Omówienie przepływu pracy zgody administratora
Mogą wystąpić sytuacje, w których użytkownicy końcowi muszą wyrazić zgodę na uprawnienia do aplikacji tworzonych lub używanych z kontami służbowymi. Użytkownicy niebędący administratorami nie mogą jednak wyrażać zgody na uprawnienia wymagające zgody administratora. Ponadto użytkownicy nie mogą wyrazić zgody na aplikacje, gdy zgoda użytkownika jest wyłączona w dzierżawie użytkownika.
W takich sytuacjach, gdy zgoda użytkownika jest wyłączona, administrator może przyznać użytkownikom możliwość składania żądań uzyskania dostępu do aplikacji przez włączenie przepływu pracy zgody administratora. W tym artykule dowiesz się więcej o środowisku użytkownika i administratora, gdy przepływ pracy zgody administratora jest wyłączony, a kiedy jest włączony.
Podczas próby zalogowania użytkownicy mogą zobaczyć monit o wyrażenie zgody, taki jak na poniższym zrzucie ekranu:
Jeśli użytkownik nie wie, kto ma się skontaktować w celu udzielenia im dostępu, może nie być w stanie użyć aplikacji. Taka sytuacja wymaga również od administratorów utworzenia oddzielnego przepływu pracy w celu śledzenia żądań dla aplikacji, jeśli są one otwarte na ich odbieranie. Jako administrator istnieją następujące opcje, aby określić, w jaki sposób użytkownicy wyrażają zgodę na aplikacje:
- Wyłącz zgodę użytkownika. Na przykład liceum może chcieć wyłączyć zgodę użytkownika, aby administracja IT w szkole uzyskała pełną kontrolę nad wszystkimi aplikacjami używanymi w dzierżawie.
- Zezwalaj użytkownikom na wyrażanie zgody na wymagane uprawnienia. Nie zaleca się otwierania zgody użytkownika, jeśli masz poufne dane w dzierżawie.
- Jeśli nadal chcesz zachować zgodę administratora tylko na określone uprawnienia, ale chcesz pomóc użytkownikom końcowym w dołączaniu aplikacji, możesz użyć przepływu pracy zgody administratora, aby ocenić i odpowiedzieć na żądania zgody administratora. Dzięki temu możesz mieć kolejkę wszystkich żądań zgody administratora dla dzierżawy i śledzić je i odpowiadać bezpośrednio za pośrednictwem centrum administracyjnego firmy Microsoft Entra. Aby dowiedzieć się, jak skonfigurować przepływ pracy zgody administratora, zobacz Konfigurowanie przepływu pracy zgody administratora.
Jak działa przepływ pracy zgody administratora
Po skonfigurowaniu przepływu pracy zgody administratora użytkownicy końcowi mogą zażądać zgody bezpośrednio za pośrednictwem monitu. Użytkownicy mogą zobaczyć monit o wyrażenie zgody, taki jak na poniższym zrzucie ekranu:
Gdy administrator odpowie na żądanie, użytkownik otrzyma alert e-mail informujący o tym, że żądanie zostało przetworzone.
Gdy użytkownik prześle żądanie zgody, żądanie zostanie wyświetlone na stronie żądania zgody administratora w centrum administracyjnym firmy Microsoft Entra. Administracja istratorzy i wyznaczeni recenzenci loguje się, aby wyświetlać nowe żądania i wykonywać na nie działania. Recenzenci widzą tylko żądania zgody utworzone po ich wyznaczeniu jako recenzentów. Żądania są wyświetlane na następujących dwóch kartach w bloku Żądania zgody administratora:
- Moje oczekujące: spowoduje to wyświetlenie aktywnych żądań, które mają zalogowanego użytkownika wyznaczonego jako recenzent. Mimo że recenzenci mogą blokować lub odrzucać żądania, tylko osoby z odpowiednimi uprawnieniami RBAC, aby wyrazić zgodę na żądane uprawnienia, mogą to zrobić.
- All(wersja zapoznawcza): wszystkie żądania, aktywne lub wygasłe, które istnieją w dzierżawie. Każde żądanie zawiera informacje o aplikacji i użytkownikach żądających aplikacji.
Powiadomienia e-mail
W przypadku skonfigurowania wszyscy recenzenci otrzymają powiadomienia e-mail, gdy:
- Utworzono nowe żądanie
- Żądanie wygasło
- Żądanie zbliża się do daty wygaśnięcia.
Żądania będą otrzymywać powiadomienia e-mail, gdy:
- Przesyłają nowe żądanie dostępu
- Żądanie wygasło
- Ich żądanie zostało odrzucone lub zablokowane
- Ich żądanie zostało zatwierdzone
Dzienniki inspekcji
W poniższej tabeli przedstawiono scenariusze i wartości inspekcji dostępne dla przepływu pracy zgody administratora.
Scenariusz | Usługa inspekcji | Kategorii inspekcji | Działanie inspekcji | Aktor inspekcji | Ograniczenia dziennika inspekcji |
---|---|---|---|---|---|
Administracja włączanie przepływu pracy żądania zgody | Przeglądy dostępu | UserManagement | Tworzenie szablonu zasad ładu | Kontekst aplikacji | Obecnie nie można odnaleźć kontekstu użytkownika |
Administracja wyłączenie przepływu pracy żądania zgody | Przeglądy dostępu | UserManagement | Usuwanie szablonu zasad ładu | Kontekst aplikacji | Obecnie nie można odnaleźć kontekstu użytkownika |
Administracja zaktualizowanie konfiguracji przepływu pracy zgody | Przeglądy dostępu | UserManagement | Aktualizowanie szablonu zasad ładu | Kontekst aplikacji | Obecnie nie można odnaleźć kontekstu użytkownika |
Użytkownik końcowy tworzący żądanie zgody administratora dla aplikacji | Przeglądy dostępu | Zasady | Tworzenie żądania | Kontekst aplikacji | Obecnie nie można odnaleźć kontekstu użytkownika |
Recenzenci zatwierdzający żądanie zgody administratora | Przeglądy dostępu | UserManagement | Zatwierdzanie wszystkich żądań w przepływie biznesowym | Kontekst aplikacji | Obecnie nie można odnaleźć kontekstu użytkownika ani identyfikatora aplikacji, który udzielił zgody administratora. |
Recenzenci odmawiający żądania zgody administratora | Przeglądy dostępu | UserManagement | Zatwierdzanie wszystkich żądań w przepływie biznesowym | Kontekst aplikacji | Obecnie nie można odnaleźć kontekstu użytkownika aktora, który zaprzeczył żądaniu zgody administratora |