Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Из этой статьи вы узнаете, как настроить рабочий процесс согласия администратора, чтобы пользователи могли запрашивать доступ к приложениям, которым требуется согласие администратора. Вы можете разрешить отправлять такие запросы с помощью рабочего процесса согласия администратора. Дополнительные сведения о согласии приложений см. в разделе "Согласие пользователей и администраторов".
Рабочий процесс предоставления согласия администратора позволяет администраторам безопасно предоставлять доступ к приложениям с соответствующим требованием. Когда пользователь пытается получить доступ к приложению, но не может самостоятельно предоставить согласие, он может отправить запрос для получения согласия администратора. Запрос отправляется по электронной почте администраторам, которые назначаются в качестве рецензентов. Рецензент обрабатывает этот запрос, и пользователь получает соответствующее уведомление.
Чтобы утвердить запросы, рецензент должен иметь разрешения, необходимые для предоставления согласия администратора для запрошенного приложения. Просто назначая их в качестве рецензента, не повышает свои привилегии.
Необходимые компоненты
Для настройки рабочего процесса предоставления согласия администратора вам потребуются:
- Учетная запись Azure. Создайте учетную запись бесплатно.
- Чтобы включить рабочий процесс согласия администратора, необходимо быть глобальным администратором.
Внимание
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Эта практика помогает повысить безопасность вашей организации. Глобальный администратор — это высоко привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций или если вы не можете использовать существующую роль.
Включение рабочего процесса предоставления согласия администратора
Чтобы настроить рабочий процесс предоставления согласия администратора и выбрать рецензентов, сделайте следующее:
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
Перейдите к Entra ID>корпоративным приложениям>согласию и разрешениям>параметрам согласия администратора.
В разделе "Запросы на согласие администратора" выберите "Да " для пользователей, которые могут запрашивать согласие администратора для приложений, на которые они не могут согласиться .
Настройте следующие параметры:
- Кто может просматривать запросы на согласие администратора . Выберите пользователей, группы или роли, назначенные в качестве рецензентов для запросов на согласие администратора. Рецензенты могут просматривать, блокировать или отклонять запросы на согласие администратора, но только глобальные администраторы могут утверждать запросы на согласие администратора для приложений, запрашивающих роли приложения Microsoft Graph (разрешения приложения). Пользователи, назначенные рецензентами, могут просматривать входящие запросы на вкладке Моя очередь после назначения рецензентами. Любые новые рецензенты не могут действовать с существующими или просроченными запросами на согласие администратора.
- Выбранные пользователи получат уведомления по электронной почте о запросах . Включение или отключение уведомлений электронной почты рецензентам при выполнении запроса.
- Выбранные пользователи получат напоминания о истечении срока действия запроса . Включите или отключите уведомления электронной почты для рецензентов, когда срок действия запроса истекает. Первая электронная почта напоминания о истечении срока действия, скорее всего, отправляется в середине настроенного "Срок действия запроса согласия истекает через (дни)." Например, если вы настроите срок действия запроса на согласие в течение трех дней, первый адрес напоминания отправляется во второй день, а последнее сообщение об истечении срока действия отправляется почти сразу же, когда срок действия запроса согласия истекает.
- Срок действия запроса согласия истекает через (дней) — укажите срок действия запросов.
Нажмите кнопку "Сохранить". Включение этого рабочего процесса может занять до одного часа.
Примечание.
Вы можете добавить или удалить рецензентов для этого рабочего процесса, изменив список Кто может рассматривать запросы на согласие администратора. Текущее ограничение этой функции заключается в том, что рецензент сохраняет возможность просматривать запросы, сделанные во время их назначения в качестве рецензента, и будет получать сообщения о истечении срока действия для этих запросов после их удаления из списка рецензентов. Кроме того, новые рецензенты не будут назначены запросам, созданным до их установки в качестве рецензента.
Настройка рабочего процесса согласия администратора с помощью Microsoft Graph
Чтобы настроить рабочий процесс согласия администратора программным способом, используйте API Update AdminConsentRequestPolicy в Microsoft Graph.
Следующие шаги
Предоставление согласия администратора на уровне клиента приложению