Werkstroom voor beheerderstoestemming configureren

  • Artikel

In dit artikel leert u hoe u de werkstroom voor beheerderstoestemming configureert zodat gebruikers toegang kunnen aanvragen tot toepassingen waarvoor beheerderstoestemming is vereist. U kunt aanvragen indienen met behulp van een werkstroom voor beheerderstoestemming. Zie Gebruikers- en beheerderstoestemming voor meer informatie over het verlenen van toestemming voor toepassingen.

De werkstroom voor beheerderstoestemming biedt beheerders een veilige manier om toegang te verlenen tot toepassingen waarvoor goedkeuring van de beheerder is vereist. Wanneer een gebruiker toegang probeert te krijgen tot een toepassing, maar geen toestemming kan geven, kan deze een aanvraag voor goedkeuring door de beheerder verzenden. De aanvraag wordt via e-mail verzonden naar beheerders die zijn aangewezen als revisors. Een revisor onderneemt actie op de aanvraag en de gebruiker wordt van de actie op de hoogte gesteld.

Om aanvragen goed te keuren, moet een revisor over de vereiste machtigingen beschikken om beheerderstoestemming te verlenen voor de aangevraagde toepassing. Het eenvoudigweg aanwijzen als revisor verheft hun bevoegdheden niet.

Vereisten

Als u de werkstroom voor beheerderstoestemming wilt configureren, hebt u het volgende nodig:

  • Een Azure-account. Gratis een account maken
  • U moet een globale beheerder zijn om de werkstroom voor beheerderstoestemming in te schakelen.

Tip

Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.

De werkstroom voor beheerderstoestemming inschakelen en revisoren kiezen:

  1. Meld u als globale Beheer istrator aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar Enterprise-toepassingen voor identiteitstoepassingen>>>toestemming en machtigingen> Beheer toestemmingsinstellingen.

  3. Selecteer Onder Beheer toestemmingsaanvragen Ja voor gebruikers kan beheerderstoestemming aanvragen voor apps waarvoor ze geen toestemming kunnen geven.

    Screenshot of configure admin consent workflow settings.

  4. Configureer de volgende instellingen:

    • Wie kan aanvragen voor beheerderstoestemming controleren: gebruikers, groepen of rollen selecteren die zijn aangewezen als revisoren voor beheerderstoestemmingsaanvragen. Revisoren kunnen aanvragen voor beheerderstoestemming bekijken, blokkeren of weigeren, maar alleen globale beheerders kunnen aanvragen voor beheerderstoestemming goedkeuren voor apps die aanvragen voor Microsoft Graph-app-rollen (toepassingsmachtigingen). Mensen aangewezen als revisoren kunnen binnenkomende aanvragen in de Het tabblad In behandeling nadat ze zijn ingesteld als revisoren. Nieuwe revisoren kunnen niet reageren op bestaande of verlopen beheerderstoestemmingsaanvragen.
    • Geselecteerde gebruikers ontvangen e-mailmeldingen voor aanvragen : e-mailmeldingen in- of uitschakelen voor de revisoren wanneer een aanvraag wordt ingediend.
    • Geselecteerde gebruikers ontvangen vervaldatumherinneringen voor aanvragen: e-mailmeldingen voor herinneringen in- of uitschakelen voor de revisoren wanneer een aanvraag op het punt staat te verlopen. De eerste e-mail met een bijna verlopen herinnering wordt waarschijnlijk midden in de geconfigureerde 'Toestemmingsaanvraag verloopt na (dagen) verlopen'. Als u bijvoorbeeld de toestemmingsaanvraag zo configureert dat deze binnen drie dagen verloopt, wordt de eerste herinnerings-e-mail verzonden op de tweede dag en wordt de laatste vervaldatum-e-mail bijna onmiddellijk verzonden.
    • Toestemmingsaanvraag verloopt na (dagen): geef op hoe lang aanvragen geldig blijven.

  5. Selecteer Opslaan. Het kan een uur duren voordat de werkstroom is ingeschakeld.

Notitie

U kunt revisoren voor deze werkstroom toevoegen of verwijderen door de Wie de lijst met aanvragen voor beheerderstoestemming te bekijken. Een huidige beperking van deze functie is dat een revisor de mogelijkheid behoudt om aanvragen te controleren die zijn gedaan terwijl ze zijn aangewezen als revisor en dat er vervaldatumherinneringsmails voor die aanvragen worden ontvangen nadat ze zijn verwijderd uit de lijst met revisoren. Daarnaast worden nieuwe revisoren niet toegewezen aan aanvragen die zijn gemaakt voordat ze zijn ingesteld als revisor.

Als u de werkstroom voor beheerderstoestemming programmatisch wilt configureren, gebruikt u de Update adminConsentRequestPolicy-API in Microsoft Graph.

Volgende stappen

Een toepassing beheerderstoestemming verlenen voor de hele tenant

Aanvragen voor beheerderstoestemming controleren