Konfigurace pracovního postupu souhlasu správce

V tomto článku se dozvíte, jak nakonfigurovat pracovní postup souhlasu správce, aby uživatelé mohli požádat o přístup k aplikacím, které vyžadují souhlas správce. Pomocí pracovního postupu souhlasu správce můžete vytvářet žádosti. Další informace o souhlasu s aplikacemi najdete v tématu Souhlas uživatele a správce.

Pracovní postup souhlasu správce nabízí správcům bezpečný způsob udělování přístupu k aplikacím, které vyžadují souhlas správce. Když se uživatel pokusí získat přístup k aplikaci, ale nemůže jí udělit souhlas, může odeslat žádost o vyjádření souhlasu správce. Tato žádost se odešle e-mailem správcům, kteří se určili jako kontroloři. Kontrolor na základě žádosti podnikne určitou akci a uživatel o této akci obdrží oznámení.

Aby mohl schválit žádosti, musí mít revidujícím oprávnění požadovaná k udělení souhlasu správce pro požadovanou aplikaci. Když je jednoduše označíte jako revidující, nezvýšíte jejich oprávnění.

Požadavky

Pokud chcete nakonfigurovat pracovní postup souhlasu správce, potřebujete:

  • Účet Azure. Vytvoření účtu zdarma
  • Abyste mohli zapnout pracovní postup souhlasu správce, musíte být globálním správcem.

    Důležité

    Microsoft doporučuje používat role s nejmenšími oprávněními. To pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání, pokud nemůžete použít existující roli.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud chcete povolit pracovní postup souhlasu správce a zvolit revidujícím:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.

  2. Přejděte na Nastavení souhlasu a oprávnění>správce souhlasu s aplikacemi>Identity>Applications>Enterprise.

  3. V části Žádosti o souhlas správce vyberte možnost Ano pro uživatele, kteří mohou požádat o souhlas správce s aplikacemi, se kterým nemohou souhlasit .

    Snímek obrazovky konfigurace nastavení pracovního postupu souhlasu správce

  4. Nakonfigurujte tato nastavení:

    • Kdo může zkontrolovat žádosti o souhlas správce – vyberte uživatele, skupiny nebo role, které jsou určené jako kontroloři žádostí o souhlas správce. Revidující můžou žádosti o souhlas správce zobrazit, blokovat nebo odepřít, ale žádosti o souhlas správce můžou schválit jenom globální správci pro aplikace, které požadují role aplikací (oprávnění aplikací). Osoby označené jako revidující můžou zobrazit příchozí žádosti na kartě Čeká na vyřízení po nastavení jako revidující. Žádný nový revidující nemůže reagovat na stávající žádosti o souhlas správce nebo žádosti o souhlas správce s vypršenou platností.
    • Vybraní uživatelé dostanou e-mailová oznámení o žádostech – Povolí nebo zakáže e-mailová oznámení kontrolorům, když se žádost odešle.
    • Vybraní uživatelé obdrží připomenutí vypršení platnosti žádosti – Povolí nebo zakáže e-mailová oznámení o připomenutí kontrolorům, když vyprší platnost žádosti. První e-mail s připomenutím o vypršení platnosti se pravděpodobně odešle uprostřed nakonfigurované žádosti o souhlas po (dny). Pokud například nakonfigurujete žádost o vyjádření souhlasu tak, aby vypršela za tři dny, první e-mail s připomenutím se odešle druhý den a poslední e-mail s vypršením platnosti se odešle téměř okamžitě, vyprší platnost žádosti o vyjádření souhlasu.
    • Platnost žádosti o souhlas vyprší po (dnech) – Zadejte, jak dlouho žádosti zůstávají platné.
  5. Zvolte Uložit. Povolení pracovního postupu může trvat až hodinu.

Poznámka:

Revidující pro tento pracovní postup můžete přidat nebo odebrat úpravou seznamu žádostí o souhlas správce. Aktuální omezení této funkce spočívá v tom, že revidující si zachová možnost kontrolovat žádosti, které byly provedeny během jejich určení jako kontrolor, a po odebrání ze seznamu revidujících obdrží e-maily s připomenutím vypršení platnosti těchto žádostí. Kromě toho se novým revidujícím nebudou přiřazovat žádosti, které byly vytvořeny dříve, než byly nastaveny jako revidujícím.

Pokud chcete pracovní postup souhlasu správce nakonfigurovat programově, použijte rozhraní API Update adminConsentRequestPolicy v Microsoft Graphu.

Další kroky

Udělení souhlasu správce v rámci celého tenanta aplikaci

Kontrola žádostí o souhlas správce