在 Privileged Identity Management 中核准或拒絕 Azure AD 角色的要求

透過 Azure Active Directory (Azure AD) (屬於 Microsoft Entra) 中的 Privileged Identity Management (PIM),您可以將角色設定為需要核准才能啟用,並選擇一或多個使用者或群組作為委派核准者。 委派核准者會有 24 小時的時間來核准要求。 如果未在 24 小時內核准要求,符合資格的使用者就必須重新提交新要求。 24 小時核准時間範圍是不可設定的。

檢視擱置的要求

身為委派核准者,當有 Azure AD 角色要求正等待您的核准時,您會收到電子郵件通知。 您可以在 Privileged Identity Management 中檢視這些擱置的要求。

  1. 登入 Azure 入口網站

  2. 開啟 [Azure AD Privileged Identity Management]。

  3. 選取 [核准要求]。

    核准要求 - 顯示 Azure AD 角色檢閱要求的頁面

    在 [要求啟用角色] 區段中,您會看見正等待您核准的要求清單。

使用 Microsoft Graph API 檢視擱置的要求

HTTP 要求

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval' 

HTTP 回應

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest", 
            "id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "status": "PendingApproval", 
            "createdDateTime": "2021-07-15T19:57:17.76Z", 
            "completedDateTime": "2021-07-15T19:57:17.537Z", 
            "approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "customData": null, 
            "action": "SelfActivate", 
            "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
            "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "d96ea738-3b95-4ae7-9e19-78a083066d5b" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": null, 
                "recurrence": null, 
                "expiration": { 
                    "type": "afterDuration", 
                    "endDateTime": null, 
                    "duration": "PT5H30M" 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        } 
    ] 
} 

核准要求

注意

核准者無法核准自己的角色啟用要求。

  1. 尋找並選取您要核准的要求。 核准或拒絕頁面隨即出現。

    顯示 [核准要求 - Azure AD 角色] 頁面的螢幕擷取畫面。

  2. 在 [理由] 方塊中,輸入業務理由。

  3. 選取 [核准] 。 您將會收到 Azure 的核准通知。

    顯示已核取要求的核准通知

使用 Microsoft Graph API 核准擱置的要求

為需要核准的步驟取得識別碼

對於特定的啟用要求,此命令會取得需要核准的所有核准步驟。 目前不支援多重步驟核准。

HTTP 要求

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID> 

HTTP 回應

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity", 
    "id": "<request-ID-GUID>",
    "steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps", 
    "steps": [ 
        { 
            "id": "<approval-step-ID-GUID>", 
            "displayName": null, 
            "reviewedDateTime": null, 
            "reviewResult": "NotReviewed", 
            "status": "InProgress", 
            "assignedToMe": true, 
            "justification": "", 
            "reviewedBy": null 
        } 
    ] 
} 

核准啟用要求步驟

HTTP 要求

PATCH 
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID> 
{ 
    "reviewResult": "Approve", 
    "justification": "abcdefg" 
} 

HTTP 回應

成功的 PATCH 呼叫會產生空回應。

拒絕要求

  1. 尋找並選取您要拒絕的要求。 核准或拒絕頁面隨即出現。

    核准要求 - 具有詳細資料和 [理由] 方塊的核准或拒絕窗格

  2. 在 [理由] 方塊中,輸入業務理由。

  3. 選取 [拒絕]。 表示您拒絕的通知隨即顯示。

工作流程通知

以下是一些工作流程通知相關資訊:

  • 當某個要求待審核時,核准者會收到電子郵件通知。 電子郵件通知包含可供核准者核准或拒絕要求的直接連結。
  • 要求是由核准或拒絕的第一位核准者解決。
  • 當核准者回應要求時,所有核准者都會得知該動作。
  • 當核准的使用者在其角色中變成作用中時,系統會通知全域管理員和特殊權限角色管理員。

注意

全域管理員或特殊權限角色管理員如果認為已核准的使用者不應該處於作用中狀態,可以移除 Privileged Identity Management 中的作用中角色指派。 雖然管理員必須是核准者,才會收到待核准要求的通知,但他們可以透過檢視 Privileged Identity Management 中的任何擱置要求,來檢視和取消所有使用者的擱置要求。

後續步驟