管理員同意工作流程概觀
在某些情況下,使用者可能需要針對他們正在建立或使用工作帳戶的應用程式同意授與權限。 不過,不允許非管理員使用者同意需要管理員同意的權限。 此外,使用者無法在使用者租用戶中停用使用者同意時同意應用程式。
在停用使用者同意的情況下,管理員可以藉由啟用管理員同意工作流程,授與使用者要求取得應用程式存取權的能力。 在本文中,您將瞭解停用和啟用管理員同意工作流程時的使用者和管理員體驗。
嘗試登入時,使用者可能會看到同意提示,如下列螢幕擷取畫面所示:
如果使用者不知道該連絡哪些人授與他們存取權,他們可能無法使用應用程式。 這種情況也需要管理員建立個別的工作流程,藉以在應用程式收到要求時追蹤要求。 身為管理員,下列選項可供您決定使用者同意應用程式的方式:
- 停用使用者同意。 例如,高中職學校可能會想要關閉使用者同意,讓校方 IT 系統管理能夠完全控制租用戶中使用的所有應用程式。
- 允許使用者同意必要的權限。 如果租用戶中有敏感性資料,不建議開啟使用者同意。
- 如果您仍然想要保留特定權限的僅限管理員同意,但想要協助終端使用者將應用程式上線,您可以使用管理員同意工作流程來評估和回應管理員同意要求。 如此一來,您可以擁有租用戶管理員同意的所有要求佇列,並可透過 Microsoft Entra 系統管理中心直接追蹤和回應這些要求。 若要瞭解如何設定管理員同意工作流程,請參閱 設定系統管理員同意工作流程。
管理員同意工作流程如何運作
您設定管理員同意工作流程時,終端使用者可以直接透過提示要求同意。 使用者可能會看到同意提示,如下列螢幕擷取畫面中的同意提示所示:
管理員回應要求時,使用者會收到電子郵件警示,告知他們已處理要求。
當使用者提交同此意要求時,要求會顯示在 Microsoft Entra 系統管理中心的管理員同意要求頁面中。 管理員和指定的檢閱者會登入來檢視並處理新的要求。 檢閱者只會看到在指定為檢閱者之後建立的同意要求。 要求會顯示在 [管理員同意要求] 刀鋒視窗的下列兩個索引標籤中:
- 我的待處理:這會顯示已登入的使用者被指定為檢閱者的任何作用中要求。 雖然檢閱者可以封鎖或拒絕要求,但只有擁有正確 RBAC 權限可以對於要求的權限表示同意的人員才能這麼做。
- 全部 (預覽):存在於租用戶中目前作用中或已過期的全部要求。 每個要求都包含應用程式以及要求應用程式的使用者有關的資訊。
電子郵件通知
若設定,所有檢閱者將會在下列情況收到電子郵件通知:
- 已建立新的要求
- 要求已過期
- 要求接近到期日。
要求者將會在下列情況時收到電子郵件通知:
- 他們會提交新的存取要求
- 其要求已過期
- 已拒絕或封鎖其要求
- 已核准其要求
稽核記錄
下表概述可用於管理員同意工作流程的案例和稽核值。
| 案例 | 稽核服務 | 稽核類別 | 稽核活動 | 稽核執行者 | 稽核記錄限制 |
|---|---|---|---|---|---|
| 啟用同意要求工作流程的管理員 | 存取權檢閱 | Usermanagement | 建立治理原則範本 | 應用程式內容 | 目前找不到使用者內容 |
| 停用同意要求工作流程的管理員 | 存取權檢閱 | Usermanagement | 刪除治理原則範本 | 應用程式內容 | 目前找不到使用者內容 |
| 更新同意工作流程設定的管理員 | 存取權檢閱 | Usermanagement | 更新治理原則範本 | 應用程式內容 | 目前找不到使用者內容 |
| 建立應用程式管理員同意要求的終端使用者 | 存取權檢閱 | 原則 | 建立要求 | 應用程式內容 | 目前找不到使用者內容 |
| 核准管理員同意要求的檢閱者 | 存取權檢閱 | Usermanagement | 核准業務流程中的所有要求 | 應用程式內容 | 您目前找不到已授與管理員同意的使用者內容或應用程式識別碼。 |
| 拒絕管理員同意要求的檢閱者 | 存取權檢閱 | Usermanagement | 核准業務流程中的所有要求 | 應用程式內容 | 您目前找不到已拒絕管理員同意要求的執行者使用者內容 |