在本文中,你将了解如何使用 Microsoft Entra 管理中心启用自助应用程序访问。
在用户可以从 “我的应用”门户自行发现应用程序之前,需要为应用程序启用 自助服务应用程序访问权限 。 此功能适用于从 Microsoft Entra 库添加的应用程序。 它还可用于 Microsoft Entra 应用程序代理,或使用 用户或管理员同意添加的应用程序。
使用此功能,可以:
允许用户从“我的应用”门户中自行发现应用程序,而无需求助 IT 组。
将这些用户添加到预配置组,以便查看请求访问的用户、删除访问权限以及管理分配给用户的角色。
(可选)允许业务审批人批准应用程序访问请求,从而为 IT 组省去麻烦。
(可选)最多配置 10 个可以批准访问此应用程序的人员。
(可选)允许业务审批者直接从其“我的应用”门户设置用户可用于登录应用程序的密码
(可选)自动将自助服务分配的用户直接分配到应用程序角色。
先决条件
要启用自助应用程序访问,你需要:
- 一个 Microsoft Entra 用户帐户。 如果还没有帐户,请 免费创建一个帐户。
- 以下角色之一:云应用程序管理员或应用程序管理员。
- 必须具备 Microsoft Entra ID P1 或 P2 许可证,用户才能请求加入自助服务应用,所有者才能批准或拒绝请求。 如果没有 Microsoft Entra ID P1 或 P2 许可证,用户将无法添加自助服务应用。
启用自助服务应用程序访问以允许用户查找自己的应用程序
自助应用程序访问是帮助用户自行发现应用程序的绝佳方式,可选择性地允许业务组批准对这些应用程序的访问。 对于密码单一登录应用程序,可允许业务组从自己的“我的应用”门户管理分配给这些用户的凭据。
若要启用应用程序的自助应用程序访问,请执行以下步骤:
以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用程序>所有应用程序。
在“搜索”框中输入现有应用程序的名称,然后从搜索结果中选择该应用程序。
在左侧导航菜单中,选择“自助服务”。
要对此应用程序启用自助应用程序访问,请将“允许用户请求对此应用程序的访问权限?”设置为“是” 。
在“应向哪个组添加分配的用户?”旁,选择“选择组”。 选择一个组,然后选择“选择”。 用户请求获得批准后,他们会被添加到此组。 查看此组的成员身份时,可以通过自助访问查看已被授予对应用程序的访问权限的用户。
注意
此设置不支持从本地同步的组。
可选:如果希望在获得业务批准之后才允许用户访问,请将“需要获得批准才能授权访问此应用程序?”设置为“是” 。
自选: 在 允许谁批准对此应用程序的访问权限?旁边, 选择“审批者 ”以指定允许批准对此应用程序的访问权限的业务审批者。 选择最多 10 个单个业务审批者,然后选择“ 选择”。
注意
不支持群组。 最多可以选择 10 个单独的业务审批者。 如果指定多个审批者,则任何一个审批者都可以批准访问请求。
可选:在“应在此应用程序中将用户分配到哪个角色?”旁边,选择“选择角色”,将自助服务批准的用户分配到角色。 选择应向其分配这些用户的角色,然后选择“选择”。 此选项适用于公开角色的应用程序。
选择窗格顶部的“保存”按钮以完成操作。
完成自助应用程序配置后,用户可导航到“我的应用”门户,然后选择“请求新应用”来查找已启用自助访问的应用。 业务审批者还会在“我的应用”门户中看到通知。 可以启用电子邮件,在用户请求需要审批人批准的应用程序的访问权限时,向审批人发送电子邮件通知。