Compartilhar via


Visão geral do fluxo de trabalho de consentimento do administrador

Pode haver situações em que os usuários finais precisam consentir com permissões para aplicativos que estão criando ou usando com suas contas corporativas. No entanto, os usuários não administradores não têm permissão para consentir as permissões que exigem o consentimento do administrador. Além disso, os usuários não podem consentir com aplicativos quando o consentimento do usuário está desabilitado no locatário do usuário.

Em situações em que o consentimento do usuário está desabilitado, um administrador pode conceder aos usuários a capacidade de fazer solicitações para obter acesso aos aplicativos, habilitando o fluxo de trabalho de consentimento do administrador. Neste artigo, você aprenderá sobre a experiência do usuário e do administrador quando o fluxo de trabalho de consentimento do administrador for desabilitado em vez de habilitado.

Ao tentar entrar, os usuários podem ver uma solicitação de consentimento como a da captura de tela a seguir:

Screenshot of consent prompt when workflow is disabled.

Se o usuário não souber com quem entrar em contato para conceder acesso, ele não poderá usar o aplicativo. Essa situação também exigirá que os administradores criem um fluxo de trabalho separado para controlar solicitações de aplicativos se estiverem abertos para recebê-los. Como administrador, as seguintes opções existem para que você determine como os usuários consentem com os aplicativos:

  • Desabilite o consentimento do usuário. Por exemplo, uma escola de ensino médio pode querer desativar o consentimento do usuário para que a administração de TI da escola tenha controle total sobre todos os aplicativos que são usados em seu locatário.
  • Permita que os usuários consintam nas permissões necessárias. NÃO será recomendável manter o consentimento do usuário aberto se você tiver dados confidenciais em seu locatário.
  • Se ainda quiser manter o consentimento somente do administrador para determinadas permissões, mas desejar auxiliar os usuários finais na integração de seus aplicativos, você poderá usar o fluxo de trabalho de consentimento do administrador para avaliar e responder às solicitações de consentimento do administrador. Dessa forma, você pode ter uma fila de todas as solicitações de consentimento do administrador para seu locatário e pode rastreá-las e respondê-las diretamente por meio do centro de administração do Microsoft Entra. Para saber como configurar o fluxo de trabalho de consentimento do administrador, confira Configurar o fluxo de trabalho de consentimento do administrador.

Quando você configura o fluxo de trabalho de consentimento do administrador, os usuários finais podem solicitar o consentimento diretamente por meio da solicitação. Os usuários podem ver uma solicitação de consentimento como a da captura de tela a seguir:

Screenshot of consent prompt when workflow is enabled.

Quando um administrador responde a uma solicitação, o usuário recebe um alerta de email informando que a solicitação foi processada.

Quando o usuário envia uma solicitação de consentimento, a solicitação aparece na página de solicitação de consentimento do administrador no centro de administração do Microsoft Entra. Os administradores e os revisores designados entram para exibir e atuar nas novas solicitações. Os revisores veem apenas as solicitações de consentimento que foram criadas depois de serem designados como revisores. As solicitações aparecem nas duas guias a seguir na folha de solicitações de consentimento do administrador:

  • Minhas pendentes: mostra todas as solicitações ativas que têm o usuário conectado designado como um revisor. Embora os revisores possam bloquear ou negar solicitações, somente as pessoas com as permissões de RBAC corretas para consentir com as permissões solicitadas podem fazer isso.
  • Todos (versão prévia): todas as solicitações, ativas ou expiradas, que existem no locatário. Cada solicitação inclui informações sobre o aplicativo e os usuários que solicitam o aplicativo.

Notificações por email

Se configurado, todos os revisores receberão notificações por email quando:

  • Uma nova solicitação for criada
  • Uma solicitação expirar
  • Uma solicitação se aproximar da data de validade.

Os solicitantes receberão notificações por email quando:

  • Enviarem uma nova solicitação de acesso
  • A solicitação expirar
  • A solicitação for negada ou bloqueada
  • A solicitação for aprovada

Logs de auditoria

A tabela a seguir descreve os cenários e os valores de auditoria disponíveis para o fluxo de trabalho de consentimento do administrador.

Cenário Serviço de auditoria Auditar categoria Atividade de auditoria Ator de auditoria Limitações do log de auditoria
Administrador habilita o fluxo de trabalho de solicitação de consentimento Revisões de acesso UserManagement Criar modelo de política de governança Contexto do aplicativo No momento, não é possível localizar o contexto do usuário
Administrador desabilita o fluxo de trabalho de solicitação de consentimento Revisões de acesso UserManagement Excluir modelo de política de governança Contexto do aplicativo No momento, não é possível localizar o contexto do usuário
Administrador atualiza as configurações de fluxo de trabalho de consentimento Revisões de acesso UserManagement Atualizar modelo de política de governança Contexto do aplicativo No momento, não é possível localizar o contexto do usuário
Usuário final cria uma solicitação de consentimento do administrador para um aplicativo Revisões de acesso Política Criar solicitação Contexto do aplicativo No momento, não é possível localizar o contexto do usuário
Revisores aprovam uma solicitação de consentimento do administrador Revisões de acesso UserManagement Aprovar todas as solicitações no fluxo de negócios Contexto do aplicativo No momento, não é possível localizar o contexto do usuário ou a ID do aplicativo que recebeu o consentimento do administrador.
Revisores negam uma solicitação de consentimento do administrador Revisões de acesso UserManagement Aprovar todas as solicitações no fluxo de negócios Contexto do aplicativo No momento, não é possível localizar o contexto de usuário do ator que negou uma solicitação de consentimento do administrador

Próximas etapas