du får ett Azure-meddelande om ditt godkännande.

Godkänna väntande begäranden med Hjälp av Microsoft Graph API

Kommentar

Godkännande för att utöka och förnya begäranden stöds för närvarande inte av Microsoft Graph API

Hämta ID:er för de steg som kräver godkännande

För en specifik aktiveringsbegäran hämtar det här kommandot alla godkännandesteg som behöver godkännas. Flerstegsgodkännanden stöds inte för närvarande.

HTTP-begäran

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>

HTTP-svar

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity", 
    "id": "<request-ID-GUID>",
    "steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps", 
    "steps": [ 
        { 
            "id": "<approval-step-ID-GUID>", 
            "displayName": null, 
            "reviewedDateTime": null, 
            "reviewResult": "NotReviewed", 
            "status": "InProgress", 
            "assignedToMe": true, 
            "justification": "", 
            "reviewedBy": null 
        } 
    ] 
}

Godkänn steget för aktiveringsbegäran

HTTP-begäran

PATCH 
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID> 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
}

HTTP-svar

Lyckade PATCH-anrop genererar ett tomt svar.

Neka begäranden

  1. Leta upp och välj den begäran som du vill godkänna. Sidan Godkänn eller neka visas.
  2. I rutan Motivering anger du affärsmotiven.
  3. Välj Neka. Ett meddelande visas med ditt nekande.

Arbetsflödesaviseringar

Här är lite information om arbetsflödesaviseringar:

  • Godkännare meddelas via e-post när en begäran om en roll väntar på granskning. E-postmeddelanden innehåller en direktlänk till begäran, där godkännaren kan godkänna eller neka.
  • Begäranden löses av den första godkännaren som godkänner eller nekar.
  • När en godkännare svarar på begäran meddelas alla godkännare om åtgärden.
  • Globala administratörer och privilegierade rolladministratörer meddelas när en godkänd användare blir aktiv i sin roll.

Kommentar

En global administratör eller privilegierad rolladministratör som anser att en godkänd användare inte ska vara aktiv kan ta bort den aktiva rolltilldelningen i Privileged Identity Management. Även om administratörer inte meddelas om väntande begäranden om de inte är godkännare kan de visa och avbryta väntande begäranden för alla användare genom att visa väntande begäranden i Privileged Identity Management.

Nästa steg