在 Azure Active Directory 中設定管理員同意工作流程

本文說明如何啟用管理員同意工作流程功能,讓使用者有辦法要求存取需要系統管理員同意的應用程式。

若未使用系統管理員同意工作流程,當使用者嘗試存取需要存取組織資料的任何應用程式時,將會封鎖已停用使用者同意之租使用者中的使用者。 使用者會看到一般錯誤訊息,指出他們未獲授權存取應用程式,且應要求系統管理員提供協助。 但是,使用者通常不知道要聯繫的人員,因此他們可以在應用程式中放棄或建立新的本機帳戶。 即使系統管理員收到通知,也不一定會有簡化的程式來協助系統管理員授與存取權,並通知使用者。 系統管理員同意工作流程可讓系統管理員以安全的方式,將存取權授與需要系統管理員核准的應用程式。 當使用者嘗試存取應用程式但無法提供同意時,他們可以傳送要求以進行系統管理員核准。 要求會透過電子郵件傳送給已被指定為審核者的系統管理員。 審核者會對要求採取動作,而使用者會收到該動作的通知。

若要核准要求,檢閱者必須是全域管理員、雲端應用程式管理員或應用程式系統管理員。 審核者必須已指派其中一個系統管理員角色;只要將它們指定為審核者,就不會提升其許可權。

若要啟用管理員同意工作流程並選擇審核者:

  1. 以系統管理員身分登入 Azure 入口網站

  2. 按一下左側導覽功能表頂端的 [所有服務]。 [Azure Active Directory 擴充功能] 隨即開啟。

  3. 在篩選搜尋方塊中,輸入 "Azure Active Directory",然後選取 Azure Active Directory 專案。

  4. 從導覽功能表中,按一下 [企業應用程式]。

  5. 在 [管理] 底下,選取 [使用者設定]。

  6. 在 [管理員同意要求 ] 下,設定 使用者可以要求系統管理員同意他們無法同意的應用程式

    設定管理員同意工作流程設定

  7. 進行以下設定:

    • 選取 [使用者] 以查看系統管理員同意要求。 從具有全域管理員、雲端應用程式系統管理員和應用程式系統管理員角色的一組使用者,選取此工作流程的審核者。 請注意,您必須先指定至少一個審核者,才能開啟工作流程。
    • 選取的使用者將會收到要求的電子郵件通知。 在提出要求時,啟用或停用對審核者的電子郵件通知。
    • 選取的使用者將會收到要求到期提醒。 當要求即將到期時,啟用或停用提醒電子郵件通知給審核者。
    • 同意要求會在 (天后到期)。 指定要求保持有效的時間長度。
  8. 選取 [儲存]。 最多可能需要一小時的時間才會啟用此功能。

注意

您可以藉由修改 [ 選取管理員同意要求審核者 ] 清單,來新增或移除此工作流程的審核者。 請注意,這項功能目前的限制是,審核者可以保留在指定為審核者時,檢查要求的能力。

啟用系統管理員同意工作流程之後,使用者可以要求系統管理員核准未經授權的應用程式。 下列步驟說明使用者在要求核准時的體驗。

  1. 使用者嘗試登入應用程式。

  2. [ 需要核准 ] 訊息隨即出現。 使用者輸入需要存取應用程式的理由,然後選取 [ 要求核准]。

    螢幕擷取畫面顯示 [需要核准] 對話方塊,您可以在其中要求核准。

  3. 要求傳送 訊息確認要求已提交給系統管理員。如果使用者傳送數個要求,則只會將第一個要求提交給系統管理員。

    螢幕擷取畫面顯示要求已傳送確認。

  4. 當使用者的要求獲得核准、拒絕或封鎖時,使用者會收到電子郵件通知。

若要檢查系統管理員同意要求並採取動作:

  1. 以系統管理員同意工作流程的其中一個已註冊審核者身分登入 Azure 入口網站

  2. 選取左側導覽功能表頂端的 [ 所有服務 ]。 [Azure Active Directory 擴充功能] 隨即開啟。

  3. 在篩選搜尋方塊中,輸入 "Azure Active Directory",然後選取 Azure Active Directory 專案。

  4. 從導覽功能表中,按一下 [企業應用程式]。

  5. 在 [ 活動] 底下,選取 [ 管理員同意要求]。

    注意

    審核者將只會看到在指定為審核者之後所建立的管理員要求。

  6. 選取所要求的應用程式。

  7. 請參閱要求的詳細資料:

