Visão geral do fluxo de trabalho de consentimento de administrador
Pode haver situações em que os usuários finais precisem consentir com permissões para aplicativos que estão criando ou usando com suas contas de trabalho. No entanto, os usuários não administradores não têm permissão para consentir com permissões que exigem o consentimento do administrador. Além disso, os usuários não podem consentir com aplicativos quando o consentimento do usuário está desabilitado no locatário do usuário.
Nessas situações em que o consentimento do usuário está desativado, um administrador pode conceder aos usuários a capacidade de fazer solicitações para obter acesso a aplicativos habilitando o fluxo de trabalho de consentimento do administrador. Neste artigo, você aprenderá sobre a experiência do usuário e do administrador quando o fluxo de trabalho de consentimento do administrador estiver desativado versus quando estiver habilitado.
Ao tentar entrar, os usuários podem ver um prompt de consentimento como o da captura de tela a seguir:
Se o usuário não souber quem contatar para conceder acesso, talvez não consiga usar o aplicativo. Essa situação também exige que os administradores criem um fluxo de trabalho separado para rastrear solicitações de aplicativos, caso estejam abertos a recebê-los. Como administrador, existem as seguintes opções para você determinar como os usuários consentem com os aplicativos:
- Desative o consentimento do usuário. Por exemplo, uma escola de ensino médio pode querer desativar o consentimento do usuário para que a administração de TI da escola tenha controle total sobre todos os aplicativos que são usados em seu locatário.
- Permitir que os usuários consintam com as permissões necessárias. NÃO é recomendado manter o consentimento do usuário aberto se você tiver dados confidenciais em seu locatário.
- Se você ainda quiser manter o consentimento somente de administrador para determinadas permissões, mas quiser ajudar seus usuários finais na integração de seus aplicativos, você pode usar o fluxo de trabalho de consentimento de administrador para avaliar e responder a solicitações de consentimento de administrador. Dessa forma, você pode ter uma fila de todas as solicitações de consentimento de administrador para seu locatário e pode rastreá-las e respondê-las diretamente através do centro de administração do Microsoft Entra. Para saber como configurar o fluxo de trabalho de consentimento de administrador, consulte Configurar o fluxo de trabalho de consentimento de administrador.
Como funciona o fluxo de trabalho de consentimento do administrador
Quando configura o fluxo de trabalho de consentimento do administrador, os utilizadores finais podem pedir consentimento diretamente através da linha de comandos. Os usuários podem ver um prompt de consentimento como o da captura de tela a seguir:
Quando um administrador responde a uma solicitação, o usuário recebe um alerta por e-mail informando que a solicitação foi processada.
Quando o usuário envia uma solicitação de consentimento, a solicitação aparece na página de solicitação de consentimento de administrador no centro de administração do Microsoft Entra. Os administradores e revisores designados entram para exibir e agir de acordo com as novas solicitações. Os revisores só veem os pedidos de consentimento criados depois de terem sido designados como revisores. As solicitações aparecem nas duas guias a seguir na folha de solicitações de consentimento de administrador:
- Meu pendente: mostra todas as solicitações ativas que têm o usuário conectado designado como um revisor. Embora os revisores possam bloquear ou negar solicitações, somente pessoas com as permissões RBAC corretas para consentir com as permissões solicitadas podem fazê-lo.
- Todos(Pré-visualização): Todos os pedidos, ativos ou expirados, que existem no inquilino. Cada pedido inclui informações sobre a aplicação e o(s) utilizador(es) que a solicita.
Notificações por e-mail
Se estiver configurado, todos os revisores receberão notificações por e-mail quando:
- Foi criado um novo pedido
- Um pedido expirou
- Um pedido estiver a aproximar-se da data de expiração.
Os solicitantes receberão notificações por e-mail quando:
- Apresentam um novo pedido de acesso
- O seu pedido expirou
- O seu pedido foi negado ou bloqueado
- O seu pedido foi aprovado
Registos de auditoria
A tabela abaixo descreve os cenários e os valores de auditoria disponíveis para o fluxo de trabalho de consentimento do administrador.
| Cenário | Serviço de Auditoria | Categoria de Auditoria | Atividade de auditoria | Interveniente responsável pela auditoria | Limitações do log de auditoria |
|---|---|---|---|---|---|
| Administrador habilitando o fluxo de trabalho de solicitação de consentimento | Revisões de Acesso | Gestão de Utilizadores | Criar modelo de política de governança | Contexto do aplicativo | No momento, não é possível encontrar o contexto do usuário |
| Administrador desativando o fluxo de trabalho de solicitação de consentimento | Revisões de Acesso | Gestão de Utilizadores | Excluir modelo de política de governança | Contexto do aplicativo | No momento, não é possível encontrar o contexto do usuário |
| Administrador atualizando as configurações do fluxo de trabalho de consentimento | Revisões de Acesso | Gestão de Utilizadores | Atualizar modelo de política de governança | Contexto do aplicativo | No momento, não é possível encontrar o contexto do usuário |
| Usuário final criando uma solicitação de consentimento de administrador para um aplicativo | Revisões de Acesso | Política | Criar pedido | Contexto do aplicativo | No momento, não é possível encontrar o contexto do usuário |
| Revisores que aprovam uma solicitação de consentimento de administrador | Revisões de Acesso | Gestão de Utilizadores | Aprovar todas as solicitações no fluxo de negócios | Contexto do aplicativo | No momento, não é possível encontrar o contexto do usuário ou o ID do aplicativo ao qual foi concedido o consentimento de administrador. |
| Revisores que negam um pedido de consentimento de administrador | Revisões de Acesso | Gestão de Utilizadores | Aprovar todas as solicitações no fluxo de negócios | Contexto do aplicativo | No momento, não é possível encontrar o contexto de usuário do ator que negou uma solicitação de consentimento de administrador |