管理者の同意ワークフローの概要
エンド ユーザーが自分の職場アカウントで作成または使用しているアプリケーションのアクセス許可に同意する必要がある場合があります。 ただし、管理者以外のユーザーは、管理者の同意を必要とするアクセス許可に同意することはできません。 また、ユーザーのテナントでユーザー 同意 が無効になっている場合、ユーザーはアプリケーションに同意できません。
ユーザーの同意が無効になっている場合、管理者は、管理者の同意ワークフローを有効にすることで、アプリケーションへのアクセスを要求する権限をユーザーに付与できます。 この記事では、管理者の同意ワークフローがオンのときとオフの場合のユーザーと管理者のエクスペリエンスについて説明します。
サインインしようとすると、次のスクリーンショットのような同意プロンプトがユーザーに表示されることがあります。
ユーザーにアクセス権を付与する連絡先がわからない場合は、アプリケーションを使用できない可能性があります。 この状況では、管理者がアプリケーションの受信を開いている場合に、アプリケーションの要求を追跡する別のワークフローを作成する必要もあります。 管理者は、ユーザーがアプリケーションに同意する方法を決定するために、次のオプションが存在します。
- ユーザーの同意を無効にします。 たとえば、高校では、学校の IT 管理者がテナント内のすべてのアプリケーションを完全に制御できるように、ユーザーの同意をオフにすることができます。
- ユーザーが必要なアクセス許可に同意できるようにします。 テナントに機密データがある場合は、ユーザーの同意を開いたままにすることをお勧めします。
- 特定のアクセス許可に対して管理者専用の同意を保持したいが、エンドユーザーがアプリケーションのオンボードを支援したい場合は、管理者の同意ワークフローを使用して、管理者の同意要求を評価して応答できます。 これにより、テナントの管理者の同意を求めるすべての要求のキューを作成し、Microsoft Entra 管理センターを通じてそれらを直接追跡して応答できます。 管理者の同意ワークフローを構成する方法については、「管理者の同意ワークフローを構成する」を参照してください。
管理者の同意ワークフローのしくみ
管理者の同意ワークフローを構成すると、エンド ユーザーはプロンプトから直接同意を要求できます。 次のスクリーンショットのような同意プロンプトがユーザーに表示される場合があります。
管理者が要求に応答すると、ユーザーは要求が処理されたことを知らせる電子メール アラートを受け取ります。
ユーザーが同意要求を送信すると、Microsoft Entra 管理センターの管理者の同意要求ページに要求が表示されます。 管理者と、指定されたレビュー担当者はサインインして、新しい要求を表示し、操作します。 レビュー担当者には、レビュー担当者として指定された後に作成された同意要求のみが表示されます。 [管理者の同意要求] ウィンドウの次の 2 つのタブに要求が表示されます。
- 保留中: このタブには、サインインしたユーザーがレビュー担当者として指名されているアクティブな要求が表示されます。 レビュー担当者は要求をブロックまたは拒否できますが、要求されたアクセス許可に同意する適切な RBAC アクセス許可を持つユーザーのみがこれを行うことができます。
- すべて (プレビュー): テナントに存在するすべての要求 (アクティブまたは期限切れ)。 各要求には、アプリケーションとアプリケーションを要求しているユーザーに関する情報が含まれます。
電子メール通知
構成されている場合、すべての校閲者は次の場合に電子メール通知を受け取ります。
- 新しい要求が作成される
- 要求の有効期限が切れる
- 要求が有効期限に近づきます。
要求者は、次の場合に電子メール通知を受信します。
- 新しいアクセス要求を送信する
- 要求の有効期限が切れる
- 要求が拒否またはブロックされる
- 要求が承認される
監査ログ
次の表は、管理者の同意ワークフローで使用できるシナリオと監査値の概要を示しています。
| シナリオ | 監査サービス | 監査カテゴリ | 監査アクティビティ | 監査アクター | 監査ログの制限事項 |
|---|---|---|---|---|---|
| 同意要求ワークフローを有効にする管理者 | アクセス レビュー | ユーザー管理 | ガバナンス ポリシー テンプレートを作成する | アプリ コンテキスト | 現在、ユーザー コンテキストが見つかりません |
| 同意要求ワークフローを無効にする管理者 | アクセス レビュー | ユーザー管理 | ガバナンス ポリシー テンプレートを削除する | アプリ コンテキスト | 現在、ユーザー コンテキストが見つかりません |
| 同意ワークフロー構成を更新する管理者 | アクセス レビュー | ユーザー管理 | ガバナンス ポリシー テンプレートを更新する | アプリ コンテキスト | 現在、ユーザー コンテキストが見つかりません |
| アプリの管理者の同意要求を作成するエンド ユーザー | アクセス レビュー | 政策 | 要求の作成 | アプリ コンテキスト | 現在、ユーザー コンテキストが見つかりません |
| 管理者の同意要求を承認するレビュー担当者 | アクセス レビュー | ユーザー管理 | ビジネス フロー内のすべての要求を承認する | アプリ コンテキスト | 現在、管理者の同意が付与されたユーザー コンテキストまたはアプリ ID が見つかりません。 |
| 管理者の同意要求を拒否するレビュー担当者 | アクセス レビュー | ユーザー管理 | ビジネス フロー内のすべての要求を承認する | アプリ コンテキスト | 現在、管理者の同意要求を拒否したアクターのユーザー コンテキストが見つかりません |
次の手順
- 管理者の同意要求ワークフロー を有効にする
- 管理者の同意要求の を確認する
- 同意要求 を管理する