您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

(预览配置管理员许可工作流)

本文介绍如何启用管理员许可工作流 (预览) 功能,使最终用户能够请求访问需要管理员同意的应用程序。

如果没有管理员许可工作流,则在租户中禁用用户同意的用户在尝试访问任何需要访问组织数据的应用时将被阻止。 用户看到一条一般性错误消息,指出他们无权访问应用程序,他们应向管理员寻求帮助。 但通常情况下,用户不知道要联系谁,因此他们可以在应用程序中放弃或创建一个新的本地帐户。 即使在管理员收到通知后,也不会始终提供简化的过程来帮助管理员授予访问权限,并通知用户。

管理员许可工作流为管理员提供了一种安全的方法来向需要管理员批准的应用程序授予访问权限。 当用户尝试访问某个应用程序,但无法提供许可时,他们可以发送管理员批准请求。 该请求通过电子邮件发送给被指定为审阅者的管理员。 审阅者对该请求采取操作,并向用户通知该操作。

若要批准请求,审阅者必须是全局管理员、云应用程序管理员或应用程序管理员。 审阅者必须已分配这些管理员角色之一;只需将它们指定为审阅者,就不会提升其权限。

若要启用管理员许可工作流并选择审阅者:

  1. 以全局管理员身份登录到 Azure 门户

  2. 在左侧导航菜单的顶部单击“所有服务”。 此时会打开“Azure Active Directory 扩展”。

  3. 在筛选器搜索框中键入 "Azure Active Directory",并选择 Azure Active Directory 项。

  4. 在导航菜单中,单击“企业应用程序”。

  5. 在“管理”下,选择“用户设置” 。

  6. 在 " 管理员同意请求 (预览") 中,设置 " 用户可以向他们 授予许可的管理员许可 "

    配置管理员同意工作流设置

  7. 配置下列设置:

    • 选择 "用户" 以查看管理员同意请求。 从一组具有 "全局管理员"、"云应用程序管理员" 和 "应用程序管理员" 角色的用户中选择此工作流的审阅者。
    • 选定的用户将收到请求的电子邮件通知。 发出请求时,启用或禁用向审阅者发送电子邮件通知。
    • 选定的用户将收到请求到期提醒。 当请求即将过期时,启用或禁用提醒电子邮件通知到审阅者。
    • 同意请求在 (天) 后过期。 指定请求保持有效的时间长度。
  8. 选择“保存”。 此功能可能需要长达一小时的时间才会启用。

备注

可以通过修改 " 选择管理员同意请求审阅者 " 列表,添加或删除此工作流的审阅者。 请注意,此功能的当前限制是,审阅者可以保留查看在指定为审阅者时所进行的请求的功能。

启用管理员许可工作流后,用户可以针对未经授权同意的应用程序请求管理员批准。 以下步骤介绍了请求批准时的用户体验。

  1. 用户尝试登录到应用程序。

  2. 此时将显示 " 需要审批 " 消息。 用户键入需要访问应用的理由,然后选择 " 请求批准"。

    屏幕截图显示 "需要审批" 对话框,你可以在其中请求批准。

  3. " 请求已发送 " 消息确认请求已提交到管理员。如果用户发送多个请求,则仅将第一个请求提交到管理员。

    屏幕截图显示请求已发送确认。

  4. 用户收到批准、拒绝或阻止的电子邮件通知。

若要查看管理员同意请求并采取措施:

  1. 以管理员许可工作流的一个已注册审阅者身份登录到 Azure 门户

  2. 选择左侧导航菜单顶部的 " 所有服务 "。 此时会打开“Azure Active Directory 扩展”。

  3. 在筛选器搜索框中键入 "Azure Active Directory",并选择 Azure Active Directory 项。

  4. 在导航菜单中,单击“企业应用程序”。

  5. 在 " 活动" 下,选择 " 管理员同意请求 (预览")

    备注

    审阅者将只能看到在指定为审阅者之后创建的管理员请求。

  6. 选择所请求的应用程序。

  7. 查看有关该请求的详细信息:

