Zatwierdzanie lub odrzucanie żądań ról firmy Microsoft w usłudze Privileged Identity Management
Za pomocą usługi Privileged Identity Management (PIM) w usłudze Microsoft Entra ID można skonfigurować role, aby wymagać zatwierdzenia aktywacji, a następnie wybrać jednego lub wielu użytkowników lub grup jako delegowanych osób zatwierdzających. Osoby zatwierdzające delegowane mają 24 godziny na zatwierdzenie żądań. Jeśli żądanie nie zostanie zatwierdzone w ciągu 24 godzin, uprawniony użytkownik musi ponownie przesłać nowe żądanie. Okno czasu zatwierdzania 24 godzin nie jest konfigurowalne.
Wyświetlanie oczekujących żądań
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Jako osoba zatwierdzająca delegowana otrzymasz powiadomienie e-mail, gdy żądanie roli Entra firmy Microsoft oczekuje na zatwierdzenie. Te oczekujące żądania można wyświetlić w usłudze Privileged Identity Management.
Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Przejdź do strony Zarządzanie tożsamościami>Privileged Identity Management>Zatwierdź żądania.
W sekcji Żądania aktywacji ról zostanie wyświetlona lista żądań oczekujących na zatwierdzenie.
Wyświetlanie oczekujących żądań przy użyciu interfejsu API programu Microsoft Graph
Żądanie systemu HTTP
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
Odpowiedź HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"customData": null,
"action": "SelfActivate",
"principalId": "d96ea738-3b95-4ae7-9e19-78a083066d5b",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "9f2b5ddb-a50e-44a1-a6f4-f616322262ea",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Zatwierdzanie żądań
Uwaga
Osoby zatwierdzające nie mogą zatwierdzać własnych żądań aktywacji roli.
- Znajdź i wybierz żądanie, które chcesz zatwierdzić. Pojawi się strona zatwierdzania lub odmowy.
- W polu Uzasadnienie wprowadź uzasadnienie biznesowe.
- Wybierz Prześlij. Otrzymasz powiadomienie platformy Azure o zatwierdzeniu.
Zatwierdzanie oczekujących żądań przy użyciu interfejsu API programu Microsoft Graph
Uwaga
Zatwierdzanie żądań rozszerzania i odnawiania nie jest obecnie obsługiwane przez interfejs API programu Microsoft Graph
Pobieranie identyfikatorów kroków wymagających zatwierdzenia
W przypadku określonego żądania aktywacji to polecenie pobiera wszystkie kroki zatwierdzania, które wymagają zatwierdzenia. Zatwierdzenia wieloetapowe nie są obecnie obsługiwane.
Żądanie systemu HTTP
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
Odpowiedź HTTP
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Zatwierdzanie kroku żądania aktywacji
Żądanie systemu HTTP
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
Odpowiedź HTTP
Pomyślne wywołania PATCH generują pustą odpowiedź.
Odrzucanie żądań
- Znajdź i wybierz żądanie, które chcesz zatwierdzić. Pojawi się strona zatwierdzania lub odmowy.
- W polu Uzasadnienie wprowadź uzasadnienie biznesowe.
- Wybierz pozycję Odmów. Zostanie wyświetlone powiadomienie z odmową.
Powiadomienia dotyczące przepływu pracy
Oto kilka informacji o powiadomieniach przepływu pracy:
- Osoby zatwierdzające są powiadamiane pocztą e-mail, gdy żądanie roli oczekuje na ich przegląd. Powiadomienia e-mail zawierają bezpośredni link do żądania, w którym osoba zatwierdzająca może zatwierdzić lub odrzucić.
- Żądania są rozwiązywane przez pierwszą osoba zatwierdzającą lub odmawiającą.
- Gdy osoba zatwierdzająca odpowie na żądanie, wszystkie osoby zatwierdzające są powiadamiane o akcji.
- Administratorzy globalni i administratorzy ról uprzywilejowanych są powiadamiani, gdy zatwierdzony użytkownik staje się aktywny w swojej roli.
Uwaga
Administrator roli globalnej Administracja lub administrator ról uprzywilejowanych, który uważa, że zatwierdzony użytkownik nie powinien być aktywny, może usunąć aktywne przypisanie roli w usłudze Privileged Identity Management. Mimo że administratorzy nie są powiadamiani o oczekujących żądaniach, chyba że są osobami zatwierdzającym, mogą wyświetlać i anulować wszelkie oczekujące żądania dla wszystkich użytkowników, wyświetlając oczekujące żądania w usłudze Privileged Identity Management.