配置管理员同意工作流

本文介绍如何配置管理员同意工作流,以使用户能够请求访问需要管理员同意的应用程序。 可以通过使用管理员同意工作流来发出请求。 有关同意应用程序的详细信息,请参阅用户和管理员同意

管理员同意工作流为管理员提供了一种安全的方式来授予需要管理员批准的应用程序访问权限。 如果用户尝试访问某个应用程序但无法提供同意,则他们可以发送请求以获取管理员的批准。 该请求将通过电子邮件发送到指定为审阅者的管理员。 审阅者对该请求采取操作,并向用户通知操作结果。

若要批准请求,审阅者必须具有为请求的应用程序授予管理员同意所需的权限。 只是将他们指定为审阅者不会提升其特权。

先决条件

如需配置管理员同意工作流,需要:

  • 一个 Azure 帐户。 创建帐户
  • 必须是全局管理员才能打开管理员同意工作流。

    重要

    Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。

提示

本文中的步骤可能因开始使用的门户而略有不同。

若要启用管理员同意工作流并选择审阅者,请执行以下操作:

  1. 全局管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“同意和权限”>“管理员同意设置”。

  3. 在“管理员同意请求”中,对于“用户可以请求管理员同意他们无法同意的应用”,选择“是”。

    配置管理员同意工作流设置的屏幕截图。

  4. 配置下列设置:

    • 谁可以查看管理员同意请求 - 选择指定为管理员同意请求审阅者的用户、组或角色。 审阅者可以查看、阻止或拒绝管理员同意请求,但只有全局管理员可以批准请求 Microsoft Graph 应用角色的应用(应用程序权限)的管理员同意请求。 被指定为审阅者的人在被设置为审阅者后可以在“待处理”选项卡中查看收到的请求。 任何新的审阅者都无法对现有或过期的管理员同意请求采取操作。
    • 所选用户将收到有关请求的电子邮件通知 - 启用或禁用发出请求时针对审阅者的电子邮件通知。
    • 所选用户将收到请求到期提醒 - 启用或禁用请求即将到期时针对审阅者的电子邮件通知。 第一封即将到期的提醒电子邮件很可能在配置的“同意请求到期距离天数”的中间时间发送。例如,如果将同意请求配置为在三天后到期,则第一封提醒电子邮件会在第二天发送,最后一封到期电子邮件会在同意请求到期时几乎立即发出。
    • 几天后同意请求到期 - 指定请求有效期。
  5. 选择“保存”。 此工作流最长可能需要在一小时后才会启用。

注意

可以通过修改“谁可以查看管理员同意请求”列表来添加或删除此工作流的审阅者。 此功能的当前限制是,审阅者仍能够审阅他们在指定为审阅者时发出的请求,并且在他们从审阅者列表中移除后,将收到这些请求的过期提醒电子邮件。 此外,无法为新审阅者分配在他们被设为审阅者之前创建的请求。

若要以编程方式配置管理员同意工作流,请在 Microsoft Graph 中使用 Update adminConsentRequestPolicy API。

后续步骤

向应用程序授予租户范围的管理许可

查看管理员同意请求