Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Neste artigo, você aprenderá a configurar o fluxo de trabalho de consentimento do administrador para permitir que os usuários solicitem acesso a aplicativos que exigem consentimento do administrador. Você habilita a capacidade de fazer solicitações usando um fluxo de trabalho de consentimento do administrador. Para obter mais informações sobre como consentir com aplicativos, consulte o consentimento do usuário e do administrador.
O fluxo de trabalho de consentimento do administrador é um jeito seguro de conceder acesso a aplicativos que exigem aprovação do administrador. Se um usuário tentar acessar um aplicativo, mas não puder dar consentimento, ele poderá enviar uma solicitação de aprovação ao administrador. A solicitação é enviada por email aos administradores designados como revisores. Um revisor avalia solicitação e o usuário é notificado sobre a ação.
Para aprovar solicitações, um revisor deve ter as permissões necessárias para conceder consentimento do administrador para o aplicativo solicitado. Simplesmente designá-los como revisores não eleva os privilégios.
Pré-requisitos
Para configurar o fluxo de trabalho de consentimento do administrador, você precisa:
- Uma conta do Azure. Crie uma conta gratuitamente.
- Você deve ser um Administrador Global para ativar o fluxo de trabalho de consentimento do administrador.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Essa prática ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência ou quando você não pode usar uma função existente.
Habilitar o fluxo de trabalho de consentimento do administrador
Para habilitar o fluxo de trabalho de consentimento do administrador e escolher revisores:
Entre no Centro de administração do Microsoft Entra como administrador global.
Navegue até Entra ID>aplicativos corporativos>Consentimento e permissões>configurações de consentimento do administrador.
Em solicitações de consentimento do administrador, selecione Sim para usuários que podem solicitar consentimento do administrador para os aplicativos aos quais eles não podem consentir .
Defina as seguintes configurações:
- Quem pode examinar as solicitações de consentimento do administrador – selecione usuários, grupos ou funções designadas como revisores para solicitações de consentimento do administrador. Os revisores podem visualizar, bloquear ou negar solicitações de consentimento do administrador, mas somente os administradores globais podem aprovar solicitações de consentimento do administrador para aplicativos que solicitam funções de aplicativo do Microsoft Graph (permissões de aplicativo). As pessoas designadas como revisores podem exibir solicitações de entrada na guia Minhas Pendências depois de definidas como revisores. Os novos revisores não poderão atuar em solicitações de consentimento do administrador existentes ou vencidas.
- Os usuários selecionados receberão notificações por email para solicitações – habilite ou desabilite as notificações por email aos revisores quando uma solicitação for feita.
- Os usuários selecionados receberão lembretes de expiração de solicitação – habilite ou desabilite as notificações de email de lembrete aos revisores quando uma solicitação estiver prestes a expirar. O primeiro email de lembrete prestes a expirar provavelmente é enviado no meio da "Solicitação de consentimento expira após (dias)." Por exemplo, se você configurar a solicitação de consentimento para expirar em três dias, o primeiro email de lembrete será enviado no segundo dia e o último email de expiração será enviado quase imediatamente depois que a solicitação de consentimento expirar.
- Solicitação de consentimento expira após (dias) – especifique por quanto tempo as solicitações permanecem válidas.
Selecione Salvar. Pode levar até uma hora para que o fluxo de trabalho seja habilitado.
Observação
Você pode adicionar ou remover revisores para este fluxo de trabalho modificando a lista de quem pode revisar solicitações de consentimento de administrador. Uma limitação atual desse recurso é que os revisores mantêm a capacidade de revisar as solicitações feitas enquanto eles estavam designados como revisores, e receberão emails de lembrete de expiração para essas solicitações depois que eles forem removidos da lista de revisores. Além disso, novos revisores não serão atribuídos a solicitações criadas antes de serem definidos como revisores.
Configurar o fluxo de trabalho de consentimento do administrador usando o Microsoft Graph
Para configurar o fluxo de trabalho de consentimento do administrador programaticamente, use a API Update adminConsentRequestPolicy no Microsoft Graph.
Próximas etapas
Conceder consentimento de administrador em todo o locatário para um aplicativo