Configurer le workflow du consentement administrateur

Dans cet article, vous allez apprendre à configurer le workflow du consentement administrateur pour permettre aux utilisateurs de demander l’accès aux applications qui demandent un consentement administrateur. Vous activez la capacité à faire des demandes avec le workflow du consentement administrateur. Pour plus d’informations sur le consentement des applications, consultez Infrastructure de consentement d’Azure Active Directory.

Le workflow de consentement de l’administrateur offre aux administrateurs une méthode sécurisée pour accorder l’accès aux applications qui requièrent l’approbation de l’administrateur. Lorsqu’un utilisateur tente d’accéder à une application, mais qu’il n’est pas en mesure de donner son consentement, il peut envoyer une demande d’approbation de l’administrateur. La requête est envoyée par courrier électronique aux administrateurs qui ont été désignés comme réviseurs. Un réviseur entreprend une action sur la demande et l’utilisateur est averti de l’action.

Pour approuver des demandes, un réviseur doit être un administrateur général, un administrateur d’application cloud ou un administrateur d’application. Le réviseur doit déjà avoir un de ces rôles d’administrateur attribués : leur simple désignation en tant que réviseur n’élève pas ses privilèges.

Prérequis

Pour configurer le workflow du consentement administrateur, vous devez avoir :

  • Un compte Azure. Créez un compte gratuitement.
  • Vous devez être administrateur général pour activer le workflow de consentement administrateur.

Pour activer le workflow de consentement de l’administrateur et choisir les réviseurs :

  1. Connectez-vous au Portail Azure avec l’un des rôles listés dans les prérequis.

  2. Recherchez et sélectionnez Azure Active Directory.

  3. Sélectionnez Applications d’entreprise.

  4. Sous Gérer, sélectionnez Paramètres utilisateur. Sous Demandes de consentement d’administrateur, sélectionnez Oui pour Les utilisateurs peuvent demander le consentement d’administrateur pour les applications qu’ils ne peuvent pas accepter. Configurer les paramètres de workflow de consentement administrateur

  5. Configurez les paramètres suivants :

    • Sélectionner les utilisateurs, les groupes ou les rôles qui seront désignés comme réviseurs pour les demandes de consentement administrateur - Les réviseurs peuvent voir, bloquer ou refuser les demandes de consentement administrateur, mais seuls les administrateurs généraux peuvent les approuver. Les personnes désignées comme réviseurs peuvent voir les demandes entrantes sous l’onglet Mes demandes en attente une fois qu’elles ont été définies comme réviseurs. Les nouveaux réviseurs ne peuvent pas agir sur les demandes de consentement administrateur existantes ou expirées.
    • Les utilisateurs sélectionnés recevront des notifications par e-mail pour les demandes - Activez ou désactivez les notifications par e-mail pour les réviseurs lorsqu’une demande est effectuée.
    • Les utilisateurs sélectionnés recevront des rappels d’expiration de demande - Activez ou désactivez les notifications par e-mail pour les réviseurs lorsqu’une demande est sur le point d’expirer.
    • La demande de consentement expire après (jours) - Spécifiez la durée de validité des demandes.
  6. Sélectionnez Enregistrer. L’activation du workflow peut prendre jusqu’à une heure.

Notes

Vous pouvez ajouter ou supprimer des réviseurs pour ce flux de travail en modifiant la liste Select admin consent requests reviewers (Sélectionner les réviseurs des demandes de consentement administrateur). Une limite actuelle de cette fonctionnalité est que les réviseurs peuvent conserver la capacité de passer en revue les demandes qui ont été faites pendant qu’ils étaient désignés réviseurs.

Pour configurer le workflow de consentement administrateur programmatiquement, utilisez l’API Update adminConsentRequestPolicy dans Microsoft Graph.

Étapes suivantes

Accorder le consentement de l’administrateur au niveau locataire à une application

Examen des demandes de consentement administrateur