Microsoft Entra Zustimmungsanforderungen
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta
Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Microsoft Entra Zustimmungsanforderungen helfen Ihnen beim Verwalten des Anforderungsworkflows für Benutzer, die versuchen, auf Apps zuzugreifen, für die eine Administratorgenehmigung erforderlich ist.
Bevor eine App für den Zugriff auf Daten in Ihrem organization verwendet werden kann, muss der Administrator zustimmen, dass sie im Mandanten verwendet wird. Bevor ein Benutzer einer einwilligungswilligen Anwendung spezifische Berechtigungen erteilen kann, um in ihrem Namen zu handeln, muss der Administrator außerdem zustimmen, dass Benutzer diesen Berechtigungen für die App zustimmen können. Die Einwilligungsverwaltung ist eine Möglichkeit, Microsoft Entra ID Organisationen dabei hilft, Anwendungs- und Datensicherheit zu erzwingen.
Der Microsoft Entra-Zustimmungsworkflow ermöglicht es Benutzern, die Mandantenadministratoren aufzufordern, die Zustimmung für Apps zu erteilen, für die eine Administratorgenehmigung erforderlich ist. Mit den APIs für Zustimmungsanforderungen in Microsoft Graph können Administratoren den Zustimmungsworkflow konfigurieren und Zustimmungsanforderungen für Apps und Benutzer nachverfolgen.
Hinweis
Die aktuellen APIs sind auf die Konfiguration des Workflows und das Lesen der Liste der Anforderungen beschränkt. Derzeit stehen keine Methoden zum programmgesteuerten Genehmigen oder Ablehnen einer Anforderung zur Verfügung. Der Inhalt der Anforderung kann jedoch verwendet werden, um eine URL neu zu erstellen, die verwendet werden kann, um die Administratoreinwilligung zu erteilen und eine Anforderung zu genehmigen.
Hinweis
In diesem Artikel wird beschrieben, wie Sie personenbezogene Daten von einem Gerät oder Dienst exportieren. Diese Schritte können verwendet werden, um Ihre Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu unterstützen. Autorisierte Mandantenadministratoren können Microsoft Graph verwenden, um identifizierbare Informationen über Endbenutzer zu korrigieren, zu aktualisieren oder zu löschen, einschließlich Benutzerprofilen von Kunden und Mitarbeitern oder personenbezogene Daten wie Name, Arbeitstitel, Adresse oder Telefonnummer eines Benutzers in Ihrer Microsoft Entra ID Umgebung.
Konfigurieren des Workflows zur Administratorzustimmung
Die Administratoreinwilligungsrichtlinie gibt an, ob Benutzer die Administratoreinwilligung für Apps anfordern können, die eine Administratorautorisierung für den Mandanten erfordern. Verwenden Sie den Ressourcentyp adminConsentRequestPolicy und die zugehörigen Methoden, um den Workflow für die Administratoreinwilligung wie folgt zu konfigurieren:
- Aktivieren oder deaktivieren Sie den Zustimmungsworkflow.
- Konfigurieren sie Prüfer von Administratoreinwilligungsanforderungen.
- Konfigurieren Sie, wie lange eine ausstehende Anforderung gültig ist, bevor sie abläuft, und die Prinzipale, die über ausstehende Anforderungen benachrichtigt werden.
Abrufen von App-Zustimmungsanforderungen
Wenn ein Benutzer die Zustimmung zur Verwendung einer App im organization oder zum Erteilen von Berechtigungen für eine App anfordert, erstellt er eine Zustimmungsanforderung für die App. App-Zustimmungsanforderungen werden über den Ressourcentyp appConsentRequest und die zugehörigen Methoden abgerufen.
Sie haben folgende Möglichkeiten:
- Rufen Sie alle App-Zustimmungsanforderungen und die zugehörige Sammlung von Benutzer-Zustimmungsanforderungen für die App ab. Eine App-Zustimmungsanforderung kann eine oder mehrere Benutzer-Zustimmungsanforderungen enthalten, die mehrere Anforderungen von demselben oder mehreren Benutzern darstellen.
- Rufen Sie die Berechtigungen ab, die der Benutzer für die App in ihrem Namen angefordert hat.
- Verwenden Sie
$filter
, um eine Übereinstimmung mit ausstehenden Anforderungen zu erstellen. - Rufen Sie die App-Zustimmungsanforderungen ab, für die der angemeldete Benutzer der Ersteller der Anforderung ist.
Abrufen von Benutzer-Zustimmungsanforderungen
Wenn ein Benutzer die Zustimmung zur Verwendung einer App im organization oder zum Erteilen von Berechtigungen für eine App anfordert, erstellt er eine Zustimmungsanforderung für den Mandantenadministrator, damit er die App verwenden kann. Benutzereinwilligungsanforderungen werden über den Ressourcentyp userConsentRequest und die zugehörigen Methoden abgerufen.
Sie haben folgende Möglichkeiten:
- Rufen Sie die Details zu den Zustimmungsanforderungen des Benutzers ab.
- Rufen Sie die Genehmigungsphasen ab, die die Zustimmungsanforderung durchlaufen hat. Der Genehmigungsprozess ist derzeit einstufiger Prozess.
- Rufen Sie die status der Genehmigungen ab, unabhängig davon, ob sie ausstehend oder abgeschlossen sind, und ob die Prüfer entscheiden, die Zustimmungsanforderung zu verweigern oder zu genehmigen.
Überprüfungen der Autorisierung von Rollen und delegierten Berechtigungen
Die folgenden Verzeichnisrollen sind für eine aufrufende Anwendung erforderlich.
Vorgang | Delegierte Berechtigungen | Erforderliche Verzeichnisrolle des aufrufenden Benutzers |
---|---|---|
Lesen | ConsentRequest.Read.All, ConsentRequest.ReadWrite.All | Globaler Leser, Cloud-App-Administrator oder Anwendungsadministrator |
Verwandte Inhalte
- Erfahren Sie mehr über das Konfigurieren des Workflows für die Administratoreinwilligung (Vorschau).
- Machen Sie sich mit den Zustimmungsflows für Benutzer und Administratoren in den Microsoft Entra Anwendungseinwilligungserfahrungen vertraut.