Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Привилегированное управление удостоверениями (PIM) в Microsoft Entra ID позволяет настраивать роли таким образом, чтобы для активации требовалось одобрение, и выбирать одного или нескольких пользователей или групп как делегированных утверждающих. Делегированные утверждающие лица имеют 24 часа на утверждение запросов. Если запрос не утвержден в течение 24 часов, пользователь должен повторно отправить новый запрос. Окно времени утверждения на 24 часа не настраивается.
Просмотр ожидающих запросов
Как назначенный одобряющий, вы получаете уведомление по электронной почте, когда запрос роли Microsoft Entra требует вашего утверждения. Вы можете просмотреть эти ожидающие запросы в Azure AD Privileged Identity Management.
Войдите в Центр администрирования Microsoft Entra.
Перейдите к Управление удостоверениями>Управление привилегированными удостоверениями>Утверждение запросов.
В разделе "Запросы активации ролей " вы увидите список запросов, ожидающих утверждения.
Просмотр ожидающих запросов с помощью API Microsoft Graph
HTTP-запрос
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
HTTP-ответ
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"customData": null,
"action": "SelfActivate",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
Утверждение запросов
Примечание.
Утверждающие не могут утверждать собственные запросы на активацию ролей. Кроме того, субъекты-службы не могут утверждать запросы.
- Найдите и выберите запрос, который требуется утвердить. Откроется страница утверждения и отклонения.
- В поле "Обоснование " введите бизнес-обоснование.
- Нажмите кнопку "Отправить". На этом этапе система отправляет уведомление Об утверждении в Azure.
Утверждение ожидающих запросов с помощью API Microsoft Graph
Примечание.
Утверждение запросов на продление и обновление в настоящее время не поддерживается API Microsoft Graph.
Получение идентификаторов для шагов, которые требуют утверждения
Для конкретного запроса на активацию эта команда получает все этапы утверждения, которые требуют одобрения. В настоящее время многоэтапные согласования не поддерживаются.
HTTP-запрос
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
HTTP-ответ
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
Утвердить этап запроса на активацию
HTTP-запрос
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP-ответ
Успешные вызовы метода PATCH возвращают пустой ответ.
Отклонение запросов
- Найдите и выберите запрос, который вы хотите запретить. Откроется страница утверждения и отклонения.
- В поле "Обоснование " введите бизнес-обоснование.
- Выберите "Запретить". Появится уведомление о вашем отказе.
Уведомления о рабочем процессе
Ниже приведена информация об уведомлениях рабочего процесса.
- Утверждающие получают уведомление по электронной почте, когда запрос на роль находится на рассмотрении. Уведомления по электронной почте содержат прямую ссылку на запрос, где утверждающий может одобрить или отклонить его.
- Запросы обрабатываются первым одобряющим, который утверждает или отклоняет.
- Все участники процесса утверждения получают уведомления, когда один из них отвечает на запрос на одобрение.
- Глобальные администраторы и администраторы привилегированных ролей уведомляются, когда утвержденный пользователь становится активным в своей роли.
Примечание.
Глобальный администратор или администратор привилегированных ролей, который считает, что утвержденный пользователь не должен быть активным, может удалить назначение активной роли в Privileged Identity Management. Хотя администраторы не уведомляются о запросах в ожидании, если они не являются утверждающими, они могут просматривать и отменять запросы в ожидании для всех пользователей, просматривая такие запросы в Службе управления привилегированными удостоверениями.