Freigeben über


Konfigurieren des Workflows für die Administratoreinwilligung (Vorschau)

In diesem Artikel erfahren Sie, wie Sie den Workflow für die Administratoreinwilligung konfigurieren, damit Benutzer Zugriff auf Anwendungen, für die eine Administratoreinwilligung erforderlich ist, anfordern können. Sie aktivieren mit einem Workflows für die Administratoreinwilligung die Möglichkeit, Anforderungen durchzuführen. Weitere Informationen zur Einwilligung zu Anwendungen finden Sie unter Benutzer- und Administratoreinwilligung.

Der Workflow für die Administratoreinwilligung bietet Administratoren eine sichere Möglichkeit zum Gewähren von Zugriff auf Anwendungen, die eine Administratorgenehmigung erfordern. Wenn ein Benutzer versucht, auf eine Anwendung zuzugreifen, aber selbst keine Einwilligung erteilen kann, kann er eine Anforderung zur Administratorgenehmigung senden. Die Anforderung wird per E-Mail an die Administratoren gesendet, die als Prüfer festgelegt wurden. Ein Prüfer ergreift Maßnahmen im Hinblick auf die Anforderung, und der Benutzer wird über den Vorgang informiert.

Um Anforderungen zu genehmigen, muss ein Prüfer über die erforderlichen Berechtigungen verfügen, um die Administratoreinwilligung für die angeforderte Anwendung zu erteilen. Wenn Sie diese einfach als Prüfer festlegen, werden ihre Rechte nicht erhöht.

Voraussetzungen

Zum Konfigurieren des Workflows für die Administratoreinwilligung benötigen Sie:

  • Ein Azure-Konto. Sie können kostenlos ein Konto erstellen.
  • Sie müssen ein globaler Administrator sein, um den Workflow für die Administratoreinwilligung zu aktivieren.

    Wichtig

    Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Dies trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. „Globaler Administrator“ ist eine Rolle mit umfangreichen Berechtigungen, die auf Notfallszenarios beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

So aktivieren Sie den Workflow für die Administratoreinwilligung und wählen Prüfer aus

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.

  2. Navigieren Sie zu den Einstellungen unter Identität>Anwendungen>Unternehmensanwendungen>Zustimmung und Berechtigungen>Administratoreinwilligung.

  3. Legen Sie unter Anforderungen zur Administratoreinwilligung die Option Benutzer können Administratoreinwilligungen für Apps anfordern, bei denen sie selbst keine Einwilligung erteilen können auf Ja fest.

    Screenshot: Konfigurieren der Einstellungen für den Workflow zur Administratoreinwilligung

  4. Konfigurieren Sie die folgenden Einstellungen:

    • Wer kann Administratoreinwilligungsanforderungen überprüfen: Wählen Sie Benutzer, Gruppen oder Rollen aus, die als Prüfer für Administratoreinwilligungsanforderungen festgelegt werden. Prüfer können Anforderungen zur Administratoreinwilligung anzeigen, blockieren oder ablehnen. Allerdings können nur globale Administratoren Anforderungen nach App-Rollen bzw. App-Berechtigungen von Microsoft Graph für Apps genehmigen. Als Prüfer festgelegte Personen können eingehende Anforderungen auf der Registerkarte Meine ausstehenden Anforderungen anzeigen, nachdem sie als Prüfer festgelegt wurden. Neue Prüfer können nicht auf vorhandene oder abgelaufene Administratoreinwilligungsanforderungen reagieren.
    • Ausgewählte Benutzer erhalten E-Mail-Benachrichtigungen für Anforderungen: Aktivieren oder deaktivieren Sie Benachrichtigungen an die Prüfer, wenn eine Anforderung gesendet wird.
    • Ausgewählte Benutzer erhalten Erinnerungen zum Anforderungsablauf: Aktivieren oder deaktivieren Sie E-Mail-Benachrichtigungen zur Erinnerung an die Prüfer, wenn eine Anforderung in Kürze abläuft. Die erste Erinnerungs-E-Mail mit dem Hinweis, dass die Einwilligung bald abläuft, wird wahrscheinlich in der Mitte der für „Einwilligungsanforderung läuft nach (Tagen) ab“ konfigurierten Zeitspanne gesendet. Wenn Sie die Einwilligung beispielsweise so konfigurieren, dass sie in drei Tagen abläuft, wird die erste Erinnerungs-E-Mail am zweiten Tag gesendet, während die letzte E-Mail zum Ablauf fast unmittelbar nach Ablauf der Einwilligung gesendet wird.
    • Zustimmungsanforderung läuft nach (Tagen) ab: Geben Sie an, wie lange Anforderungen gültig bleiben.
  5. Wählen Sie Speichern aus. Die Aktivierung des Workflows kann bis zu einer Stunde dauern.

Hinweis

Sie können Prüfer*innen für diesen Workflow hinzufügen oder entfernen, indem Sie die Liste der Personen ändern, die Anforderungen zur Administratoreinwilligung prüfen. Eine aktuelle Einschränkung dieser Funktion besteht darin, dass Prüfer*innen weiterhin die Möglichkeit haben, Anforderungen zu überprüfen, die während ihrer Festlegung als Prüfer*innen gestellt wurden, und E-Mail-Erinnerungen zum Ablauf für diese Anforderungen erhalten, nachdem sie aus der Liste der Prüfer*innen entfernt wurden. Darüber hinaus werden neue Prüfer keinen Anforderungen zugewiesen, die erstellt wurden, bevor sie als Prüfer festgelegt wurden.

Verwenden Sie die adminConsentRequestPolicy aktualisieren-API in Microsoft Graph, um den Workflow für die Administratoreinwilligung programmgesteuert zu konfigurieren.

Nächste Schritte

Erteilen einer mandantenweiten Administratoreinwilligung für eine Anwendung

Überprüfen von Anforderungen zur Administratoreinwilligung