Freigeben über


Microsoft Entra Zustimmungsanforderungen

Namespace: microsoft.graph

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Microsoft Entra Zustimmungsanforderungen helfen Ihnen beim Verwalten des Anforderungsworkflows für Benutzer, die versuchen, auf Apps zuzugreifen, für die eine Administratorgenehmigung erforderlich ist.

Bevor eine App für den Zugriff auf Daten in Ihrem organization verwendet werden kann, muss der Administrator zustimmen, dass sie im Mandanten verwendet wird. Bevor ein Benutzer einer einwilligungswilligen Anwendung spezifische Berechtigungen erteilen kann, um in ihrem Namen zu handeln, muss der Administrator außerdem zustimmen, dass Benutzer diesen Berechtigungen für die App zustimmen können. Die Einwilligungsverwaltung ist eine Möglichkeit, Microsoft Entra ID Organisationen dabei hilft, Anwendungs- und Datensicherheit zu erzwingen.

Der Microsoft Entra-Zustimmungsworkflow ermöglicht es Benutzern, die Mandantenadministratoren aufzufordern, die Zustimmung für Apps zu erteilen, für die eine Administratorgenehmigung erforderlich ist. Mit den APIs für Zustimmungsanforderungen in Microsoft Graph können Administratoren den Zustimmungsworkflow konfigurieren und Zustimmungsanforderungen für Apps und Benutzer nachverfolgen.

Hinweis

Die aktuellen APIs sind auf die Konfiguration des Workflows und das Lesen der Liste der Anforderungen beschränkt. Derzeit stehen keine Methoden zum programmgesteuerten Genehmigen oder Ablehnen einer Anforderung zur Verfügung. Der Inhalt der Anforderung kann jedoch verwendet werden, um eine URL neu zu erstellen, die verwendet werden kann, um die Administratoreinwilligung zu erteilen und eine Anforderung zu genehmigen.

Hinweis

In diesem Artikel wird beschrieben, wie Sie personenbezogene Daten von einem Gerät oder Dienst exportieren. Diese Schritte können verwendet werden, um Ihre Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu unterstützen. Autorisierte Mandantenadministratoren können Microsoft Graph verwenden, um identifizierbare Informationen über Endbenutzer zu korrigieren, zu aktualisieren oder zu löschen, einschließlich Benutzerprofilen von Kunden und Mitarbeitern oder personenbezogene Daten wie Name, Arbeitstitel, Adresse oder Telefonnummer eines Benutzers in Ihrer Microsoft Entra ID Umgebung.

Die Administratoreinwilligungsrichtlinie gibt an, ob Benutzer die Administratoreinwilligung für Apps anfordern können, die eine Administratorautorisierung für den Mandanten erfordern. Verwenden Sie den Ressourcentyp adminConsentRequestPolicy und die zugehörigen Methoden, um den Workflow für die Administratoreinwilligung wie folgt zu konfigurieren:

  • Aktivieren oder deaktivieren Sie den Zustimmungsworkflow.
  • Konfigurieren sie Prüfer von Administratoreinwilligungsanforderungen.
  • Konfigurieren Sie, wie lange eine ausstehende Anforderung gültig ist, bevor sie abläuft, und die Prinzipale, die über ausstehende Anforderungen benachrichtigt werden.

Wenn ein Benutzer die Zustimmung zur Verwendung einer App im organization oder zum Erteilen von Berechtigungen für eine App anfordert, erstellt er eine Zustimmungsanforderung für die App. App-Zustimmungsanforderungen werden über den Ressourcentyp appConsentRequest und die zugehörigen Methoden abgerufen.

Sie haben folgende Möglichkeiten:

  • Rufen Sie alle App-Zustimmungsanforderungen und die zugehörige Sammlung von Benutzer-Zustimmungsanforderungen für die App ab. Eine App-Zustimmungsanforderung kann eine oder mehrere Benutzer-Zustimmungsanforderungen enthalten, die mehrere Anforderungen von demselben oder mehreren Benutzern darstellen.
  • Rufen Sie die Berechtigungen ab, die der Benutzer für die App in ihrem Namen angefordert hat.
  • Verwenden Sie $filter , um eine Übereinstimmung mit ausstehenden Anforderungen zu erstellen.
  • Rufen Sie die App-Zustimmungsanforderungen ab, für die der angemeldete Benutzer der Ersteller der Anforderung ist.

Wenn ein Benutzer die Zustimmung zur Verwendung einer App im organization oder zum Erteilen von Berechtigungen für eine App anfordert, erstellt er eine Zustimmungsanforderung für den Mandantenadministrator, damit er die App verwenden kann. Benutzereinwilligungsanforderungen werden über den Ressourcentyp userConsentRequest und die zugehörigen Methoden abgerufen.

Sie haben folgende Möglichkeiten:

  • Rufen Sie die Details zu den Zustimmungsanforderungen des Benutzers ab.
  • Rufen Sie die Genehmigungsphasen ab, die die Zustimmungsanforderung durchlaufen hat. Der Genehmigungsprozess ist derzeit einstufiger Prozess.
  • Rufen Sie die status der Genehmigungen ab, unabhängig davon, ob sie ausstehend oder abgeschlossen sind, und ob die Prüfer entscheiden, die Zustimmungsanforderung zu verweigern oder zu genehmigen.

Überprüfungen der Autorisierung von Rollen und delegierten Berechtigungen

Die folgenden Verzeichnisrollen sind für eine aufrufende Anwendung erforderlich.

Vorgang Delegierte Berechtigungen Erforderliche Verzeichnisrolle des aufrufenden Benutzers
Lesen ConsentRequest.Read.All, ConsentRequest.ReadWrite.All Globaler Leser, Cloud-App-Administrator oder Anwendungsadministrator