管理員同意工作流程概觀
在某些情況下,您的使用者可能需要同意他們正在建立或使用其工作帳戶的應用程式許可權。 不過,不允許非系統管理員使用者同意需要管理員同意的許可權。 此外,當使用者的租使用者中停用 使用者同意 時,使用者就無法同意應用程式。
在停用使用者同意的情況下,系統管理員可以啟用管理員同意工作流程,讓用戶能夠提出要求以取得應用程式存取權。 在本文中,您會了解當系統管理員同意工作流程開啟與關閉時的使用者和系統管理員體驗。
嘗試登入時,使用者可能會看到同意提示,如下列螢幕快照所示:
如果使用者不知道誰要連絡以授與他們存取權,他們可能無法使用應用程式。 這種情況也需要系統管理員,若他們願意接收應用程式的申請時,需建立個別的工作流程來追蹤這些申請。 身為系統管理員,下列選項可供您決定使用者同意應用程式的方式:
- 關閉使用者同意功能。 例如,高中可能會想要關閉使用者同意,讓學校IT系統管理能夠完全控制其租使用者中的所有應用程式。
- 允許使用者同意所需的許可權。 最佳做法是在租戶中有敏感資料時,保持使用者同意開啟。
- 如果您仍想要保留特定許可權的僅限系統管理員同意,但想要協助終端使用者將應用程式上線,您可以使用管理員同意工作流程來評估及回應管理員同意要求。 如此一來,您可以擁有所有租戶管理員同意要求的佇列,並可通過 Microsoft Entra 系統管理中心直接追蹤和回應這些要求。 若要瞭解如何設定管理員同意工作流程,請參閱 設定系統管理員同意工作流程。
管理員同意工作流程的運作方式
當您設定管理員同意工作流程時,終端使用者可以直接透過提示要求同意。 使用者可能會看到同意提示,如下列螢幕快照所示:
當系統管理員回應要求時,使用者會收到電子郵件警示,告知他們要求已處理。
當使用者提交同意要求時,要求會顯示在 Microsoft Entra 系統管理中心的管理員同意要求頁面中。 系統管理員和指定的檢閱者登錄 以檢視和處理的新要求。 檢閱者只有在被指定為檢閱者之後,才能看到所建立的同意要求。 要求顯示在管理員同意要求窗格的下列兩個標籤中:
- 我的擱置中:此索引標籤會顯示任何已將登入使用者指定為檢閱者的作用中要求。 雖然檢閱者可以封鎖或拒絕要求,但只有具備正確 RBAC 許可權的人員才能同意所要求的許可權。
- 所有(預覽):存在於租戶中的所有要求,包含作用中或已過期的。 每個要求都包含應用程式的相關信息,以及要求應用程式的使用者。
電子郵件通知
如果已設定,所有檢閱者都會在下列情況下收到電子郵件通知:
- 已建立一個新請求
- 要求到期
- 一項要求即將到期。
要求者會在下列情況下收到電子郵件通知:
- 他們提交新的存取要求
- 他們的請求到期
- 其要求遭到拒絕或封鎖
- 其要求已核准
稽核記錄
下表概述管理員同意工作流程可用的案例和稽核值。
| 場景 | 稽核服務 | 稽核類別 | 稽核活動 | 稽核角色 | 稽核記錄限制 |
|---|---|---|---|---|---|
| 管理員啟用同意請求的工作流程 | 存取審查 | 用戶管理 | 建立治理原則範本 | 應用程式內容 | 目前找不到用戶情境 |
| 系統管理員停用同意要求工作流程 | 存取權審核 | 使用者管理 | 刪除治理原則範本 | 應用程式內容 | 目前找不到用戶上下文 |
| 管理員更新同意工作流程組態 | 存取權審核 | 用戶管理 | 更新治理原則範本 | 應用程式內容 | 目前找不到用戶上下文 |
| 使用者為應用程式建立管理員同意要求 | 存取審查 | 政策 | 建立請求 | 應用程式內容 | 目前找不到使用者情境 |
| 核准管理員同意要求的檢閱者 | 存取權檢閱 | 用戶管理 | 核准業務流程中的所有要求 | 應用程式內容 | 目前您無法找到已授與系統管理員同意的使用者內容或應用程式識別碼。 |
| 審核員拒絕管理員同意請求 | 存取審查 | 使用者管理 | 核准商務流程中的所有要求 | 應用程式內容 | 目前您無法找到拒絕管理員同意請求的執行者的用戶上下文。 |