Configurar o fluxo de trabalho de consentimento de administrador
Neste artigo, você aprenderá a configurar o fluxo de trabalho de consentimento de administrador para permitir que os usuários solicitem acesso a aplicativos que exigem consentimento de administrador. Você habilita a capacidade de fazer solicitações usando um fluxo de trabalho de consentimento de administrador. Para obter mais informações sobre como consentir com aplicativos, consulte Consentimento de usuário e administrador.
O fluxo de trabalho de consentimento do administrador dá aos administradores uma forma segura de concederem acesso a aplicações que requerem aprovação do administrador. Quando um utilizador tenta aceder a uma aplicação mas não consegue dar o seu consentimento, pode enviar um pedido para aprovação do administrador. O pedido é enviado por e-mail para os administradores designados como revisores. Um revisor toma medidas sobre o pedido e o utilizador é notificado da ação.
Para aprovar solicitações, um revisor deve ter as permissões necessárias para conceder consentimento de administrador para o aplicativo solicitado. Simplesmente designá-los como revisores não eleva seus privilégios.
Pré-requisitos
Para configurar o fluxo de trabalho de consentimento de administrador, você precisa:
- Uma conta do Azure. Crie uma conta gratuitamente.
- Tem de ser um Administrador Global para ativar o fluxo de trabalho de consentimento de administrador.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando você não pode usar uma função existente.
Habilitar o fluxo de trabalho de consentimento de administrador
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Para habilitar o fluxo de trabalho de consentimento do administrador e escolher revisores:
Entre no centro de administração do Microsoft Entra como Administrador Global.
Navegue até Aplicativos de>identidade>: Aplicativos corporativos>, Consentimento e permissões>, Configurações de consentimento do administrador.
Em Pedidos de consentimento de administrador, selecione Sim para Os utilizadores podem solicitar o consentimento de administrador para aplicações com as quais não conseguem consentir .
Configure as seguintes definições:
- Quem pode rever os pedidos de consentimento de administrador - Selecione utilizadores, grupos ou funções designados como revisores para pedidos de consentimento de administrador. Os revisores podem exibir, bloquear ou negar solicitações de consentimento de administrador, mas somente os Administradores Globais podem aprovar solicitações de consentimento de administrador para aplicativos que solicitam funções de aplicativo do Microsoft Graph (permissões de aplicativo). As pessoas designadas como revisores podem visualizar as solicitações recebidas na guia Minhas Pendentes depois de terem sido definidas como revisores. Os novos revisores não podem agir em relação a solicitações de consentimento de administrador existentes ou expiradas.
- Os usuários selecionados receberão notificações por e-mail para solicitações - Habilite ou desabilite notificações por e-mail para os revisores quando uma solicitação for feita.
- Os usuários selecionados receberão lembretes de expiração de solicitação - Habilite ou desabilite notificações por e-mail de lembrete para os revisores quando uma solicitação estiver prestes a expirar. O primeiro e-mail de lembrete prestes a expirar provavelmente é enviado no meio da configuração "A solicitação de consentimento expira após (dias)". Por exemplo, se você configurar a solicitação de consentimento para expirar em três dias, o primeiro e-mail de lembrete será enviado no segundo dia e o último e-mail de expiração será enviado quase imediatamente a solicitação de consentimento expirará.
- A solicitação de consentimento expira após (dias) - Especifique por quanto tempo as solicitações permanecem válidas.
Selecione Guardar. Pode levar até uma hora para que o fluxo de trabalho seja habilitado.
Nota
Você pode adicionar ou remover revisores para esse fluxo de trabalho modificando a lista Quem pode revisar solicitações de consentimento de administrador. Uma limitação atual desse recurso é que um revisor mantém a capacidade de revisar solicitações que foram feitas enquanto foi designado como revisor e receberá e-mails de lembrete de expiração para essas solicitações depois que elas forem removidas da lista de revisores. Além disso, novos revisores não serão atribuídos a solicitações que foram criadas antes de serem definidas como revisores.
Configurar o fluxo de trabalho de consentimento de administrador usando o Microsoft Graph
Para configurar o fluxo de trabalho de consentimento de administrador programaticamente, use a API Update adminConsentRequestPolicy no Microsoft Graph.
Próximos passos
Conceder consentimento de administrador ao nível do inquilino a uma aplicação