Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans cet article, vous allez apprendre à configurer le workflow du consentement administrateur pour permettre aux utilisateurs de demander l’accès aux applications qui demandent un consentement administrateur. Vous activez la capacité à faire des demandes avec le workflow du consentement administrateur. Pour plus d’informations sur le consentement des applications, consultez Consentement de l’utilisateur et de l’administrateur.
Le workflow de consentement administrateur offre aux administrateurs une méthode sécurisée pour accorder l’accès aux applications qui requièrent l’approbation de l’administrateur. Lorsqu’un utilisateur tente d’accéder à une application, mais qu’il n’est pas en mesure de donner son consentement, il peut envoyer une demande d’approbation de l’administrateur. La demande est envoyée par e-mail aux administrateurs désignés en tant que réviseurs. Un réviseur entreprend une action sur la demande et l’utilisateur est averti de l’action.
Pour approuver les demandes, un réviseur doit disposer des autorisations requises pour accorder le consentement de l’administrateur pour l’application demandée. Le simple fait de les désigner comme réviseurs n’élève pas leurs privilèges.
Prerequisites
Pour configurer le workflow du consentement administrateur, vous devez avoir :
- Un compte Azure. Créez gratuitement un compte.
- Vous devez être Administrateur général pour activer le workflow du consentement administrateur.
Importante
Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cette pratique permet d’améliorer la sécurité de votre organisation. L’administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence ou lorsque vous ne pouvez pas utiliser de rôle existant.
Activer le workflow de consentement administrateur
Pour activer le workflow de consentement administrateur et choisir les réviseurs :
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur général.
Accédez à Entra ID>Applications d'entreprise>Consentement et autorisations>Paramètres d'approbation de l'administrateur.
Sous Demandes de consentement administrateur, sélectionnez Oui pour les utilisateurs peut demander le consentement de l’administrateur aux applications auxquelles ils ne peuvent pas donner leur consentement .
Configurez les paramètres suivants :
- Qui peut passer en revue les demandes de consentement de l’administrateur : sélectionnez des utilisateurs, des groupes ou des rôles désignés comme réviseurs pour les demandes de consentement administrateur. Les réviseurs peuvent afficher, bloquer ou refuser des demandes de consentement administrateur, mais seuls les Administrateurs généraux peuvent approuver les demandes de consentement administrateur pour les applications demandant des rôles d’application Microsoft Graph (autorisations d’application). Les personnes désignées en tant que réviseurs peuvent afficher les demandes entrantes sous l’onglet My Pending une fois qu’elles sont définies en tant que réviseurs. Les nouveaux réviseurs ne peuvent pas agir sur les demandes de consentement administrateur existantes ou expirées.
- Les utilisateurs sélectionnés recevront des notifications par e-mail pour les demandes : activez ou désactivez les notifications par e-mail aux réviseurs lorsqu’une demande est effectuée.
- Les utilisateurs sélectionnés recevront des rappels d’expiration de demande : activez ou désactivez les notifications par e-mail de rappel aux réviseurs lorsqu’une demande est sur le point d’expirer. Le premier e-mail de rappel d’expiration est envoyé au milieu du délai défini par le réglage de « La demande de consentement expire après (jours) ». Par exemple, si vous configurez une demande de consentement pour qu’elle expire dans trois jours, le premier e-mail de rappel est envoyé le deuxième jour, et le dernier e-mail d’expiration est presque immédiatement envoyé lorsque la demande de consentement expire.
- La demande de consentement expire après (jours) : spécifiez la durée pendant laquelle les demandes restent valides.
Sélectionnez Enregistrer. L’activation du workflow peut prendre jusqu’à une heure.
Note
Vous pouvez ajouter ou supprimer des réviseurs pour ce flux de travail en modifiant la liste des demandes de consentement de l’administrateur . Une limitation actuelle de cette fonctionnalité veut qu’un réviseur conserve la possibilité d’examiner les requêtes effectuées alors qu’il a été désigné comme réviseur et reçoit des e-mails de rappel d’expiration pour ces requêtes une fois qu’elles ont été supprimées de la liste des réviseurs. De plus, les nouveaux réviseurs ne seront pas affectés aux demandes créées avant qu’ils aient été désignés réviseurs.
Configurer le workflow du consentement administrateur avec Microsoft Graph
Pour configurer le flux de travail de consentement administrateur par programmation, utilisez l’API Update adminConsentRequestPolicy dans Microsoft Graph.
Étapes suivantes
Accorder le consentement administrateur au niveau locataire à une application
Passer en revue les demandes de consentement de l’administrateur