管理者の同意ワークフローの概要
エンド ユーザーは自分の仕事用アカウントで作成または使用しているアプリケーションに対するアクセス許可に同意することが必要な場合があります。 ただし、管理者以外のユーザーが、管理者の同意を必要とするアクセス許可に同意することはできません。 また、ユーザーのテナントでユーザーの同意が無効になっている場合、ユーザーはアプリケーションに同意することができません。
ユーザーの同意が無効になっているこのような状況では、管理者は、管理者の同意ワークフローを有効にすることで、アプリケーションへのアクセス権を取得するための要求を行う機能をユーザーに付与できます。 この記事では、管理者の同意ワークフローが無効になっている場合と、有効になっている場合のユーザーと管理者のエクスペリエンスについて説明します。
サインインを試みると、次のスクリーンショットのような同意プロンプトがユーザーに表示される場合があります。
ユーザーは、誰に連絡すればアクセス権を取得できるかわからない場合、アプリケーションを使用できない可能性があります。 また、この状況では、管理者は、アプリケーションの要求を受け入れる準備ができている場合に、それを追跡するためのワークフローを別個に作成する必要があります。 管理者には、ユーザーがアプリケーションに同意する方法を決定するためのオプションが用意されています。
- ユーザーの同意を無効にします。 たとえば、学校では、テナントで使用されているすべてのアプリケーションを学校の IT 管理者が完全に制御できるように、ユーザーの同意を無効にすることができます。
- ユーザーが必要なアクセス許可に同意できるようにします。 テナント内に機密データが存在する場合は、ユーザーの同意を開いたままにしておくことは、お勧めできません。
- 特定のアクセス許可に対して管理者のみの同意を保持したままで、エンドユーザーがアプリケーションをオンボードできるようにする場合は、管理者の同意ワークフローを使用して、管理者の同意要求を評価し、対応することができます。 これにより、ご利用のテナントで、管理者の同意に対するすべての要求のキューを作成し、Microsoft Entra 管理センターを通じてそれらを直接追跡し、応答することができます。 管理者の同意ワークフローを構成する方法については、「管理者の同意ワークフローの構成」を参照してください。
管理者の同意ワークフローのしくみ
管理者の同意ワークフローを構成すると、エンドユーザーがプロンプトを介して同意を直接要求できるようになります。 ユーザーには、次のスクリーンショットに示すような同意プロンプトが表示される場合があります。
管理者が要求に応答すると、要求が処理されたことを通知する電子メール アラートがユーザーに送信されます。
ユーザーが同意要求を送信すると、その要求が Microsoft Entra 管理センターの [管理者の同意要求] ページに表示されます。 管理者と、指定されたレビュー担当者はサインインして、新しい要求を表示し、操作します。 レビュー担当者が表示できるのは、レビュー担当者として指名された後に作成された管理者の要求のみに限られます。 要求は、[管理者の同意要求] ブレードの次の 2 つのタブに表示されます。
- 保留中: これには、サインインしたユーザーがレビュー担当者として指名されているアクティブな要求が表示されます。 レビュー担当者は要求をブロックすることも拒否することもできますが、それができるのは、要求されたアクセス許可に同意するための適切な RBAC アクセス許可を持つ人だけに限られています。
- すべて (プレビュー): テナントに存在するすべての要求 (アクティブまたは期限切れ)。 各要求には、アプリケーションおよびアプリケーションを要求するユーザーに関する情報が含まれます。
メール通知
構成した場合、すべてのレビュー担当者は次の場合にメール通知を受信します。
- 新しい要求が作成された
- 要求の有効期限が切れた
- 要求の有効期限が近づいている
要求元は、次の場合にメール通知を受信します。
- アクセス許可を求めて新しい要求を送信した
- 要求の有効期限が切れた
- 要求が拒否またはブロックされた
- 要求が承認された
監査ログ
次の表は、管理者の同意ワークフローで使用できるシナリオと監査の値の概要を示します。
| シナリオ | 監査サービス | 監査のカテゴリ | 監査アクティビティ | 監査アクター | 監査ログの制限事項 |
|---|---|---|---|---|---|
| 管理者が同意要求のワークフローを有効にする | アクセス レビュー | UserManagement | ガバナンス ポリシー テンプレートを作成する | アプリのコンテキスト | ユーザー コンテキストは、現時点では確認できません |
| 管理者が同意要求のワークフローを無効化する | アクセス レビュー | UserManagement | ガバナンス ポリシー テンプレートを削除する | アプリのコンテキスト | ユーザー コンテキストは、現時点では確認できません |
| 管理者が同意ワークフローの構成を更新する | アクセス レビュー | UserManagement | ガバナンス ポリシー テンプレートを更新する | アプリのコンテキスト | ユーザー コンテキストは、現時点では確認できません |
| エンド ユーザーがアプリに対する管理者の同意要求を作成する | アクセス レビュー | ポリシー | 要求を作成 | アプリのコンテキスト | ユーザー コンテキストは、現時点では確認できません |
| レビュー担当者が管理者の同意要求の承認をする | アクセス レビュー | UserManagement | ビジネス フロー内のすべての要求を承認する | アプリのコンテキスト | 現時点では、管理者の同意が付与されたユーザー コンテキストまたはアプリ ID が見つかりません。 |
| レビュー担当者が管理者の同意要求拒否をする | アクセス レビュー | UserManagement | ビジネス フロー内のすべての要求を承認する | アプリのコンテキスト | 現時点では、管理者の同意要求を拒否したアクターのユーザーコンテキストが見つかりません |