Microsoft Entra同意请求
命名空间:microsoft.graph
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
Microsoft Entra同意请求可帮助管理尝试访问需要管理员批准的应用的用户的请求工作流。
在应用可用于访问组织中的任何数据之前,管理员必须同意将其用于租户。 此外,在用户可以向已同意的应用程序授予代表其执行操作的特定权限之前,管理员还必须同意允许用户同意对应用的这些权限。 同意管理是Microsoft Entra ID帮助组织强制实施应用程序和数据安全的一种方式。
Microsoft Entra同意工作流允许用户请求租户管理员向需要管理员批准的应用授予许可。 Microsoft Graph 中的同意请求 API 允许管理员配置同意工作流并跟踪应用和用户的同意请求。
注意
当前 API 仅限于配置工作流和读取请求列表。 目前,没有任何方法可用于以编程方式批准或拒绝请求。 但是,请求的内容可用于重新创建 URL,该 URL 可用于授予管理员同意和批准请求。
注意
本文介绍如何从设备或服务导出个人数据。 这些步骤可用于支持一般数据保护条例 (GDPR) 下的义务。 授权租户管理员可以在Microsoft Entra ID环境中使用 Microsoft Graph 来更正、更新或删除最终用户的身份信息,包括客户和员工用户配置文件或个人数据,例如用户名、工作职务、地址或电话号码。
配置管理员同意工作流
管理员同意策略指定用户是否可以为需要租户管理员授权的应用请求管理员同意。 使用 adminConsentRequestPolicy 资源类型及其关联的方法来配置管理员同意工作流,如下所示:
- 启用或禁用同意工作流。
- 配置管理员同意请求的审阅者。
- 配置挂起请求在过期前的有效期,以及收到挂起请求通知的主体。
检索应用同意请求
当用户请求同意使用组织中的应用或向应用授予权限时,他们会为应用创建同意请求。 通过 appConsentRequest 资源类型及其关联方法检索应用同意请求。
可以执行下列操作:
- 检索应用的所有应用同意请求和关联的用户同意请求集合。 应用同意请求可能有一个或多个用户同意请求,表示来自相同或多个用户的多个请求。
- 检索用户代表应用请求的权限。
- 使用
$filter来匹配挂起的请求。 - 检索已登录用户是请求创建者的应用同意请求。
检索用户同意请求
当用户请求同意使用组织中的应用或向应用授予权限时,他们会为租户管理员创建同意请求,以允许他们使用该应用。 用户同意请求是通过 userConsentRequest 资源类型及其关联方法检索的。
可以执行下列操作:
- 检索有关用户同意请求的详细信息。
- 检索同意请求经过的审批阶段。 审批过程目前是单阶段流程。
- 检索审批状态,无论是挂起还是已完成,以及审阅者是否决定拒绝或批准同意请求。
角色和委派权限授权检查
调用应用程序需要以下目录角色。
| 操作 | 委派权限 | 调用用户的必需目录角色 |
|---|---|---|
| 阅读 | ConsentRequest.Read.All、ConsentRequest.ReadWrite.All | 全局读取者、云应用管理员或应用程序管理员 |
相关内容
- 详细了解如何 配置管理员同意工作流 (预览) 。
- 了解Microsoft Entra应用程序同意体验中的用户和管理员同意流。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