    • 若要查看谁正在请求访问,请选择 " 请求者 " 选项卡。
    • 若要查看应用程序请求的权限,请选择 " 查看权限和同意"。
  8. 评估请求并采取适当的措施:

    • 批准请求。 若要批准请求,请向应用程序授予管理员许可。 批准请求后,会通知所有请求者已被授予访问权限。
    • 拒绝请求。 若要拒绝请求,必须提供将提供给所有请求者的理由。 拒绝请求后,会通知所有请求者已被拒绝访问应用程序。 拒绝请求不会阻止用户在将来再次向应用请求管理员许可。
    • 阻止请求。 若要阻止请求,必须提供将提供给所有请求者的理由。 一旦阻止了某个请求,就会通知所有请求者对应用程序的访问权限被拒绝。 阻塞请求会在处于禁用状态的租户中为该应用程序创建一个服务主体对象。 用户将来无法请求对应用程序的管理员同意。

电子邮件通知

如果已配置,则所有审阅者将在以下情况下收到电子邮件通知:

  • 已创建新请求
  • 请求已过期
  • 请求即将过期

当以下情况时,请求者会收到电子邮件通知:

  • 它们提交新的访问请求
  • 其请求已过期
  • 他们的请求已被拒绝或被阻止
  • 已批准其请求

审核日志

下表概述了可用于管理员同意工作流的方案和审核值。

备注

当前所有方案中都缺少 audit 参与者的用户上下文。 这是预览版本中的一个已知限制。

方案 审核服务 审核类别 审核活动 审核参与者 审核日志限制
启用同意请求工作流的管理员 访问评审 UserManagement 创建调控策略模板 应用上下文 当前找不到用户上下文
管理员禁用同意请求工作流 访问评审 UserManagement 删除调控策略模板 应用上下文 当前找不到用户上下文
管理员更新许可工作流配置 访问评审 UserManagement 更新调控策略模板 应用上下文 当前找不到用户上下文
最终用户创建对应用程序的管理员同意请求 访问评审 策略 创建请求 应用上下文 当前找不到用户上下文
审批管理员同意请求的审阅者 访问评审 UserManagement 批准业务流中的所有请求 应用上下文 目前找不到已授予管理员许可的用户上下文或应用 ID。
审阅者拒绝管理员同意请求 访问评审 UserManagement 批准业务流中的所有请求 应用上下文 当前找不到拒绝管理员同意请求的执行组件的用户上下文

常见问题解答

我打开了此工作流,但在测试功能时,为什么看不到允许我请求访问的新 "需要审批" 提示?

启用该功能后,最终用户可能需要长达60分钟的时间来查看更新。 可以通过查看 API 中的 EnableAdminConsentRequests 值来验证配置是否已正确生效 https://graph.microsoft.com/beta/settings

作为审阅者,为什么看不到所有待定的请求?

审阅者只能查看在被指定为审阅者之后创建的管理员请求。 如果你最近添加为审阅者,你将看不到在分配之前创建的任何请求。

作为审阅者,为什么会看到同一个应用程序的多个请求?

如果应用程序开发人员已将应用程序配置为使用静态和动态许可来请求访问其最终用户的数据,则会看到两个管理员同意请求。 一个请求表示静态权限,另一个请求表示动态权限。

作为请求者,是否可以检查请求的状态?

不可以,对于现在的请求程序,只能通过电子邮件通知获取更新。

作为审阅者,是否可以批准应用程序,但不能为每个人批准?

如果您担心授予管理员许可并允许租户中的所有用户使用该应用程序,我们建议您拒绝该请求。 然后,通过要求用户分配,并将用户或组分配给应用程序,手动授予管理员同意权限。 有关详细信息,请参阅分配用户和组的方法

后续步骤

有关许可应用程序的详细信息,请参阅 Azure Active Directory 许可框架

配置最终用户如何对应用程序表示同意

向应用程序授予租户范围的管理许可

Microsoft 标识平台中的权限和许可

Microsoft Azure AD 上的&