Обзор рабочего процесса согласия администратора
Могут возникнуть ситуации, когда конечным пользователям необходимо предоставить согласие на разрешения для приложений, которые они создают или используют с рабочими учетными записями. Однако пользователи, не являющиеся администраторами, не могут предоставлять согласие на разрешения, требующие согласия администратора. Кроме того, пользователи не могут предоставить согласие на приложения, если согласие пользователя отключено в клиенте пользователя.
В таких ситуациях, когда согласие пользователя отключено, администратор может предоставить пользователям возможность получать доступ к приложениям, включив рабочий процесс согласия администратора. В этой статье вы узнаете об опыте пользователя и администратора, когда процесс получения согласия администратора включен или выключен.
При попытке входа пользователи могут увидеть запрос на согласие, например на следующем снимке экрана:
Если пользователь не знает, кто должен связаться с ним для предоставления доступа, он может не использовать приложение. В этой ситуации администраторы также должны создать отдельный рабочий процесс для отслеживания запросов на предоставление приложений, если они готовы их принимать. В качестве администратора у вас есть следующие варианты, чтобы определить, как пользователи дают согласие на приложения.
- Отключить согласие пользователя. Например, средней школе может потребоваться отключить согласие пользователя, чтобы ИТ-администрирование школы полностью контролировало все приложения в своем клиенте.
- Разрешить пользователям предоставлять согласие на необходимые разрешения. Рекомендуется сохранить согласие пользователя открытым, если у вас есть конфиденциальные данные в клиенте.
- Если вы по-прежнему хотите сохранить согласие только администратора для определенных разрешений, но хотите помочь конечным пользователям в подключении приложения, вы можете использовать рабочий процесс согласия администратора для оценки и реагирования на запросы согласия администратора. Таким образом, вы можете получить очередь всех запросов на согласие администратора для клиента и отслеживать и реагировать на них непосредственно через Центр администрирования Microsoft Entra. Сведения о настройке рабочего процесса согласия администратора см. в статье Настройка рабочего процесса согласия администратора.
Как работает рабочий процесс согласия администратора
При настройке рабочего процесса согласия администратора конечные пользователи могут запрашивать согласие непосредственно через запрос. Пользователи могут увидеть запрос на согласие, например на следующем снимке экрана:
Когда администратор отвечает на запрос, пользователь получает оповещение электронной почты, информирующее об обработке запроса.
Когда пользователь отправляет запрос на согласие, запрос отображается на странице запроса согласия администратора в Центре администрирования Microsoft Entra. Администраторы и назначенные рецензенты входят в систему, чтобы для просмотра и обработки новых заявок. Рецензенты видят только запросы на согласие, созданные после их назначения в качестве рецензентов. Запросы отображаются на следующих двух вкладках в области запросов согласия администратора:
- Мои ожидающие запросы: на этой вкладке показаны все активные запросы, в которых вошедший в систему пользователь назначен рецензентом. Хотя рецензенты могут блокировать или отклонять запросы, это могут сделать только пользователи с правильными разрешениями RBAC для согласия на запрошенные разрешения.
- All(Preview): все запросы, активные или с истекшим сроком действия, которые существуют в арендаторе. Каждый запрос содержит сведения о приложении и пользователях, запрашивающих приложение.
Уведомления по электронной почте
При настройке все рецензенты получают уведомления по электронной почте, когда:
- Создается новый запрос
- Срок действия запроса истекает
- Запрос приближается к дате окончания срока действия.
Запрашивающие получают уведомления по электронной почте, когда:
- Они отправляют новый запрос на доступ
- Срок действия запроса истекает
- Их запрос запрещен или заблокирован
- Их запрос утвержден
Журналы аудита
В следующей таблице описаны сценарии и значения аудита, доступные для рабочего процесса согласия администратора.
| Сценарий | Служба аудита | Категория аудита | Действие аудита | Субъект аудита | Ограничения журнала аудита |
|---|---|---|---|---|---|
| Включение процесса запроса согласия администратором | Проверки доступа | Управление пользователями | Создание шаблона политики управления | Контекст приложения | В настоящее время не удается найти контекст пользователя |
| Администратор отключит рабочий процесс запроса согласия | Проверки доступа | Управление пользователями | Удаление шаблона политики управления | Контекст приложения | В настоящее время не удается найти контекст пользователя |
| Администратор обновляет конфигурации рабочих процессов согласия | Проверки доступа | Управление пользователями | Обновление шаблона политики управления | Контекст приложения | В настоящее время не удается найти контекст пользователя |
| Конечный пользователь, создающий запрос согласия администратора для приложения | Проверки доступа | Политика | Создание запроса | Контекст приложения | В настоящее время не удается найти контекст пользователя |
| Рецензенты утверждают запрос согласия администратора | Проверки доступа | Управление пользователями | Утверждение всех запросов в бизнес-потоке | Контекст приложения | В настоящее время вы не можете найти контекст пользователя или идентификатор приложения, которому предоставлено согласие администратора. |
| Рецензенты, отрицающие запрос согласия администратора | Проверки доступа | Управление пользователями | Утверждение всех запросов в бизнес-потоке | Контекст приложения | В настоящее время не удается найти контекст пользователя субъекта, который отказался от запроса согласия администратора |