Configuración del flujo de trabajo de consentimiento del administrador
En este artículo, aprenderá a configurar el flujo de trabajo de consentimiento del administrador para permitir que los usuarios soliciten acceso a aplicaciones que requieren consentimiento del administrador. Puede habilitar la capacidad de realizar solicitudes mediante un flujo de trabajo de consentimiento del administrador. Para obtener más información sobre cómo dar su consentimiento a las aplicaciones, vea Consentimiento de usuario y administrador.
El flujo de trabajo de consentimiento del administrador proporciona a los administradores una manera segura de conceder acceso a las aplicaciones que requieren la aprobación del administrador. Cuando un usuario intenta obtener acceso a una aplicación, pero no puede dar su consentimiento, puede enviar una solicitud de aprobación del administrador. La solicitud se envía por correo electrónico a los administradores que se han designado como revisores. Un revisor realiza una acción con respecto a la solicitud y el usuario recibe una notificación de la acción.
Para aprobar las solicitudes, un revisor debe tener los permisos necesarios para conceder el consentimiento del administrador para la aplicación solicitada. Simplemente designándolos como revisores no eleva sus privilegios.
Requisitos previos
Para configurar el flujo de trabajo de consentimiento del administrador, necesita:
- Una cuenta de Azure. Cree una cuenta gratuita.
- Debe ser administrador global para activar el flujo de trabajo de consentimiento del administrador.
Importante
Microsoft recomienda usar roles con el menor número de permisos. Esto ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Habilitación del flujo de trabajo de consentimiento del administrador
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Para habilitar el flujo de trabajo de consentimiento del administrador y elegir revisores, siga estos pasos:
Inicie sesión en el centro de administración de Microsoft Entra como administrador global.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Consentimiento y permisos>Configuración de consentimiento del administrador.
En Solicitudes de consentimiento del administrador, seleccione Sí para Los usuarios pueden solicitar el consentimiento del administrador para las aplicaciones en las que no puedan proporcionar un consentimiento.
Configure las siguientes opciones:
- Quién puede revisar las solicitudes de consentimiento del administrador: seleccione usuarios, grupos o roles designados como revisores para las solicitudes de consentimiento del administrador. Los revisores pueden ver, bloquear o denegar solicitudes de consentimiento del administrador, pero solo los administradores globales pueden aprobarlas para las aplicaciones que solicitan roles de aplicación (permisos de aplicación) de Microsoft Graph. Las personas designadas como revisores pueden ver las solicitudes entrantes en la pestaña Mis solicitudes pendientes después de que se hayan establecido como revisores. Los revisores nuevos no pueden actuar sobre las solicitudes de consentimiento del administrador existentes o expiradas.
- Los usuarios seleccionados recibirán notificaciones por correo electrónico de las solicitudes: habilite o deshabilite las notificaciones por correo electrónico a los revisores cuando se realiza una solicitud.
- Los usuarios seleccionados recibirán recordatorios de expiración de solicitudes: habilite o deshabilite las notificaciones de aviso por correo electrónico a los revisores cuando una solicitud está a punto de expirar. Es probable que el primer correo electrónico de aviso de expiración se envíe en medio de la configuración "La solicitud de consentimiento expirará después de (días)". Por ejemplo, si configura la solicitud de consentimiento para que expire en tres días, el primer correo electrónico de aviso se envía en el segundo día, mientras que el último correo electrónico de expiración se envía casi inmediatamente después de que haya expirado la solicitud de consentimiento.
- La solicitud de consentimiento expira en (días): especifique el tiempo durante en el que las solicitudes permanecen válidas.
Seleccione Guardar. El flujo de trabajo puede tardar hasta una hora en habilitarse.
Nota:
Puede agregar o quitar revisores de este flujo de trabajo si modifica la lista de Quién puede revisar las solicitudes de consentimiento del administrador. Una limitación actual de esta característica es que un revisor conserva la capacidad de revisar las solicitudes realizadas mientras se designaron como revisores y recibirá correos electrónicos de recordatorio de expiración de esas solicitudes después de quitarlas de la lista de revisores. Además, los nuevos revisores no se asignarán a las solicitudes que se hayan creado antes de su configuración como revisores.
Configuración del flujo de trabajo de consentimiento del administrador mediante Microsoft Graph
Para configurar el flujo de trabajo de consentimiento del administrador mediante programación, use la API Update adminConsentRequestPolicy de Microsoft Graph.
Pasos siguientes
Concesión del consentimiento del administrador para todo el inquilino a una aplicación