Aracılığıyla paylaş

Privileged Identity Management'ta Microsoft Entra rolleri için istekleri onaylama veya reddetme

  • Makale

Microsoft Entra Id'deki Privileged Identity Management (PIM), rolleri etkinleştirme onayı gerektirecek şekilde yapılandırmanıza ve temsilci onaylayan olarak bir veya birden çok kullanıcı veya grup seçmenize olanak tanır. Temsilci onaylayanların istekleri onaylamak için 24 saati vardır. bir istek 24 saat içinde onaylanmamışsa, uygun kullanıcının yeni bir isteği yeniden göndermesi gerekir. 24 saatlik onay zaman penceresi yapılandırılamaz.

Bekleyen istekleri görüntüleme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Temsilci onaylayan olarak, Microsoft Entra rol isteği onayınızı beklerken bir e-posta bildirimi alırsınız. Bu bekleyen istekleri Privileged Identity Management'ta görüntüleyebilirsiniz.

  1. Microsoft Entra yönetim merkezinde oturum açın.

  2. Kimlik idaresi>>göz atın.

    Microsoft Entra rollerini gözden geçirme isteğini gösteren **İstekleri onayla** sayfasını gösteren ekran görüntüsü.

    Rol etkinleştirme istekleri bölümünde, onayınızı bekleyen isteklerin listesini görebilirsiniz.

Microsoft Graph API'sini kullanarak bekleyen istekleri görüntüleme

HTTP isteği

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'

HTTP yanıtı

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)", 
    "value": [ 
        { 
            "@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest", 
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", 
            "status": "PendingApproval", 
            "createdDateTime": "2021-07-15T19:57:17.76Z", 
            "completedDateTime": "2021-07-15T19:57:17.537Z", 
            "approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", 
            "customData": null, 
            "action": "SelfActivate", 
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
            "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
            "directoryScopeId": "/", 
            "appScopeId": null, 
            "isValidationOnly": false, 
            "targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", 
            "justification": "test", 
            "createdBy": { 
                "application": null, 
                "device": null, 
                "user": { 
                    "displayName": null, 
                    "id": "d96ea738-3b95-4ae7-9e19-78a083066d5b" 
                } 
            }, 
            "scheduleInfo": { 
                "startDateTime": null, 
                "recurrence": null, 
                "expiration": { 
                    "type": "afterDuration", 
                    "endDateTime": null, 
                    "duration": "PT5H30M" 
                } 
            }, 
            "ticketInfo": { 
                "ticketNumber": null, 
                "ticketSystem": null 
            } 
        } 
    ] 
}

İstekleri onaylama

Not

Onaylayanlar kendi rol etkinleştirme isteklerini onaylayamaz.

  1. Onaylamak istediğiniz isteği bulun ve seçin. Onay veya reddetme sayfası görüntülenir.
  2. Gerekçe kutusuna iş gerekçesini girin.
  3. Gönder'i seçin. Bu noktada, sistem onayınızın bir Azure bildirimini gönderir.

Microsoft Graph API'sini kullanarak bekleyen istekleri onaylama

Not

Genişletme ve yenileme isteklerinin onayı şu anda Microsoft Graph API'sinde desteklenmemektedir

Onay gerektiren adımlar için kimlikleri alma

Belirli bir etkinleştirme isteği için bu komut, onay gerektiren tüm onay adımlarını alır. Çok adımlı onaylar şu anda desteklenmemektedir.

HTTP isteği

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>

HTTP yanıtı

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity", 
    "id": "<request-ID-GUID>",
    "steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps", 
    "steps": [ 
        { 
            "id": "<approval-step-ID-GUID>", 
            "displayName": null, 
            "reviewedDateTime": null, 
            "reviewResult": "NotReviewed", 
            "status": "InProgress", 
            "assignedToMe": true, 
            "justification": "", 
            "reviewedBy": null 
        } 
    ] 
}

Etkinleştirme isteği adımını onaylama

HTTP isteği

PATCH 
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID> 
{ 
    "reviewResult": "Approve", // or "Deny"
    "justification": "Trusted User" 
}

HTTP yanıtı

Başarılı PATCH çağrıları boş bir yanıt oluşturur.

İstekleri reddetme

  1. Onaylamak istediğiniz isteği bulun ve seçin. Onay veya reddetme sayfası görüntülenir.
  2. Gerekçe kutusuna iş gerekçesini girin.
  3. Reddet'i seçin. Reddetmenizle birlikte bir bildirim görüntülenir.

İş akışı bildirimleri

İş akışı bildirimleri hakkında bazı bilgiler aşağıdadır:

  • Bir rol isteği gözden geçirmeyi beklerken onaylayanlara e-postayla bildirim gönderilir. E-posta bildirimleri, onaylayanın onayladığı veya reddedebileceği isteğin doğrudan bağlantısını içerir.
  • İstekler, onaylayan veya reddeden ilk onaylayan tarafından çözümlenir.
  • Onaylayan bir onay isteğini yanıtladığında tüm onaylayanlara bildirim gönderilir.
  • Genel Yöneticiler ve Ayrıcalıklı Rol Yöneticileri, onaylı bir kullanıcı rollerinde etkin olduğunda bildirim alır.

Not

Onaylanan bir kullanıcının etkin olmaması gerektiğine inanan bir Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi, Privileged Identity Management'ta etkin rol atamasını kaldırabilir. Onaylayan olmadığı sürece yöneticilere bekleyen istekler bildirilmese de, Privileged Identity Management'ta bekleyen istekleri görüntüleyerek tüm kullanıcılar için bekleyen istekleri görüntüleyebilir ve iptal edebilir.

Sonraki adımlar