Overzicht van werkstroom voor beheerderstoestemming
Er kunnen situaties zijn waarin uw eindgebruikers toestemming moeten geven voor toepassingen die ze maken of gebruiken met hun werkaccounts. Niet-beheerders mogen echter geen toestemming geven voor machtigingen waarvoor beheerderstoestemming is vereist. Gebruikers kunnen ook geen toestemming geven voor toepassingen wanneer gebruikerstoestemming is uitgeschakeld in de tenant van de gebruiker.
In dergelijke situaties waarin gebruikerstoestemming is uitgeschakeld, kan een beheerder gebruikers de mogelijkheid geven om aanvragen te doen voor het verkrijgen van toegang tot toepassingen door de werkstroom voor beheerderstoestemming in te schakelen. In dit artikel krijgt u meer informatie over de gebruikers- en beheerderservaring wanneer de werkstroom voor beheerderstoestemming is ingeschakeld en wanneer deze is uitgeschakeld.
Wanneer gebruikers zich proberen aan te melden, zien ze mogelijk een toestemmingsprompt zoals in de volgende schermopname:
Als de gebruiker niet weet wie er contact moet opnemen om hem of haar toegang te verlenen, kan de gebruiker de toepassing mogelijk niet gebruiken. In deze situatie moeten beheerders ook een afzonderlijke werkstroom maken om aanvragen voor toepassingen bij te houden als zij openstaan om deze te ontvangen. Als beheerder bestaan de volgende opties om te bepalen hoe gebruikers toestemming geven voor toepassingen:
- Gebruikerstoestemming uitschakelen. Een middelbare school kan bijvoorbeeld gebruikerstoestemming uitschakelen, zodat het IT-beheer van de school volledige controle heeft over alle toepassingen in hun tenant.
- Toestaan dat gebruikers toestemming geven voor de vereiste machtigingen. De aanbevolen procedure is om gebruikerstoestemming open te houden als u gevoelige gegevens in uw tenant hebt.
- Als u nog steeds toestemming van de beheerder wilt behouden voor bepaalde machtigingen, maar uw eindgebruikers wilt helpen bij het onboarden van hun toepassing, kunt u de werkstroom voor beheerderstoestemming gebruiken om aanvragen voor beheerderstoestemming te evalueren en erop te reageren. Op deze manier kunt u een wachtrij met alle aanvragen voor beheerderstoestemming voor uw tenant hebben en deze rechtstreeks bijhouden en erop reageren via het Microsoft Entra-beheercentrum. Zie De werkstroom voor beheerderstoestemming configurerenvoor meer informatie over het configureren van de werkstroom voor beheerderstoestemming.
Hoe de werkstroom voor beheerderstoestemming werkt
Wanneer u de werkstroom voor beheerderstoestemming configureert, kunnen uw eindgebruikers rechtstreeks via de prompt om toestemming vragen. De gebruikers zien mogelijk een toestemmingsprompt zoals die in de volgende schermopname:
Wanneer een beheerder op een aanvraag reageert, ontvangt de gebruiker een e-mailwaarschuwing waarin wordt aangegeven dat de aanvraag wordt verwerkt.
Wanneer de gebruiker een toestemmingsaanvraag indient, wordt de aanvraag weergegeven op de pagina met beheerderstoestemmingsaanvragen in het Microsoft Entra-beheercentrum. Beheerders en aangewezen reviewers melden zich aan bij om de nieuwe aanvragente bekijken en erop te reageren. Revisoren zien alleen toestemmingsaanvragen die zijn gemaakt nadat ze zijn aangewezen als revisoren. Aanvragen worden weergegeven op de volgende twee tabbladen in het deelvenster aanvragen voor beheerderstoestemming:
- Mijn in behandeling: op dit tabblad worden actieve aanvragen weergegeven waarvoor de aangemelde gebruiker is aangewezen als revisor. Hoewel revisoren aanvragen kunnen blokkeren of weigeren, kunnen alleen personen met de juiste RBAC-machtigingen om toestemming te geven voor de aangevraagde machtigingen dit doen.
- All (preview): alle aanvragen, actief of verlopen, die aanwezig zijn in de tenant. Elke aanvraag bevat informatie over de toepassing en de gebruikers die de toepassing aanvragen.
E-mailmeldingen
Indien geconfigureerd, ontvangen alle revisoren e-mailmeldingen wanneer:
- Er wordt een nieuwe aanvraag gemaakt
- Een aanvraag verloopt
- Een aanvraag nadert de vervaldatum.
Aanvragers ontvangen e-mailmeldingen wanneer:
- Ze verzenden een nieuwe aanvraag voor toegang
- Hun aanvraag verloopt
- Hun verzoek wordt geweigerd of geblokkeerd
- Hun aanvraag wordt goedgekeurd
Auditlogboeken
De volgende tabel bevat een overzicht van de scenario's en controlewaarden die beschikbaar zijn voor de werkstroom voor beheerderstoestemming.
| Scenario | Auditservice | Auditcategorie | Controleactiviteit | Audit Actor | Beperkingen voor auditlogboeken |
|---|---|---|---|---|---|
| Beheerder die de werkstroom voor toestemmingsverzoeken inschakelt | Toegangsbeoordelingen | Gebruikersbeheer | Sjabloon voor governancebeleid maken | App-context | Momenteel kunt u de gebruikerscontext niet vinden |
| Beheerder die de werkstroom voor toestemmingsaanvragen uitschakelt | Toegangsbeoordelingen | Gebruikersbeheer | Sjabloon voor governancebeleid verwijderen | App-context | Momenteel kunt u de gebruikerscontext niet vinden |
| Beheerder die de configuraties van de toestemmingswerkstroom bijwerkt | Toegangsbeoordelingen | Gebruikersbeheer | Sjabloon voor governancebeleid bijwerken | App-context | Momenteel kunt u de gebruikerscontext niet vinden |
| Eindgebruiker die een aanvraag voor beheerderstoestemming voor een app maakt | Toegangsbeoordelingen | Beleid | Aanvraag maken | App-context | Momenteel kunt u de gebruikerscontext niet vinden |
| Revisoren die een aanvraag voor beheerderstoestemming goedkeuren | Toegangsbeoordelingen | Gebruikersbeheer | Alle aanvragen in de bedrijfsstroom goedkeuren | App-context | Momenteel kunt u de gebruikerscontext of de app-id waaraan beheerderstoestemming is verleend, niet vinden. |
| Revisoren die een aanvraag voor beheerderstoestemming weigeren | Toegangsbeoordelingen | Gebruikersbeheer | Alle aanvragen in de bedrijfsstroom goedkeuren | App-context | Momenteel kunt u de gebruikerscontext van de actor die een aanvraag voor beheerderstoestemming heeft geweigerd, niet vinden |