共用方式為


設定管理員同意工作流程

在本文中,您會了解如何設定管理員同意工作流程,以讓使用者要求存取需要管理員同意的應用程式。 您可以使用管理員同意工作流程來提出要求。 如需同意應用程式的詳細資訊,請參閱使用者和管理員同意

管理員同意工作流程可讓管理員以安全的方式,將存取權授與需要管理員核准的應用程式。 當使用者嘗試存取應用程式但無法提供同意時,便可傳送要求請管理員核准。 要求會透過電子郵件傳送給指定為檢閱者的系統管理員。 檢閱者會針對要求採取行動,然後使用者便會收到有關該行動的通知。

若要核准要求,檢閱者必須具備為所要求的應用程式授予管理員同意所需的權限。 只將他們指定為檢閱者並不會提高其權限。

必要條件

若要設定管理員同意工作流程,您需要:

  • Azure 帳戶。 免費建立帳戶
  • 您必須是全域管理員,才能開啟管理員同意工作流程。

    重要

    Microsoft 建議您使用權限最的角色。 這有助於改善組織的安全性。 全域系統管理員是具高度特殊權限的角色,應僅限於無法使用現有角色的緊急案例。

提示

根據您從中開始的入口網站,本文中的步驟可能會略有不同。

啟用管理員同意工作流程,並選擇檢閱者:

  1. 全域管理員的身分登入 Microsoft Entra 管理中心

  2. 瀏覽至 [身分識別]> [應用程式]> [企業應用程式]> [同意和權限]> [系統管理員同意設定]

  3. 在 [管理員同意要求] 下,針對 [使用者可以要求系統管理員同意他們無法同意的應用程式],選取 [是]

    進行管理員同意工作流程設定的螢幕擷取畫面。

  4. 設定下列設定:

    • 誰可以檢閱管理員同意要求:選取指定為管理員同意要求檢閱者的使用者、群組或角色。 檢閱者可以檢視、封鎖或拒絕管理員同意要求,但只有全域管理員才能核准要求 Microsoft Graph 應用程式角色 (應用程式權限) 的應用程式的管理員同意要求。 指定為審閱者的人員,在被設定成審閱者之後,可以在 [我的擱置] 標籤中查看傳入的請求。 任何新的檢閱者都無法對現有或過期的管理員同意要求採取行動。
    • 選取的使用者將會收到要求的電子郵件通知 - 對檢閱者啟用或停用提出要求時的電子郵件通知。
    • 選取的使用者將會收到要求過期提醒 - 對檢閱者啟用或停用要求即將過期時的提醒電子郵件通知。 第一封即將到期的提醒電子郵件可能會在設定的「同意要求在 (天) 之後到期」的中間傳送。例如,如果您將同意要求設定為在三天內到期,則會在第二天傳送第一封提醒電子郵件,而最後一封到期電子郵件幾乎會在同意要求到期的同時發出的。
    • 同意要求到期前時間 (天) - 指定要求保持有效的時間長度。
  5. 選取 [儲存]。 最長可能需要一小時,工作流程才會變成啟用。

注意

您可以修改「誰能檢閱管理員同意要求」清單,來新增或移除此工作流程的檢閱者。 這項功能目前的限制是,檢閱者會保留檢閱被指定為檢閱者期間所提出要求的能力,並在這些要求從檢閱者清單移除後,收到這些要求的到期提醒電子郵件。 此外,新的檢閱者將不會指派給在其設定為檢閱者之前建立的要求。

若要以程式設計方式設定管理員同意工作流程,請使用 Microsoft Graph 中的 Update adminConsentRequestPolicy API。

下一步

對應用程式授與全租用戶的管理員同意

檢閱管理員同意要求 (部分機器翻譯)