Konfigurowanie przepływu pracy zgody administratora

  • Artykuł

Z tego artykułu dowiesz się, jak skonfigurować przepływ pracy zgody administratora, aby umożliwić użytkownikom żądanie dostępu do aplikacji, które wymagają zgody administratora. Możesz włączyć możliwość tworzenia żądań przy użyciu przepływu pracy zgody administratora. Aby uzyskać więcej informacji na temat wyrażania zgody na aplikacje, zobacz Zgoda użytkownika i administratora.

Przepływ pracy zgody administratora zapewnia administratorom bezpieczny sposób udzielania dostępu do aplikacji, które wymagają zatwierdzenia przez administratora. Gdy użytkownik próbuje uzyskać dostęp do aplikacji, ale nie może wyrazić zgody, może wysłać żądanie o zatwierdzenie przez administratora. Żądanie jest wysyłane pocztą e-mail do administratorów wyznaczonych jako recenzenci. Recenzent podejmuje działania dotyczące żądania, a użytkownik jest powiadamiany o tych działaniach.

Aby zatwierdzić żądania, recenzent musi mieć uprawnienia wymagane do udzielenia zgody administratora dla żądanej aplikacji. Po prostu wyznaczenie ich jako recenzenta nie podnosi swoich uprawnień.

Wymagania wstępne

Aby skonfigurować przepływ pracy zgody administratora, potrzebne są następujące elementy:

  • Konto Azure. Utwórz konto bezpłatnie.
  • Aby włączyć przepływ pracy zgody administratora, musisz być administratorem globalnym.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby włączyć przepływ pracy zgody administratora i wybrać recenzentów:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny Administracja istrator.

  2. Przejdź do pozycji>Tożsamości>Aplikacje>dla przedsiębiorstw — zgoda i uprawnienia> Administracja ustawienia zgody.

  3. W obszarze Administracja żądania zgody wybierz pozycję Tak, aby użytkownicy mogli zażądać zgody administratora na aplikacje, których nie mogą wyrazić na nie zgodę.

    Screenshot of configure admin consent workflow settings.

  4. Skonfiguruj wymienione poniżej ustawienia:

    • KtoTo może przeglądać żądania zgody administratora — wybierz użytkowników, grupy lub role wyznaczone jako recenzenci dla żądań zgody administratora. Recenzenci mogą wyświetlać, blokować lub odrzucać żądania zgody administratora, ale tylko administratorzy globalni mogą zatwierdzać żądania zgody administratora dla aplikacji żądających ról aplikacji programu Microsoft Graph (uprawnień aplikacji). Osoby wyznaczony jako recenzenci mogą wyświetlać żądania przychodzące w Moja karta Oczekujące po ustawieniu ich jako recenzentów. Wszyscy nowi recenzenci nie mogą wykonywać istniejących ani wygasłych żądań zgody administratora.
    • Wybrani użytkownicy będą otrzymywać powiadomienia e-mail dotyczące żądań — włącza lub wyłącza powiadomienia e-mail do recenzentów po wysłaniu żądania.
    • Wybrani użytkownicy otrzymają przypomnienia o wygaśnięciu żądań — włącza lub wyłącza powiadomienia e-mail z przypomnieniami do recenzentów, gdy żądanie wkrótce wygaśnie. Pierwsza wiadomość e-mail z przypomnieniem o wygaśnięciu jest prawdopodobnie wysyłana w środku skonfigurowanego "Żądanie zgody wygasa po (dni)." Jeśli na przykład skonfigurujesz żądanie zgody do wygaśnięcia w ciągu trzech dni, pierwsza wiadomość e-mail z przypomnieniem zostanie wysłana w drugim dniu, a ostatnia wiadomość e-mail z wygaśnięciem zostanie wysłana niemal natychmiast, gdy żądanie zgody wygaśnie.
    • Żądanie zgody wygasa po (dni) — określ, jak długo żądania pozostają prawidłowe.

  5. Wybierz pozycję Zapisz. Włączenie przepływu pracy może potrwać do godziny.

Uwaga

Możesz dodawać lub usuwać recenzentów dla tego przepływu pracy, modyfikując KtoTo można przejrzeć listę żądań zgody administratora. Bieżące ograniczenie tej funkcji polega na tym, że recenzent zachowuje możliwość przeglądania żądań, które zostały wysłane podczas ich wyznaczenia jako recenzenta i otrzyma wiadomości e-mail z przypomnieniami o wygaśnięciu dla tych żądań po usunięciu ich z listy recenzentów. Ponadto nowi recenzenci nie będą przypisywani do żądań utworzonych przed ich ustawieniem jako recenzenta.

Aby programowo skonfigurować przepływ pracy zgody administratora, użyj interfejsu API Update AdminConsentRequestPolicy w programie Microsoft Graph.

Następne kroki

Udzielanie zgody administratora całej dzierżawy dla aplikacji

Przeglądanie żądań zgody administratora