Aracılığıyla paylaş

Privileged Identity Management'ta Microsoft Entra rolleri için istekleri onaylama veya reddetme

  • Makale

Microsoft Entra ID'deki Privileged Identity Management (PIM) ile rolleri etkinleştirme onayı gerektirecek şekilde yapılandırabilir ve temsilci onaylayan olarak bir veya birden çok kullanıcı veya grup seçebilirsiniz. Temsilci onaylayanların istekleri onaylamak için 24 saati vardır. bir istek 24 saat içinde onaylanmamışsa, uygun kullanıcının yeni bir isteği yeniden göndermesi gerekir. 24 saatlik onay zaman penceresi yapılandırılamaz.

Bekleyen istekleri görüntüleme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Temsilci onaylayan olarak, Microsoft Entra rol isteği onayınızı beklerken bir e-posta bildirimi alırsınız. Bu bekleyen istekleri Privileged Identity Management'ta görüntüleyebilirsiniz.

  1. Microsoft Entra yönetim merkezinde oturum açın.

  2. Kimlik idaresi>Privileged Identity Management>Approve isteklerine göz atın.

    Microsoft Entra rollerini gözden geçirme isteğini gösteren istekleri onaylama sayfasını gösteren ekran görüntüsü.

    Rol etkinleştirme istekleri bölümünde, onayınızı bekleyen isteklerin listesini görürsünüz.

Microsoft Graph API'sini kullanarak bekleyen istekleri görüntüleme

HTTP isteği

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'

HTTP yanıtı

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest", 
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", 
            "status": "PendingApproval", 
            "createdDateTime": "2021-07-15T19:57:17.76Z", 
            "completedDateTime": "2021-07-15T19:57:17.537Z", 
            "approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", 
            "customData": null, 
            "action": "SelfActivate", 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "d96ea738-3b95-4ae7-9e19-78a083066d5b" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": null, 
                "recurrence": null, 
                "expiration": { 
                    "type": "afterDuration", 
                    "endDateTime": null, 
                    "duration": "PT5H30M" 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        } 
    ] 
}

İstekleri onaylama

Not

Onaylayanlar kendi rol etkinleştirme isteklerini onaylayamaz.

  1. Onaylamak istediğiniz isteği bulun ve seçin. Onay veya reddetme sayfası görüntülenir.
  2. Gerekçe kutusuna iş gerekçesini girin.
  3. Gönder'i seçin. Onayınızın Azure bildirimini alırsınız.

Microsoft Graph API'sini kullanarak bekleyen istekleri onaylama

Not

Genişletme ve yenileme isteklerinin onayı şu anda Microsoft Graph API'sinde desteklenmemektedir

Onay gerektiren adımlar için kimlikleri alma

Belirli bir etkinleştirme isteği için bu komut, onay gerektiren tüm onay adımlarını alır. Çok adımlı onaylar şu anda desteklenmemektedir.

HTTP isteği

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>

HTTP yanıtı

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity", 
    "id": "<request-ID-GUID>",
    "steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps", 
    "steps": [ 
        { 
            "id": "<approval-step-ID-GUID>", 
            "displayName": null, 
            "reviewedDateTime": null, 
            "reviewResult": "NotReviewed", 
            "status": "InProgress", 
            "assignedToMe": true, 
            "justification": "", 
            "reviewedBy": null 
        } 
    ] 
}

Etkinleştirme isteği adımını onaylama

HTTP isteği

PATCH 
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID> 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
}

HTTP yanıtı

Başarılı PATCH çağrıları boş bir yanıt oluşturur.

İstekleri reddetme

  1. Onaylamak istediğiniz isteği bulun ve seçin. Onay veya reddetme sayfası görüntülenir.
  2. Gerekçe kutusuna iş gerekçesini girin.
  3. Reddet'i seçin. Reddetmenizle birlikte bir bildirim görüntülenir.

İş akışı bildirimleri

İş akışı bildirimleri hakkında bazı bilgiler aşağıdadır:

  • Bir rol isteği gözden geçirmeyi beklerken onaylayanlara e-postayla bildirim gönderilir. E-posta bildirimleri, onaylayanın onayladığı veya reddedebileceği isteğin doğrudan bağlantısını içerir.
  • İstekler, onaylayan veya reddeden ilk onaylayan tarafından çözümlenir.
  • Bir onaylayan isteği yanıtladığında, tüm onaylayanlara eylem bildirilir.
  • Genel yöneticilere ve Ayrıcalıklı rol yöneticilerine, onaylı bir kullanıcı rollerinde etkin olduğunda bildirim gönderilir.

Not

Onaylanan bir kullanıcının etkin olmaması gerektiğine inanan Genel Yönetici istratörü veya Ayrıcalıklı rol yöneticisi, Privileged Identity Management'ta etkin rol atamasını kaldırabilir. Onaylayan olmadığı sürece yöneticilere bekleyen istekler bildirilmese de, Privileged Identity Management'ta bekleyen istekleri görüntüleyerek tüm kullanıcılar için bekleyen istekleri görüntüleyebilir ve iptal edebilir.

Sonraki adımlar