設定管理員同意工作流程

在本文中，您會了解如何設定管理員同意工作流程，以讓使用者要求存取需要管理員同意的應用程式。 您可以使用管理員同意工作流程來提出要求。 如需同意應用程式的詳細資訊，請參閱使用者和管理員同意。

管理員同意工作流程可讓管理員以安全的方式，將存取權授與需要管理員核准的應用程式。 當使用者嘗試存取應用程式但無法提供同意時，便可傳送要求請管理員核准。 該要求會透過電子郵件傳送給已指定為檢閱者的管理員。 檢閱者會針對要求採取行動，然後使用者便會收到有關該行動的通知。

若要核准要求，檢閱者必須具備為所要求的應用程式授予管理員同意所需的權限。 只將他們指定為檢閱者並不會提高其權限。

必要條件

若要設定管理員同意工作流程，您需要：

• Azure 帳戶。 免費建立帳戶。
• 您必須是全域管理員，才能開啟管理員同意工作流程。

  重要

  Microsoft建議您使用具有最少許可權的角色。 這有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色，當您無法使用現有角色時，應該受限於緊急案例。

啟用管理員同意工作流程

提示

根據您從中開始的入口網站，本文中的步驟可能會略有不同。

啟用管理員同意工作流程，並選擇檢閱者：

1. 以全域管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [同意和權限] > [系統管理員同意設定]。

3. 在 [管理員同意要求] 下，針對 [使用者可以要求系統管理員同意他們無法同意的應用程式]，選取 [是]。

   

4. 設定下列設定：

   • 誰可以檢閱管理員同意要求：選取指定為管理員同意要求檢閱者的使用者、群組或角色。 檢閱者可以檢視、封鎖或拒絕管理員同意要求，但只有全域管理員才能核准要求 Microsoft Graph 應用程式角色 (應用程式權限) 的應用程式的管理員同意要求。 指定為檢閱者的人員可以在設定為檢閱者之後，於 [我的擱置] 索引標籤中檢視傳入要求。 任何新的檢閱者都無法對現有或過期的管理員同意要求採取行動。
   • 選取的使用者將會收到要求的電子郵件通知 - 對檢閱者啟用或停用提出要求時的電子郵件通知。
   • 選取的使用者將會收到要求過期提醒 - 對檢閱者啟用或停用要求即將過期時的提醒電子郵件通知。 第一封即將到期的提醒電子郵件可能會在設定的「同意要求在 (天) 之後到期」的中間傳送。例如，如果您將同意要求設定為在三天內到期，則會在第二天傳送第一封提醒電子郵件，而最後一封到期電子郵件幾乎會在同意要求到期的同時發出的。
   • 同意要求到期前時間 (天) - 指定要求保持有效的時間長度。

5. 選取 [儲存]。 最長可能需要一小時，工作流程才會變成啟用。

注意

您可以修改「誰能檢閱管理員同意要求」清單，來新增或移除此工作流程的檢閱者。 這項功能目前的限制是，檢閱者會保留檢閱被指定為檢閱者期間所提出要求的能力，並在這些要求從檢閱者清單移除後，收到這些要求的到期提醒電子郵件。 此外，新的檢閱者將不會指派給在其設定為檢閱者之前建立的要求。

使用 Microsoft Graph 設定管理員同意工作流程

若要以程式設計方式設定管理員同意工作流程，請使用 Microsoft Graph 中的 Update adminConsentRequestPolicy API。

下一步

對應用程式授與全租用戶的管理員同意

檢閱管理員同意要求 (部分機器翻譯)