Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie den Workflow für die Administratoreinwilligung konfigurieren, damit Benutzer Zugriff auf Anwendungen, für die eine Administratoreinwilligung erforderlich ist, anfordern können. Sie aktivieren mit einem Workflows für die Administratoreinwilligung die Möglichkeit, Anforderungen durchzuführen. Weitere Informationen zur Zustimmung zu Anwendungen finden Sie unter Benutzer- und Administratorzustimmung.
Der Workflow für die Administratoreinwilligung bietet Administratoren eine sichere Möglichkeit zum Gewähren von Zugriff auf Anwendungen, die eine Administratorgenehmigung erfordern. Wenn ein Benutzer versucht, auf eine Anwendung zuzugreifen, aber selbst keine Einwilligung erteilen kann, kann er eine Anforderung zur Administratorgenehmigung senden. Die Anforderung wird per E-Mail an Administratoren gesendet, die als Prüfer festgelegt sind. Ein Prüfer ergreift Maßnahmen im Hinblick auf die Anforderung, und der Benutzer wird über den Vorgang informiert.
Um Anforderungen zu genehmigen, muss ein Prüfer über die erforderlichen Berechtigungen verfügen, um der angeforderten Anwendung die Administratorzustimmung zu erteilen. Wenn Sie diese einfach als Prüfer festlegen, werden ihre Rechte nicht erhöht.
Voraussetzungen
Zum Konfigurieren des Workflows für die Administratoreinwilligung benötigen Sie:
- Ein Azure-Konto. Erstellen Sie kostenlos ein Konto.
- Sie müssen ein globaler Administrator sein, um den Workflow für die Administratoreinwilligung zu aktivieren.
Wichtig
Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Diese Vorgehensweise trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine rolle mit hoher Berechtigung, die auf Notfallszenarien beschränkt sein sollte oder wenn Sie keine vorhandene Rolle verwenden können.
Aktivieren des Workflows für die Administratoreinwilligung
So aktivieren Sie den Workflow für die Administratoreinwilligung und wählen Prüfer aus
Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator an.
Navigieren Sie zu Entra ID>Enterprise-Apps>Zustimmungen und Berechtigungen>Einstellungen für Administratorzustimmungen.
Wählen Sie unter Administratorzustimmungsanforderungen"Ja " aus, damit Benutzer die Administratorzustimmung für Apps anfordern können, denen sie nicht zustimmen können .
Konfigurieren Sie die folgenden Einstellungen:
- Wer Administratorzustimmungsanforderungen überprüfen kann – Wählen Sie Benutzer, Gruppen oder Rollen aus, die als Prüfer für Administratorzustimmungsanforderungen festgelegt sind. Prüfer können Anforderungen zur Administratoreinwilligung anzeigen, blockieren oder ablehnen. Allerdings können nur globale Administratoren Anforderungen nach App-Rollen bzw. App-Berechtigungen von Microsoft Graph für Apps genehmigen. Personen, die als Prüfer bestimmt wurden, können eingehende Anfragen auf der Registerkarte "Meine Ausstehenden" anzeigen, nachdem sie als Prüfer eingerichtet worden sind. Neue Prüfer können nicht auf vorhandene oder abgelaufene Administratoreinwilligungsanforderungen reagieren.
- Ausgewählte Benutzer erhalten E-Mail-Benachrichtigungen für Anforderungen – Aktivieren oder Deaktivieren von E-Mail-Benachrichtigungen an die Prüfer, wenn eine Anforderung gestellt wird.
- Ausgewählte Benutzer erhalten Erinnerungen an das Ablaufdatum von Anforderungen – Aktivieren oder deaktivieren Sie E-Mail-Erinnerungen an die Gutachter, wenn eine Anforderung bald abläuft. Die erste Erinnerungs-E-Mail mit dem Hinweis, dass die Einwilligung bald abläuft, wird wahrscheinlich in der Mitte der für „Einwilligungsanforderung läuft nach (Tagen) ab“ konfigurierten Zeitspanne gesendet. Wenn Sie die Einwilligung beispielsweise so konfigurieren, dass sie in drei Tagen abläuft, wird die erste Erinnerungs-E-Mail am zweiten Tag gesendet, während die letzte E-Mail zum Ablauf fast unmittelbar nach Ablauf der Einwilligung gesendet wird.
- Zustimmungsanforderung läuft nach (Tagen) ab – Geben Sie an, wie lange Anforderungen gültig bleiben.
Wählen Sie "Speichern" aus. Die Aktivierung des Workflows kann bis zu einer Stunde dauern.
Hinweis
Sie können Prüfer für diesen Workflow hinzufügen oder entfernen, indem Sie die Liste Wer kann Zustimmungsanforderungen des Administrators überprüfen ändern. Eine aktuelle Einschränkung dieser Funktion besteht darin, dass Prüfer*innen weiterhin die Möglichkeit haben, Anforderungen zu überprüfen, die während ihrer Festlegung als Prüfer*innen gestellt wurden, und E-Mail-Erinnerungen zum Ablauf für diese Anforderungen erhalten, nachdem sie aus der Liste der Prüfer*innen entfernt wurden. Darüber hinaus werden neue Prüfer keinen Anforderungen zugewiesen, die erstellt wurden, bevor sie als Prüfer festgelegt wurden.
Konfigurieren des Workflows für die Administratoreinwilligung mit Microsoft Graph
Um den Workflow für die Administratorzustimmung programmgesteuert zu konfigurieren, verwenden Sie die Update adminConsentRequestPolicy-API in Microsoft Graph.