Partager via


Microsoft Entra demandes de consentement

Espace de noms: microsoft.graph

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Microsoft Entra demandes de consentement vous aident à gérer le flux de travail des demandes pour les utilisateurs qui tentent d’accéder aux applications qui nécessitent l’approbation de l’administrateur.

Avant qu’une application puisse être utilisée pour accéder à des données dans votre organization, l’administrateur doit donner son consentement pour qu’elle soit utilisée dans le locataire. En outre, avant qu’un utilisateur puisse accorder des autorisations spécifiques à une application autorisée à agir en son nom, l’administrateur doit également donner son consentement pour que les utilisateurs soient autorisés à donner leur consentement à ces autorisations pour l’application. La gestion des consentements est un moyen Microsoft Entra ID d’aider les organisations à appliquer la sécurité des applications et des données.

Le flux de travail de consentement Microsoft Entra permet aux utilisateurs de demander aux administrateurs de locataire d’accorder le consentement aux applications qui nécessitent l’approbation de l’administrateur. Les API de demandes de consentement dans Microsoft Graph permettent à l’administrateur de configurer le flux de travail de consentement et de suivre les demandes de consentement pour les applications et les utilisateurs.

Remarque

Les API actuelles sont limitées à la configuration du flux de travail et à la lecture de la liste des demandes. À l’heure actuelle, aucune méthode n’est disponible pour approuver ou refuser une demande par programmation. Toutefois, le contenu de la demande peut être utilisé pour recréer une URL qui peut être utilisée pour accorder le consentement administrateur et approuver une demande.

Remarque

Cet article explique comment exporter des données personnelles à partir d’un appareil ou d’un service. Ces étapes peuvent être utilisées pour prendre en charge vos obligations en vertu du Règlement général sur la protection des données (RGPD). Les administrateurs de locataires autorisés peuvent utiliser Microsoft Graph pour corriger, mettre à jour ou supprimer des informations d’identification sur les utilisateurs finaux, y compris les profils utilisateur des clients et des employés ou les données personnelles, telles que le nom, la fonction professionnelle, l’adresse ou le numéro de téléphone d’un utilisateur, dans votre environnement de Microsoft Entra ID.

La stratégie de consentement administrateur spécifie si les utilisateurs peuvent demander le consentement de l’administrateur pour les applications qui nécessitent une autorisation d’administrateur pour le locataire. Utilisez le type de ressource adminConsentRequestPolicy et ses méthodes associées pour configurer le flux de travail de consentement administrateur comme suit :

  • Activer ou désactiver le flux de travail de consentement.
  • Configurez les réviseurs des demandes de consentement administrateur.
  • Configurez la durée de validité d’une demande en attente avant son expiration et les principaux qui sont avertis des demandes en attente.

Lorsqu’un utilisateur demande le consentement pour utiliser une application dans le organization ou pour accorder des autorisations à une application, il crée une demande de consentement pour l’application. Les demandes de consentement d’application sont récupérées via le type de ressource appConsentRequest et ses méthodes associées.

Vous pouvez :

  • Récupérez toutes les demandes de consentement de l’application et la collection associée de demandes de consentement utilisateur pour l’application. Une demande de consentement d’application peut avoir une ou plusieurs demandes de consentement utilisateur représentant plusieurs demandes du même ou de plusieurs utilisateurs.
  • Récupérez les autorisations que l’utilisateur a demandées pour l’application en son nom.
  • Utilisez $filter pour faire correspondre les demandes en attente.
  • Récupérez les demandes de consentement de l’application pour lesquelles l’utilisateur connecté est le créateur de la demande.

Lorsqu’un utilisateur demande le consentement pour utiliser une application dans le organization ou pour accorder des autorisations à une application, il crée une demande de consentement pour que l’administrateur client lui permette d’utiliser l’application. Les demandes de consentement utilisateur sont récupérées via le type de ressource userConsentRequest et ses méthodes associées.

Vous pouvez :

  • Récupérez les détails des demandes de consentement de l’utilisateur.
  • Récupérez les étapes d’approbation que la demande de consentement a passées. Le processus d’approbation est actuellement un processus en une seule étape.
  • Récupérez les status des approbations, qu’elles soient en attente ou terminées, et si les réviseurs ont décidé de refuser ou d’approuver la demande de consentement.

Vérifications d’autorisation de rôle et d’autorisation déléguée

Les rôles d’annuaire suivants sont requis pour une application appelante.

Opération Autorisations déléguées Rôle d’annuaire requis de l’utilisateur appelant
Lecture ConsentRequest.Read.All, ConsentRequest.ReadWrite.All Lecteur général, administrateur d’application cloud ou administrateur d’application