Configurare il flusso di lavoro di consenso amministratore

Questo articolo illustra come configurare il flusso di lavoro di consenso amministratore per consentire agli utenti di richiedere l'accesso alle applicazioni che richiedono il consenso amministratore. È possibile abilitare la possibilità di effettuare richieste usando un flusso di lavoro di consenso amministratore. Per altre informazioni sul consenso alle applicazioni, vedere framework di consenso di Azure Active Directory.

Il flusso di lavoro del consenso amministratore offre agli amministratori un modo sicuro per concedere l'accesso alle applicazioni che richiedono l'approvazione dell'amministratore. Quando un utente tenta di accedere a un'applicazione ma non è in grado di concedere il consenso, può inviare una richiesta per ricevere l'approvazione dell'amministratore. La richiesta viene inviata tramite posta elettronica agli amministratori designati come revisori. Un revisore interviene sulla richiesta e l'utente viene informato dell'azione.

Per approvare le richieste, un revisore deve essere un amministratore globale, un amministratore di applicazioni cloud o un amministratore dell'applicazione. Al revisore deve essere già stato assegnato uno di questi ruoli amministratore, la sua semplice identificazione come revisore non gli concede privilegi elevati.

Prerequisiti

Per configurare il flusso di lavoro di consenso amministratore, è necessario:

  • Un account Azure. Creare un account gratuitamente.
  • Per attivare il flusso di lavoro di consenso amministratore, è necessario essere un amministratore globale.

Per abilitare il flusso di lavoro di consenso amministratore e scegliere revisori:

  1. Accedere al portale di Azure con uno dei ruoli elencati nei prerequisiti.

  2. Cercare e selezionare Azure Active Directory.

  3. Selezionare Applicazioni aziendali.

  4. In Gestisci selezionare Impostazioni utente. In Amministrazione richieste di consenso selezionare per Gli utenti possono richiedere il consenso dell'amministratore alle app che non sono in grado di fornire il consenso a . Configurare le impostazioni del flusso di lavoro del consenso amministratore

  5. Configurare le seguenti impostazioni:

    • Selezionare utenti, gruppi o ruoli che verranno designati come revisori per le richieste di consenso amministratore : i revisori possono visualizzare, bloccare o negare le richieste di consenso amministratore, ma solo gli amministratori globali possono approvare le richieste di consenso amministratore. Gli utenti designati come revisori possono visualizzare le richieste in ingresso nella scheda In sospeso personali dopo che sono stati impostati come revisori. I nuovi revisori non possono intervenire sulle richieste di consenso amministratore esistenti o scadute.
    • Gli utenti selezionati riceveranno notifiche tramite posta elettronica per le richieste: abilitare o disabilitare le notifiche tramite posta elettronica ai revisori quando viene eseguita una richiesta.
    • Gli utenti selezionati riceveranno promemoria sulla scadenza delle richieste: abilitare o disabilitare l'invio tramite posta elettronica dei promemoria ai revisori quando una richiesta è prossima alla scadenza.
    • La richiesta di consenso scade dopo (giorni): specificare la durata della validità delle richieste.
  6. Selezionare Salva. L'abilitazione del flusso di lavoro può richiedere fino a un'ora.

Nota

È possibile aggiungere o rimuovere i revisori per questo flusso di lavoro modificando l'elenco Selezionare gli utenti per la revisione delle richieste di consenso amministratore. Questa funzionalità presenta attualmente una limitazione. Consente a un revisore di poter continuare a rivedere le richieste effettuate nel periodo in cui era stato designato come revisore.

Per configurare il flusso di lavoro di consenso amministratore a livello di codice, usare l'API Update adminConsentRequestPolicy in Microsoft Graph.

Passaggi successivi

Concedere a un'applicazione il consenso amministratore a livello di tenant

Esaminare le richieste di consenso amministratore