Поделиться через

Общие сведения о рабочем процессе предоставления согласия администратора

  • Статья

Могут быть ситуации, когда вашим пользователям необходимо предоставить согласие на разрешения для приложений, которые они создают или используют со своими рабочими учетными записями. Но пользователи без прав администратора не могут предоставлять согласие там, где требуется согласие администратора. Кроме того, пользователи не могут предоставлять согласие на приложения, если согласие пользователя отключено в арендаторе пользователя.

В таких ситуациях, когда согласие пользователя отключено, администратор может предоставить пользователям возможность делать запросы на получение доступа к приложениям, включив рабочий процесс предоставления согласия администратора. В этой статье описаны возможности для пользователей и администраторов, когда рабочий процесс предоставления согласия администратора отключен и включен.

При попытке входа пользователи могут увидеть запрос на предоставление согласия, как показано на следующем снимке экрана:

Screenshot of consent prompt when workflow is disabled.

Если пользователь не знает, к кому обратиться, чтобы предоставить ему доступ, он может быть не в состоянии использовать приложение. Эта ситуация также требует от администраторов создания отдельного рабочего процесса для отслеживания запросов для приложений, если они открыты для их получения. Администратор может определить, как пользователи предоставляют согласие для приложений следующим образом.

  • Отключить согласие пользователя. Например, учебное заведение может захотеть отключить согласие пользователя, чтобы школьная ИТ-администрация имела полный контроль над всеми приложениями, которые используются в их арендаторе.
  • Предоставить пользователям разрешения на предоставление согласия с необходимыми разрешениями. НЕ рекомендуется оставлять согласие пользователя открытым, если в арендаторе хранятся конфиденциальные данные.
  • Если вы по-прежнему хотите сохранить согласие только администратора для определенных разрешений, но хотите помочь своим пользователям в подключать свои приложения, вы можете использовать рабочий процесс согласия администратора для оценки и запросов на согласие администратора и реагирования на них. Таким образом, вы можете получить очередь всех запросов на согласие администратора для клиента и отслеживать и реагировать на них непосредственно через Центр администрирования Microsoft Entra. Сведения о настройке рабочего процесса согласия администратора см. в разделе "Настройка рабочего процесса согласия администратора".

Когда вы настраиваете рабочий процесс предоставления согласия администратора, ваши пользователи могут запрашивать согласие непосредственно через запрос. Пользователи могут увидеть запрос на предоставление согласия, как показано на следующем снимке экрана:

Screenshot of consent prompt when workflow is enabled.

Когда администратор отвечает на запрос, пользователь получает уведомление по электронной почте о том, что запрос обработан.

Когда пользователь отправляет запрос на согласие, запрос отображается на странице запроса согласия администратора в Центре администрирования Microsoft Entra. Администраторы и назначенные рецензенты входят в систему, чтобы просматривать и обрабатывать новые запросы. Рецензенты видят только запросы на предоставление согласия, которые были созданы после того, как они были назначены Запросы отображаются на следующих двух вкладках в колонке запросов на согласие администратора:

  • "Мои ожидающие" — здесь показаны все активные запросы, для которых выполнивший вход пользователь назначен рецензентом. Хотя рецензенты могут блокировать или отклонять запросы, это могут делать только люди с правильными разрешениями RBAC, предоставляющими согласие на запрошенные разрешения.
  • "Все (предварительная версия)" — все запросы, активные или просроченные, существующие в арендаторе. Каждый запрос содержит сведения о приложении и пользователях, запрашивающих приложение.

Уведомления по электронной почте

Если уведомления настроены, все рецензенты будут получать сообщения по электронной почте о следующих событиях:

  • создание нового запроса;
  • истечение срока действия запроса;
  • приближение даты окончания срока действия запроса.

Запрашивающие будут получать уведомления по электронной почте о следующих событиях:

  • отправка своего запроса на доступ к приложению;
  • истечение срока действия запроса;
  • отклонение или блокировка запроса;
  • утверждение запроса.

Журналы аудита

В следующей таблице описаны сценарии и значения аудита, доступные для рабочего процесса согласия администратора.

Сценарий Служба аудита Категория аудита Действие аудита Субъект аудита Ограничения журнала аудита
Администратор включает рабочий процесс запроса на предоставление согласия Проверки доступа UserManagement Создание шаблона политики управления Контекст приложения Сейчас найти контекст пользователя нельзя.
Администратор отключает рабочий процесс запроса на предоставление согласия Проверки доступа UserManagement Удаление шаблона политики управления Контекст приложения Сейчас найти контекст пользователя нельзя.
Администратор изменяет конфигурацию рабочего процесса предоставления согласия Проверки доступа UserManagement Обновление шаблона политики управления Контекст приложения Сейчас найти контекст пользователя нельзя.
Пользователь создает запрос на предоставление согласия администратора на доступ к приложению Проверки доступа Политика Запрос на создание Контекст приложения Сейчас найти контекст пользователя нельзя.
Проверяющие утверждают запрос на предоставление согласия администратора Проверки доступа UserManagement Утверждение всех запросов в бизнес-потоке Контекст приложения Сейчас найти контекст пользователя или идентификатор приложения, для которого было предоставлено согласие администратора, нельзя.
Рецензенты отклоняют запрос на предоставление согласия администратора Проверки доступа UserManagement Утверждение всех запросов в бизнес-потоке Контекст приложения Сейчас найти контекст пользователя для субъекта, который отклонил запрос на предоставление согласия администратора, нельзя.

Следующие шаги