Configurer le workflow du consentement administrateur
Dans cet article, vous apprendrez à configurer le workflow du consentement administrateur pour permettre aux utilisateurs de demander l’accès aux applications qui demandent un consentement administrateur. Vous activez la capacité à faire des demandes avec le workflow du consentement administrateur. Pour plus d’informations sur le consentement aux applications, consultez Consentement de l’utilisateur et de l’administrateur.
Le workflow de consentement de l’administrateur offre aux administrateurs une méthode sécurisée pour accorder l’accès aux applications qui requièrent l’approbation de l’administrateur. Lorsqu’un utilisateur tente d’accéder à une application, mais qu’il n’est pas en mesure de donner son consentement, il peut envoyer une demande d’approbation de l’administrateur. La demande est envoyée par e-mail aux administrateurs désignés en tant que réviseurs. Un réviseur entreprend une action sur la demande et l’utilisateur est averti de l’action.
Pour approuver les demandes, un réviseur doit disposer des autorisations nécessaires pour accorder le consentement administrateur pour l’application demandée. Le simple fait de les désigner comme réviseurs n’élève pas leurs privilèges.
Prérequis
Pour configurer le workflow du consentement administrateur, vous devez avoir :
- Un compte Azure. Créez un compte gratuitement.
- Vous devez être Administrateur général pour activer le workflow de consentement administrateur.
Important
Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié à ne limiter qu’aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Activer le workflow de consentement de l’administrateur
Conseil
Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.
Pour activer le workflow de consentement de l’administrateur et choisir les réviseurs :
Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.
Accédez à Identité>Applications>Applications d’entreprise>Consentement et autorisations>Paramètres de consentement administrateur.
Sous Demandes de consentement d’administrateur, sélectionnez Oui pour Les utilisateurs peuvent demander le consentement d’administrateur pour les applications qu’ils ne peuvent pas accepter.
Configurez les paramètres suivants :
- Qui peut examiner les demandes de consentement de l’administrateur : sélectionnez les utilisateurs, les groupes ou les rôles désignés en tant que réviseurs des demandes de consentement de l’administrateur. Les réviseurs peuvent afficher, bloquer ou refuser des demandes de consentement administrateur, mais seuls les Administrateurs généraux peuvent approuver les demandes de consentement administrateur pour les applications demandant des rôles d’application Microsoft Graph (autorisations d’application). Les personnes désignées comme examinateurs peuvent afficher les demandes entrantes sous l’onglet Mes demandes en attente après avoir été désignées comme telles. Les nouveaux réviseurs ne peuvent pas agir sur les demandes de consentement administrateur existantes ou expirées.
- Les utilisateurs sélectionnés recevront des notifications par e-mail pour les demandes - Activez ou désactivez les notifications par e-mail pour les réviseurs lorsqu’une demande est effectuée.
- Les utilisateurs sélectionnés recevront des rappels d’expiration de demande - Activez ou désactivez les notifications par e-mail pour les réviseurs lorsqu’une demande est sur le point d’expirer. Le premier e-mail de rappel d’expiration est probablement envoyé au milieu de la période stipulée dans la configuration « La demande de consentement expire après (jours) ». Par exemple, si vous configurez une demande de consentement pour qu’elle expire dans trois jours, le premier e-mail de rappel est envoyé le deuxième jour, et le dernier e-mail d’expiration est presque immédiatement envoyé lorsque la demande de consentement expire.
- La demande de consentement expire après (jours) - Spécifiez la durée de validité des demandes.
Sélectionnez Enregistrer. L’activation du workflow peut prendre jusqu’à une heure.
Notes
Vous pouvez ajouter ou supprimer des réviseurs pour ce flux de travail en modifiant la liste Qui peut réviser les demandes de consentement administrateur. Une limitation actuelle de cette fonctionnalité veut qu’un réviseur conserve la possibilité d’examiner les requêtes effectuées alors qu’il a été désigné comme réviseur et reçoit des e-mails de rappel d’expiration pour ces requêtes une fois qu’elles ont été supprimées de la liste des réviseurs. De plus, les nouveaux réviseurs ne seront pas affectés aux demandes créées avant qu’ils aient été désignés réviseurs.
Configurer le workflow du consentement administrateur avec Microsoft Graph
Pour configurer le workflow de consentement administrateur programmatiquement, utilisez l’API Update adminConsentRequestPolicy dans Microsoft Graph.
Étapes suivantes
Accorder le consentement de l’administrateur au niveau locataire à une application