管理员同意工作流概述

可能有这样的情况,你的最终用户需要同意他们通过工作帐户创建或使用的应用程序的权限。 但是,不允许非管理员用户同意那些需要管理员同意的权限。 此外,如果在用户的租户中禁用了用户同意,用户就不能同意应用程序。

在禁用了用户同意的情况下,管理员可以通过启用管理员同意工作流,授予用户请求获取对应用程序的访问权限的能力。 在本文中,你将了解当管理员同意工作流处于禁用状态与启用状态时,用户和管理员的体验。

尝试登录时,用户可能会看到如下屏幕截图所示的同意提示:

Screenshot of consent prompt when workflow is disabled.

如果用户不知道要联系谁以向他们授予访问权限,他们可能无法使用应用程序。 这种情况还要求管理员创建一个单独的工作流,以跟踪对应用程序的请求(如果这些应用程序可以接收请求)。 作为管理员,你可以使用以下选项来确定用户如何同意应用程序:

  • 禁用用户同意。 例如,一所高中可能需要禁用用户同意,使学校 IT 管理员能够完全控制其租户中使用的所有应用程序。
  • 允许用户同意所需权限。 如果你的租户中包含敏感数据,不建议将用户同意保持打开状态。
  • 如果你仍希望为某些权限保留仅限管理员的同意,但要协助最终用户加入其应用程序,可以使用管理员同意工作流来评估并响应管理员同意请求。 这样一来,你就可以拥有一个队列,其中包含对租户的管理员同意的所有请求,而你可以通过 Microsoft Entra 管理中心直接跟踪和响应这些请求。 若要了解如何配置管理员同意工作流,请参阅配置管理员同意工作流

在配置管理员同意工作流时,最终用户可以直接通过提示请求同意。 用户可能会看到如下屏幕截图所示的同意提示:

Screenshot of consent prompt when workflow is enabled.

当管理员响应请求时,用户将收到一个电子邮件警报,告知他们请求已经过处理。

当用户提交同意请求时,请求会显示在 Microsoft Entra 管理中心的“管理员同意请求”页中。 管理员和指定的审阅者登录以查看并处理新请求。 审阅者只能看到在他们被指定为审阅者之后创建的同意请求。 请求将在“管理员同意请求”边栏选项卡中的以下两个选项卡中显示:

  • 我的挂起请求:此选项卡显示将已登录用户指定为审阅者的所有活动请求。 尽管审阅者可以阻止或拒绝请求,但只有拥有正确的 RBAC 权限的人员才能同意所请求的权限。
  • 所有请求(预览):存在于租户中的所有请求,包括活动请求和已过期的请求。 每个请求都包含应用程序的相关信息,以及请求应用程序的用户。

电子邮件通知

如果已配置此功能,出现以下情况时,所有审阅者将收到电子邮件通知:

  • 已创建新请求
  • 请求已过期
  • 请求即将过期。

出现以下情况时,请求者将收到电子邮件通知:

  • 他们提交新的访问请求
  • 他们的请求已过期
  • 他们的请求已遭拒绝或阻止
  • 他们的请求已获批准

审核日志

下表概述了可用于管理员同意工作流的方案和审核值。

方案 审核服务 审核类别 审核活动 审核参与者 审核日志限制
管理员启用同意请求工作流 访问评审 UserManagement 创建调控策略模板 应用上下文 目前无法查找用户上下文
管理员禁用同意请求工作流 访问评审 UserManagement 删除调控策略模板 应用上下文 目前无法查找用户上下文
管理员更新同意工作流配置 访问评审 UserManagement 更新调控策略模板 应用上下文 目前无法查找用户上下文
最终用户创建对应用的管理员同意请求 访问评审 策略 创建请求 应用上下文 目前无法查找用户上下文
审阅者批准管理员同意请求 访问评审 UserManagement 批准业务流中的所有请求 应用上下文 目前无法查找用户上下文或已授予管理员同意的应用 ID。
审阅者拒绝管理员同意请求 访问评审 UserManagement 批准业务流中的所有请求 应用上下文 目前无法查找已拒绝管理员同意请求的参与者的用户上下文

后续步骤