启用自助应用程序分配

在本文中,你将了解如何使用 Microsoft Entra 管理中心启用自助应用程序访问。

在你的用户能够从“我的应用”门户中自行发现应用程序之前,你需要先对应用程序启用“自助应用程序访问”。 此功能可用于从 Microsoft Entra 库或 Microsoft Entra 应用程序代理添加的或通过用户同意或管理员同意添加的应用程序。

使用此功能,可以:

  • 允许用户从“我的应用”门户中自行发现应用程序,而无需求助 IT 组。

  • 将这些用户添加到预配置组,以便查看请求访问的用户、删除访问权限以及管理分配给用户的角色。

  • (可选)允许业务审批人批准应用程序访问请求,从而为 IT 组省去麻烦。

  • (可选)最多配置 10 个可以批准访问此应用程序的人员。

  • (可选)允许业务审批者直接从其“我的应用”门户设置用户可用于登录应用程序的密码

  • (可选)自动将自助服务分配的用户直接分配到应用程序角色。

先决条件

要启用自助应用程序访问,你需要:

  • 一个 Microsoft Entra 用户帐户。 如果没有帐户,可免费创建一个帐户
  • 以下角色之一:云应用程序管理员或应用程序管理员。
  • 必须具备 Microsoft Entra ID P1 或 P2 许可证,用户才能请求加入自助服务应用,所有者才能批准或拒绝请求。 如果没有 Microsoft Entra ID P1 或 P2 许可证,用户将无法添加自助服务应用。

启用自助服务应用程序访问以允许用户查找自己的应用程序

提示

本文中的步骤可能因开始使用的门户而略有不同。

自助应用程序访问是帮助用户自行发现应用程序的绝佳方式,可选择性地允许业务组批准对这些应用程序的访问。 对于密码单一登录应用程序,可允许业务组从自己的“我的应用”门户管理分配给这些用户的凭据。

若要启用应用程序的自助应用程序访问,请执行以下步骤:

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。

  3. 在“搜索”框中输入现有应用程序的名称,然后从搜索结果中选择该应用程序。

  4. 在左侧导航菜单中,选择“自助服务”。

    注意

    如果启用了对应的应用注册的公共客户端流设置,则“自助服务”菜单项不可用。 若要访问此设置,租户中需要存在应用注册。 找到应用注册,在左侧导航栏中选择“身份验证”,然后找到“允许公共客户端流”。

  5. 要对此应用程序启用自助应用程序访问,请将“允许用户请求对此应用程序的访问权限?”设置为“是” 。

  6. 在“应向哪个组添加分配的用户?”旁,选择“选择组”。 选择一个组,然后选择“选择”。 用户请求获得批准后,他们会被添加到此组。 查看此组的成员身份时,可以通过自助访问查看已被授予对应用程序的访问权限的用户。

    注意

    此设置不支持从本地同步的组。

  7. 可选:如果希望在获得业务批准之后才允许用户访问,请将“需要获得批准才能授权访问此应用程序?”设置为“是” 。

  8. 可选:若要指定哪些业务审批者有权批准对此应用程序的访问,请在“谁有权批准对此应用程序的访问?”旁边选择“选择审批者”。 选择最多 10 个单独的业务审批者,然后选择“选择”。

    注意

    不支持组。 最多可以选择 10 个单独的业务审批者。 如果指定多个审批者,则任何一个审批者都可以批准访问请求。

  9. 可选:在“应在此应用程序中将用户分配到哪个角色?”旁边,选择“选择角色”,将自助服务批准的用户分配到角色。 选择应向其分配这些用户的角色,然后选择“选择”。 此选项适用于公开角色的应用程序。

  10. 选择窗格顶部的“保存”按钮以完成操作。

完成自助应用程序配置后,用户可导航到“我的应用”门户,然后选择“请求新应用”来查找已启用自助访问的应用。 业务审批者还会在“我的应用”门户中看到通知。 可以启用电子邮件,在用户请求需要审批人批准的应用程序的访问权限时,向审批人发送电子邮件通知。

后续步骤

为自助服务组管理设置 Microsoft Entra ID