Omówienie procesu zgody administratora
Mogą wystąpić sytuacje, w których użytkownicy końcowi muszą wyrazić zgodę na uprawnienia do aplikacji tworzonych przez nich lub korzystających z kont służbowych. Jednak użytkownicy niebędący administratorami nie mogą wyrazić zgody na uprawnienia wymagające zgody administratora. Ponadto użytkownicy nie mogą wyrazić zgody na aplikacje, gdy zgoda użytkownika jest wyłączona w dzierżawie użytkownika.
W takich sytuacjach, gdy zgoda użytkownika jest wyłączona, administrator może przyznać użytkownikom możliwość składania żądań uzyskania dostępu do aplikacji przez włączenie przepływu pracy zgody administratora. W tym artykule poznasz doświadczenia użytkownika i administratora, gdy przepływ pracy zgody administratora jest włączony w porównaniu z sytuacją, gdy jest wyłączony.
Podczas próby zalogowania użytkownicy mogą zobaczyć monit o wyrażenie zgody, taki jak na poniższym zrzucie ekranu:
Jeśli użytkownik nie wie, kto ma się skontaktować w celu udzielenia im dostępu, może nie być w stanie użyć aplikacji. Taka sytuacja wymaga również od administratorów utworzenia oddzielnego przepływu pracy w celu śledzenia żądań dla aplikacji, jeśli są one otwarte na ich odbieranie. Jako administrator istnieją następujące opcje, aby określić, w jaki sposób użytkownicy wyrażają zgodę na aplikacje:
- Wyłącz zgodę użytkownika. Na przykład liceum może chcieć wyłączyć zgodę użytkownika, aby administracja IT w szkole uzyskała pełną kontrolę nad wszystkimi aplikacjami w swoim tenancie.
- Zezwalaj użytkownikom na wyrażanie zgody na wymagane uprawnienia. Najlepszym rozwiązaniem jest otwarcie zgody użytkownika, jeśli masz poufne dane w dzierżawie.
- Jeśli wciąż chcesz zachować zgodę administratora tylko na określone uprawnienia, ale chcesz pomóc użytkownikom końcowym w integracji ich aplikacji, możesz użyć przepływu pracy zgody administratora, aby ocenić i zareagować na żądania zgody administratora. Dzięki temu możesz utworzyć kolejkę wszystkich żądań zgody administratora dla swojej dzierżawy oraz śledzić i odpowiadać na nie bezpośrednio za pośrednictwem centrum administracyjnego Microsoft Entra. Aby dowiedzieć się, jak skonfigurować przepływ pracy zgody administratora, zobacz Konfigurowanie przepływu pracy zgody administratora.
Jak działa przepływ pracy zgody administratora
Podczas konfigurowania przepływu pracy zgody administratora użytkownicy końcowi mogą zażądać zgody bezpośrednio za pośrednictwem monitu. Użytkownicy mogą zobaczyć monit o wyrażenie zgody, taki jak na poniższym zrzucie ekranu:
Gdy administrator odpowie na żądanie, użytkownik otrzyma alert e-mail informujący o tym, że żądanie jest przetwarzane.
Gdy użytkownik prześle żądanie zgody, żądanie zostanie wyświetlone na stronie żądania zgody administratora w centrum administracyjnym firmy Microsoft Entra. Administratorzy i wyznaczeni recenzenci logują się, aby przeglądać i realizować nowe żądania. Recenzenci widzą tylko żądania zgody utworzone po ich wyznaczeniu jako recenzenci. Żądania są wyświetlane na następujących dwóch kartach w okienku żądania zgody administratora:
- Moje oczekujące: Ta karta pokazuje wszelkie aktywne żądania, które mają zalogowanego użytkownika wyznaczonego jako recenzujący. Mimo że recenzenci mogą blokować lub odrzucać żądania, tylko osoby z odpowiednimi uprawnieniami RBAC, aby wyrazić zgodę na żądane uprawnienia, mogą to zrobić.
- All(Wersja zapoznawcza): Wszystkie żądania, aktywne lub wygasłe, które istnieją w tenancie. Każde żądanie zawiera informacje o aplikacji i użytkownikach żądających aplikacji.
Powiadomienia e-mail
W przypadku skonfigurowania wszyscy recenzenci otrzymują powiadomienia e-mail w następujących przypadkach:
- Zostanie utworzone nowe żądanie
- Żądanie wygasa
- Żądanie zbliża się do daty wygaśnięcia.
Żądający otrzymują powiadomienia e-mail, gdy:
- Przesyłają nowe żądanie dostępu
- Ich żądanie wygasa
- Ich żądanie zostało odrzucone lub zablokowane
- Ich żądanie zostało zatwierdzone
Dzienniki inspekcji
W poniższej tabeli przedstawiono scenariusze i wartości audytu dostępne dla przepływu pracy zgody administratora.
| Scenariusz | Usługa inspekcji | Kategoria inspekcji | Działanie inspekcji | Aktor inspekcji | Ograniczenia dziennika inspekcji |
|---|---|---|---|---|---|
| Administrator włączający proces żądania zgody | Przeglądy dostępu | Zarządzanie Użytkownikami | Tworzenie szablonu zasad ładu | Kontekst aplikacji | Obecnie nie można odnaleźć kontekstu użytkownika |
| Administrator wyłączający proces żądania zgody | Przeglądy dostępu | Zarządzanie użytkownikami | Usuwanie szablonu zasad ładu | Kontekst aplikacji | Obecnie nie można odnaleźć kontekstu użytkownika |
| Administrator aktualizujący konfiguracje zgód w przepływie pracy | Przeglądy dostępu | ZarządzanieUżytkownikami | Aktualizowanie szablonu zasad ładu | Kontekst aplikacji | Obecnie nie można odnaleźć kontekstu użytkownika |
| Użytkownik końcowy tworzący żądanie zgody administratora dla aplikacji | Przeglądy dostępu | Polityka | Tworzenie żądania | Kontekst aplikacji | Obecnie nie można odnaleźć kontekstu użytkownika |
| Recenzenci zatwierdzający żądanie zgody administratora | Przeglądy dostępu | ZarządzanieUżytkownikami | Zatwierdź wszystkie wnioski w przepływie biznesowym | Kontekst aplikacji | Obecnie nie można znaleźć kontekstu użytkownika ani identyfikatora aplikacji, dla których przyznano zgodę administratora. |
| Recenzenci odmawiający żądania zgody administratora | Przeglądy dostępu | ZarządzanieUżytkownikami | Zatwierdź wszystkie żądania w procesie biznesowym | Kontekst aplikacji | Obecnie nie można odnaleźć kontekstu użytkownika aktora, który zaprzeczył żądaniu zgody administratora |