Configurare il flusso di lavoro di consenso dell'amministratore

Questo articolo illustra come configurare il flusso di lavoro di consenso amministratore per consentire agli utenti di richiedere l'accesso alle applicazioni che richiedono il consenso amministratore. È possibile abilitare la possibilità di effettuare richieste usando un flusso di lavoro di consenso amministratore. Per altre informazioni sul consenso alle applicazioni, vedere Consenso utente e amministratore.

Il flusso di lavoro del consenso amministratore offre agli amministratori un modo sicuro per concedere l'accesso alle applicazioni che richiedono l'approvazione dell'amministratore. Quando un utente tenta di accedere a un'applicazione ma non è in grado di concedere il consenso, può inviare una richiesta per ricevere l'approvazione dell'amministratore. La richiesta viene inviata tramite posta elettronica agli amministratori designati come revisori. Un revisore interviene sulla richiesta e l'utente viene informato dell'azione.

Per approvare le richieste, un revisore deve disporre delle autorizzazioni necessarie per concedere il consenso amministratore per l'applicazione richiesta. È sufficiente designarli come revisore non eleva i propri privilegi.

Prerequisiti

Per configurare il flusso di lavoro di consenso amministratore, è necessario:

  • Un account Azure. Creare un account gratuitamente.
  • Per attivare il flusso di lavoro di consenso amministratore, è necessario essere un amministratore globale.

    Importante

    Microsoft consiglia di usare i ruoli con le autorizzazioni più poche. Ciò consente di migliorare la sicurezza per l'organizzazione. L'amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per abilitare il flusso di lavoro di consenso amministratore e scegliere revisori:

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

  2. Passare a Applicazioni di identità>Applicazioni>aziendali>Consenti e autorizzazioni>Impostazioni di consenso amministratore.

  3. In Richieste di consenso amministratore selezionare per Gli utenti possono richiedere il consenso amministratore per le app per cui non possono fornire il consenso.

    Screenshot della configurazione delle impostazioni del flusso di lavoro del consenso amministratore.

  4. Configurare le impostazioni seguenti:

    • Chi può esaminare le richieste di consenso dell'amministratore: selezionare utenti, gruppi o ruoli designati come revisori per le richieste di consenso amministratore. I revisori possono visualizzare, bloccare o negare le richieste di consenso amministratore, ma solo gli amministratori globali possono approvare le richieste di consenso amministratore per le app che richiedono i ruoli dell'app Microsoft Graph (autorizzazioni dell'applicazione). Gli utenti designati come revisori possono visualizzare le richieste in ingresso nella scheda In sospeso personali dopo che sono stati impostati come revisori. I nuovi revisori non sono in grado di agire sulle richieste di consenso amministratore esistenti o scadute.
    • Gli utenti selezionati riceveranno notifiche tramite posta elettronica per le richieste: abilitare o disabilitare le notifiche tramite posta elettronica ai revisori quando viene eseguita una richiesta.
    • Gli utenti selezionati riceveranno promemoria sulla scadenza delle richieste: abilitare o disabilitare l'invio tramite posta elettronica dei promemoria ai revisori quando una richiesta è prossima alla scadenza. Il primo messaggio di posta elettronica relativo alla scadenza del promemoria viene probabilmente inviato al centro del messaggio configurato "La richiesta di consenso scade dopo (giorni)." Ad esempio, se si configura la richiesta di consenso per scadere in tre giorni, il primo messaggio di posta elettronica di promemoria viene inviato il secondo giorno e l'ultimo messaggio di posta elettronica di scadenza viene inviato quasi immediatamente alla scadenza della richiesta di consenso.
    • La richiesta di consenso scade dopo (giorni): specificare la durata della validità delle richieste.
  5. Seleziona Salva. L'abilitazione del flusso di lavoro può richiedere fino a un'ora.

Nota

È possibile aggiungere o rimuovere revisori per questo flusso di lavoro modificando l'elenco Chi può esaminare le richieste di consenso amministratore. Una limitazione corrente di questa funzionalità è che un revisore mantiene la possibilità di esaminare le richieste effettuate mentre sono state designate come revisore e riceverà messaggi di posta elettronica di promemoria di scadenza per tali richieste dopo la rimozione dall'elenco dei revisori. Inoltre, i nuovi revisori non verranno assegnati alle richieste create prima che siano state impostate come revisori.

Per configurare il flusso di lavoro di consenso amministratore a livello di codice, usare l'API Update adminConsentRequestPolicy in Microsoft Graph.

Passaggi successivi

Concedere a un'applicazione il consenso amministratore a livello di tenant

Esaminare le richieste di consenso amministratore