Configurar o fluxo de trabalho de consentimento do administrador

  • Artigo

Neste artigo, você aprenderá a configurar o fluxo de trabalho de consentimento do administrador para permitir que os usuários solicitem acesso a aplicativos que exigem consentimento do administrador. Você habilita a capacidade de fazer solicitações usando um fluxo de trabalho de consentimento do administrador. Para saber mais sobre como consentir com aplicativos, confira Consentimento do usuário e do administrador.

O fluxo de trabalho de consentimento do administrador é um jeito seguro de conceder acesso a aplicativos que exigem aprovação do administrador. Se um usuário tentar acessar um aplicativo, mas não puder dar consentimento, ele poderá enviar uma solicitação de aprovação ao administrador. A solicitação é enviada por email para administradores designados como revisores. Um revisor avalia solicitação e o usuário é notificado sobre a ação.

Para aprovar solicitações, um revisor deve ter as permissões necessárias para dar o consentimento do administrador para o aplicativo solicitado. Simplesmente designá-los como revisores não eleva os privilégios.

Pré-requisitos

Para configurar o fluxo de trabalho de consentimento do administrador, você precisa:

  • Uma conta do Azure. Crie uma conta gratuitamente.
  • Você precisa ser um administrador global para ativar o fluxo de trabalho de consentimento do administrador.

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Para habilitar o fluxo de trabalho de consentimento do administrador e escolher revisores:

  1. Entre no Centro de administração do Microsoft Entra como um Administrador Global.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Consentimento e permissões>Configurações de consentimento do administrador.

  3. Em Solicitações de consentimento do administrador, selecione Sim para os usuários podem solicitar o consentimento do administrador para aplicativos com os quais eles não podem consentir.

    Screenshot of configure admin consent workflow settings.

  4. Defina as seguintes configurações:

    • Quem pode revisar as solicitações de consentimento do administrador – selecione usuários, grupos ou funções designadas como revisores para solicitações de consentimento do administrador. Os revisores podem ver, bloquear ou negar solicitações de consentimento do administrador, mas apenas administradores globais podem aprovar solicitações de consentimento do administrador para aplicativos que solicitam funções de aplicativo do Microsoft Graph (permissões de aplicativo). As pessoas designadas como revisores podem ver as solicitações de entrada na guia Minhas Pendências depois de terem sido definidas como revisores. Os novos revisores não poderão atuar em solicitações de consentimento do administrador existentes ou vencidas.
    • Os usuários selecionados receberão notificações por email para solicitações - Habilita ou desabilita notificações por email para os revisores quando uma solicitação é feita.
    • Os usuários selecionados receberão lembretes de expiração de solicitação - Habilita ou desabilita notificações de email de lembrete para os revisadores quando uma solicitação estiver prestes a expirar. O primeiro email de lembrete prestes a expirar provavelmente é enviado no meio da "Solicitação de consentimento expira após (dias)." Por exemplo, se você configurar a solicitação de consentimento para expirar em três dias, o primeiro email de lembrete será enviado no segundo dia e o último email de expiração será enviado quase imediatamente depois que a solicitação de consentimento expirar.
    • A solicitação de consentimento expira após (dias) - especifique por quanto tempo as solicitações permanecem válidas.

  5. Selecione Salvar. Pode levar até uma hora para que o fluxo de trabalho seja habilitado.

Observação

É possível adicionar ou remover revisores deste fluxo de trabalho modificando a lista Quem pode revisar solicitações de consentimento do administrador. Uma limitação atual desse recurso é que os revisores mantêm a capacidade de revisar as solicitações feitas enquanto eles estavam designados como revisores, e receberão emails de lembrete de expiração para essas solicitações depois que eles forem removidos da lista de revisores. Além disso, novos revisores não serão atribuídos a solicitações criadas antes de serem definidos como revisores.

Para configurar o fluxo de trabalho de consentimento do administrador programaticamente, use a API Update adminConsentRequestPolicy no Microsoft Graph.

Próximas etapas

Conceder consentimento de administrador em todo o locatário para um aplicativo

Examinar as solicitações de consentimento do administrador