Configurar o fluxo de trabalho de consentimento do administrador

Neste artigo, você aprenderá a configurar o fluxo de trabalho de consentimento do administrador para permitir que os usuários solicitem acesso a aplicativos que exigem consentimento do administrador. Você habilita a capacidade de fazer solicitações usando um fluxo de trabalho de consentimento do administrador. Para obter mais informações sobre o consentimento de aplicativos, consulte a estrutura de consentimento do Azure Active Directory.

O fluxo de trabalho de consentimento do administrador é um jeito seguro de conceder acesso a aplicativos que exigem aprovação do administrador. Se um usuário tentar acessar um aplicativo, mas não puder dar consentimento, ele poderá enviar uma solicitação de aprovação ao administrador. A solicitação é enviada por email para administradores designados como revisores. Um revisor avalia solicitação e o usuário é notificado sobre a ação.

Para aprovar solicitações, um revisor deve ser um administrador global, um administrador de aplicativos de nuvem ou um administrador de aplicativos. O revisor já deve ter uma dessas funções de administrador atribuídas; simplesmente designá-lo como revisor não eleva os privilégios dele.

Pré-requisitos

Para configurar o fluxo de trabalho de consentimento do administrador, você precisa:

  • Uma conta do Azure. Crie uma conta gratuitamente.
  • Você precisa ser um administrador global para ativar o fluxo de trabalho de consentimento do administrador.

Para habilitar o fluxo de trabalho de consentimento do administrador e escolher revisores:

  1. Entre no portal do Azure com uma das funções listadas nos pré-requisitos.

  2. Pesquise Azure Active Directory e selecione-o.

  3. Selecione Aplicativos empresariais.

  4. Em Gerenciar, selecione Configurações do usuário. Em Solicitações de consentimento do administrador, selecione Sim para os usuários podem solicitar o consentimento do administrador para aplicativos com os quais eles não podem consentir. Definir as configurações de fluxo de trabalho de consentimento do administrador

  5. Defina as seguintes configurações:

    • Selecionar usuários, grupos ou funções que serão designados como revisores para solicitações de consentimento do administrador – Os revisores podem ver, bloquear ou negar solicitações de consentimento do administrador, mas somente os administradores globais podem aprovar solicitações de consentimento do administrador. As pessoas designadas como revisores podem ver as solicitações de entrada na guia Minhas Pendências depois de terem sido definidas como revisores. Os novos revisores não poderão tomar decisões com base nas solicitações de consentimento do administrador existentes ou vencidas.
    • Os usuários selecionados receberão notificações por email para solicitações - Habilita ou desabilita notificações por email para os revisores quando uma solicitação é feita.
    • Os usuários selecionados receberão lembretes de expiração de solicitação - Habilita ou desabilita notificações de email de lembrete para os revisadores quando uma solicitação estiver prestes a expirar.
    • A solicitação de consentimento expira após (dias) - especifique por quanto tempo as solicitações permanecem válidas.
  6. Selecione Salvar. Pode levar até uma hora para que o fluxo de trabalho seja habilitado.

Observação

É possível adicionar ou remover revisores deste fluxo de trabalho modificando a lista Selecionar revisores de solicitações de consentimento de administrador. Uma limitação atual desse recurso é que os revisores podem reter a capacidade de revisar as solicitações feitas enquanto foram designados como revisor.

Para configurar o fluxo de trabalho de consentimento do administrador programaticamente, use a API Update adminConsentRequestPolicy no Microsoft Graph.

Próximas etapas

Conceder consentimento de administrador em todo o locatário para um aplicativo

Examinar as solicitações de consentimento do administrador