    • 若要查看誰正在要求存取權和原因,請選取 [ 要求者 ] 索引標籤。
    • 若要查看應用程式所要求的許可權,請選取 [ 審核許可權] 和 [同意]。
  8. 評估要求並採取適當的動作:

    • 核准要求。 若要核准要求,請將系統管理員同意授與應用程式。 要求一經核准,就會通知所有要求者已被授與存取權。 核准要求可讓您租使用者中的所有使用者存取應用程式,除非另有使用者指派的限制。
    • 拒絕要求。 若要拒絕要求,您必須提供將提供給所有要求者的理由。 一旦要求遭到拒絕,所有要求者都會收到拒絕應用程式存取權的通知。 拒絕要求並不會防止使用者在未來再次要求系統管理員同意應用程式。
    • 封鎖要求。 若要封鎖要求,您必須提供將提供給所有要求者的理由。 一旦封鎖要求,就會通知所有要求者已拒絕應用程式的存取權。 封鎖要求會為您租使用者中的應用程式建立服務主體物件,並處於停用狀態。 使用者未來將無法要求系統管理員同意應用程式。

電子郵件通知

若已設定,所有審核者將會在下列情況收到電子郵件通知:

  • 已建立新的要求
  • 要求已過期
  • 要求已接近到期日

要求者將會在下列情況收到電子郵件通知:

  • 他們會提交新的存取要求
  • 他們的要求已過期
  • 已拒絕或封鎖其要求
  • 他們的要求已通過核准

稽核記錄

下表概述系統管理員同意工作流程的可用案例和審核值。

狀況 Audit Service 稽核類別 Audit 活動 Audit 執行者 Audit 記錄檔限制
啟用同意要求工作流程的系統管理員 存取權檢閱 Usermanagement 建立治理原則範本 應用程式內容 目前找不到使用者內容
管理員停用同意要求工作流程 存取權檢閱 Usermanagement 刪除治理原則範本 應用程式內容 目前找不到使用者內容
管理員更新同意工作流程設定 存取權檢閱 Usermanagement 更新治理原則範本 應用程式內容 目前找不到使用者內容
使用者建立應用程式的系統管理員同意要求 存取權檢閱 原則 建立要求 應用程式內容 目前找不到使用者內容
核准系統管理員同意要求的審核者 存取權檢閱 Usermanagement 核准商務流程中的所有要求 應用程式內容 您目前找不到使用者內容或已授與系統管理員同意的應用程式識別碼。
拒絕系統管理員同意要求的審核者 存取權檢閱 Usermanagement 核准商務流程中的所有要求 應用程式內容 目前您找不到拒絕系統管理員同意要求之動作專案的使用者內容

常見問題集

我已開啟此工作流程,但在測試功能時,為什麼看不到新的 [需要核准] 提示讓我要求存取權?

開啟此功能後,終端使用者最多可能需要60分鐘的時間才會看到更新,但在幾分鐘內,通常可供所有使用者使用。

做為審核者,為什麼看不到所有擱置的要求?

審核者只能看到在被指定為審核者之後所建立的管理員要求。 如果您最近新增成為審核者,就不會看到指派之前建立的任何要求。

做為審核者,為什麼我會看到相同應用程式的多個要求?

如果應用程式開發人員已將其應用程式設定為使用靜態和動態同意來要求存取使用者的資料,您將會看到兩個系統管理員同意要求。 其中一個要求代表靜態許可權,另一個則代表動態許可權。

作為要求者,我可以檢查要求的狀態嗎?

否,現在要求者只能透過電子郵件通知取得更新。

做為審核者,是否可以核准應用程式,而不是針對所有人?

如果您想要授與系統管理員同意,並允許租使用者中的所有使用者使用應用程式,我們建議您拒絕該要求。 然後藉由要求使用者指派來限制應用程式的存取,並將使用者或群組指派給應用程式,以手動方式授與系統管理員同意。 如需詳細資訊,請參閱指派使用者和群組的方法

我有一個需要使用者指派的應用程式。系統會要求指派給應用程式的使用者要求系統管理員同意,而不是能夠自我同意。為什麼?

當透過「需要使用者指派」限制存取應用程式時,Azure AD 系統管理員必須同意應用程式所要求的擁有權限。

下一步

如需同意應用程式的詳細資訊,請參閱 Azure Active Directory 同意架構

設定使用者同意應用程式的方式

對應用程式授與全租用戶的管理員同意

Microsoft 身分識別平台中的權限和同意

Azure AD 在 Microsoft Q&A