設定管理員同意工作流程
在本文中,您將瞭解如何設定管理員同意工作流程,讓使用者要求存取需要管理員同意的應用程式。 您可以使用系統管理員同意工作流程來提出要求。 如需同意應用程式的詳細資訊,請參閱 使用者和管理員同意。
管理員同意工作流程可讓管理員以安全的方式,將存取權授與需要管理員核准的應用程式。 當使用者嘗試存取應用程式但無法提供同意時,便可傳送要求請管理員核准。 該要求會透過電子郵件傳送給已指定為檢閱者的管理員。 檢閱者會針對要求採取行動,然後使用者便會收到有關該行動的通知。
若要核准要求,檢閱者必須具備 授與所要求應用程式管理員同意所需的 許可權。 只要將他們指定為檢閱者並不會提高其許可權。
必要條件
若要設定管理員同意工作流程,您需要:
- Azure 帳戶。 免費建立帳戶。
- 您必須是全域管理員,才能開啟管理員同意工作流程。
啟用管理員同意工作流程
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
若要啟用管理員同意工作流程,並選擇檢閱者:
以全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式>企業應用程式>同意和許可權> 管理員 同意設定。
在 [管理員同意要求] 下,針對 [使用者可以要求系統管理員同意他們無法同意的應用程式],選取 [是]。
設定下列設定:
- 神秘 可以檢閱系統管理員同意要求 - 選取指定為管理員同意要求檢閱者的使用者、群組或角色。 檢閱者可以檢視、封鎖或拒絕系統管理員同意要求,但只有全域管理員可以核准要求 Microsoft Graph 應用程式角色的應用程式管理員同意要求(應用程式許可權)。 指定為檢閱者的人員可以在設定為檢閱者之後,於 [我的擱置] 索引標籤中檢視傳入要求。 任何新的檢閱者都無法對現有或過期的管理員同意要求採取行動。
- 選取的使用者將會收到要求的電子郵件通知 - 對檢閱者啟用或停用提出要求時的電子郵件通知。
- 選取的使用者將會收到要求過期提醒 - 對檢閱者啟用或停用要求即將過期時的提醒電子郵件通知。 第一封即將到期的提醒電子郵件可能會在設定的「同意要求在 (天) 之後到期」的中間傳送。例如,如果您將同意要求設定為在三天內到期,則會在第二天傳送第一封提醒電子郵件,而最後一封到期電子郵件幾乎會立即傳送同意要求到期。
- 同意要求到期前時間 (天) - 指定要求保持有效的時間長度。
選取 [儲存]。 最長可能需要一小時,工作流程才會變成啟用。
注意
您可以修改 神秘 檢閱管理員同意要求清單,以新增或移除此工作流程的檢閱者。 這項功能的目前限制是,檢閱者會保留檢閱被指定為檢閱者時所提出要求的能力,並在從檢閱者清單中移除這些要求之後,收到這些要求的到期提醒電子郵件。 此外,新的檢閱者將不會指派給在設定為檢閱者之前建立的要求。
使用 Microsoft Graph 設定管理員同意工作流程
若要以程式設計方式設定管理員同意工作流程,請使用 Microsoft Graph 中的 Update adminConsentRequestPolicy API。