Udostępnij za pośrednictwem


Konfigurowanie przepływu pracy zgody administratora

Z tego artykułu dowiesz się, jak skonfigurować przepływ pracy zgody administratora, aby umożliwić użytkownikom żądanie dostępu do aplikacji, które wymagają zgody administratora. Możesz włączyć możliwość tworzenia żądań przy użyciu przepływu pracy zgody administratora. Aby uzyskać więcej informacji na temat wyrażania zgody na aplikacje, zobacz Zgoda użytkownika i administratora.

Przepływ pracy zgody administratora zapewnia administratorom bezpieczny sposób udzielania dostępu do aplikacji, które wymagają zatwierdzenia przez administratora. Gdy użytkownik próbuje uzyskać dostęp do aplikacji, ale nie może wyrazić zgody, może wysłać żądanie o zatwierdzenie przez administratora. Żądanie jest wysyłane pocztą e-mail do administratorów wyznaczonych jako recenzenci. Recenzent podejmuje działania dotyczące żądania, a użytkownik jest powiadamiany o tych działaniach.

Aby zatwierdzić żądania, recenzent musi mieć uprawnienia wymagane do udzielenia zgody administratora dla żądanej aplikacji. Po prostu wyznaczenie ich jako recenzenta nie podnosi swoich uprawnień.

Wymagania wstępne

Aby skonfigurować przepływ pracy zgody administratora, potrzebne są następujące elementy:

  • Konto Azure. Utwórz konto bezpłatnie.
  • Aby włączyć przepływ pracy zgody administratora, musisz być administratorem globalnym.

    Ważne

    Firma Microsoft zaleca używanie ról z najmniejszymi uprawnieniami. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to wysoce uprzywilejowana rola, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby włączyć przepływ pracy zgody administratora i wybrać recenzentów:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.

  2. Przejdź do pozycji Identity>Applications Enterprise Applications>Consent and permissions Admin consent settings (Ustawienia zgody administratora i uprawnień>dla aplikacji>dla przedsiębiorstw).

  3. W obszarze Żądania zgody administratora wybierz pozycję Tak , aby użytkownicy mogli zażądać zgody administratora na aplikacje, na które nie mogą wyrazić zgody.

    Zrzut ekranu przedstawiający konfigurowanie ustawień przepływu pracy zgody administratora.

  4. Skonfiguruj wymienione poniżej ustawienia:

    • Kto może przeglądać żądania zgody administratora — wybierz użytkowników, grupy lub role wyznaczone jako recenzenci dla żądań zgody administratora. Recenzenci mogą wyświetlać, blokować lub odrzucać żądania zgody administratora, ale tylko administratorzy globalni mogą zatwierdzać żądania zgody administratora dla aplikacji żądających ról aplikacji programu Microsoft Graph (uprawnień aplikacji). Osoby wyznaczone jako recenzenci mogą wyświetlać żądania przychodzące na karcie Moje oczekujące po ustawieniu ich jako recenzentów. Wszyscy nowi recenzenci nie mogą wykonywać istniejących ani wygasłych żądań zgody administratora.
    • Wybrani użytkownicy będą otrzymywać powiadomienia e-mail dotyczące żądań — włącza lub wyłącza powiadomienia e-mail do recenzentów po wysłaniu żądania.
    • Wybrani użytkownicy otrzymają przypomnienia o wygaśnięciu żądań — włącza lub wyłącza powiadomienia e-mail z przypomnieniami do recenzentów, gdy żądanie wkrótce wygaśnie. Pierwsza wiadomość e-mail z przypomnieniem o wygaśnięciu jest prawdopodobnie wysyłana w środku skonfigurowanego "Żądanie zgody wygasa po (dni)." Jeśli na przykład skonfigurujesz żądanie zgody do wygaśnięcia w ciągu trzech dni, pierwsza wiadomość e-mail z przypomnieniem zostanie wysłana w drugim dniu, a ostatnia wiadomość e-mail z wygaśnięciem zostanie wysłana niemal natychmiast, gdy żądanie zgody wygaśnie.
    • Żądanie zgody wygasa po (dni) — określ, jak długo żądania pozostają prawidłowe.
  5. Wybierz pozycję Zapisz. Włączenie przepływu pracy może potrwać do godziny.

Uwaga

Możesz dodawać lub usuwać recenzentów dla tego przepływu pracy, modyfikując listę Kto może przeglądać żądania zgody administratora. Bieżące ograniczenie tej funkcji polega na tym, że recenzent zachowuje możliwość przeglądania żądań, które zostały wysłane podczas ich wyznaczenia jako recenzenta i otrzyma wiadomości e-mail z przypomnieniami o wygaśnięciu dla tych żądań po usunięciu ich z listy recenzentów. Ponadto nowi recenzenci nie będą przypisywani do żądań utworzonych przed ich ustawieniem jako recenzenta.

Aby programowo skonfigurować przepływ pracy zgody administratora, użyj interfejsu API Update AdminConsentRequestPolicy w programie Microsoft Graph.

Następne kroki

Udzielanie zgody administratora całej dzierżawy dla aplikacji

Przeglądanie żądań zgody administratora