微软已经发布了Azure Active Directory(AD)中的自助应用程序访问的预览，这是技术公司基于云的用户身份和访问管理平台。随着终端用户计算(BYOD)运动和IT消费化等最终用户计算方式的变革，企业正在寻求自助服务IT，以提供用户友好的，可提高生产力的应用程序体验为他们的员工。提供自助服务功能还有助于打击“影子IT”，这通常是由于用户和IT团队之间的脱节而导致未经许可的将流行的消费者应用(如Dropbox或Evernote)用于工作目的。

影子IT所构成的危险在于，它可能被用来绕过组织的内容安全性，管理和合规性工作，并有可能造成敏感或私有数据的破坏性泄漏。去年年初，CA Technologies推出了自己的支持移动设备的自助服务解决方案，称为CA Service Management，以部分解决此问题。

Microsoft Active Directory程序管理总监Alex Simons回应了这些主题，宣布了Azure AD自助应用访问的预览。

西蒙斯(Simons)在4月23日的公告中指出，在许多组织中，“最了解访问权限决策的人可能不在IT部门工作”。他认为，团队负责人或委派的管理员可能要承担这项责任，但最终“使用该应用程序的是用户，他们通常对自己需要做什么应用程序有一个很好的认识”。

Azure AD的新自助服务应用程序访问功能使管理员可以控制用户如何获取新应用程序。启用后，Azure AD访问面板为用户显示“获取更多应用程序”图块。该工具集还可用于配置批准策略并限制对某些应用程序的访问请求。

“在Azure Active Directory应用程序库中，所有支持联合身份验证或基于密码的单点登录的预集成应用程序都支持此功能，包括Salesforce，Dropbox，Google Apps等应用程序，” Simons说。

管理员还可以指定谁有权批准对特定应用程序的请求，从而允许公司密切关注其投资并确保正确的人使用正确的工具。

“批准者可以是组织中具有Azure AD帐户的任何用户，并且可以负责组织帐户，设置，许可或组织在授予对应用程序的访问权限之前所需的任何其他业务流程，” Simons在这篇博客文章中详细介绍了设置过程。“批准者甚至可以是一个或多个共享帐户组的组所有者，并且可以将用户分配给这些组之一，以使他们可以通过共享帐户进行访问。”

发出请求后，系统会向批准者发送电子邮件以完成该过程。不需要批准的应用程序会自动显示在用户的Azure AD访问面板中，从而提供类似消费者的应用程序市场体验。