配置管理员同意工作流 - Microsoft Entra

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

本文介绍如何配置管理员同意工作流，以使用户能够请求访问需要管理员同意的应用程序。可以通过使用管理员同意工作流来发出请求。有关许可应用程序的详细信息，请参阅 Azure Active Directory 许可框架。

管理员同意工作流为管理员提供了一种安全的方式来授予需要管理员批准的应用程序访问权限。如果用户尝试访问某个应用程序但无法提供同意，则他们可以发送请求以获取管理员的批准。该请求将通过电子邮件发送到指定为审阅者的管理员。审阅者对该请求采取操作，并向用户通知操作结果。

若要批准请求，审阅者必须是全局管理员、云应用程序管理员或应用程序管理员。审阅者必须已拥有这些管理员角色之一；仅仅是将他们指定为审阅者并不能提升其特权。

先决条件

如需配置管理员同意工作流，需要：

若要启用管理员同意工作流并选择审阅者，请执行以下操作：

使用先决条件中列出的角色之一登录到 Azure 门户。
搜索并选择“Azure Active Directory”。
选择“企业应用程序”。
在“管理”下，选择“用户设置” 。在“管理员同意请求”中，对于“用户可以请求管理员同意他们无法同意的应用”，选择“是”。
配置下列设置：
- 选择将被指定为管理员同意请求审阅者的用户、组或角色 - 审阅者可以查看、阻止或拒绝管理员同意请求，但只有全局管理员可以批准管理员同意请求。被指定为审阅者的人在被设置为审阅者后可以在“待处理”选项卡中查看收到的请求。任何新的审阅者将无法对现有或过期的管理员同意请求采取操作。
- 所选用户将收到有关请求的电子邮件通知 - 启用或禁用发出请求时针对审阅者的电子邮件通知。
- 所选用户将收到请求到期提醒 - 启用或禁用请求即将到期时针对审阅者的电子邮件通知。
- 几天后同意请求到期 - 指定请求有效期。
选择“保存”。此工作流最长可能需要在一小时后才会启用。

注意

可以通过修改“选择管理员同意请求审阅者”列表来添加或删除此工作流的审阅者。此功能的当前限制是，审阅者依然能够审阅他们过去在被指定为审阅者期间发出的请求。