запросы на согласие Microsoft Entra
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Microsoft Entra запросы согласия помогают управлять рабочим процессом запроса для пользователей, пытающихся получить доступ к приложениям, которым требуется утверждение администратора.
Прежде чем приложение можно будет использовать для доступа к любым данным в организации, администратор должен предоставить согласие на его использование в клиенте. Кроме того, прежде чем пользователь сможет предоставить приложению разрешение на действия от его имени, администратор также должен дать согласие на предоставление пользователям согласия на эти разрешения для приложения. Управление согласием — это один из способов Microsoft Entra ID помогает организациям обеспечить безопасность приложений и данных.
Рабочий процесс Microsoft Entra согласия позволяет пользователям запрашивать у администраторов клиента согласие на предоставление согласия приложениям, которым требуется утверждение администратора. API запросов согласия в Microsoft Graph позволяют администратору настраивать рабочий процесс согласия и отслеживать запросы согласия как для приложений, так и для пользователей.
Примечание.
Текущие API-интерфейсы ограничиваются настройкой рабочего процесса и чтением списка запросов. В настоящее время нет доступных методов для программного утверждения или отклонения запроса. Однако содержимое запроса можно использовать для повторного создания URL-адреса, который можно использовать для предоставления согласия администратора и утверждения запроса.
Примечание.
В этой статье описывается экспорт персональных данных с устройства или службы. Эти действия можно использовать для поддержки ваших обязательств в соответствии с Общим регламентом по защите данных (GDPR). Авторизованные администраторы клиентов могут использовать Microsoft Graph для исправления, обновления или удаления идентифицируемой информации о конечных пользователях, включая профили пользователей и сотрудников или персональные данные, такие как имя пользователя, должность, адрес или номер телефона, в вашей среде Microsoft Entra ID.
Настройка рабочего процесса согласия администратора
Политика согласия администратора указывает, могут ли пользователи запрашивать согласие администратора для приложений, для которых требуется авторизация администратора для клиента. Используйте тип ресурса adminConsentRequestPolicy и связанные с ним методы, чтобы настроить рабочий процесс согласия администратора следующим образом:
- Включение или отключение рабочего процесса согласия.
- Настройка рецензентов запросов на согласие администратора.
- Настройте срок действия ожидающего запроса до истечения срока его действия и субъектов, которые получают уведомления об ожидающих запросах.
Получение запросов на согласие приложения
Когда пользователь запрашивает согласие на использование приложения в организации или на предоставление разрешений приложению, он создает запрос на согласие для приложения. Запросы на согласие приложения извлекаются с помощью типа ресурса appConsentRequest и связанных с ним методов.
Варианты действий:
- Получение всех запросов на согласие приложения и связанной коллекции запросов на согласие пользователя для приложения. Запрос на согласие приложения может содержать один или несколько запросов на согласие пользователей, представляющих несколько запросов от одного или нескольких пользователей.
- Получите разрешения, запрошенные пользователем для приложения от его имени.
- Используется
$filterдля сопоставления с ожидающих запросов. - Получите запросы на согласие приложения, для которых автор запроса является вошедшего в систему пользователя.
Получение запросов на согласие пользователя
Когда пользователь запрашивает согласие на использование приложения в организации или на предоставление разрешений приложению, он создает запрос на согласие для администратора клиента, чтобы разрешить ему использовать приложение. Запросы на согласие пользователя извлекаются с помощью типа ресурса userConsentRequest и связанных с ним методов.
Варианты действий:
- Получите сведения о запросах на согласие пользователя.
- Получение этапов утверждения, через которые прошел запрос согласия. В настоящее время процесс утверждения является одноэтапным.
- Получите состояние утверждений, ожидающих или завершенных, а также о том, были ли приняты рецензенты решения об отклонении или утверждении запроса на согласие.
Проверка авторизации ролей и делегированных разрешений
Для вызывающего приложения требуются следующие роли каталога.
| Operation | Делегированные разрешения | Требуемая роль каталога вызывающего пользователя |
|---|---|---|
| Чтение | ConsentRequest.Read.All, ConsentRequest.ReadWrite.All | Глобальный читатель, администратор облачных приложений или администратор приложений |
Связанные материалы
- Узнайте больше о настройке рабочего процесса согласия администратора (предварительная версия).
- Изучите потоки согласия пользователей и администраторов в Microsoft Entra взаимодействия с согласием приложений.