启用自助应用程序分配
在本文中,你将了解如何使用 Microsoft Entra 管理中心启用自助应用程序访问。
在你的用户能够从“我的应用”门户中自行发现应用程序之前,你需要先对应用程序启用“自助应用程序访问”。 此功能可用于从 Microsoft Entra 库或 Microsoft Entra 应用程序代理添加的或通过用户同意或管理员同意添加的应用程序。
使用此功能,可以:
允许用户从“我的应用”门户中自行发现应用程序,而无需求助 IT 组。
将这些用户添加到预配置组,以便查看请求访问的用户、删除访问权限以及管理分配给用户的角色。
(可选)允许业务审批人批准应用程序访问请求,从而为 IT 组省去麻烦。
(可选)最多配置 10 个可以批准访问此应用程序的人员。
(可选)允许业务审批者直接从其“我的应用”门户设置用户可用于登录应用程序的密码
(可选)自动将自助服务分配的用户直接分配到应用程序角色。
先决条件
要启用自助应用程序访问,你需要:
- 一个 Microsoft Entra 用户帐户。 如果没有帐户,可免费创建一个帐户。
- 以下角色之一:全局管理员、云应用程序管理员或应用程序管理员。
- 必须具备 Microsoft Entra ID P1 或 P2 许可证,用户才能请求加入自助服务应用,所有者才能批准或拒绝请求。 如果没有 Microsoft Entra ID P1 或 P2 许可证,用户将无法添加自助服务应用。
启用自助服务应用程序访问以允许用户查找自己的应用程序
提示
本文中的步骤可能因开始使用的门户而略有不同。
自助应用程序访问是帮助用户自行发现应用程序的绝佳方式,可选择性地允许业务组批准对这些应用程序的访问。 对于密码单一登录应用程序,可允许业务组从自己的“我的应用”门户管理分配给这些用户的凭据。
若要启用应用程序的自助应用程序访问,请执行以下步骤:
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。
在“搜索”框中输入现有应用程序的名称,然后从搜索结果中选择该应用程序。
在左侧导航菜单中,选择“自助服务”。
注意
如果启用了对应的应用注册的公共客户端流设置,则“自助服务”菜单项不可用。 若要访问此设置,租户中需要存在应用注册。 找到应用注册,在左侧导航栏中选择“身份验证”,然后找到“允许公共客户端流”。
要对此应用程序启用自助应用程序访问,请将“允许用户请求对此应用程序的访问权限?”设置为“是” 。
在“应向哪个组添加分配的用户?”旁,选择“选择组”。 选择一个组,然后选择“选择”。 用户请求获得批准后,他们会被添加到此组。 查看此组的成员身份时,可以通过自助访问查看已被授予对应用程序的访问权限的用户。
注意
此设置不支持从本地同步的组。
可选:如果希望在获得业务批准之后才允许用户访问,请将“需要获得批准才能授权访问此应用程序?”设置为“是” 。
可选:若要指定哪些业务审批者有权批准对此应用程序的访问,请在“谁有权批准对此应用程序的访问?”旁边选择“选择审批者”。 选择最多 10 个单独的业务审批者,然后选择“选择”。
注意
不支持组。 最多可以选择 10 个单独的业务审批者。 如果指定多个审批者,则任何一个审批者都可以批准访问请求。
可选:在“应在此应用程序中将用户分配到哪个角色?”旁边,选择“选择角色”,将自助服务批准的用户分配到角色。 选择应向其分配这些用户的角色,然后选择“选择”。 此选项适用于公开角色的应用程序。
选择窗格顶部的“保存”按钮以完成操作。
完成自助应用程序配置后,用户可导航到“我的应用”门户,然后选择“请求新应用”来查找已启用自助访问的应用。 业务审批者还会在“我的应用”门户中看到通知。 可以启用电子邮件,在用户请求需要审批人批准的应用程序的访问权限时,向审批人发送电子邮件通知。