設定管理員同意工作流程
在本文中,您會了解如何設定管理員同意工作流程,以讓使用者要求存取需要管理員同意的應用程式。 您可以使用管理員同意工作流程來提出要求。 如需同意應用程式的詳細資訊,請參閱使用者和管理員同意。
管理員同意工作流程可讓管理員以安全的方式,將存取權授與需要管理員核准的應用程式。 當使用者嘗試存取應用程式但無法提供同意時,便可傳送要求請管理員核准。 要求會透過電子郵件傳送給指定為檢閱者的系統管理員。 檢閱者會針對要求採取行動,然後使用者便會收到有關該行動的通知。
若要核准要求,檢閱者必須具備為所要求的應用程式授予管理員同意所需的權限。 只將他們指定為檢閱者並不會提高其權限。
必要條件
若要設定管理員同意工作流程,您需要:
- Azure 帳戶。 免費建立帳戶。
- 您必須是全域管理員,才能開啟管理員同意工作流程。
重要
Microsoft 建議您使用權限最的角色。 這有助於改善組織的安全性。 全域系統管理員是具高度特殊權限的角色,應僅限於無法使用現有角色的緊急案例。
啟用管理員同意工作流程
提示
根據您從中開始的入口網站,本文中的步驟可能會略有不同。
啟用管理員同意工作流程,並選擇檢閱者:
以全域管理員的身分登入 Microsoft Entra 管理中心。
瀏覽至 [身分識別]> [應用程式]> [企業應用程式]> [同意和權限]> [系統管理員同意設定]。
在 [管理員同意要求] 下,針對 [使用者可以要求系統管理員同意他們無法同意的應用程式],選取 [是]。
設定下列設定:
- 誰可以檢閱管理員同意要求:選取指定為管理員同意要求檢閱者的使用者、群組或角色。 檢閱者可以檢視、封鎖或拒絕管理員同意要求,但只有全域管理員才能核准要求 Microsoft Graph 應用程式角色 (應用程式權限) 的應用程式的管理員同意要求。 指定為審閱者的人員,在被設定成審閱者之後,可以在 [我的擱置] 標籤中查看傳入的請求。 任何新的檢閱者都無法對現有或過期的管理員同意要求採取行動。
- 選取的使用者將會收到要求的電子郵件通知 - 對檢閱者啟用或停用提出要求時的電子郵件通知。
- 選取的使用者將會收到要求過期提醒 - 對檢閱者啟用或停用要求即將過期時的提醒電子郵件通知。 第一封即將到期的提醒電子郵件可能會在設定的「同意要求在 (天) 之後到期」的中間傳送。例如,如果您將同意要求設定為在三天內到期,則會在第二天傳送第一封提醒電子郵件,而最後一封到期電子郵件幾乎會在同意要求到期的同時發出的。
- 同意要求到期前時間 (天) - 指定要求保持有效的時間長度。
選取 [儲存]。 最長可能需要一小時,工作流程才會變成啟用。
注意
您可以修改「誰能檢閱管理員同意要求」清單,來新增或移除此工作流程的檢閱者。 這項功能目前的限制是,檢閱者會保留檢閱被指定為檢閱者期間所提出要求的能力,並在這些要求從檢閱者清單移除後,收到這些要求的到期提醒電子郵件。 此外,新的檢閱者將不會指派給在其設定為檢閱者之前建立的要求。
使用 Microsoft Graph 設定管理員同意工作流程
若要以程式設計方式設定管理員同意工作流程,請使用 Microsoft Graph 中的 Update adminConsentRequestPolicy API。
下一步
檢閱管理員同意要求 (部分機器翻譯)