在 Privileged Identity Management 中核准或拒絕 Microsoft Entra 角色的要求

使用 Microsoft Entra ID 中的 Privileged Identity Management (PIM),您可以設定角色以要求啟用核准,並選擇一或多個使用者或群組作為委派核准者。 委派的核准者有24小時可核准要求。 如果在24小時內未核准要求,則合格用戶必須重新提交新的要求。 無法設定24小時核准時間範圍。

檢視擱置的要求

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

身為委派的核准者,當 Microsoft Entra 角色要求擱置您的核准時,您會收到電子郵件通知。 您可以在 Privileged Identity Management 中檢視這些擱置的要求。

  1. 登入 Microsoft Entra 系統管理中心。

  2. 流覽至 [身分識別治理>特殊許可權身分識別管理>核准要求]。

    Approve requests - page showing request to review Microsoft Entra roles

    在 [ 要求角色啟用 ] 區段中,您會看到擱置核准的要求清單。

使用 Microsoft Graph API 檢視擱置的要求

HTTP 要求

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval' 

HTTP 回應

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest", 
            "id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "status": "PendingApproval", 
            "createdDateTime": "2021-07-15T19:57:17.76Z", 
            "completedDateTime": "2021-07-15T19:57:17.537Z", 
            "approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "customData": null, 
            "action": "SelfActivate", 
            "principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b", 
            "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "d96ea738-3b95-4ae7-9e19-78a083066d5b" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": null, 
                "recurrence": null, 
                "expiration": { 
                    "type": "afterDuration", 
                    "endDateTime": null, 
                    "duration": "PT5H30M" 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        } 
    ] 
} 

核准要求

注意

核准者無法核准自己的角色啟用要求。

  1. 尋找並選取您想要核准的要求。 核准或拒絕頁面隨即出現。
  2. 在 [ 理由] 方塊 中,輸入業務理由。
  3. 選取送出。 您會收到核准的 Azure 通知。

使用 Microsoft Graph API 核准擱置的要求

注意

Microsoft Graph API 目前不支援延伸 和續約 要求的核准

取得需要核准之步驟的標識碼

針對特定的啟用要求,此命令會取得需要核准的所有核准步驟。 目前不支援多步驟核准。

HTTP 要求

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID> 

HTTP 回應

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity", 
    "id": "<request-ID-GUID>",
    "steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps", 
    "steps": [ 
        { 
            "id": "<approval-step-ID-GUID>", 
            "displayName": null, 
            "reviewedDateTime": null, 
            "reviewResult": "NotReviewed", 
            "status": "InProgress", 
            "assignedToMe": true, 
            "justification": "", 
            "reviewedBy": null 
        } 
    ] 
} 

核准啟用要求步驟

HTTP 要求

PATCH 
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID> 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
} 

HTTP 回應

成功的 PATCH 呼叫會產生空的回應。

拒絕要求

  1. 尋找並選取您想要核准的要求。 核准或拒絕頁面隨即出現。
  2. 在 [ 理由] 方塊 中,輸入業務理由。
  3. 選取 [ 拒絕]。 您的拒絕即會出現通知。

工作流程通知

以下是有關工作流程通知的一些資訊:

  • 當對角色的要求等待核准時,將透過電子郵件通知核准者。 電子郵件通知包括要求的直接連結,核准者可以在其中核准或拒絕。
  • 要求由核准或拒絕的第一個核准者解决。
  • 當核准這回應要求時,將通知所有核准者該動作。
  • 當核准的使用者在其角色中處於使用中狀態時,會通知全域系統管理員和特殊權限角色管理員。

注意

Global 管理員 istrator 或 Privileged 角色管理員,認為已核准的使用者不應處於作用中狀態,可以在 Privileged Identity Management 中移除作用中的角色指派。 雖然系統管理員不會收到擱置要求通知,除非他們是核准者,但是他們可以檢視和取消所有使用者的任何擱置要求,方法是在 Privileged Identity Management 中檢視擱置的要求。

下一步