Configurar o fluxo de trabalho de consentimento do administrador
Neste artigo, você aprenderá a configurar o fluxo de trabalho de consentimento do administrador para permitir que os usuários solicitem acesso a aplicativos que exigem consentimento do administrador. Você habilita a capacidade de fazer solicitações usando um fluxo de trabalho de consentimento do administrador. Para saber mais sobre como consentir com aplicativos, confira Consentimento do usuário e do administrador.
O fluxo de trabalho de consentimento do administrador é um jeito seguro de conceder acesso a aplicativos que exigem aprovação do administrador. Se um usuário tentar acessar um aplicativo, mas não puder dar consentimento, ele poderá enviar uma solicitação de aprovação ao administrador. A solicitação é enviada por email para administradores designados como revisores. Um revisor avalia solicitação e o usuário é notificado sobre a ação.
Para aprovar solicitações, um revisor deve ter as permissões necessárias para dar o consentimento do administrador para o aplicativo solicitado. Simplesmente designá-los como revisores não eleva os privilégios.
Pré-requisitos
Para configurar o fluxo de trabalho de consentimento do administrador, você precisa:
- Uma conta do Azure. Crie uma conta gratuitamente.
- Você deve ser um Administrador Global para ativar o fluxo de trabalho de consentimento administrativo.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Habilitar o fluxo de trabalho de consentimento do administrador
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Para habilitar o fluxo de trabalho de consentimento do administrador e escolher revisores:
Entre no centro de administração do Microsoft Entra como Administrador global.
Navegue até Identidade>Aplicativos>Aplicativos empresariais>Consentimento e permissões>Configurações de consentimento do administrador.
Em Solicitações de consentimento do administrador, selecione Sim para os usuários podem solicitar o consentimento do administrador para aplicativos com os quais eles não podem consentir.
Defina as seguintes configurações:
- Quem pode revisar as solicitações de consentimento do administrador – selecione usuários, grupos ou funções designadas como revisores para solicitações de consentimento do administrador. Os revisores podem visualizar, bloquear ou negar solicitações de consentimento administrativo, mas somente os administradores globais podem aprovar solicitações de consentimento administrativo para aplicativos que solicitam funções de aplicativo do Microsoft Graph (permissões de aplicativo). As pessoas designadas como revisores podem ver as solicitações de entrada na guia Minhas Pendências depois de terem sido definidas como revisores. Os novos revisores não poderão atuar em solicitações de consentimento do administrador existentes ou vencidas.
- Os usuários selecionados receberão notificações por email para solicitações - Habilita ou desabilita notificações por email para os revisores quando uma solicitação é feita.
- Os usuários selecionados receberão lembretes de expiração de solicitação - Habilita ou desabilita notificações de email de lembrete para os revisadores quando uma solicitação estiver prestes a expirar. O primeiro email de lembrete prestes a expirar provavelmente é enviado no meio da "Solicitação de consentimento expira após (dias)." Por exemplo, se você configurar a solicitação de consentimento para expirar em três dias, o primeiro email de lembrete será enviado no segundo dia e o último email de expiração será enviado quase imediatamente depois que a solicitação de consentimento expirar.
- A solicitação de consentimento expira após (dias) - especifique por quanto tempo as solicitações permanecem válidas.
Selecione Salvar. Pode levar até uma hora para que o fluxo de trabalho seja habilitado.
Observação
É possível adicionar ou remover revisores deste fluxo de trabalho modificando a lista Quem pode revisar solicitações de consentimento do administrador. Uma limitação atual desse recurso é que os revisores mantêm a capacidade de revisar as solicitações feitas enquanto eles estavam designados como revisores, e receberão emails de lembrete de expiração para essas solicitações depois que eles forem removidos da lista de revisores. Além disso, novos revisores não serão atribuídos a solicitações criadas antes de serem definidos como revisores.
Configurar o fluxo de trabalho de consentimento do administrador usando o Microsoft Graph
Para configurar o fluxo de trabalho de consentimento do administrador programaticamente, use a API Update adminConsentRequestPolicy no Microsoft Graph.
Próximas etapas
Conceder consentimento de administrador em todo o locatário para um aplicativo