Настройка рабочего процесса согласия администратора
Из этой статьи вы узнаете, как настроить рабочий процесс согласия администратора, чтобы пользователи могли запрашивать доступ к приложениям, которым требуется согласие администратора. Вы можете разрешить отправлять такие запросы с помощью рабочего процесса согласия администратора. Дополнительные сведения о согласии приложений см. в разделе "Согласие пользователей и администраторов".
Рабочий процесс предоставления согласия администратора позволяет администраторам безопасно предоставлять доступ к приложениям с соответствующим требованием. Когда пользователь пытается получить доступ к приложению, но не может самостоятельно предоставить согласие, он может отправить запрос для получения согласия администратора. Этот запрос отправляется по электронной почте всем администраторам, которые были указаны как рецензенты. Рецензент обрабатывает этот запрос, и пользователь получает соответствующее уведомление.
Чтобы утвердить запросы, рецензент должен иметь разрешения, необходимые для предоставления согласия администратора для запрошенного приложения. Просто назначая их в качестве рецензента, не повышает свои привилегии.
Необходимые компоненты
Для настройки рабочего процесса предоставления согласия администратора вам потребуются:
- Учетная запись Azure. Создайте учетную запись бесплатно .
- Чтобы включить рабочий процесс согласия администратора, необходимо быть глобальным администратором.
Внимание
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это высоко привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
Включение рабочего процесса предоставления согласия администратора
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Чтобы настроить рабочий процесс предоставления согласия администратора и выбрать рецензентов, сделайте следующее:
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
Перейдите к параметрам согласия и разрешений>администратора приложений Identity>Applications>Enterprise>.
В разделе Запросы на предоставление согласия администратора укажите для параметра Пользователи могут запрашивать согласие администратора на использование приложений, согласие на доступ к которым они не могут предоставить значение Да.
Настройте следующие параметры:
- Кто может просматривать запросы на согласие администратора. Выберите пользователей, группы или роли, назначенные в качестве рецензентов для запросов на согласие администратора. Рецензенты могут просматривать, блокировать или отклонять запросы на согласие администратора, но только глобальные администраторы могут утверждать запросы на согласие администратора для приложений, запрашивающих роли приложения Microsoft Graph (разрешения приложения). Пользователи, обозначенные как рецензенты, могут просматривать входящие запросы на вкладке Мои ожидания с того момента, как они назначаются рецензентами. Любые новые рецензенты не могут действовать с существующими или просроченными запросами на согласие администратора.
- Selected users will receive email notifications for requests (Выбранные пользователи будут получать уведомления по электронной почте о запросах). Включите или отключите уведомления по электронной почте, которые отправляются рецензентам при выполнении запроса.
- Selected users will receive request expiration reminders (Выбранные пользователи будут получать напоминания об окончании срока действия запроса). Включите или отключите напоминания рецензентам по электронной почте о скором истечении срока действия запроса. Первая электронная почта напоминания о истечении срока действия, скорее всего, отправляется в середине настроенного "Срок действия запроса согласия истекает через (дни)." Например, если вы настроите срок действия запроса на согласие в течение трех дней, первый адрес напоминания отправляется во второй день, а последнее сообщение об истечении срока действия отправляется почти сразу же, когда срок действия запроса согласия истекает.
- Consent request expires after (days) (Срок действия запроса на согласие истекает через x дн.). Укажите срок действия для запросов.
Выберите Сохранить. Включение этого рабочего процесса может занять до одного часа.
Примечание.
Вы можете добавить или удалить рецензентов для этого рабочего процесса, изменив список запросов согласия администратора. Текущее ограничение этой функции заключается в том, что рецензент сохраняет возможность просматривать запросы, сделанные во время их назначения в качестве рецензента, и будет получать сообщения о истечении срока действия для этих запросов после их удаления из списка рецензентов. Кроме того, новые рецензенты не будут назначены запросам, созданным до их установки в качестве рецензента.
Настройка рабочего процесса согласия администратора с помощью Microsoft Graph
Чтобы настроить рабочий процесс согласия администратора программным способом, используйте API Обновить AdminConsentRequestPolicy в Microsoft Graph.
Следующие шаги
Предоставление приложению согласия администратора на уровне арендатора