管理者の同意ワークフローの構成
この記事では、管理者の同意ワークフローを構成して、管理者の同意が必要なアプリケーションへのアクセスをユーザーが要求できるようにする方法について説明します。 管理者の同意ワークフローを使用して、要求を作成する機能を有効にします。 アプリケーションへの同意の詳細については、ユーザーと管理者の同意に関する説明を参照してください。
管理者の同意ワークフローによって、管理者は、管理者の承認を必要とするアプリケーションへのアクセス権を安全に付与することができます。 ユーザーがアプリケーションにアクセスしようとしているものの同意ができない場合には、ユーザーは管理者の承認の要求を送信できます。 要求は、レビュー担当者として指定された管理者にメールで送信されます。 レビュー担当者が要求に対してアクションを実行すると、ユーザーにそのアクションが通知されます。
レビュー担当者が要求を承認するには、要求されたアプリケーションに管理者の同意を付与するためのアクセス許可を持っている必要があります。 レビュー担当者として指定するだけでは、特権は昇格されません。
前提条件
管理者の同意ワークフローを構成するには、以下が必要です。
- Azure アカウント。 無料でアカウントを作成できます。
- 管理者の同意ワークフローを有効にするには、グローバル管理者である必要があります。
重要
Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定されるべきです。
管理者の同意ワークフローの有効化
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
管理者の同意ワークフローを有効にし、レビュー担当者を選択するには:
Microsoft Entra 管理センターにグローバル管理者としてサインインします。
ID>アプリケーション>エンタープライズ アプリケーション>同意とアクセス許可>管理者の同意設定 を参照します。
[管理者の同意要求] で、[ユーザーは、自分が同意できないアプリに対して管理者の同意を要求できます] に対して [はい] を選択します。
次の設定を構成します。
- 管理者の同意要求を確認できるユーザー - 管理者の同意要求のレビュー担当者として指定されているユーザー、グループ、またはロールを選択します。 レビュー担当者は、管理者の同意要求を表示、ブロック、または拒否できますが、Microsoft Graph アプリ ロール (アプリケーションのアクセス許可) を要求するアプリについて管理者の同意要求を承認できるのは、グローバル管理者だけです。 レビュー担当者として指定されたユーザーは、レビュー担当者として設定されると [自分の保留] タブに受信要求を表示できます。 新しいレビュー担当者は、既存または期限切れの管理者の同意要求に対して操作を行うことはできません。
- 選択したユーザーは、要求に関するメール通知を受け取ります。要求が行われたときのレビュー担当者へのメール通知を有効または無効にします。
- 選択したユーザーは、要求の有効期限の通知を受け取ります。要求の有効期限が近づいたときの、レビュー担当者へのリマインダー メール通知を有効または無効にします。 最初の期限切れ間近のリマインダー メールは、構成された "同意要求の有効期限が (日) 後に切れる" の途中で送信される可能性があります。たとえば、同意要求が 3 日で期限切れするように構成した場合、最初のアラーム メールは 2 日目に送信され、同意要求の有効期限が切れるとほぼすぐに最後の有効期限のメールが送信されます。
- 同意要求の有効期限 (日数) -要求の有効期間を指定します。
[保存] を選択します。 ワークフローが有効になるまでに、最大で 1 時間かかることがあります。
注意
このワークフローのレビュー担当者を追加または削除するには、[Who can review admin consent requests] (管理者の同意要求を確認できるユーザー) の一覧を変更します。 現在この機能には制限事項があり、レビュー担当者は、自身がレビュー担当者として指定されていた間に行われた要求をレビューする能力を保持し、レビュー担当者の一覧から削除された後で、これらの要求の有効期限通知メールを受信します。 また、レビュー担当者として指定される前に作成された要求には、新しいレビュー担当者が割り当てられません。
Microsoft Graph を使用して管理者の同意ワークフローを構成する
管理者の同意ワークフローをプログラムで構成するには、Microsoft Graph で Update adminConsentRequestPolicy API を使用します。