Configuración del flujo de trabajo de consentimiento del administrador

En este artículo, aprenderá a configurar el flujo de trabajo de consentimiento del administrador para permitir que los usuarios soliciten acceso a aplicaciones que requieren consentimiento del administrador. Puede habilitar la capacidad de realizar solicitudes mediante un flujo de trabajo de consentimiento del administrador. Para más información acerca de cómo dar consentimiento a las aplicaciones, consulte Marco de consentimiento de Azure Active Directory.

El flujo de trabajo de consentimiento del administrador proporciona a los administradores una manera segura de conceder acceso a las aplicaciones que requieren la aprobación del administrador. Cuando un usuario intenta obtener acceso a una aplicación, pero no puede dar su consentimiento, puede enviar una solicitud de aprobación del administrador. La solicitud se envía por correo electrónico a los administradores que se han designado como revisores. Un revisor realiza una acción con respecto a la solicitud y el usuario recibe una notificación de la acción.

Para aprobar solicitudes, un revisor debe ser un administrador global, un administrador de aplicaciones en la nube o un administrador de aplicaciones. El revisor ya debe tener uno de estos roles de administrador asignados; designarlos como revisores no significa que se eleven sus privilegios.

Requisitos previos

Para configurar el flujo de trabajo de consentimiento del administrador, necesita:

  • Una cuenta de Azure. Cree una cuenta gratuita.
  • Uno de los siguientes roles: Administrador global, Administrador de aplicaciones en la nube, Administrador de aplicaciones o Propietario de la entidad de servicio.

Para habilitar el flujo de trabajo de consentimiento del administrador y elegir revisores, siga estos pasos:

  1. Inicie sesión en Azure Portal con uno de los roles indicados en los requisitos previos.

  2. Busque y seleccione Azure Active Directory.

  3. Seleccione Aplicaciones empresariales.

  4. En Administrar, seleccione Configuración del usuario. En Solicitudes de consentimiento del administrador, seleccione para Los usuarios pueden solicitar el consentimiento del administrador para las aplicaciones en las que no puedan proporcionar un consentimiento. Configure admin consent workflow settings

  5. Configure las siguientes opciones:

    • Selección de usuarios que revisarán las solicitudes de consentimiento del administrador: seleccione revisores para este flujo de trabajo desde un conjunto de usuarios que tengan los roles de administrador global, administrador de aplicaciones en la nube o administrador de aplicaciones. También puede agregar grupos y roles que pueden configurar un flujo de trabajo de consentimiento del administrador. Debe designar al menos un revisor antes de que el flujo de trabajo pueda activarse.
    • Los usuarios seleccionados recibirán notificaciones por correo electrónico de las solicitudes: habilite o deshabilite las notificaciones por correo electrónico a los revisores cuando se realiza una solicitud.
    • Los usuarios seleccionados recibirán recordatorios de expiración de solicitudes: habilite o deshabilite las notificaciones de aviso por correo electrónico a los revisores cuando una solicitud está a punto de expirar.
    • La solicitud de consentimiento expira en (días): especifique el tiempo durante en el que las solicitudes permanecen válidas.
  6. Seleccione Guardar. La característica puede tardar hasta una hora en habilitarse.

Nota:

Puede agregar o quitar revisores de este flujo de trabajo si modifica la lista de selección de revisores de solicitudes de consentimiento del administrador. Tenga en cuenta una limitación actual de esta característica, y es que los revisores pueden seguir revisando las solicitudes que se realizaron mientras se designaron como revisores.

Notificaciones por correo electrónico

Si se configura, todos los revisores recibirán notificaciones por correo electrónico cuando se den las siguientes situaciones:

  • Se ha creado una nueva solicitud.
  • Ha expirado una solicitud.
  • Una solicitud está cerca de su fecha de expiración.

Los solicitantes recibirán notificaciones por correo electrónico en estos casos:

  • Envían una nueva solicitud de acceso.
  • Su solicitud ha expirado.
  • Su solicitud se ha denegado o bloqueado.
  • Su solicitud se ha aprobado.

Registros de auditoría

En la tabla siguiente se describen los escenarios y los valores de auditoría disponibles para el flujo de trabajo de consentimiento del administrador.

Escenario Servicio de auditoría Categoría de auditoría Actividad de auditoría Actor de auditoría Limitaciones del registro de auditoría
El administrador habilita el flujo de trabajo de solicitud de consentimiento Revisiones de acceso UserManagement Crear plantilla de directiva de gobernanza Contexto de la aplicación Actualmente no se puede encontrar el contexto de usuario
El administrador deshabilita el flujo de trabajo de solicitud de consentimiento Revisiones de acceso UserManagement Eliminar plantilla de directiva de gobernanza Contexto de la aplicación Actualmente no se puede encontrar el contexto de usuario
El administrador actualiza las configuraciones de flujo de trabajo de consentimiento Revisiones de acceso UserManagement Actualizar plantilla de directiva de gobernanza Contexto de la aplicación Actualmente no se puede encontrar el contexto de usuario
El usuario final crea una solicitud de consentimiento del administrador para una aplicación Revisiones de acceso Directiva Crear solicitud Contexto de la aplicación Actualmente no se puede encontrar el contexto de usuario
Los revisores aprueban una solicitud de consentimiento del administrador Revisiones de acceso UserManagement Aprobar todas las solicitudes en el flujo de negocio Contexto de la aplicación Actualmente no se puede buscar el contexto de usuario ni el identificador de la aplicación a la que se concedió el consentimiento del administrador.
Los revisores deniegan una solicitud de consentimiento del administrador Revisiones de acceso UserManagement Aprobar todas las solicitudes en el flujo de negocio Contexto de la aplicación Actualmente no se puede buscar el contexto de usuario del actor que denegó una solicitud de consentimiento del administrador

Pasos siguientes

Concesión del consentimiento del administrador para todo el inquilino a una aplicación