Přehled pracovního postupu souhlasu správce
Mohou nastat situace, kdy koncoví uživatelé potřebují udělit souhlas s oprávněními pro aplikace, které vytvářejí nebo používají se svými pracovními účty. Uživatelé bez oprávnění správce ale nesmí udělit souhlas s oprávněními, která vyžadují souhlas správce. Uživatelé také nemůžou udělit souhlas s aplikacemi, když souhlas uživatele je v tenantovi uživatele zakázaný.
V takových situacích, kdy je souhlas uživatele zakázán, může správce uživatelům udělit možnost vytvářet žádosti o získání přístupu k aplikacím povolením pracovního postupu souhlasu správce. V tomto článku se dozvíte o prostředí uživatele a správce, když je pracovní postup souhlasu správce zapnutý a kdy je vypnutý.
Při pokusu o přihlášení se uživatelům může zobrazit výzva k vyjádření souhlasu, například na následujícím snímku obrazovky:
Pokud uživatel neví, kdo má kontaktovat, aby mu udělil přístup, nemusí aplikaci používat. Tato situace také vyžaduje, aby správci vytvořili samostatný pracovní postup, který bude sledovat žádosti o aplikace, pokud jsou otevřené pro jejich příjem. Jako správce existují následující možnosti, jak určit, jak uživatelé souhlasí s aplikacemi:
- Zakažte souhlas uživatele. Například střední škola může chtít vypnout souhlas uživatele, aby správa IT školy mohla mít plnou kontrolu nad všemi aplikacemi ve svém tenantovi.
- Povolte uživatelům souhlas s požadovanými oprávněními. Osvědčeným postupem je ponechat souhlas uživatele otevřený, pokud máte v tenantovi citlivá data.
- Pokud stále chcete zachovat souhlas jen pro správce pro určitá oprávnění, ale chcete koncovým uživatelům pomoct s onboardingem aplikace, můžete použít pracovní postup souhlasu správce k vyhodnocení žádostí o souhlas správce a odpovídání na žádosti o souhlas správce. Tímto způsobem můžete mít frontu všech žádostí o souhlas správce pro vašeho tenanta a můžete na ně sledovat a reagovat přímo prostřednictvím Centra pro správu Microsoft Entra. Informace o konfiguraci pracovního postupu souhlasu správce najdete v tématu Konfigurace pracovního postupu souhlasu správce.
Jak funguje pracovní postup souhlasu správce
Při konfiguraci pracovního postupu souhlasu správce můžou koncoví uživatelé požádat o souhlas přímo prostřednictvím výzvy. Uživatelům se může zobrazit výzva k vyjádření souhlasu podobná té na následujícím snímku obrazovky:
Když správce odpoví na žádost, obdrží uživatel e-mailové upozornění s informací, že se žádost zpracuje.
Když uživatel odešle žádost o souhlas, žádost se zobrazí na stránce žádosti o souhlas správce v Centru pro správu Microsoft Entra. Správci a určení revidenti se přihlašují do k zobrazení a vyřízení nových žádostí. Revidujícím se zobrazují jenom žádosti o souhlas, které byly vytvořeny po jejich určení jako revidujícím. Žádosti se zobrazí na následujících dvou kartách v podokně se žádostmi o souhlas správce.
- Moje čekající žádosti: Tato karta zobrazuje všechny aktivní žádosti, které mají přihlášeného uživatele určeného jako recenzenta. I když revidujícím můžou blokovat nebo odepřít žádosti, můžou to udělat jenom lidé se správnými oprávněními RBAC k vyjádření souhlasu s požadovanými oprávněními.
- All(Preview): Všechny požadavky, aktivní nebo neplatné, které existují u nájemce. Každá žádost obsahuje informace o aplikaci a o uživatelích, kteří ji požadují.
E-mailová oznámení
Pokud je tato konfigurace nakonfigurovaná, všichni revidujícím obdrží e-mailová oznámení v následujících případech:
- Vytvoří se nový požadavek.
- Platnost žádosti vyprší.
- Žádost se blíží datu vypršení platnosti.
Žadatel obdrží e-mailová oznámení v následujících případech:
- Odesílají novou žádost o přístup.
- Platnost žádosti vyprší.
- Jejich žádost je odepřena nebo blokována.
- Jejich žádost je schválena.
Protokoly auditu
Následující tabulka popisuje scénáře a hodnoty auditu, které jsou k dispozici pro pracovní postup souhlasu správce.
| Scénář | Služba auditování | Kategorie auditu | Aktivita auditu | Auditující subjekt | Omezení protokolu auditu |
|---|---|---|---|---|---|
| Správce umožňující pracovní postup žádostí o souhlas | Hodnocení přístupů | Správa uživatelů | Vytvoření šablony zásad správného řízení | Kontext aplikace | V současné době nemůžete najít kontext uživatele. |
| Správce zakáže pracovní postup žádosti o souhlas. | Revize přístupu | Správa uživatelů | Odstranění šablony zásad správného řízení | Kontext aplikace | V současné době nemůžete najít kontext uživatele. |
| Správce aktualizuje konfigurace pracovních postupů souhlasu. | Kontroly přístupů | Správa uživatelů | Aktualizace šablony zásad správného řízení | Kontext aplikace | V současné době nemůžete najít kontext uživatele. |
| Koncový uživatel, který vytváří žádost o souhlas správce pro aplikaci | Hodnocení přístupu | Politika | Vytvoření požadavku | Kontext aplikace | V současné době nemůžete najít kontext uživatele. |
| Kontroloři schvalují žádost o souhlas správce. | Revize přístupu | Správa uživatelů | Schvalte všechny žádosti v obchodním toku | Kontext aplikace | V současné době nemůžete najít kontext uživatele ani ID aplikace, kterému byl udělen souhlas správce. |
| Revidující odmítli žádost o souhlas správce. | Revize přístupu | Správa uživatelů | Schválení všech žádostí v obchodních tocích | Kontext aplikace | V současné době nemůžete najít uživatelský kontext osoby, která zamítla žádost o souhlas správce. |