Microsoft Entra ID의 PIM(Privileged Identity Management)을 사용하면 활성화에 대한 승인이 필요하도록 역할을 구성하고 위임된 승인자로 하나 이상의 사용자 또는 그룹을 선택할 수 있습니다. 위임된 승인자는 24시간 동안 요청을 승인할 수 있습니다. 24시간 내에 요청이 승인되지 않으면 적격 사용자는 새 요청을 다시 제출해야 합니다. 24시간 승인 기간은 구성할 수 없습니다.
보류 중인 요청 보기
Microsoft Entra 역할 요청이 승인 보류 중일 때는 위임된 승인자가 이메일 알림을 받게 됩니다. Privileged Identity Management에서 이러한 보류 중인 요청을 볼 수 있습니다.
Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>Privileged Identity Management>요청 승인.
역할 활성화 요청 섹션에서는 당신의 승인을 기다리는 요청 목록을 볼 수 있습니다.
Microsoft Graph API를 사용하여 보류 중인 요청 보기
HTTP 요청
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests/filterByCurrentUser(on='approver')?$filter=status eq 'PendingApproval'
HTTP 응답
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleAssignmentScheduleRequest)",
"value": [
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignmentScheduleRequest",
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"status": "PendingApproval",
"createdDateTime": "2021-07-15T19:57:17.76Z",
"completedDateTime": "2021-07-15T19:57:17.537Z",
"approvalId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"customData": null,
"action": "SelfActivate",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"justification": "test",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "d96ea738-3b95-4ae7-9e19-78a083066d5b"
}
},
"scheduleInfo": {
"startDateTime": null,
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT5H30M"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
]
}
요청 승인
참고 항목
승인자는 자신의 역할 활성화 요청을 승인할 수 없습니다. 또한 서비스 주체는 요청을 승인할 수 없습니다.
- 승인하려는 요청을 찾아 선택합니다. 승인 또는 거부 페이지가 표시됩니다.
- 타당성 상자에 비즈니스 타당성을 입력합니다.
- 제출을 선택합니다. 이 시점에서 시스템은 승인에 대한 Azure 알림을 보냅니다.
Microsoft Graph API를 사용하여 보류 중인 요청 승인
참고 항목
확장 및 갱신 요청에 대한 승인은 현재 Microsoft Graph API에서 지원되지 않습니다.
승인이 필요한 단계에 대한 ID를 가져옵니다.
특정 활성화 요청의 경우 이 명령은 승인이 필요한 모든 승인 단계를 가져옵니다. 다단계 승인은 현재 지원되지 않습니다.
HTTP 요청
GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>
HTTP 응답
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals/$entity",
"id": "<request-ID-GUID>",
"steps@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignmentApprovals('<request-ID-GUID>')/steps",
"steps": [
{
"id": "<approval-step-ID-GUID>",
"displayName": null,
"reviewedDateTime": null,
"reviewResult": "NotReviewed",
"status": "InProgress",
"assignedToMe": true,
"justification": "",
"reviewedBy": null
}
]
}
활성화 요청 단계 승인
HTTP 요청
PATCH
https://graph.microsoft.com/beta/roleManagement/directory/roleAssignmentApprovals/<request-ID-GUID>/steps/<approval-step-ID-GUID>
{
"reviewResult": "Approve", // or "Deny"
"justification": "Trusted User"
}
HTTP 응답
PATCH 호출이 성공적이면 빈 응답이 생성됩니다.
요청 거부
- 승인하려는 요청을 찾아 선택합니다. 승인 또는 거부 페이지가 표시됩니다.
- 타당성 상자에 비즈니스 타당성을 입력합니다.
- 거부를 선택합니다. 거부가 포함된 알림이 표시됩니다.
워크플로 알림
워크플로 알림에 대한 일부 정보는 다음과 같습니다.
- 역할에 대한 요청이 검토 대기 중인 경우 승인자는 이메일로 알림을 받습니다. 이메일 알림에는 승인자가 승인하거나 거부할 수 있는 요청에 대한 직접 링크가 포함됩니다.
- 요청은 승인 또는 거부하는 첫 번째 승인자에 의해 해결됩니다.
- 승인자가 승인 요청에 응답하면 모든 승인자에게 알림이 표시됩니다.
- 승인된 사용자가 해당 역할에서 활성화되면 전역 관리자 및 권한 있는 역할 관리자에게 알림이 전송됩니다.
참고 항목
승인된 사용자가 활성화되어서는 안 된다고 생각하는 전역 관리자 또는 권한 있는 역할 관리자는 Privileged Identity Management에서 활성 역할 할당을 제거할 수 있습니다. 관리자는 승인자가 아닌 한 보류 중인 요청에 대한 알림을 받지 않지만 Privileged Identity Management에서 보류 중인 요청을 확인하여 모든 사용자에 대해 보류 중인 요청을 보고 취소할 수 있습니다.