Microsoft Entra-szerepkörökre vonatkozó kérések jóváhagyása vagy elutasítása a Privileged Identity Managementben
A Microsoft Entra ID Privileged Identity Management (PIM) használatával konfigurálhatja a szerepköröket úgy, hogy jóváhagyást igényeljenek az aktiváláshoz, és delegált jóváhagyóként válasszon ki egy vagy több felhasználót vagy csoportot. A delegált jóváhagyóknak 24 órájuk van a kérelmek jóváhagyására. Ha egy kérést 24 órán belül nem hagynak jóvá, akkor a jogosult felhasználónak újra be kell küldenie egy új kérelmet. A 24 órás jóváhagyási idő nem konfigurálható.
Függőben lévő kérelmek megtekintése
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Meghatalmazott jóváhagyóként e-mailben értesítést kap, ha a Microsoft Entra szerepkör-kérése függőben van az Ön jóváhagyásától. Ezeket a függőben lévő kéréseket a Privileged Identity Managementben tekintheti meg.
Jelentkezzen be a Microsoft Entra felügyeleti központjába.
Tallózással keresse meg a >Privileged Identity Management>jóváhagyási kéréseit.
A Szerepkör-aktiválási kérelmek szakaszban megjelenik a jóváhagyásra váró kérések listája.
Függőben lévő kérelmek megtekintése a Microsoft Graph API használatával
HTTP-kérelem
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
HTTP-válasz
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"customData": null,
"action": "SelfActivate",
"principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Kérések jóváhagyása
Feljegyzés
A jóváhagyók nem tudják jóváhagyni a saját szerepkör-aktiválási kéréseiket.
- Keresse meg és válassza ki a jóváhagyni kívánt kérést. Megjelenik egy jóváhagyó vagy elutasító oldal.
- Az Indoklás mezőbe írja be az üzleti indoklást.
- Válassza a Küldés lehetőséget. A jóváhagyásról Azure-értesítést fog kapni.
Függőben lévő kérelmek jóváhagyása a Microsoft Graph API használatával
Feljegyzés
A Microsoft Graph API jelenleg nem támogatja a kérelmek meghosszabbításának és megújításának jóváhagyását
Azonosítók lekérése a jóváhagyást igénylő lépésekhez
Egy adott aktiválási kérelem esetén ez a parancs lekéri a jóváhagyást igénylő összes jóváhagyási lépést. A többlépéses jóváhagyások jelenleg nem támogatottak.
HTTP-kérelem
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
HTTP-válasz
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Az aktiválási kérelem lépésének jóváhagyása
HTTP-kérelem
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP-válasz
A sikeres PATCH-hívások üres választ hoznak létre.
Kérelmek elutasítása
- Keresse meg és válassza ki a jóváhagyni kívánt kérést. Megjelenik egy jóváhagyó vagy elutasító oldal.
- Az Indoklás mezőbe írja be az üzleti indoklást.
- Válassza a Megtagadás lehetőséget. A megtagadással egy értesítés jelenik meg.
Munkafolyamat-értesítések
Íme néhány információ a munkafolyamat-értesítésekről:
- A jóváhagyók e-mailben kapnak értesítést, ha egy szerepkörre vonatkozó kérelem elbírálása folyamatban van. Az e-mail-értesítések közvetlen hivatkozást tartalmaznak a kérelemre, ahol a jóváhagyó jóváhagyhatja vagy elutasíthatja azt.
- A kérelmeket az első jóváhagyó oldja fel, aki jóváhagyja vagy tagadja.
- Amikor egy jóváhagyó válaszol a kérésre, minden jóváhagyó értesítést kap a műveletről.
- A globális rendszergazdák és a kiemelt szerepkörök rendszergazdái értesítést kapnak, ha egy jóváhagyott felhasználó aktívvá válik a szerepkörében.
Feljegyzés
Egy globális Rendszergazda istrator vagy privileged szerepkör-rendszergazda, aki úgy véli, hogy egy jóváhagyott felhasználó nem lehet aktív, eltávolíthatja az aktív szerepkör-hozzárendelést a Privileged Identity Managementben. Bár a rendszergazdák csak jóváhagyóként kapnak értesítést a függőben lévő kérelmekről, az összes felhasználó függőben lévő kéréseit megtekinthetik és törölhetik a Privileged Identity Management függőben lévő kéréseinek megtekintésével.