Panoramica del flusso di lavoro del consenso dell'amministratore
Potrebbero esserci situazioni in cui gli utenti finali devono fornire il consenso alle autorizzazioni per le applicazioni che stanno creando o usano con gli account aziendali. Tuttavia, gli utenti non amministratori non sono autorizzati a fornire il consenso alle autorizzazioni che richiedono il consenso dell'amministratore. Inoltre, gli utenti non possono fornire il consenso alle applicazioni quando il consenso utente è disabilitato nel tenant dell'utente.
In tali situazioni in cui il consenso dell'utente è disabilitato, un amministratore può concedere agli utenti la possibilità di effettuare richieste di accesso alle applicazioni abilitando il flusso di lavoro di consenso amministratore. In questo articolo, apprendi l'esperienza dell'utente e dell'amministratore quando il flusso di lavoro di consenso dell'amministratore è attivo rispetto a quando è disattivo.
Quando si tenta di accedere, gli utenti potrebbero visualizzare una richiesta di consenso simile a quella nello screenshot seguente:
Se l'utente non conosce chi contattare per concedergli l'accesso, potrebbe non essere in grado di usare l'applicazione. Questa situazione richiede anche agli amministratori di creare un flusso di lavoro separato per tenere traccia delle richieste per le applicazioni se sono aperte alla ricezione. In qualità di amministratore, sono disponibili le opzioni seguenti per determinare il modo in cui gli utenti acconsentono alle applicazioni:
- Disabilitare il consenso dell'utente. Ad esempio, un istituto superiore potrebbe voler disattivare il consenso dell'utente in modo che l'amministrazione IT dell'istituto di istruzione abbia il controllo completo su tutte le applicazioni nel tenant.
- Consentire agli utenti di fornire il consenso alle autorizzazioni necessarie. La procedura consigliata consiste nel mantenere aperto il consenso dell'utente se sono presenti dati sensibili nel tenant.
- Se si vuole comunque mantenere il consenso solo amministratore per determinate autorizzazioni, ma si vuole assistere gli utenti finali nell'onboarding dell'applicazione, è possibile usare il flusso di lavoro di consenso amministratore per valutare e rispondere alle richieste di consenso dell'amministratore. In questo modo, è possibile avere una coda di tutte le richieste di consenso amministratore del tenant e monitorare e rispondere direttamente tramite l'interfaccia di amministrazione di Microsoft Entra. Per informazioni su come configurare il flusso di lavoro del consenso amministratore, vedere Configurare il flusso di lavoro del consenso amministratore.
Funzionamento del flusso di lavoro del consenso dell'amministratore
Quando si configura il processo di consenso dell'amministratore, gli utenti finali possono richiedere il consenso direttamente tramite il prompt. Gli utenti potrebbero visualizzare una richiesta di consenso simile a quella nello screenshot seguente:
Quando un amministratore risponde a una richiesta, l'utente riceve un avviso di posta elettronica che informa che la richiesta viene elaborata.
Quando l'utente invia una richiesta di consenso, la richiesta viene visualizzata nella pagina di richiesta di consenso amministratore nell'interfaccia di amministrazione di Microsoft Entra. Gli amministratori e i revisori designati accedono a per visualizzare e agire sulle nuove richieste. I revisori visualizzano solo le richieste di consenso create dopo che sono state designate come revisori. Le richieste vengono visualizzate nelle due schede seguenti nel riquadro delle richieste di consenso amministratore:
- I miei in sospeso: questa scheda mostra tutte le richieste attive che designano l'utente connesso come revisore. Anche se i revisori possono bloccare o negare le richieste, solo le persone con i permessi RBAC corretti per fornire il consenso alle autorizzazioni richieste possono farlo.
- All(Preview): tutte le richieste, attive o scadute, presenti nel tenant. Ogni richiesta include informazioni sull'applicazione e sugli utenti che richiedono l'applicazione.
Notifiche tramite posta elettronica
Se configurato, tutti i revisori ricevono notifiche tramite posta elettronica quando:
- Viene creata una nuova richiesta
- Una richiesta scade
- Una richiesta sta per raggiungere la data di scadenza.
I richiedenti ricevono notifiche tramite posta elettronica quando:
- Inviano una nuova richiesta di accesso
- La richiesta scade
- La richiesta viene negata o bloccata
- La richiesta è approvata
Registri di controllo
La tabella seguente illustra gli scenari e i valori di controllo disponibili per il flusso di lavoro di consenso amministratore.
| Scenario | Servizio di controllo | Categoria di controllo | Attività di controllo | Attore dell'Audit | Limitazioni del log di controllo |
|---|---|---|---|---|---|
| Amministratore che abilita il flusso di lavoro della richiesta di consenso | Verifiche di accesso | UserManagement | Creare un modello di politica di governance | Contesto dell'app | Attualmente non è possibile trovare il contesto utente |
| Amministratore che disabilita il flusso di lavoro della richiesta di consenso | Verifiche di accesso | Gestione Utenti | Eliminare il modello di politica di governance | Contesto dell'app | Attualmente non è possibile trovare il contesto utente |
| Aggiornamento delle configurazioni del flusso di lavoro del consenso da parte dell'amministratore | Verifiche di accesso | Gestione Utenti | Aggiornare il modello di politica di governance | Contesto dell'app | Attualmente non è possibile trovare il contesto utente |
| Utente finale che crea una richiesta di consenso amministratore per un'app | Verifiche di accesso | Politica | Creare una richiesta | Contesto dell'app | Attualmente non è possibile trovare il contesto utente |
| Revisori che approvano una richiesta di consenso di amministratore | Verifiche di accesso | Gestione Utenti | Approvare tutte le richieste nel flusso aziendale | Contesto dell'app | Attualmente non è possibile trovare il contesto utente o l'ID app a cui è stato concesso il consenso amministrativo. |
| Revisori che negano una richiesta di consenso dell'amministratore | Verifiche di accesso | Gestione Utenti | Approvare tutte le richieste nel flusso aziendale | Contesto dell'app | Attualmente non è possibile trovare il contesto utente dell'attore che ha negato una richiesta di consenso amministratore |