管理者の同意ワークフローの構成
この記事では、管理者の同意ワークフローを構成して、管理者の同意が必要なアプリケーションへのアクセスをユーザーが要求できるようにする方法について説明します。 管理者の同意ワークフローを使用して、要求を作成する機能を有効にします。 アプリケーションに同意する行為の詳細については、「Azure Active Directory 同意フレームワーク」を参照してください。
管理者の同意ワークフローによって、管理者は、管理者の承認を必要とするアプリケーションへのアクセス権を安全に付与することができます。 ユーザーがアプリケーションにアクセスしようとしているものの同意ができない場合には、ユーザーは管理者の承認の要求を送信できます。 要求は、レビュー担当者として指定された管理者にメールで送信されます。 レビュー担当者が要求に対してアクションを実行すると、ユーザーにそのアクションが通知されます。
レビュー担当者が要求を承認するには、要求されたアプリケーションに管理者の同意を付与するためのアクセス許可を持っている必要があります。 レビュー担当者として指定するだけでは、特権は昇格されません。
前提条件
管理者の同意ワークフローを構成するには、以下が必要です。
- Azure アカウント。 無料でアカウントを作成できます。
- 管理者の同意ワークフローを有効にするには、グローバル管理者である必要があります。
管理者の同意ワークフローの有効化
管理者の同意ワークフローを有効にし、レビュー担当者を選択するには:
前提条件に記載されているいずれかのロールを使用して Azure portal にサインインします。
Azure Active Directory を検索して選択します。
[エンタープライズ アプリケーション] を選択します。
[セキュリティ] で、[同意とアクセス許可] を選択します。
[管理] で [管理者の同意設定] を選びます。 [管理者の同意要求] で、[ユーザーは、自分が同意できないアプリに対して管理者の同意を要求できます] に対して [はい] を選択します。
次の設定を構成します。
- 管理者の同意要求のレビュー担当者として指定されるユーザー、グループ、またはロールを選択します。レビュー担当者は、管理者の同意要求を表示、ブロック、または拒否できますが、管理者の同意要求を承認できるのはグローバル管理者だけです。 レビュー担当者として指定されたユーザーは、レビュー担当者として設定されると [自分の保留] タブに受信要求を表示できます。 新しいレビュー担当者は、既存または期限切れの管理者の同意要求に対して操作を行うことはできません。
- 選択したユーザーは、要求に関するメール通知を受け取ります。要求が行われたときのレビュー担当者へのメール通知を有効または無効にします。
- 選択したユーザーは、要求の有効期限の通知を受け取ります。要求の有効期限が近づいたときの、レビュー担当者へのリマインダー メール通知を有効または無効にします。 最初の期限切れ間近のリマインダー メールは、構成された "同意要求の有効期限が (日) 後に切れる"の途中で送信される可能性があります。たとえば、同意が 3 日で期限切れするように構成されている場合、通常、最初のアラームメールは 2 日目に送信され、同意の有効期限が切れると、最後の有効期限のメールはほぼすぐに送信されます。
- 同意要求の有効期限 (日数) -要求の有効期間を指定します。
[保存] を選択します。 ワークフローが有効になるまでに、最大で 1 時間かかることがあります。
注意
このワークフローのレビュー担当者を追加または削除するには、[Who can review admin consent requests] (管理者の同意要求を確認できるユーザー) の一覧を変更します。 現在この機能には制限事項があり、レビュー担当者は、自身がレビュー担当者として指定されていた間に行われた要求をレビューする能力を保持し、レビュー担当者の一覧から削除された後で、これらの要求の有効期限通知メールを受信します。 また、レビュー担当者として指定される前に作成された要求には、新しいレビュー担当者が割り当てられません。
Microsoft Graph を使用して管理者の同意ワークフローを構成する
管理者の同意ワークフローをプログラムで構成するには、Microsoft Graph で Update adminConsentRequestPolicy API を使用します。