Bagikan melalui


Mengonfigurasi alur kerja persetujuan admin

Dalam artikel ini, Anda mempelajari cara mengonfigurasi alur kerja persetujuan admin untuk memungkinkan pengguna meminta akses ke aplikasi yang memerlukan persetujuan admin. Anda mengaktifkan kemampuan untuk membuat permintaan dengan menggunakan alur kerja persetujuan admin. Untuk informasi selengkapnya tentang menyetujui aplikasi, lihat Persetujuan pengguna dan admin.

Alur kerja persetujuan admin memberi admin cara yang aman untuk memberikan akses ke aplikasi yang memerlukan persetujuan admin. Ketika pengguna mencoba mengakses aplikasi tetapi tidak dapat memberikan persetujuan, mereka dapat mengirim permintaan persetujuan admin. Permintaan dikirim melalui email kepada admin yang telah ditetapkan sebagai peninjau. Peninjau mengambil tindakan atas permintaan tersebut, dan pengguna akan diberi tahu tentang tindakan tersebut.

Untuk menyetujui permintaan, peninjau harus memiliki izin yang diperlukan untuk memberikan persetujuan admin untuk aplikasi yang diminta. Cukup menunjuk mereka sebagai peninjau tidak meningkatkan hak istimewa mereka.

Prasyarat

Untuk mengonfigurasi alur kerja persetujuan admin, Anda perlu:

  • Akun Azure. Buat akun secara gratis.
  • Anda harus menjadi Administrator Global untuk mengaktifkan alur kerja persetujuan admin.

    Penting

    Microsoft menyarankan agar Anda menggunakan peran dengan izin terkecil. Ini membantu meningkatkan keamanan untuk organisasi Anda. Administrator Global adalah peran yang sangat istimewa yang harus dibatasi pada skenario darurat ketika Anda tidak dapat menggunakan peran yang ada.

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Untuk mengaktifkan alur kerja persetujuan admin dan memilih peninjau:

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

  2. Telusuri ke Persetujuan aplikasi>Identity>Applications>Enterprise dan izin>Pengaturan persetujuan Admin.

  3. Di bawah Permintaan izin admin , pilih Ya untuk Pengguna dapat meminta izin admin untuk aplikasi yang tidak dapat mereka setujui .

    Cuplikan layar konfigurasi pengaturan alur kerja persetujuan admin.

  4. Konfigurasikan pengaturan berikut:

    • Siapa yang dapat meninjau permintaan persetujuan admin - Pilih pengguna, grup, atau peran yang ditetapkan sebagai peninjau untuk permintaan persetujuan admin. Peninjau dapat melihat, memblokir, atau menolak permintaan persetujuan admin, tetapi hanya Administrator Global yang dapat menyetujui permintaan persetujuan admin untuk aplikasi yang meminta peran aplikasi Microsoft Graph (izin aplikasi). Orang yang ditunjuk sebagai peninjau dapat melihat permintaan masuk di tab Tertunda Saya setelah mereka ditetapkan sebagai peninjau. Setiap peninjau baru tidak dapat bertindak atas permintaan persetujuan admin yang sudah ada atau kedaluwarsa.
    • Pengguna yang dipilih akan menerima pemberitahuan untuk permintaan - Aktifkan atau nonaktifkan pemberitahuan email kepada peninjau saat ketika permintaan dibuat.
    • Pengguna yang dipilih akan menerima pengingat kedaluwarsa permintaan - Aktifkan atau nonaktifkan pemberitahuan email pengingat kepada peninjau ketika permintaan akan kedaluwarsa. Email pengingat tentang-kedaluwarsa pertama kemungkinan dikirim di tengah "Permintaan persetujuan yang dikonfigurasi kedaluwarsa setelah (hari)." Misalnya, jika Anda mengonfigurasi permintaan persetujuan untuk kedaluwarsa dalam tiga hari, email pengingat pertama dikirim pada hari kedua, dan email kedaluwarsa terakhir dikirim hampir segera permintaan persetujuan kedaluwarsa.
    • Permintaan persetujuan kedaluwarsa setelah (hari) - Tentukan berapa lama permintaan tetap valid.
  5. Pilih Simpan. Diperlukan waktu hingga satu jam untuk mengaktifkan alur kerja.

Catatan

Anda dapat menambahkan atau menghapus peninjau untuk alur kerja ini dengan memodifikasi daftar Siapa yang dapat meninjau permintaan persetujuan admin. Batasan saat ini dari fitur ini adalah bahwa peninjau mempertahankan kemampuan untuk meninjau permintaan yang dibuat saat ditetapkan sebagai peninjau dan akan menerima email pengingat kedaluwarsa untuk permintaan tersebut setelah dihapus dari daftar peninjau. Selain itu, peninjau baru tidak akan ditetapkan ke permintaan yang dibuat sebelum ditetapkan sebagai peninjau.

Untuk mengonfigurasi alur kerja izin admin secara terprogram, gunakan API Perbarui adminConsentRequestPolicy di Microsoft Graph.

Langkah berikutnya

Memberikan persetujuan admin di seluruh penyewa ke aplikasi

Meninjau permintaan persetujuan admin