Vue d’ensemble du flux de travail de consentement administrateur
Il peut arriver que vos utilisateurs finaux doivent donner leur consentement aux autorisations pour les applications qu’ils créent ou utilisent avec leurs comptes professionnels. Toutefois, les utilisateurs non administrateurs ne sont pas autorisés à donner leur consentement aux autorisations qui nécessitent le consentement de l’administrateur. En outre, les utilisateurs ne peuvent pas donner leur consentement aux applications lorsque le consentement de l'utilisateur est désactivé dans le locataire de l’utilisateur.
Dans de telles situations où le consentement de l’utilisateur est désactivé, un administrateur peut accorder aux utilisateurs la possibilité d’effectuer des demandes d’accès aux applications en activant le flux de travail de consentement de l’administrateur. Dans cet article, vous allez découvrir l’expérience utilisateur et administrateur lorsque le flux de travail de consentement de l’administrateur est activé ou lorsqu’il est désactivé.
Lorsque vous tentez de vous connecter, les utilisateurs peuvent voir une invite de consentement comme celle de la capture d’écran suivante :
Si l’utilisateur ne sait pas qui contacter pour lui accorder l’accès, il se peut qu’il ne puisse pas utiliser l’application. Cette situation exige également que les administrateurs créent un flux de travail distinct pour suivre les demandes d’applications s’ils sont ouverts à leur réception. En tant qu’administrateur, les options suivantes vous permettent de déterminer comment les utilisateurs consentent aux applications :
- Désactivez le consentement de l’utilisateur. Par exemple, un lycée peut vouloir désactiver le consentement de l’utilisateur afin que l’administration informatique scolaire ait un contrôle total sur toutes les applications de son locataire.
- Autoriser les utilisateurs à donner leur consentement aux autorisations requises. La meilleure pratique consiste à maintenir le consentement de l’utilisateur ouvert si vous avez des données sensibles dans votre locataire.
- Si vous souhaitez toujours conserver le consentement administrateur uniquement pour certaines autorisations, mais que vous souhaitez aider vos utilisateurs finaux à intégrer leur application, vous pouvez utiliser le flux de travail de consentement administrateur pour évaluer et répondre aux demandes de consentement de l’administrateur. De cette façon, vous pouvez disposer d’une file d’attente de toutes les demandes de consentement administrateur pour votre locataire et suivre et y répondre directement via le Centre d’administration Microsoft Entra. Pour savoir comment configurer le flux de travail de consentement administrateur, consultez Configurer le flux de travail de consentement administrateur.
Fonctionnement du flux de travail de consentement de l’administrateur
Lorsque vous configurez le flux de travail de consentement administrateur, vos utilisateurs finaux peuvent demander le consentement directement via l’invite. Les utilisateurs peuvent voir une invite de consentement comme celle de la capture d’écran suivante :
Lorsqu’un administrateur répond à une demande, l’utilisateur reçoit une alerte par e-mail lui informant que la demande est traitée.
Lorsque l’utilisateur envoie une demande de consentement, la demande s’affiche dans la page de demande de consentement administrateur dans le Centre d’administration Microsoft Entra. Les administrateurs et les réviseurs désignés se connectent pour afficher et agir sur les nouvelles demandes. Les réviseurs voient uniquement les demandes de consentement créées après leur désignation en tant que réviseurs. Les demandes s’affichent sous les deux onglets suivants dans le volet demandes de consentement de l’administrateur :
- Mon onglet en attente affiche toutes les demandes actives qui ont l’utilisateur connecté désigné en tant que réviseur. Bien que les réviseurs puissent bloquer ou refuser des demandes, seules les personnes disposant des autorisations RBAC appropriées pour donner leur consentement aux autorisations demandées peuvent le faire.
- Tout (préversion) : toutes les demandes, actives ou expirées, qui existent dans le locataire. Chaque demande inclut des informations sur l’application et les utilisateurs qui demandent l’application.
Notifications par e-mail
S’il est configuré, tous les réviseurs reçoivent des notifications par e-mail quand :
- Une nouvelle requête est créée
- Une requête expire
- Une demande approche de la date d’expiration.
Les demandeurs reçoivent des notifications par e-mail quand :
- Ils envoient une nouvelle demande d’accès
- Leur demande expire
- Leur demande est refusée ou bloquée
- Leur demande est approuvée
Journaux d’audit
Le tableau suivant présente les scénarios et les valeurs d’audit disponibles pour le flux de travail de consentement administrateur.
| Scénario | Service d’audit | Catégorie d’audit | Activité d’audit | Acteur d’audit | Limitations du journal d’audit |
|---|---|---|---|---|---|
| Administrateur activant le flux de travail de demande de consentement | Révisions d’accès | Gestion des utilisateurs | Créer un modèle de stratégie de gouvernance | Contexte de l’application | Actuellement, vous ne pouvez pas trouver le contexte utilisateur |
| Administrateur désactivant le flux de travail de demande de consentement | Révisions d’accès | Gestion des utilisateurs | Supprimer un modèle de stratégie de gouvernance | Contexte de l’application | Actuellement, vous ne pouvez pas trouver le contexte utilisateur |
| Administrateur mettant à jour les configurations de flux de travail de consentement | Révisions d’accès | Gestion des utilisateurs | Mettre à jour le modèle de stratégie de gouvernance | Contexte de l’application | Actuellement, vous ne pouvez pas trouver le contexte utilisateur |
| Utilisateur final créant une demande de consentement administrateur pour une application | Révisions d’accès | Politique | Créer une demande | Contexte de l’application | Actuellement, vous ne pouvez pas trouver le contexte utilisateur |
| Réviseurs approuvant une demande de consentement d'administration | Révisions d’accès | Gestion des utilisateurs | Approuver toutes les requêtes dans le workflow d’entreprise | Contexte de l’application | Actuellement, vous ne trouvez pas le contexte utilisateur ou l’ID d’application qui a reçu le consentement de l’administrateur. |
| Réviseurs refusant une demande de consentement de l'administrateur | Révisions d’accès | Gestion des utilisateurs | Approuver toutes les requêtes dans le workflow d’entreprise | Contexte de l’application | Actuellement, vous ne trouverez pas le contexte utilisateur de l’acteur qui a refusé une demande de consentement administrateur |