Privileged Identity Management에서 Microsoft Entra 역할에 대한 요청 승인 또는 거부
Microsoft Entra ID의 PIM(Privileged Identity Management)을 사용하면 활성화에 대한 승인이 필요하도록 역할을 구성하고 위임된 승인자로 하나 이상의 사용자 또는 그룹을 선택할 수 있습니다. 위임된 승인자는 24시간 동안 요청을 승인할 수 있습니다. 24시간 내에 요청이 승인되지 않으면 적격 사용자는 새 요청을 다시 제출해야 합니다. 24시간 승인 기간은 구성할 수 없습니다.
보류 중인 요청 보기
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
Microsoft Entra 역할 요청이 승인 보류 중일 때는 위임된 승인자가 이메일 알림을 받게 됩니다. Privileged Identity Management에서 이러한 보류 중인 요청을 볼 수 있습니다.
Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>Privileged Identity Management>요청 승인으로 이동합니다.
역할 활성화 요청 섹션에서는 당신의 승인을 기다리는 요청 목록을 볼 수 있습니다.
Microsoft Graph API를 사용하여 보류 중인 요청 보기
HTTP 요청
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
HTTP 응답
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"customData": null,
"action": "SelfActivate",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
요청 승인
참고 항목
승인자는 자신의 역할 활성화 요청을 승인할 수 없습니다.
- 승인하려는 요청을 찾아 선택합니다. 승인 또는 거부 페이지가 표시됩니다.
- 타당성 상자에 비즈니스 타당성을 입력합니다.
- 제출을 선택합니다. 이 시점에서 시스템은 승인에 대한 Azure 알림을 보냅니다.
Microsoft Graph API를 사용하여 보류 중인 요청 승인
참고 항목
확장 및 갱신 요청에 대한 승인은 현재 Microsoft Graph API에서 지원되지 않습니다.
승인이 필요한 단계에 대한 ID를 가져옵니다.
특정 활성화 요청의 경우 이 명령은 승인이 필요한 모든 승인 단계를 가져옵니다. 다단계 승인은 현재 지원되지 않습니다.
HTTP 요청
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
HTTP 응답
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
활성화 요청 단계 승인
HTTP 요청
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP 응답
PATCH 호출이 성공적이면 빈 응답이 생성됩니다.
요청 거부
- 승인하려는 요청을 찾아 선택합니다. 승인 또는 거부 페이지가 표시됩니다.
- 타당성 상자에 비즈니스 타당성을 입력합니다.
- 거부를 선택합니다. 거부가 포함된 알림이 표시됩니다.
워크플로 알림
워크플로 알림에 대한 일부 정보는 다음과 같습니다.
- 역할에 대한 요청이 검토 대기 중인 경우 승인자는 이메일로 알림을 받습니다. 이메일 알림에는 승인자가 승인하거나 거부할 수 있는 요청에 대한 직접 링크가 포함됩니다.
- 요청은 승인 또는 거부하는 첫 번째 승인자에 의해 해결됩니다.
- 승인자가 승인 요청에 응답하면 모든 승인자에게 알림이 표시됩니다.
- 승인된 사용자가 해당 역할에서 활성화되면 전역 관리자 및 권한 있는 역할 관리자에게 알림이 전송됩니다.
참고 항목
승인된 사용자가 활성화되지 않아야 한다고 생각하는 전역 관리자 또는 권한 있는 역할 관리자는 Privileged Identity Management에서 활성 역할 할당을 제거할 수 있습니다. 관리자가 승인자 목록의 멤버가 아닌 경우 보류 중인 요청의 알림을 받지 않지만 Privileged Identity Management에서 보류 중인 요청을 검토하여 모든 사용자의 보류 중인 요청을 확인하고 취소할 수 있습니다.